В целях сохранения государственного контроля за реализацией отдельных видов продукции, имеющих важнейшее значение в удовлетворении потребностей народного хозяйства и обеспечении общественной безопасности Президент России издал Указ от 22 февраля 1992 г. N 179 "О видах продукции (работ, услуг) и отходов производства, свободная реализация которых запрещена" в утвержденный перечень которого, входит шифровальная техника, и нормативно-техническая документация на ее производство и использование.
Реализуя данный Указ Правительство РФ вынесло постановление от 15.04.94 N 331 "О внесении дополнений и изменений в постановления Правительства Российской Федерации от 6 ноября 1992 Г. N 854 "О лицензировании и квотировании экспорта и импорта товаров (работ, услуг) на территории Российской Федерации" и от 10 декабря 1992 Г. N 959 "О поставках продукции и отходов производства, свободная реализация которых запрещена". Постановлением определено, что шифровальные средства (включая шифровальную технику, части для шифровальной техники и пакеты программ для шифрования нормативно - техническая документация к шифровальным средствам(включая конструкторскую и эксплуатационную) подпадающих под коды ТН ВЭД: 8471, 8543 80 900, 8473 30 000, 8543 90 900 экспортируются и импортируются по лицензиям Федерального агентства правительственной связи и информации при Президенте РФ.
Согласно п.5А, 5Б, 5В, 5Д постановления Правительства РФ от 27.12.96 N 1560 "О товарной номенклатуре, применяемой при осуществлении внешнеэкономической деятельности, и о таможенном тарифе Российской Федерации" установлены характеристики товаров подпадающих под коды ТН ВЭД: 8471, 8543 80 900, 8473 30 000, 8543 90 900.
Также согласно приложение 11 к приказу ГТК РФ от 25 декабря 1996 г. N 774 установлен "Перечень (списки) товаров, для которых заполняется крайний правый подраздел графы 33 ГТД", куда относятся шифровальные средства (включая шифровальную технику, части для шифровальной техники и пакеты программ для шифрования), нормативно техническая документация к шифровальным средствам (включая конструкторскую и эксплуатационную). Кроме того расшифровка некоторых характеристик товаров дана в приказе ГТК РФ от 31 января 1997 г. N 43 "О ТН ВЭД СНГ и о внесении изменений и дополнений в отдельные нормативные акты ГТК России"
Для осуществление таможенного контроля согласно Приложение 11 к приказу ГТК РФ от 25 декабря 1996 г. N 774 в перечень (списки) товаров, для которых заполняется крайний правый подраздел графы 33 ГТД входит и шифровальные средства (включая шифровальную технику, части для шифровальной техники и пакеты программ для шифрования), нормативно техническая документация к шифровальным средствам (включая конструкторскую и эксплуатационную).
Согласно ст.11 Закона Российской Федерации " О федеральных органах правительственной связи и информации" № 4524-1 от 19.02.93 г. Федеральному агентству предоставлено право по определению порядка, разработки, производства, реализации, эксплуатации шифровальных средств, предоставления услуг в области шифрования информации, а также порядка проведения работ по выявлению электронных устройств перехвата информации в технических средствах и помещениях государственных структур. Одновременно Федеральному агентству предоставлено право осуществлять лицензирование указанных видов деятельности и сертификацию соответствующих товаров и услуг.
Согласно Закона Российской Федерации от 10.06.93 "О сертификации продукции и услуг" № 5151-1 ФАПСИ 15 ноября 1993 года зарегистрировало в Госстандарте России "Систему сертификации средств криптографической защиты информации" РОСС.RU/0001/030001. Данный документ определил организационную структуру системы сертификации шифровальных средств ФАПСИ, а также установил основные правила проведения сертификационных исследований и испытаний криптографических средств зашиты информации и закрытых с их помощью систем и комплексов обработки, хранения и передачи информации.
Согласно постановления Правительства РФ от 24 декабря 1994 г. N 1418 "О лицензировании отдельных видов деятельности"(с изменениями от 5 мая, 3 июня, 7 августа, 12 октября 1995 г., 22 апреля 1997 г.) установлен перечень видов деятельности, на осуществление которых требуется лицензия, и органов, уполномоченных на ведение лицензионной деятельности Федеральное агентство правительственной связи и информации при Президенте Российской Федерации. А именно: Деятельность, связанная с шифровальными средствами. Предоставление услуг по шифрованию информации. Деятельность по выявлению электронных устройств перехвата информации в технических средствах и помещениях государственных структур.
Согласно Указа Президента РФ от 3 апреля 1995 года № 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" запрещается любая деятельность, связанная с разработкой, производством, реализацией и эксплуатацией шифровальных средств, предоставлением услуг в области шифрования информации, без лицензии ФАПСИ. Пункты 2,3 данного указа устанавливают обязательное использование исключительно сертифицированных средств защиты информации во всех государственных структурах, в том числе и в государственных банках Российской Федерации, на предприятиях, работающих по государственному заказу, а также на предприятиях и в организациях при их информационном взаимодействии с Центральным банком России и его структурными подразделениями.(т.е. во всех коммерческих банках).
Приложение:
19 февраля 1993 года N 4524-1
РОССИЙСКАЯ ФЕДЕРАЦИЯ ЗАКОН
О ФЕДЕРАЛЬНЫХ ОРГАНАХ ПРАВИТЕЛЬСТВЕННОЙ СВЯЗИ И ИНФОРМАЦИИ
Статья 3. Основные направления деятельности федеральных органов правительственной связи и информации
Основными направлениями деятельности федеральных органов правительственной связи и информации являются:
организация и обеспечение эксплуатации, безопасности, развития и совершенствования правительственной связи, иных видов специальной связи и систем специальной информации для государственных органов;
обеспечение в пределах своей компетенции сохранности государственных секретов; организация и обеспечение криптографической и инженерно - технической безопасности шифрованной связи в Российской Федерации и ее учреждениях за рубежом;
организация и ведение внешней разведывательной деятельности в сфере шифрованной, засекреченной и иных видов специальной связи с использованием радиоэлектронных средств и методов;
обеспечение высших органов государственной власти Российской Федерации, центральных органов федеральной исполнительной власти, Совета безопасности Российской Федерации достоверной и независимой от других источников специальной информацией (материалы внешней разведывательной деятельности, информация по поддержанию управления народным хозяйством в особый период, военное время и при чрезвычайных ситуациях, экономическая информация мобилизационного назначения, информация социально - экономического мониторинга), необходимой им для принятия решений в области безопасности, обороны, экономики, науки и техники, международных отношений, экологии, а также мобилизационной готовности.
УКАЗ от 3 апреля 1995 г. N 334
ПРЕЗИДЕНТ РОССИЙСКОЙ ФЕДЕРАЦИИ О МЕРАХ ПО СОБЛЮДЕНИЮ ЗАКОННОСТИ В ОБЛАСТИ РАЗРАБОТКИ, ПРОИЗВОДСТВА, РЕАЛИЗАЦИИ И ЭКСПЛУАТАЦИИ ШИФРОВАЛЬНЫХ СРЕДСТВ, А ТАКЖЕ ПРЕДОСТАВЛЕНИЯУСЛУГ В ОБЛАСТИ ШИФРОВАНИЯ ИНФОРМАЦИИ
В целях обеспечения безусловного исполнения Закона Российской Федерации "О федеральных органах правительственной связи и информации", а также усиления борьбы с организованной преступностью и повышения защищенности информационно - телекоммуникационных систем органов государственной власти, российских кредитно-финансовых структур, предприятий и организаций постановляю:
1. Придать Программе создания и развития информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти статус президентской программы. Центру президентских программ Администрации Президента Российской Федерации совместно с Федеральным агентством правительственной связи и информации при Президенте Российской Федерации обеспечить ее доработку и реализацию.
2. Запретить использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации, а также размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации.
3. Предложить Центральному банку Российской Федерации и Федеральному агентству правительственной связи и информации при Президенте Российской Федерации принять необходимые меры в отношении коммерческих банков Российской Федерации, уклоняющихся от обязательного использования имеющих сертификат Федерального агентства правительственной связи и информации при Президенте Российской Федерации защищенных технических средств хранения, обработки и передачи информации при их информационном взаимодействии с подразделениями Центрального банка Российской Федерации.
4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".
5. Государственному таможенному комитету Российской Федерации принять меры к недопущению ввоза на территорию Российской Федерации шифровальных средств иностранного производства без лицензии Министерства внешних экономических связей Российской Федерации, выданной по согласованию с Федеральным агентством правительственной связи и информации при Президенте Российской Федерации.
6. Федеральной службе контрразведки Российской Федерации и Министерству внутренних дел Российской Федерации совместно с Федеральным агентством правительственной связи и информации при Президенте Российской Федерации, Государственной налоговой службой Российской Федерации и Департаментом налоговой полиции Российской Федерации осуществлять выявление юридических и физических лиц, нарушающих требования настоящего Указа.
7. Предложить Генеральной прокуратуре Российской Федерации усилить прокурорский надзор за соблюдением Закона Российской Федерации "О федеральных органах правительственной связи и информации" в части разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации в Российской Федерации, подлежащих лицензированию и сертификации Федеральным агентством правительственной связи и информации при Президенте Российской Федерации.
