1. Утвердить прилагаемые Правила обеспечения безопасности рабочего места пользователя платежной системы Республиканского государственного предприятия на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан" и ввести их в действие со дня государственной регистрации в Министерстве юстиции Республики Казахстан.
2. Казахстанскому центру межбанковских расчетов Национального Банка Республики Казахстан (Абдулкаримов С.Х.):
1) совместно с Юридическим департаментом (Шарипов С.Б.) зарегистрировать настоящее постановление и Правила обеспечения безопасности рабочего места пользователя платежной системы Республиканского государственного предприятия на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан" в Министерстве юстиции Республики Казахстан;
2) в недельный срок со дня государственной регистрации в Министерстве юстиции Республики Казахстан довести настоящее постановление и утвержденные Правила до сведения всех пользователей платежной системы.
3. Департаменту информационных технологий (Поликарпов О.Ю.) в установленном порядке подготовить изменения в Инструкцию о порядке применения системы программно-криптографической защиты при обмене электронными платежами между подразделениями Национального Банка Республики Казахстан, а также банками Республики Казахстан, утвержденную постановлением Правления Национального Банка Республики Казахстан от 19 октября 1995 года N 177, и внести на рассмотрение Правления Национального Банка Республики Казахстан.
4. Контроль за исполнением настоящее постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Абдулину Н.К.
Председатель
Национального Банка
Утверждены
Постановлением Правления
Национального Банка
Республики Казахстан
от 7 октября 1999 года N 325
Правила
обеспечения безопасности
рабочего места пользователя
платежной системы Республиканского
Государственного предприятия на праве
хозяйственного ведения "Казахстанский
центр межбанковских расчетов
Национального Банка Республики Казахстан"
1. Используемые понятия
Пользователь платежной системы - банк или организация, осуществляющая отдельные виды банковских операций, заключившие договор с Казахстанским центром межбанковских расчетов Национального Банка Республики Казахстан о предоставлении услуг в системе.
Ключевая информация - криптографические ключи или другая информация, позволяющая осуществлять криптографические преобразования информации.
Центр распределения ключей - организация, осуществляющая определенные технологические процедуры при сборе, рассылке или генерации ключевой информации.
Электронный документ - документ (сообщение), составленный и переданный в электронном виде, в соответствии с форматами передачи информации в платежной системе.
Несанкционированный доступ - доступ к информации лицами, не имеющими право доступа к этой информации.
Программно-аппаратный комплекс защиты от несанкционированного доступа - система защиты компьютеров от использования посторонними лицами, контроля целостности установленного программного обеспечения и данных, а также для разграничения полномочий зарегистрированных пользователей по доступу к информационным ресурсам.
Паспорт с подробными данными по конфигурации - список, составленный на бумажном носителе и заверенный руководителем пользователя платежной системы.
Средства регистрации доступа - технические, программные или другие средства, позволяющие фиксировать информацию о доступе к объектам.
Служба безопасности платежной системы - структурное подразделение (отдел безопасности) Казахстанского центра межбанковских расчетов Национального Банка Республики Казахстан.
Офицер безопасности - ответственное лицо, обеспечивающее ведение, нормальное функционирование и контроль средств защиты информации от несанкционированного доступа.
Аттестация - официальное подтверждение наличия на объекте необходимых и достаточных условий, обеспечивающих выполнение установленных требований.
2. Размещение рабочего места
1. Рабочее место пользователя платежной системы размещается в специально выделенном помещении.
2. Место нахождения, специальное оборудование и охрана помещения, в котором организуется рабочее место пользователя платежной системы, должны исключать возможность неконтролируемого проникновения в это помещение лиц, не допущенных к рабочему месту пользователя платежной системы.
3. Помещение должно находиться в контролируемой зоне, иметь прочные входные двери, на которые устанавливаются надежные замки, иметь средства регистрации доступа. В помещении должны быть установлены средства защиты информации от утечки по акустическим, электромагнитным каналам. При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п., окна помещений необходимо оборудовать решетками. Двери и окна помещений должны быть оборудованы охранной сигнализацией.
3. Защита информации и программного
обеспечения от несанкционированного доступа
4. Программное обеспечение пользователя платежной системы должно быть установлено на специально выделенный для этих целей персональный компьютер, имеющий паспорт с подробными данными по конфигурации, аппаратным и программным средствам, установленными на нем.
5. Установка на персональный компьютер пользователя платежной системы программных средств, не предназначенных для решения задач по подготовке, обработке, передачи или ведения электронных документов в рамках платежной системы, не допускается.