8. Создать Федеральный центр защиты экономической информации при Федеральном агентстве правительственной связи и информации при Президенте Российской Федерации (в пределах штатной численности этого Агентства), возложив на него разработку и реализацию комплексных программ обеспечения безопасности экономической информации российских кредитно-финансовых и других экономически значимых структур страны.
Генеральному директору Федерального агентства правительственной связи и информации при Президенте Российской Федерации в 2-месячный срок утвердить положение об указанном центре.
9. Настоящий Указ вступает в силу со дня его опубликования.
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ от 6 ноября 1992 г. N 854
О ЛИЦЕНЗИРОВАНИИ И КВОТИРОВАНИИ ЭКСПОРТА И ИМПОРТА ТОВАРОВ (РАБОТ, УСЛУГ) НА ТЕРРИТОРИИ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ от 10 декабря 1992 г. N 959 О ПОСТАВКАХ ПРОДУКЦИИ И ОТХОДОВ ПРОИЗВОДСТВА, СВОБОДНАЯ РЕАЛИЗАЦИЯ КОТОРЫХ ЗАПРЕЩЕНА
ЦЕНТРАЛЬНЫЙ БАНК РОССИИ ПРИКАЗ от 3 апреля 1997 г. N 02-144 О ВВЕДЕНИИ В ДЕЙСТВИЕ ВРЕМЕННЫХ ТРЕБОВАНИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ТЕХНОЛОГИЙ ОБРАБОТКИ ЭЛЕКТРОННЫХ ПЛАТЕЖНЫХ ДОКУМЕНТОВ В СИСТЕМЕ ЦЕНТРАЛЬНОГО БАНКА РОССИЙСКОЙ ФЕДЕРАЦИИ
1.1. Данные Требования относятся к технологиям, системам и средствам обработки, передачи и хранения электронных платежных (несекретных) документов.
1.2. Требования разработаны в соответствии с положениями федеральных законов, нормативных и иных актов Банка России, Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ).
1.3. Требования предназначены для территориальных учреждений, расчетно - кассовых центров и других подразделений и организаций Банка России (далее - участники электронных платежей), принимающих участие в совершении электронных платежей, проектировании, создании, эксплуатации и обеспечении безопасности систем обработки, передачи и хранения электронных платежных документов.
1.4. Разработка технических заданий, проектирование, создание, тестирование и сдача в эксплуатацию систем обработки, передачи и хранения электронных платежных документов должны осуществляться по согласованию с Главным управлением безопасности и защиты информации Банка России и его подразделениями в территориальных учреждениях Банка России.
1.5. Безопасность технологии обработки электронных платежных документов обеспечивается созданием системы, включающей в себя комплекс технологических, организационных, технических и программных мер и средств защиты на этапах подготовки, обработки, передачи и хранения электронных платежных документов.
1.6. Привлекаемые для разработки и установки средств и систем защиты электронных платежных документов на договорной основе специализированные организации должны иметь государственные лицензии от Гостехкомиссии России, ФАПСИ и других государственных органов в соответствии с российским законодательством.
Используемые при этом средства защиты информации от несанкционированного доступа (НСД) должны иметь сертификат Гостехкомиссии России.
Криптографическая защиты электронных платежных документов обеспечивается на основе использования средств криптографической защиты информации (СКЗИ), имеющих сертификат или временное разрешение ФАПСИ.
1.7. Внутренний порядок применения средств защиты от НСД и обеспечения криптографической защиты в системах электронных платежей Банка России определяется руководством Банка России.
1.8. Выполнение правил пользования и инструкций по эксплуатации криптографических средств и систем (а также их ключевых систем), рекомендованных Банком России по согласованию с ФАПСИ для защиты электронных платежных документов, является обязательным для обеспечения защиты электронных платежных документов.
1.9. Обязанности по администрированию программно - технических средств защиты электронных платежных документов для каждого технологического участка прохождения этих документов возлагаются приказом по участнику электронных платежей на сотрудников (сотрудника), задействованных на данном технологическом участке (администраторов информационной безопасности), с внесением соответствующих изменений в их должностные обязанности.
Администратор информационной безопасности действует на основании утвержденного руководителем участника электронных платежей "Положения об администраторе информационной безопасности", разработанного на основе соответствующего Примерного положения (Приложения 1, 2) и согласованного с руководством соответствующих подразделений информатизации, а также безопасности и защиты информации системы Банка России.
Администратору информационной безопасности устанавливается денежная надбавка в размере до 20 процентов его должностного оклада.
1.10. В случае прекращения по тем или иным причинам полномочий сотрудника Банка России, имевшего доступ к системе электронных платежей, необходимо немедленное удаление из системы действующих значений паролей, а также ключей шифрования, ключей электронных цифровых подписей (ЭЦП) и кодов аутентификации, бывших в распоряжении данного сотрудника в соответствии с его прежними должностными обязанностями.
1.11. Объекты электронной вычислительной техники (ЭВТ), на которых осуществляется обработка электронных платежных документов, являются объектами ЭВТ не выше 4 категории. Требования по защите от утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) к ним не предъявляются.
1.12. Требования данного документа распространяются на все виды программного (прикладного и системного), аппаратного и информационного обеспечения автоматизированных систем обработки электронных платежных документов.
ЦЕНТРАЛЬНЫЙ БАНК РОССИИ ПРИКАЗ от 31 января 1995 г. N 02-13 О ВВОДЕ В ДЕЙСТВИЕ В СИСТЕМЕ ЦЕНТРАЛЬНОГО БАНКА РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСУДАРСТВЕННЫХ СТАНДАРТОВ РОССИЙСКОЙ ФЕДЕРАЦИИ
1. Ввести в действие с 31 января 1995 года в системе Центрального банка Российской Федерации государственные стандарты, принятые Постановлением Госстандарта России от 23.05.94, ГОСТ Р 34.10-94 "Информационные технологии. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма" и ГОСТ Р 34.11-94 "Информационные технологии. Криптографическая защита информации. Функция хэширования".
2. Применять в системе Центрального банка Российской Федерации сертифицированные средства криптографической защиты, реализующие алгоритмы шифрования в соответствии с ГОСТ 28147-89 и алгоритмы электронной цифровой подписи в соответствии с ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94.
3. Отменить с 31 января 1995 года действие стандарта Центрального банка Российской Федерации "ПОДПИСЬ ЦИФРОВАЯ ЭЛЕКТРОННАЯ" (Приказ ЦБ РФ от 21 сентября 1993 г. N 02-159) в соответствии с требованиями Государственной системы стандартизации (ГОСТ Р 1.4-93, п. 3.15).
4. Государственные и коммерческие структуры при информационном взаимодействии с ЦБ РФ путем передачи документов, представленных в электронной форме, обязаны применять сертифицированные средства криптографической защиты, реализующие указанные стандарты шифрования и электронной цифровой подписи.
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ
от 26 июня 1995 года N 608
О сертификации средств защиты информации (с изменениями от 23 апреля 1996 года) В соответствии с Законами Российской Федерации "О государственной тайне" и "О сертификации продукции и услуг" Правительство Российской Федерации постановляет:
1. Утвердить прилагаемое Положение о сертификации средств защиты информации.
2. Государственной технической комиссии при Президенте Российской Федерации, Федеральному агентству правительственной связи и информации при Президенте Российской Федерации, Федеральной службе безопасности Российской Федерации и Министерству обороны Российской Федерации в пределах определенной законодательством Российской Федерации компетенции в 3-месячный срок разработать и ввести в действие соответствующие положения о системах сертификации, перечни средств защиты информации, подлежащих сертификации в конкретной системе сертификации, а также по согласованию с Министерством финансов Российской Федерации порядок оплаты работ по сертификации средств защиты информации. ПОЛОЖЕНИЕ о сертификации средств защиты информации (с изменениями от 23 апреля 1996 года)
1. Настоящее Положение устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом.
Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.
Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации.
Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам (далее именуется - система сертификации).
Системы сертификации создаются Государственной технической комиссией при Президенте Российской Федерации, Федеральным агентством правительственной связи и информации при Президенте Российской Федерации, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, Службой внешней разведки Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации (далее именуются - федеральные органы по сертификации) (абзац дополнен постановлением Правительства Российской Федерации от 23 апреля 1996 года N 509).
Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством Российской Федерации и федеральными органами по сертификации в пределах их компетенции.
Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны (далее именуется - межведомственная комиссия).*
* Функции Межведомственной комиссии по защите государственной тайны в соответствии с Указом Президента Российской Федерации от 30 марта 1994 г. N 614 временно возложены на Государственную техническую комиссию при Президенте Российской Федерации.
В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.
2. Участниками сертификации средств защиты информации являются:
федеральный орган по сертификации;
центральный орган системы сертификации (создаваемый при необходимости) - орган, возглавляющий систему сертификации однородной продукции; органы по сертификации средств защиты информации - органы, проводящие сертификацию определенной продукции;
испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;
изготовители - продавцы, исполнители продукции.
Центральные органы системы сертификации, органы по сертификации средств защиты информации и испытательные лаборатории проходят аккредитацию на право проведения работ по сертификации, в ходе которой федеральные органы по сертификации определяют возможности выполнения этими органами и лабораториями работ по сертификации средств защиты этими органами и оформляют официальное разрешение на право проведения указанных работ. Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на соответствующие виды деятельности.
3. Федеральный орган по сертификации в пределах своей компетенции:
создает системы сертификации;
осуществляет выбор способа подтверждения соответствия средств защиты информации требованиям нормативных документов;
устанавливает правила аккредитации центральных органов систем сертификации, органов по сертификации средств защиты информации и испытательных лабораторий;
определяет центральный орган для каждой системы сертификации;
выдает сертификаты и лицензии на применение знака соответствия;
ведет государственный реестр участников сертификации и сертифицированных средств защиты информации;
осуществляет государственные контроль и надзор за соблюдением участниками сертификации правил сертификации и за сертифицированными средствами защиты информации, а также устанавливает порядок инспекционного контроля;
рассматривает апелляции по вопросам сертификации;
представляет на государственную регистрацию в Комитет Российской Федерации по стандартизации, метрологии и сертификации системы сертификации и знак соответствия;
устанавливает порядок признания зарубежных сертификатов;
приостанавливает или отменяет действие выданных сертификатов.
4. Центральный орган системы сертификации:
организует работы по формированию системы сертификации и руководство ею, координирует деятельность органов по сертификации средств защиты информации и испытательных лабораторий, входящих в систему сертификации;
ведет учет входящих в систему сертификации органов по сертификации средств защиты информации и испытательных лабораторий, выданных и аннулированных сертификатов и лицензий на применение знака соответствия;
обеспечивает участников сертификации информацией о деятельности системы сертификации.
При отсутствии в системе сертификации центрального органа его функции выполняются федеральным органом по сертификации.
5. Органы по сертификации средств защиты информации:
сертифицируют средства защиты информации, выдают сертификаты и лицензии на применение знака соответствия с представлением копий в федеральные органы по сертификации и ведут их учет;
приостанавливают либо отменяют действие выданных ими сертификатов и лицензий на применение знака соответствия;
принимают решение о проведении повторной сертификации при изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;
формируют фонд нормативных документов, необходимых для сертификации;
представляют изготовителям по их требованию необходимую информацию в пределах своей компетенции.
6. Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют заключения и протоколы, которые направляют в соответствующий орган по сертификации средств защиты информации и изготовителям.
Испытательные лаборатории несут ответственность за полноту испытаний средств защиты информации и достоверность их результатов.
7. Изготовители:
производят (реализуют) средства защиты информации только при наличии сертификата;
извещают орган по сертификации, проводивший сертификацию, об изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;
маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном для данной системы сертификации;
указывают в сопроводительной технической документации сведения о сертификации и нормативных документах, которым средства защиты информации должны соответствовать, а также обеспечивают доведение этой информации до потребителя;
применяют сертификат и знак соответствия, руководствуясь законодательством Российской Федерации и правилами, установленными для данной системы сертификации;
обеспечивают соответствие средств защиты информации требованиям нормативных документов по защите информации;
обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих сертификацию, и контроль за сертифицированными средствами защиты информации;
прекращают реализацию средств защиты информации при несоответствии их требованиям нормативных документов или по истечении срока действия сертификата, а также в случае приостановки действия сертификата или его отмены.
Изготовители должны иметь лицензию на соответствующий вид деятельности.
8. Изготовитель для получения сертификата направляет в орган по сертификации средств защиты информации заявку на проведение сертификации, к которой могут быть приложены схема проведения сертификации, государственные стандарты и иные нормативные и методические документы, требованиям которых должны соответствовать сертифицируемые средства защиты информации.
Орган по сертификации средств защиты информации в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации с указанием схемы ее проведения, испытательной лаборатории, осуществляющей испытания средств защиты информации, и нормативных документов, требованиям которых должны соответствовать сертифицируемые средства защиты информации, а при необходимости - решение о проведении и сроках предварительной проверки производства средств защиты информации.
Для признания зарубежного сертификата изготовитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который извещает изготовителя о признании сертификата или необходимости проведения сертификационных испытаний в срок не позднее одного месяца после получения указанных документов. В случае признания зарубежного сертификата федеральный орган по сертификации оформляет и выдает изготовителю сертификат соответствия установленного образца. Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных.
Основными схемами проведения сертификации средств защиты информации являются:
для единичных образцов средств защиты информации - проведение испытаний этих образцов на соответствие требованиям по защите информации;
для серийного производства средств защиты информации - проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований. Кроме того, допускается предварительная проверка производства по специально разработанной программе.
Срок действия сертификата не может превышать пяти лет.
9. Испытания сертифицируемых средств защиты информации проводятся на образцах, технология изготовления и конструкция (состав) которых должны соответствовать образцам, поставляемым потребителю (заказчику).
В отдельных случаях по согласованию с органом по сертификации средств защиты информации допускается проведение испытаний на испытательной базе изготовителя. При этом орган по сертификации средств защиты информации определяет условия, необходимые для обеспечения объективности результатов испытаний.
В случае отсутствия к началу проведения сертификации аккредитованных испытательных лабораторий орган по сертификации средств защиты информации определяет возможность, место и условия проведения испытаний, обеспечивающие объективность их результатов.
Сроки проведения испытаний устанавливаются договором между изготовителем и испытательной лабораторией.
Изготовителю должна быть предоставлена возможность ознакомиться с условиями испытаний и хранения образцов средств защиты информации в испытательной лаборатории.
При несоответствии результатов испытаний требованиям нормативных и методических документов по защите информации орган по сертификации средств защиты информации принимает решение об отказе в выдаче сертификата и направляет изготовителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата изготовитель имеет право обратиться в центральный орган системы сертификации, федеральный орган по сертификации или в Межведомственную комиссию для дополнительного рассмотрения полученных при испытаниях результатов.
10. Федеральный орган по сертификации и органы по сертификации средств защиты информации имеют право приостанавливать или аннулировать действие сертификата в следующих случаях:
изменение нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля;
изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;
отказ изготовителя обеспечить беспрепятственное выполнение своих полномочий лицами, осуществляющими государственные контроль и надзор, инспекционный контроль за сертификацией и сертифицированными средствами защиты информации.
11. Порядок оплаты работ по обязательной сертификации средств защиты информации определяется федеральным органом по сертификации по согласованию с Министерством финансов Российской Федерации. Оплата работ по сертификации конкретных средств защиты информации осуществляется на основании договоров между участниками сертификации.
12. Инспекционный контроль за сертифицированными средствами защиты информации осуществляют органы, проводившие сертификацию этих средств защиты информации.
13. При возникновении спорных вопросов в деятельности участников сертификации заинтересованная сторона может подать апелляцию в орган по сертификации средств защиты информации, в центральный орган системы сертификации, в федеральный орган по сертификации или в Межведомственную комиссию. Указанные организации в месячный срок рассматривают апелляцию с привлечением заинтересованных сторон и извещают подателя апелляции о принятом решении.
14. Органы, осуществляющие сертификацию средств защиты информации, несут ответственность, установленную законодательством Российской Федерации, за выполнение возложенных на них обязанностей, обеспечение защиты государственной тайны и других конфиденциальных сведений, сохранность материальных ценностей, предоставленных изготовителем, а также за соблюдение авторских прав изготовителя при сертификационных испытаниях средств защиты информации.
ЦЕНТРАЛЬНЫЙ БАНК РОССИИ
ПРИКАЗ
от 3 апреля 1997 г. N 02-144
О ВВЕДЕНИИ В ДЕЙСТВИЕ ВРЕМЕННЫХ ТРЕБОВАНИЙ
ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ТЕХНОЛОГИЙ ОБРАБОТКИ
ЭЛЕКТРОННЫХ ПЛАТЕЖНЫХ ДОКУМЕНТОВ В СИСТЕМЕ ЦЕНТРАЛЬНОГО
БАНКА РОССИЙСКОЙ ФЕДЕРАЦИИ
В целях совершенствования безопасности систем обработки, передачи и хранения электронных платежных документов в системе Центрального банка Российской Федерации приказываю:
1. Ввести в действие Временные требования по обеспечению безопасности технологий обработки электронных платежных документов в системе Центрального банка Российской Федерации (далее - Требования) с 31.03.97.
2. Административному департаменту Банка России довести данные Требования до соответствующих подразделений центрального аппарата, территориальных учреждений, а также других подразделений и организаций Банка России, участвующих в совершении электронных платежей.
3. Административному департаменту Банка России предусмотреть соответствующие ассигнования для выплаты надбавок администраторам информационной безопасности в соответствии с данными Требованиями.
4. Руководителям участвующих в совершении электронных платежей территориальных учреждений и других подразделений и организаций Банка России в срок до 01.06.97 разработать и утвердить Положения об администраторе информационной безопасности в соответствии с Приложениями 1, 2 к данным Требованиям.
5. Поручить руководителям участвующих в совершении электронных платежей территориальных учреждений и других подразделений и организаций Банка России в срок до 01.07.97 проанализировать действующие технологии обработки электронных платежных документов на соответствие данным Требованиям и представить в Главное управление безопасности и защиты информации и Департамент информатизации Банка России предложения по приведению используемых технологий в соответствие с настоящими Требованиями.
6. Департаменту информатизации совместно с Главным управлением безопасности и защиты информации до 01.07.97 подготовить предложения по разработке системы ведения архивов электронных платежных документов.