6. Персональный компьютер пользователя платежной системы должен иметь программно-аппаратный комплекс защиты от несанкционированного доступа, включающий в себя средства опознавания пользователей, возможность ведения электронных журналов в течение срока хранения электронных документов с целью контроля событий, связанных с доступом к компьютеру и действиями пользователей.
7. Одному системному имени пользователя, по которому идентифицируется пользователь на входе в информационные системы, должно соответствовать одно физическое лицо.
8. Персональный компьютер пользователя платежной системы должен иметь средства обеспечения целостности программного обеспечения. В случае подозрения на нарушение целостности или получении предупреждений о нарушении целостности от этих средств необходимо немедленно сообщать в службу безопасности платежной системы.
9. Системный блок персонального компьютера пользователя платежной системы должен быть опечатан или опломбирован.
10. Порядок хранения и использования технических средств, паролей, кодовых слов или др. информации, обеспечивающих доступ к рабочему месту пользователя платежной системы, должен исключать возможность их несанкционированного использования.
11. Права администратора средств защиты от несанкционированного доступа необходимо предоставить только офицеру безопасности пользователя платежной системы, наделенному соответствующими полномочиями.
12. Технология передачи электронных документов (определенный порядок передачи электронных документов), подготовленных в информационной системе пользователя платежной системы, на рабочее место пользователя платежной системы должна исключать возможность несанкционированного доступа к этим электронным документам.
13. Порядок доступа к ресурсам (дисковое пространство, директории, сетевые ресурсы, базы данных и т.п.), выделенным для накопления в них информации для передачи в платежную систему, получения информации из платежной системы, хранения, архивирования либо другой обработки информации, должен исключать возможность доступа к этим ресурсам лиц, не допущенных к работе с ними.
4. Хранение и использование ключевой информации
14. Ключевая информация должна находиться на внешнем носителе (дискета, пластиковая карточка и т.п.).
15. Порядок хранения и использования внешних носителей с ключевой информацией должен исключать возможность несанкционированного доступа к ним.
16. Лица, имеющие доступ к ключевой информации несут персональную ответственность за сохранность и неразглашение информации в соответствии с действующим законодательством.
17. Для хранения внешних носителей ключевой информации в помещении должны устанавливаться сейфы, оборудованные надежными запирающими устройствами.
18. После окончания рабочего дня внешние носители ключевой информации должны находиться в сейфах.
19. В случаях увольнения сотрудников, имевших доступ к ключевой информации, дискредитации или попытки дискредитации ключевой информации необходимо произвести внеплановую смену ключевой информации. Новая ключевая информация вводится в действие со дня увольнения сотрудника, имеющего доступ к ключевой информации, или ранее.
20. Запрещается:
1) снимать несанкционированные копии с носителей ключевой информации;
2) знакомить с содержанием носителей ключевой информации или передавать носители ключевой информации лицам, к ним не допущенным;
3) выводить ключевую информацию на дисплей или принтер;
4) вставлять носитель с ключевой информацией в считывающее устройство в режимах, не предусмотренных функционированием системы;
5) записывать на внешний носитель ключевой информации постороннюю информацию.
5. Организация работ обслуживающего персонала
21. Приказом пользователя платежной системы определяются:
1) режим работы (время работы, время перерывов, порядок работы в вечернее время, порядок работы в выходные и праздничные дни и др.) с платежной системой;
2) список сотрудников, допущенных к рабочему месту пользователя платежной системы;
3) список сотрудников, имеющих доступ к внешним носителям с ключевой информацией;
4) список сотрудников, дающих санкции на прием или передачу электронных документов платежной системы;
5) список сотрудников, допускаемых к рабочему месту пользователя платежной системы в особых случаях;
6) список сотрудников, выполняющих функции офицера безопасности;
7) список сотрудников, осуществляющих архивирование и хранение всех электронных документов, переданных в платежную систему и полученных из платежной системы, а также устаревшей ключевой информации;
22. Внутренними правилами пользователя платежной системы определяются:
1) порядок и процедуры контроля доступа в помещение, в котором находится рабочее место пользователя платежной системы и ответственного за допуск;
2) порядок и процедуры архивирования, хранения всех электронных документов, переданных в платежную систему и полученных из платежной системы, а также порядок доступа к этим архивам;
3) порядок контроля целостности печатей или пломб на системном блоке персонального компьютера пользователя платежной системы.