Председатель Центрального банка
Российской Федерации
С.К.ДУБИНИН
ЦЕНТРАЛЬНЫЙ БАНК РОССИИ
3 апреля 1997 г. N 60
ВРЕМЕННЫЕ ТРЕБОВАНИЯ
ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ТЕХНОЛОГИЙ ОБРАБОТКИ
ЭЛЕКТРОННЫХ ПЛАТЕЖНЫХ ДОКУМЕНТОВ В СИСТЕМЕ
ЦЕНТРАЛЬНОГО БАНКА РОССИЙСКОЙ ФЕДЕРАЦИИ
1. Общие положения
1.1. Данные Требования относятся к технологиям, системам и средствам обработки, передачи и хранения электронных платежных (несекретных) документов.
1.2. Требования разработаны в соответствии с положениями федеральных законов, нормативных и иных актов Банка России, Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ).
1.3. Требования предназначены для территориальных учреждений, расчетно - кассовых центров и других подразделений и организаций Банка России (далее - участники электронных платежей), принимающих участие в совершении электронных платежей, проектировании, создании, эксплуатации и обеспечении безопасности систем обработки, передачи и хранения электронных платежных документов.
1.4. Разработка технических заданий, проектирование, создание, тестирование и сдача в эксплуатацию систем обработки, передачи и хранения электронных платежных документов должны осуществляться по согласованию с Главным управлением безопасности и защиты информации Банка России и его подразделениями в территориальных учреждениях Банка России.
1.5. Безопасность технологии обработки электронных платежных документов обеспечивается созданием системы, включающей в себя комплекс технологических, организационных, технических и программных мер и средств защиты на этапах подготовки, обработки, передачи и хранения электронных платежных документов.
1.6. Привлекаемые для разработки и установки средств и систем защиты электронных платежных документов на договорной основе специализированные организации должны иметь государственные лицензии от Гостехкомиссии России, ФАПСИ и других государственных органов в соответствии с российским законодательством.
Используемые при этом средства защиты информации от несанкционированного доступа (НСД) должны иметь сертификат Гостехкомиссии России.
Криптографическая защиты электронных платежных документов обеспечивается на основе использования средств криптографической защиты информации (СКЗИ), имеющих сертификат или временное разрешение ФАПСИ.
1.7. Внутренний порядок применения средств защиты от НСД и обеспечения криптографической защиты в системах электронных платежей Банка России определяется руководством Банка России.
1.8. Выполнение правил пользования и инструкций по эксплуатации криптографических средств и систем (а также их ключевых систем), рекомендованных Банком России по согласованию с ФАПСИ для защиты электронных платежных документов, является обязательным для обеспечения защиты электронных платежных документов.
1.9. Обязанности по администрированию программно - технических средств защиты электронных платежных документов для каждого технологического участка прохождения этих документов возлагаются приказом по участнику электронных платежей на сотрудников (сотрудника), задействованных на данном технологическом участке (администраторов информационной безопасности), с внесением соответствующих изменений в их должностные обязанности.
Администратор информационной безопасности действует на основании утвержденного руководителем участника электронных платежей "Положения об администраторе информационной безопасности", разработанного на основе соответствующего Примерного положения (Приложения 1, 2) и согласованного с руководством соответствующих подразделений информатизации, а также безопасности и защиты информации системы Банка России.
Администратору информационной безопасности устанавливается денежная надбавка в размере до 20 процентов его должностного оклада.
1.10. В случае прекращения по тем или иным причинам полномочий сотрудника Банка России, имевшего доступ к системе электронных платежей, необходимо немедленное удаление из системы действующих значений паролей, а также ключей шифрования, ключей электронных цифровых подписей (ЭЦП) и кодов аутентификации, бывших в распоряжении данного сотрудника в соответствии с его прежними должностными обязанностями.
1.11. Объекты электронной вычислительной техники (ЭВТ), на которых осуществляется обработка электронных платежных документов, являются объектами ЭВТ не выше 4 категории. Требования по защите от утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) к ним не предъявляются.
1.12. Требования данного документа распространяются на все виды программного (прикладного и системного), аппаратного и информационного обеспечения автоматизированных систем обработки электронных платежных документов.
2. Обеспечение информационной безопасности
при внедрении и эксплуатации систем обработки
электронных платежей
2.1. Технологические меры защиты:
- процесс обмена электронными платежными документами (в том числе на магнитных носителях) между участниками электронных платежей и кредитными организациями (клиентами) должен быть регламентирован и осуществляется в соответствии с заключенными договорами;
- основанием для ввода электронного платежного документа (не подтверждаемого первичным документом на бумажном носителе) в систему электронных платежей является наличие под документом действующей и зарегистрированной (в соответствии с условиями договора) ЭЦП кредитной организации (клиента) - отправителя документа и положительный результат ее проверки;
- все поступающие от кредитных организаций электронные платежные документы с ЭЦП помещаются в архив и хранятся не менее пяти лет;
- поступающие от кредитных организаций (клиентов) магнитные носители с электронными платежными документами до ввода в систему электронных платежей подвергаются антивирусному контролю на выделенной для этого автономной персональной электронно - вычислительной машине (ПЭВМ);
- ввод платежных документов в систему электронных платежей должен сопровождаться формированием эталонной базы, содержащей входящие электронные платежные документы с ЭЦП, для осуществления контроля выходных документов;
- при прохождении электронных платежных документов по системе Банка России должны быть реализованы следующие технологические меры защиты:
1) каждый файл выходных электронных платежных документов должен быть снабжен кодом аутентификации (КА) подразделения обработки электронных платежных документов (КА обработки). Код аутентификации представляет собой защитный код, проставляемый при создании файла электронных платежных документов в целях осуществления контроля его целостности и авторизации на последующих технологических участках обработки. Порядок выработки и применения КА определяется Главным управлением безопасности и защиты информации Банка России по согласованию с Департаментом информатизации Банка России;
2) должен быть реализован полный пореквизитный контроль на совпадение выходных электронных платежных документов с документами, содержащимися в эталонной базе входящих электронных платежных документов, и их сверка с реквизитами соответствующих документов, отраженных по балансу. Указанный контроль выходных электронных платежных документов должен быть организован как параллельный независимый процесс по отношению к процессу обработки электронных платежных документов и осуществляться на автоматизированном рабочем месте контроля;
3) при положительном результате пореквизитного контроля всех документов из файла выходных электронных платежных документов, предназначенных для передачи другим участникам электронных платежей, контролер должен снабдить (не снимая КА обработки) данный файл своим кодом аутентификации (КА контроля), после чего полученный файл с двумя КА должен быть зашифрован и передан в канал связи;
4) при получении одним участником электронных платежей файла электронных платежных документов, отправленных другим участником электронных платежей, должно быть проверено наличие и правильность двух КА - обработки и контроля;
5) ввод (набор) каждого платежного документа с бумажного носителя в систему обработки электронных платежей Банка России должен осуществляться независимо двумя различными сотрудниками с последующей автоматизированной сверкой результатов ввода на совпадение. При совпадении полученный электронный платежный документ передается ответственному исполнителю для дальнейшей обработки. При несовпадении документ должен быть направлен на повторный ввод в присутствии администратора информационной безопасности.
2.2. Организационные меры защиты:
- технологические процессы подготовки, ввода и обработки электронных платежных документов, а также установки, настройки, эксплуатации и восстановления средств обработки должны быть регламентированы и обеспечены инструктивными и методическими материалами, включая акты готовности региона к совершению межрегиональных и внутрирегиональных электронных платежей;
- подготовка, ввод и обработка электронных платежных документов должны проводиться типовыми автоматизированными вычислительными системами или на специализированных типовых автоматизированных рабочих местах (АРМ), программное обеспечение которых должно выполнять только функции, определенные данным технологическим процессом. Состав и назначение программного обеспечения (ПО) АРМ должны быть регламентированы и зафиксированы в Типовом паспорте программного обеспечения автоматизированного рабочего места (Приложение 3);
- порядок внесения санкционированных изменений в действующее ПО обработки электронных платежей, включая контроль за действиями программистов в процессе модификации ПО, должен быть регламентирован, эталонные копии ПО должны быть учтены, доступ к ним должен быть регламентирован;
- централизованно распространяемое в системе Банка России программное и информационное обеспечение систем электронных платежей должно передаваться по каналам связи (записываться на магнитные носители для рассылки) с использованием механизмов контроля целостности и достоверности, согласованных с Главным управлением безопасности и защиты информации Банка России;
- порядок действий администраторов информационной безопасности и персонала, занятых в системах обработки и передачи электронных платежных документов, должен быть регламентирован;
- должен быть разработан комплекс мер, обеспечивающих управление парольной защитой автоматизированных рабочих мест ввода и обработки электронных платежных документов. Порядок формирования и смены паролей должен быть регламентирован специальным документом, разработанным участником электронных платежей в соответствии с Требованиями к организации парольной защиты (Приложение 4);
- технические средства и персонал, задействованные в подготовке, вводе и обработке электронных платежных документов, должны быть административно разделены и размещаться в разных помещениях с техническими средствами и персоналом, задействованными в разработке и отладке программного обеспечения данного технологического процесса;
- контур защиты (комплекс мер и средств) передачи и контур защиты внутрибанковской обработки электронных платежных документов должны быть независимы друг от друга.
2.3. Программные и программно - аппаратные средства защиты электронных платежных документов должны обеспечивать:
- функционирование системы парольной защиты электронных вычислительных машин (ЭВМ) и локальных вычислительных сетей (ЛВС);
- установление и изменение полномочий, а также контроль доступа пользователей ЭВМ и/или ЛВС к электронным платежным документам и информации о них в части, относящейся к выполнению ими своих служебных обязанностей в случае, если имеет место наличие нескольких пользователей с разными полномочиями;
- контроль целостности программного и информационного обеспечения автоматизированных систем обработки электронных платежных документов;
- формирование уникальных идентификаторов электронных платежных документов и идентификаторов лиц, непосредственно участвовавших в их вводе, обработке и контроле (виды идентификаторов определяются особенностями конкретной технологии);
- регистрацию действий пользователя в специальном электронном журнале, доступном только администратору информационной безопасности. Копия журнала должна храниться не менее пяти лет.
Перечень необходимых параметров регистрации должен включать в себя:
- время входа (выхода) в систему и идентификатор пользователя;
- факт обращения к ПО обработки электронных платежных документов;
- факты попыток НСД;
- информацию о сбоях и других нештатных ситуациях.
3. Обеспечение информационной безопасности
при передаче электронных платежных документов
3.1. Организационные меры защиты:
- технологический процесс передачи электронных платежных документов по телекоммуникационным каналам и линиям связи должен быть регламентирован и обеспечен инструктивными и методическими материалами;
- обмен электронными платежными документами должен проводиться с использованием специализированных автоматизированных рабочих мест, программное обеспечение которых должно выполнять только функции, регламентированные технологическим процессом;
- в подразделениях, обеспечивающих обмен электронными платежными документами, должны быть назначены исполнители, ответственные за выполнение требований по информационной безопасности - администраторы информационной безопасности;
- контур защиты передачи и контур защиты внутрибанковской обработки электронных платежных документов должны быть независимы друг от друга.
3.2. Программные и программно - аппаратные средства защиты автоматизированного рабочего места по передаче электронных платежных документов должны обеспечивать:
- парольный вход;
- проверку целостности программного и информационного обеспечения;
- идентификацию абонентов телекоммуникационной сети при входе в автоматизированную систему;
- криптографическую защиту передаваемой информации;
- регистрацию действий оператора автоматизированного рабочего места и абонентов телекоммуникационной сети в специальном электронном журнале, доступном только администратору информационной безопасности данного технологического участка. Копия журнала должна храниться в течение трех лет.
Перечень необходимых параметров регистрации должен включать в себя:
- время входа (выхода) в систему и идентификатор пользователя;
- факт обращения к ПО передачи электронных платежных документов;
- факты попыток НСД;
- информацию о сбоях и других нештатных ситуациях.
4. Обеспечение защиты помещений и технических средств
4.1. Порядок доступа в помещения, в которых размещаются технические средства обработки и передачи электронных платежных документов, должен быть регламентирован.
4.2. Для обеспечения защиты указанных помещений должны быть реализованы следующие меры:
- на входные двери должны быть установлены замки, гарантирующие надежную защиту помещений в нерабочее время, а для контроля за входом в помещения должны быть установлены автоматические замки (электронные, кодовые и т.п.) или другие средства современных систем контроля и регистрации доступа;
- помещения должны быть оборудованы сигнализацией и по окончании рабочего дня опечатываться и сдаваться под охрану.
5. Обеспечение информационной безопасности
при использовании криптографических средств защиты
5.1. Криптографические средства защиты:
- должны допускать встраивание в любую технологическую схему обработки электронных платежных документов, обеспечивать взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов;
- не должны требовать дополнительной защиты от утечки по побочным каналам электромагнитного излучения;
- должны быть реализованы на основе алгоритмов, соответствующих стандартам Российской Федерации и Банка России;
- должны поставляться разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней, а также обоснование необходимого организационно - штатного обеспечения.
5.1.1. Ключи ЭЦП должны изготавливаться каждым участником системы электронных платежей самостоятельно. В случае изготовления ключей ЭЦП для кредитных организаций в учреждении Банка России согласие кредитной организации считать данную ЭЦП своей личной должно быть зафиксировано в договоре. Процедура изготовления ключей ЭЦП должна быть регламентирована.
5.1.2. Для управления ключами СКЗИ систем электронных платежей Банка России в Главном управлении безопасности и защиты информации Банка России, ГЦИ Банка России и МЦИ при Банке России, а также в каждом Управлении (отделе) безопасности и защиты информации территориального учреждения Банка России должны быть созданы Центры управления ключевыми системами (ЦУКС).
5.2. Средства ЭВТ, вырабатывающие криптографические ключи:
- должны быть автономными, и их необходимо размещать в отдельном, выделенном только для этой цели помещении, оборудованном в соответствии с "Методическими рекомендациями по обеспечению безопасности конфиденциальной банковской информации (несекретной) при проектировании объектов и помещений для размещения СКЗБИ" (утверждены Начальником ГУ безопасности и защиты информации Банка России и Начальником ГУБС ФАПСИ 10 и 8 июня 1994 г. соответственно);
- должны быть подвергнуты спецпроверке на закладные устройства.
5.2.1. Создание ключевой информации должно проводиться на специализированных АРМ, программное обеспечение которых должно выполнять только функции, регламентированные технологическим процессом формирования криптографических ключей.
5.2.2. Дискеты (и другие носители) с ключевой информацией должны быть маркированы и учтены в Управлении (отделе) безопасности и защиты информации территориального учреждения Банка России (ЦУКС) как в электронном, так и бумажном журналах. В маркере на каждой дискете (другом носителе) указываются: наименование записанных ключей, уникальный номер носителя, срок действия ключей. В учетном журнале (и в электронном, и в бумажном вариантах) указываются: фамилия, имя, отчество сотрудника, сформировавшего ключевую дискету (другой носитель), дата формирования, вид содержащейся на дискете ключевой информации, срок действия ключей, перечень лиц, допущенных к работе с данным носителем, дата и причина вывода носителя из действия.
5.2.3. Порядок обращения с дискетами или другими носителями ключевой информации определяется в соответствии с инструкциями и правилами по эксплуатации применяемой системы криптографической защиты.
5.3. ЭВМ, вырабатывающая ключевую информацию, должна быть оснащена программно - аппаратными средствами защиты, обеспечивающими следующие функции:
- парольный вход в электронную вычислительную машину;
- проверку целостности аппаратного, программного и информационного обеспечения ЭВМ;
- автоматическую регистрацию действий сотрудника, вырабатывающего ключевую информацию на ЭВМ, в электронном журнале. Копия журнала должна храниться не менее 5 лет.
Перечень необходимых параметров регистрации должен включать в себя:
- время входа (выхода) в систему и идентификатор пользователя;
- факт обращения к ПО обработки ключевой информации;
- факты попыток НСД;
- информацию о сбоях и других нештатных ситуациях.
5.4. Требования, изложенные в данном разделе, могут быть дополнены требованиями инструкции по эксплуатации конкретной применяемой системы криптографической защиты.
6. Контроль за обеспечением безопасности технологии
обработки электронных платежных документов
6.1. Контроль за обеспечением безопасности технологии обработки электронных платежных документов является неотъемлемой составной частью общего комплекса мер безопасности в системе Банка России.
6.2. Контроль за обеспечением безопасности технологии обработки электронных платежных документов должен осуществляться в рамках всего комплекса технологических, организационных, технических и программных мер и средств защиты на этапах подготовки, обработки передачи и хранения электронных платежных документов.
6.3. Контроль за обеспечением безопасности технологии обработки электронных платежных документов в системе Банка России осуществляется Главным управлением безопасности и защиты информации и его территориальными подразделениями безопасности и защиты информации на местах.
Председатель
Центрального банка
Российской Федерации
С.К.ДУБИНИН
Приложение 1
ПРИМЕРНОЕ ПОЛОЖЕНИЕ
ОБ АДМИНИСТРАТОРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1. Общие положения
1.1. Настоящее Положение определяет задачи, функции, обязанности, права и ответственность администратора информационной безопасности участника электронных платежей (кроме расчетно - кассовых центров).
1.2. Примерное Положение предназначено для разработки Положений об администраторе информационной безопасности участников электронных платежей с учетом конкретных данных об обрабатываемой, передаваемой и хранимой в автоматизированной системе информации, о полномочиях пользователей, технологии обработки информации и применяемых средствах и системах защиты информации.
1.3. Администратор информационной безопасности назначается приказом руководителя участника электронных платежей по согласованному представлению руководителя подразделения, эксплуатирующего автоматизированную систему, и руководителя подразделения безопасности и защиты информации.
1.4. Администратор информационной безопасности в пределах своих функциональных обязанностей обеспечивает безопасность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники в автоматизированных системах Банка России.
1.5. Администратор информационной безопасности непосредственно подчиняется начальнику подразделения, в штате которого он состоит.
1.6. Администратор информационной безопасности руководствуется положениями федеральных законов, нормативных и иных актов Банка России, Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ).
1.7. Методическое руководство деятельностью администратора информационной безопасности осуществляется Главным управлением безопасности и защиты информации Банка России или Управлением (отделом) безопасности и защиты информации территориального учреждения Банка России.
2. Основные задачи и функции администратора
информационной безопасности
2.1. Основными задачами администратора информационной безопасности являются:
- организация эксплуатации технических и программных средств защиты информации;
- текущий контроль работы средств и систем защиты информации;
- контроль за работой пользователей автоматизированных систем, выявление и регистрация попыток НСД к автоматизированным системам и защищаемым информационным ресурсам.