23. Внутренними правилами и инструкциями пользователя платежной системы для сотрудников, допущенных к рабочему месту пользователя платежной системы, определяются:
1) конкретные функции и полномочия;
2) порядок санкционирования приема или передачи сообщений платежной системы;
3) порядок отпусков, увольнения и замещения, в случае временного отсутствия;
4) порядок фиксирования полной информации (дата, время, фамилия, должность, цель посещения, роспись) обо всех приходах, уходах, замещении, отсутствии, передачи дежурств, посещении помещения лицами, допуск которых осуществляется по особым условиям, и т.п.;
5) порядок хранения внешних носителей с ключевой информацией;
6) порядок хранения устаревшей ключевой информации в течение срока хранения электронных документов, подписанных или зашифрованных с использованием этой ключевой информации;
7) порядок фиксирования полной информации (дата, время, фамилия, должность, роспись) о факте и продолжительности использования ключевой информации;
8) порядок хранения и использования технических средств, паролей кодовых слов или другой информации, обеспечивающих доступ к рабочему месту пользователя платежной системы.
24. К работе в платежной системе допускаются сотрудники в совершенстве знающие правила обеспечения безопасности, владеющие практическими навыками работы на компьютере, обладающие высокими деловыми и моральными качествами.
25. С сотрудников, допущенных к работе в платежной системе, необходимо получить обязательство о неразглашении и нераспространении конфиденциальной информации, ключевой информации и паролей.
26. Лица, допущенные к работе в платежной системе, должны подразделяться на следующие категории:
1) администратор, осуществляющий непосредственно выработку собственных открытых и секретных ключей, регистрацию ключей в центре распределения ключей, использование собственных зарегистрированных в центре распределения ключей, а также обработку, санкционирование передачи сообщений в платежную систему и приема сообщений из платежной системы;
2) оператор (лицо, замещающее администратора), непосредственно осуществляющий подготовку, передачу и прием сообщений;
3) офицер безопасности, в функции которого входит регистрация сотрудников, допущенных к рабочему месту пользователя платежной системы, и контроль за выполнением требований безопасности.
27. При необходимости решения текущих и оперативных вопросов в части безопасности, администратор и офицер безопасности взаимодействуют со службой безопасности платежной системы.
6. Аттестация рабочего места
пользователя платежной системы
28. Рабочее место пользователя платежной системы должно проходить ежегодную аттестацию. Аттестация рабочего места пользователя платежной системы проходит повторно в следующих случаях:
1) перенос рабочего места пользователя на новое место;
2) внесение изменений в конфигурацию компьютера, установленного на рабочем месте пользователя;
3) внесение изменений в программное обеспечение;
4) внесение изменений в программно-аппаратный комплекс защиты от несанкционированного доступа;
5) внесение изменений в технологию передачи электронных документов, подготовленных в информационной системе пользователя платежной системы, на рабочее место пользователя платежной системы;
6) не утверждения Казахстанским центром межбанковских расчетов Национального Банка Республики Казахстан результатов аттестации.
29. Национальный Банк Республики Казахстан совместно с Казахстанским центром межбанковских расчетов Национального Банка Республики Казахстан определяет организацию - аттестационный центр, которая проводит аттестацию рабочего места пользователя платежной системы на наличие условий и требований, указанных в настоящих Правилах.
30. Приказом Национального Банка Республики Казахстан создается совместная комиссия, состоящая из представителей Национального Банка и Казахстанского центра межбанковских расчетов. Комиссия определяет условия выбора организации - аттестационного центра рабочего места пользователя платежной системы.
31. Организация - аттестационный центр проводит аттестацию рабочего места пользователя платежной системы и предоставляет в Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан отчет об аттестации.
32. В случае, когда в отчете об аттестации указано наличие всех необходимых и достаточных условий выполнения настоящих Правил, Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан, утверждает аттестацию и в 20-ти дневный срок со дня получения отчета от организации - аттестационного центра направляет пользователю платежной системы утвержденный отчет об аттестации.
Если в отчете об аттестации отсутствуют необходимые и достаточные условия выполнения настоящих Правил, Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан в 20-ти дневный срок со дня получения отчета от организации - аттестационного центра направляет пользователю платежной системы письмо о необходимости выполнения требований, предусмотренных настоящими Правилами.
33. Казахстанский центр межбанковских расчетов Национального Банка
Республики Казахстан вправе применить следующие санкции к пользователям,
не прошедшим аттестацию:
1) предупреждение о выполнении требований, предусмотренных настоящими
Правилами и назначение срока прохождения повторной аттестации;
2) приостановление предоставления услуг до прохождения аттестации.
34. Ежегодно, до 15 апреля, Казахстанский центр межбанковских
расчетов Национального Банка Республики Казахстан представляет
Национальному Банку Республики Казахстан отчет об аттестованных рабочих
местах пользователей платежной системы.
Председатель
Национального Банка
(Специалисты:
Цай Л.Г.
Умбетова А.М.)