2.2. Основными функциями администратора информационной безопасности являются:
- обеспечение функционирования средств и систем защиты информации в пределах возложенных на него обязанностей;
- обучение персонала и пользователей вычислительной техники правилам работы со средствами защиты информации;
- поддержание функционирования ключевых систем, применяемых средств и систем криптографической защиты информации;
- формирование и распределение реквизитов полномочий пользователей, определяемых эксплуатационной документацией на средства и системы защиты информации;
- организация антивирусного контроля магнитных носителей информации, поступающих из других подразделений и сторонних организаций;
- участие по согласованию с Главным управлением безопасности и защиты информации Банка России или Управлением (отделом) безопасности и защиты информации территориального учреждения Банка России в проведении служебных расследований фактов нарушения или угрозы нарушения безопасности защищаемой информации;
- организация учета и хранения магнитных носителей информации с грифом "Для служебного пользования", используемых в технологии обработки защищаемой информации;
- текущий контроль технологического процесса обработки защищаемой информации.
3. Обязанности администратора информационной безопасности
3.1. Обеспечивать функционирование и поддерживать работоспособность средств и систем защиты информации в пределах возложенных на него обязанностей.
3.2. Докладывать непосредственному руководителю о выявленных нарушениях и несанкционированных действиях пользователей и персонала, принимать необходимые меры по устранению нарушений.
3.3. Совместно со специалистами подразделения технической защиты информации принимать меры по восстановлению работоспособности средств и систем защиты информации.
3.4. Оказывать содействие сотрудникам подразделения безопасности и защиты информации в проведении работ по анализу защищенности автоматизированных систем.
3.5. Проводить инструктаж обслуживающего персонала и пользователей средств вычислительной техники по правилам работы с используемыми средствами и системами защиты информации.
4. Права администратора информационной безопасности
4.1. Обращаться к руководителю участника электронных платежей с требованием о прекращении обработки информации в случаях нарушения установленной технологии обработки защищаемой информации или нарушения функционирования средств и систем защиты информации.
4.2. Обращаться в ГУ безопасности и защиты информации Банка России или Управление (отдел) безопасности и защиты информации территориального учреждения Банка России с просьбой об оказании технической и методической помощи в работе по обеспечению технической защиты информации.
5. Ответственность администратора информационной
безопасности
5.1. На администратора информационной безопасности возлагается персональная ответственность за программно - технические и криптографические средства защиты информации, средства вычислительной техники, информационно - вычислительные комплексы, сети и автоматизированные системы обработки банковской информации, закрепленные за ним приказом руководителя участника электронных платежей и за качество проводимых им работ по обеспечению защиты информации в соответствии с функциональными обязанностями, определенными Положением об администраторе информационной безопасности конкретного участника электронных платежей.
5.3. Администратор информационной безопасности несет ответственность по действующему законодательству за разглашение сведений, составляющих государственную тайну, и сведений ограниченного распространения, ставших известными ему в соответствии с родом работы.
Начальник ГУ безопасности
и защиты информации
Банка России
А.И.ЛАХТИКОВ
Приложение 2
ПРИМЕРНОЕ ПОЛОЖЕНИЕ
ОБ АДМИНИСТРАТОРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
РАСЧЕТНО - КАССОВОГО ЦЕНТРА
1. Общие положения
1.1. Настоящее Положение определяет задачи, функции, обязанности, права и ответственность администратора информационной безопасности расчетно - кассового центра (РКЦ) территориального учреждения Банка России.
1.2. Примерное Положение предназначено для разработки Положений об администраторе информационной безопасности в РКЦ системы Банка России с учетом конкретных данных об обрабатываемой, передаваемой и хранимой в автоматизированной системе информации, о полномочиях пользователей, технологии обработки информации и применяемых средствах и системах защиты информации.
1.3Положение утверждается руководителем соответствующего территориального учреждения Банка России.
1.4. В РКЦ территориального учреждения Банка России, занимающихся обработкой электронных платежных документов, администраторы информационной безопасности РКЦ назначаются приказом начальника РКЦ.
1.5. При назначении администратора информационной безопасности в РКЦ территориального учреждения Банка России его кандидатура должна быть согласована с Управлением (отделом) безопасности и защиты информации территориального учреждения Банка России.
1.6. Администратор информационной безопасности РКЦ подчиняется непосредственно начальнику подразделения, в штате которого он состоит.
1.7. Администратор информационной безопасности РКЦ руководствуется положениями федеральных законов, нормативных и иных актов Банка России, Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ).
1.8. Администратор информационной безопасности РКЦ обеспечивает решение вопросов информационной безопасности дополнительно к своим непосредственным обязанностям, если это не входит в его прямые служебные обязанности.
1.9. Методическое руководство работой администратора информационной безопасности РКЦ в территориальном учреждении Банка России осуществляется Управлением (отделом) безопасности и защиты информации территориального учреждения Банка России.
2. Основные задачи и функции администратора
информационной безопасности РКЦ
2.1. Основными задачами администратора информационной безопасности РКЦ являются:
- обеспечение функционирования установленных средств и систем защиты информации;
- контроль за соблюдением требований инструкций при эксплуатации систем защиты информации в системах обработки электронных платежных документов;
- выявление и регистрация попыток несанкционированного доступа в систему обработки электронных платежных документов;
- проведение работы по выявлению возможных угроз при обработке электронных платежных документов с учетом специфики конкретного места обработки и применяемых средств защиты;
- подготовка предложений для Управления (отдела) безопасности и защиты информации территориального учреждения Банка России по совершенствованию систем защиты информации и отдельных ее компонентов.
2.2. Администратор информационной безопасности РКЦ выполняет следующие функции:
- проводит контроль технологического процесса обработки электронных платежных документов на соответствие технологическим инструкциям, с целью выявления возможных угроз при обработке электронных платежных документов;
- проводит контроль целостности эксплуатируемого на средствах вычислительной техники программного обеспечения, с целью выявления несанкционированных изменений в нем;
- поддерживает функционирование ключевой системы, применяемых средств криптографической защиты информации;
- формирует и распределяет реквизиты полномочий пользователей, определяемых эксплуатационной документацией на средства и системы защиты информации;
- проводит обучение персонала и пользователей вычислительной техники правилам работы со средствами защиты при обработке электронных платежных документов;
- контролирует работоспособность эксплуатируемых программных и технических средств защиты электронных платежей;
- участвует во внедрении технических и программных средств защиты информации на действующих системах и средствах вычислительной техники, обрабатывающих электронные платежные документы;
- осуществляет контроль документооборота по платежным документам и документам, содержащим сведения ограниченного распространения;
- контролирует соблюдение требований внутриобъектового режима.
3. Обязанности администратора информационной
безопасности РКЦ
Администратор информационной безопасности РКЦ обязан:
- выявлять попытки несанкционированного доступа в систему обработки электронных платежных документов;
- немедленно докладывать непосредственному руководителю и начальнику подразделения безопасности и защиты информации о выявленных нарушениях и несанкционированных действиях пользователей и персонала, а также принимать необходимые меры по устранению нарушений;
- оказывать содействие сотрудникам подразделений безопасности и защиты информации Банка России в проведении работ по анализу защищенности систем обработки электронных платежных документов;
- проводить занятия с сотрудниками, обрабатывающими на средствах вычислительной техники электронные платежные документы, с целью повышения их профессиональной подготовки в области защиты информации.
4. Права администратора информационной
безопасности РКЦ
Администратор информационной безопасности РКЦ имеет право:
- требовать от пользователей банковских автоматизированных систем, находящихся в его ведении, безусловного соблюдения установленной технологии обработки платежных документов и выполнения инструкций по обеспечению безопасности и защиты информации при обработке платежных документов;
- обращаться к руководителю РКЦ с требованием о прекращении обработки электронных платежных документов при несоблюдении установленной технологии обработки и невыполнении требований по безопасности;
- обращаться в Управление (отдел) безопасности и защиты информации территориального учреждения Банка России для оказания необходимой технической и методологической помощи в своей работе.
5. Ответственность администратора информационной
безопасности РКЦ
5.1. На администратора информационной безопасности РКЦ возлагается персональная ответственность за качество проводимых им работ по обеспечению технической защиты информации в соответствии с функциональными обязанностями, определенными Положением об администраторе информационной безопасности конкретного РКЦ.
5.2. Администратор информационной безопасности РКЦ несет ответственность по действующему законодательству за разглашение сведений, составляющих государственную тайну, и сведений ограниченного распространения, ставших известными ему по роду работы.
Начальник ГУ безопасности
и защиты информации
Банка России
А.И.ЛАХТИКОВ
Приложение 3
ТРЕБОВАНИЯ
К ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ
АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ
УЧАСТНИКА ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ
1. Участником электронных платежей должна быть организована централизованная служба (группа в составе подразделения безопасности и защиты информации) парольной защиты. Задачей данной службы является организационно - техническое обеспечение процессов генерации, смены и удаления паролей во всех автоматизированных системах и ЭВМ участника электронных платежей, разработка всех необходимых инструкций и контроль за действиями персонала по работе с паролями.
2. Личные пароли должны выбираться пользователями автоматизированной системы самостоятельно, но с учетом следующих требований:
- длина пароля должна быть не менее 8 символов;
- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER, SYSOP и т.д.);
- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;
- личный пароль пользователь не имеет права сообщать никому.
Владельцы паролей должны быть ознакомлены под расписку с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.
3. В случае, если формирование личных паролей пользователей осуществляется централизованной службой парольной защиты, ответственность за правильность их формирования и распределение возлагается на указанную службу.
4. Резервная копия пароля каждого сотрудника в отдельном опечатанном конверте должна храниться в сейфе руководителя подразделения. Для опечатывания конвертов с паролями должны применяться либо личные печати владельцев (при наличии), либо печать уполномоченного представителя Управления (отдела) безопасности и защиты информации территориального учреждения Банка России.
5. Полная плановая смена паролей должна проводиться регулярно, не реже одного раза в месяц.
6. Внеплановая смена (удаление) личного пароля любого пользователя автоматизированной системы в случае прекращения его полномочий (увольнение либо переход на другую работу внутри участника электронных платежей) должна производиться немедленно после окончания последнего сеанса работы данного пользователя с системой.
7. Внеплановая полная смена паролей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри участника электронных платежей и другие обстоятельства) администраторов информационной безопасности и других сотрудников, которым по роду работы были предоставлены либо полномочия по управлению автоматизированной системой в целом, либо полномочия по управлению подсистемой защиты информации данной автоматизированной системы, а значит, кроме личного пароля, им могут быть известны пароли других пользователей системы.
8. В случае компрометации личного пароля хотя бы одного пользователя автоматизированной системы должны быть немедленно предприняты меры в соответствии с п. 6 или п. 7 настоящих Требований в зависимости от полномочий владельца скомпрометированного пароля.
Начальник ГУ безопасности
и защиты информации
Банка России
А.И.ЛАХТИКОВ
ЦЕНТРАЛЬНЫЙ БАНК РОССИИ
12 марта 1998 г. N 20-П
ВРЕМЕННОЕ ПОЛОЖЕНИЕ
О ПРАВИЛАХ ОБМЕНА ЭЛЕКТРОННЫМИ ДОКУМЕНТАМИ МЕЖДУ
БАНКОМ РОССИИ, КРЕДИТНЫМИ ОРГАНИЗАЦИЯМИ
(ФИЛИАЛАМИ)
И ДРУГИМИ КЛИЕНТАМИ БАНКА РОССИИ ПРИ ОСУЩЕСТВЛЕНИИ
РАСЧЕТОВ ЧЕРЕЗ РАСЧЕТНУЮ СЕТЬ БАНКА РОССИИ
1. Общие положения
1.1. Настоящее Положение устанавливает правила обмена и особенности операционной работы с электронными документами (далее - ЭД), используемыми при осуществлении безналичных расчетов через расчетную сеть Банка России между учреждениями Банка России и кредитными организациями, филиалами кредитных организаций и другими клиентами Банка России.
1.2. Применительно к данному Положению используется следующая терминология:
Учреждение Банка России (УБР) - подразделение расчетной сети Банка России, имеющее самостоятельный баланс, Банковский Идентификационный Код, осуществляющее расчетное и/или кассовое обслуживание кредитных организаций и/или клиентов Банка России.
Электронная цифровая подпись (ЭЦП) - вид аналога собственноручной подписи, являющийся средством защиты информации, обеспечивающим возможность контроля целостности и подтверждения подлинности электронных документов. ЭЦП позволяет подтвердить ее принадлежность зарегистрированному владельцу.
Владелец ЭЦП - учреждение Банка России, кредитная организация (филиал) или другой клиент Банка России, ЭЦП которого зарегистрирована в порядке, установленном договором между Банком России и его клиентом.
Электронный платежный документ (ЭПД) - документ, являющийся основанием для совершения операций по счетам кредитных организаций (филиалов) и других клиентов Банка России, открытым в учреждениях Банка России, подписанный ЭЦП и имеющий равную юридическую силу с платежными документами на бумажных носителях, подписанными собственноручными подписями уполномоченных лиц и заверенными оттиском печати.
Электронный служебно - информационный документ (ЭСИД) - документ, подписанный (защищенный) ЭЦП и обеспечивающий обмен информацией при совершении расчетов по счетам, открытым в учреждениях Банка России (запросы, отчеты, выписки из счетов, документы, связанные с предоставлением кредитов Банка России, и т.п.).
Пакет электронных документов - один или более ЭПД и/или ЭСИД, подписанных одной ЭЦП, при этом каждый ЭПД и / или ЭСИД в составе пакета не подписывается ЭЦП. Банк России вправе устанавливать ограничения на включение в пакет ЭПД в зависимости от суммы и назначения платежа.
Подлинность ЭД (пакета ЭД) - положительный результат проверки ЭЦП зарегистрированного владельца, позволяющий установить факт неизменности содержания ЭД (пакета ЭД), включая все его реквизиты.
Подтверждение подлинности ЭД - процедура проверки правильности ЭЦП, которой подписан ЭД или пакет ЭД, установленная в договоре между Банком России и его клиентом. Подтверждение подлинности пакета ЭД удостоверяет подлинность каждого из ЭД, входящих в пакет.
1.3. В настоящем Положении в качестве ЭД рассматриваются электронные платежные и служебно - информационные документы.
1.4. Действие настоящего Положения распространяется на обмен электронными документами и пакетами электронных документов.
1.5. Правила обмена ЭД между учреждениями Банка России при совершении расчетов через расчетную сеть Банка России не являются предметом регулирования настоящего Положения.
1.6. Обмен документами, подписанными аналогами собственноручной подписи, в том числе - ЭЦП, в котором Банк России не принимает участия, регламентируется иными нормативными актами Банка России.
1.7. Информация в электронном виде, не подписанная ЭЦП, представленная кредитной организацией (филиалом) или другим клиентом Банка России для осуществления расчетов, к исполнению в Банке России не принимается.
1.8. Участниками обмена ЭД (далее - участники) с Банком России (учреждениями Банка России) могут быть:
- кредитные организации, филиалы кредитных организаций (далее - КО);
- другие клиенты Банка России, имеющие закрепленное в договоре с Банком России или учреждением Банка России (далее - Договор) право использовать ЭД при проведении расчетов по своим счетам через расчетную сеть Банка России.
1.9. Настоящее Положение не изменяет установленный Банком России порядок открытия и ведения счетов КО и других клиентов Банка России в обслуживающих учреждениях Банка России.
2. Порядок работы с ЭД
2.1. ЭЦП удостоверяет факт составления и подписания ЭД ее зарегистрированным владельцем.
2.2. При работе с ЭД должна обеспечиваться возможность их воспроизведения на бумажном носителе с сохранением всех реквизитов в соответствии с нормативными актами Банка России.
2.3. Ответственность за содержание реквизитов ЭД несет владелец ЭЦП, подписавший данный ЭД, если иное не предусмотрено Договором.
2.4. ЭД передается получателю способом, предусмотренным в Договоре и обеспечивающим сохранение всех его реквизитов.
2.5. ЭПД, предъявленный для исполнения в учреждение Банка России, должен содержать реквизиты, в соответствии с которыми совершаются операции по счетам, при этом допускается обмен ЭПД двух видов:
- полноформатными ЭПД, содержащими все реквизиты платежного документа, включая текстовые реквизиты;
- ЭПД сокращенного формата, содержащими реквизиты, обязательные для совершения операций по счетам в учреждении Банка России.
Перечень обязательных реквизитов ЭПД (сокращенного и полноформатного) устанавливается нормативными актами Банка России.
2.6. Наряду с обязательными реквизитами ЭПД может содержать дополнительные реквизиты, состав которых определяется Договором.
2.7. Перевод средств между участниками через расчетную сеть Банка России с использованием полноформатных ЭПД не сопровождается обменом платежными документами, подписанными собственноручными подписями уполномоченных лиц и заверенными оттиском печати участника - отправителя.
2.8. Перевод средств между участниками через расчетную сеть Банка России с использованием ЭПД сокращенного формата должен сопровождаться обменом платежными документами, подписанными собственноручными подписями уполномоченных лиц и заверенными оттиском печати участника - отправителя.
2.9. Учреждения Банка России в случаях, изложенных в п. 2.8, оказывают содействие участникам в своевременном получении ими платежных документов, в порядке, установленном Банком России, по зачисленным на счета суммам.
2.10. Регламент исполнения ЭПД (непрерывный или дискретный в течение операционного дня) и способ проведения расчетов по ним (на валовой основе или путем взаимозачета) определяется Договором.
3. Деятельность Банка России по организации обмена
электронными документами
3.1. Взаимоотношения Банка России и участников в ходе обмена ЭД, используемыми при осуществлении расчетов, определяются Договором, устанавливающим условия и порядок выполнения Банком России следующих функций:
3.1.1. регистрация участников;
3.1.2. хранение эталонов программных средств, предназначенных для создания и проверки ЭЦП, а также эталонов документации на эти средства;
3.1.3. подготовка заключений по запросам участников и правомочных государственных органов о подлинности электронных документов и проведение процедур проверки правильности ЭЦП;
3.1.4. направление уведомлений участникам об изменении состава участников, а также средств создания и проверки правильности ЭЦП;
3.1.5. участие в урегулировании разногласий с участниками.
3.2. Договор, заключаемый Банком России с участником, должен содержать перечень средств, используемых для создания ЭЦП и процедур проверки ее правильности. Данный Договор должен также содержать обязательство участника и Банка России о признании юридической силы ЭД, используемых при обмене.
3.3. Право использовать ЭЦП участником возникает после выполнения условий, предусмотренных Договором.
3.4. Право участника использовать ЭЦП прекращается в случаях и в порядке, определяемых в Договоре.
4. Особенности операционной работы при составлении ЭД
участником - отправителем
4.1. Составление ЭПД может осуществляться КО - участником на основании платежных документов своих клиентов, а также по собственным операциям.
4.2. Ответственный исполнитель КО - участника принимает к исполнению платежные документы клиентов в соответствии с "Правилами ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации" и условиями договора между ними, на их основании составляет ЭПД от своего имени и несет ответственность за сохранение в них неизменными реквизитов платежных документов клиентов. КО - участник составляет также ЭПД по собственным платежам и направляет их в адрес обслуживающего УБР.
4.3. Другие клиенты Банка России - участники составляют ЭПД по собственным операциям и направляют их в адрес обслуживающего УБР.
4.4. Наряду с ЭПД участник - отправитель в ходе совершения расчетов может составлять и направлять в адрес обслуживающего УБР ЭСИД в соответствии с порядком, предусмотренным Договором.
4.5. Обмен ЭД между участниками и обслуживающими УБР осуществляется с применением средств защиты информации, принятых к использованию в Банке России.
4.6. Способ передачи и регламент приема ЭД в обслуживающем УБР (по каналам связи, на магнитном носителе и т.д.) определяются Договором. Указанным Договором может быть предусмотрена возможность направления электронных документов непосредственно в подразделение Банка России, осуществляющее информационно - вычислительное обслуживание УБР.
5. Порядок контроля ЭД, полученных от участников -
отправителей в обслуживающем УБР
5.1. ЭД (пакеты ЭД), полученные от участников - отправителей в обслуживающем УБР, проходят контроль в следующем порядке:
- проверка подлинности;
- логический контроль;
- проверка на возможность исполнения (на возможность оплаты - для ЭПД).
5.2. ЭД (пакеты ЭД) участников, подлинность которых не подтверждена, исключаются из дальнейшей обработки, при этом участнику - отправителю от имени обслуживающего УБР направляется ЭСИД, извещающий об отказе в приеме ЭД (пакета ЭД) к исполнению.
5.3. ЭД участников, подлинность которых подтверждена, подвергаются процедуре логического контроля, которая состоит в проверке правильности составления ЭД и в установлении соответствия реквизитов документа нормативно - справочной информации.
5.4. Логический контроль ЭД осуществляется в соответствии с требованиями правил Банка России по осуществлению безналичных расчетов и Договора.
5.5. При успешном завершении процедуры логического контроля ЭД, если иное не предусмотрено нормативными актами Банка России или Договором, участнику - отправителю от имени обслуживающего УБР направляется ЭСИД, подтверждающий факт приема документа к исполнению и содержащий следующие обязательные реквизиты:
- ссылку на принятый ЭД, позволяющую его однозначно идентифицировать;
- время приема ЭД к исполнению.
5.6. При обнаружении ошибок при проведении логического контроля реквизитов ЭД участнику - отправителю от имени обслуживающего УБР направляется ЭСИД с извещением об отказе в приеме ЭД к исполнению и указанием ошибочных реквизитов ЭД.
5.7. При проверке пакета ЭД, все ЭД в котором успешно прошли логический контроль, обслуживающее УБР направляет в адрес участника ЭСИД по каждому ЭД из состава пакета с извещением о приеме их к исполнению, если иное не предусмотрено нормативными актами Банка России или Договором.
5.8. При проверке пакета ЭД, часть ЭД в котором не прошла логический контроль, обслуживающее УБР вправе, если иное не предусмотрено нормативными документами Банка России или Договором, провести логический контроль каждого ЭД в составе пакета и направить в адрес участника ЭСИД по каждому ЭД с извещением о приеме / неприеме указанного ЭД к дальнейшей обработке.
5.9. Проверка ЭПД на возможность оплаты совершается в момент проведения расчетной операции и заключается в проверке достаточности средств на счете участника - отправителя для исполнения данного ЭПД.
5.10. При недостаточности денежных средств на счете участника - отправителя обслуживающее УБР вправе, если иное не предусмотрено нормативными актами Банка России или Договором, отказать в исполнении ЭПД участника с исключением его из дальнейшей обработки и направлением от имени обслуживающего УБР в адрес участника по каждому ЭПД, не принятому к исполнению, ЭСИД с извещением об отказе в исполнении и указанием причин.
6. Порядок оформления ЭД от имени УБР, подтверждающих
исполнение ЭД участников
6.1. При успешном завершении всех этапов контроля ЭД участника исполняется в обслуживающем УБР в соответствии с порядком, предусмотренным Договором.
6.2. По итогам исполнения ЭД от имени УБР в адрес участника - отправителя направляется ЭСИД, подтверждающий факт исполнения принятого ЭД, если иное не предусмотрено нормативными актами Банка России или Договором.
6.3. В случае, если этапы контроля и исполнение ЭД проводятся немедленно по его получении, то обслуживающее УБР может направить участнику - отправителю один ЭСИД с извещением об успешном завершении всех этапов проверки и исполнении ЭД или о неуспешной проверке и отказе в исполнении ЭД с указанием причин отказа.
6.4. В адрес участника - получателя от имени УБР направляется исполненный ЭПД участника - отправителя, подписанный ЭЦП обслуживающего УБР, при этом УБР несет ответственность за неизменность реквизитов указанного ЭПД.
6.5. ЭСИД, предоставляемый от имени обслуживающего УБР участнику в качестве выписки из корреспондентского (лицевого) счета, должен содержать следующие обязательные реквизиты: реквизиты обслуживающего УБР, номер счета, перечень платежей, проведенных по дебету и кредиту счета, а также суммы входящего и исходящего остатков на счете. Указанный ЭСИД может быть включен в состав пакета и направлен участнику в регламенте, установленном Договором, но не позднее начала следующего операционного дня.
7. Порядок приема к исполнению ЭД участником -
получателем
7.1. Участник - получатель принимает ЭД, проводит проверку подлинности и логический контроль его реквизитов.
7.2. При обнаружении ошибок при проверке подлинности и/или проведении логического контроля реквизитов полученных ЭД участник - получатель обязан известить об этом обслуживающее УБР в порядке, предусмотренном в Договоре.
7.3. При успешном завершении проверки подлинности и логического контроля полученных ЭД участник - получатель принимает их к исполнению.
7.4. Совершение расчетных операций по счетам, открытым на балансе участника - получателя, проводится на основании следующих документов:
- полученных от имени УБР и исполненных им ЭПД;
- ЭСИД, предоставляемого от имени обслуживающего УБР в качестве выписки из корреспондентского (лицевого) счета;
- документов, подписанных собственноручными подписями уполномоченных лиц и заверенных оттиском печати участника - отправителя или обслуживающего его УБР (в случае, если операции по счетам участников в обслуживающих УБР осуществлялись на основании ЭПД сокращенного формата).
7.5. После зачисления КО - участником средств на счет своего клиента кредитная организация передает клиенту выписку из лицевого счета с приложениями в соответствии с "Правилами ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации" и договором между ними.
8. Порядок выверки участниками ЭПД
8.1. Выверка участниками ЭПД заключается в проверке соответствия реквизитов исполненных ЭПД реквизитам выписки из корреспондентского (лицевого) счета в обслуживающем УБР, составленной в электронном виде или на бумажном носителе.
8.2. При несовпадении реквизитов из исполненных ЭПД и выписки участник обязан направить в адрес обслуживающего УБР в соответствии с регламентом, предусмотренным Договором, документ, извещающий о неуспешной выверке и содержащий перечень не прошедших контроль реквизитов.
8.3. Получение обслуживающим УБР от участника документа, извещающего о неуспешной выверке, является основанием для активизации предусмотренных в Договоре процедур аудита и проверки системы защиты информации.
8.4. Отсутствие в обслуживающем УБР документа участника с извещением о неуспешной выверке в срок, установленный Договором, является подтверждением участником правильности проведения операций по его счету в обслуживающем УБР.
9. Порядок хранения и уничтожения ЭД
9.1. Лицо, составившее (получившее) ЭД, обязано обеспечить его хранение в течение сроков, установленных действующим законодательством.
9.2. Архивы ЭД, средств проверки правильности ЭЦП и иные архивы ведутся в учреждениях Банка России и у участников в разрезе всех входящих и исходящих ЭД в соответствии со сроками хранения, установленными для платежных документов на бумажных носителях. Правила ведения указанных архивов регулируются действующим законодательством, включая нормативные акты Банка России, и Договором.
9.3. ЭД и их копии, практическая необходимость в которых отпала и установленные сроки хранения которых истекли, могут быть уничтожены.
9.4. Уничтожение ЭД производится в отношении соответствующих программных данных с одновременным уничтожением копий этих ЭД на бумажных носителях.
9.5. Уничтожение копий ЭД, составленных на бумажном носителе, производится в установленном нормативными актами Банка России и/или Договором порядке.
10. Заключительные положения
10.1. Настоящее Положение подлежит опубликованию в "Вестнике Банка России" и вводится в действие поэтапно по мере готовности территориальных Главных Управлений Банка России на основании отдельных приказов Банка России.
Первый заместитель
Председателя Центрального банка
Российской Федерации
С.В.АЛЕКСАШЕНКО
