среда, 22 декабря 2010 г.

Центробанк регламентировал использование средств криптозащиты при электронном взаимодействии с банками, Пенсионным фондом и Фондом соцстрахования

Приложение 7 «Порядок обеспечения информационной безопасности при использовании СКЗИ» к Положению Банка России от 15 ноября 2010 г. № 361-П «О порядке сообщения банком в электронном виде органу контроля за уплатой страховых взносов об открытии или о закрытии счета, об изменении реквизитов счета», с моей точки зрения, заслуживает отдельного внимания.

Дело в том, что Банк России уже давно использует для взаимодействия с банками не ЭЦП, а «код аутентификации» (КА). Теперь «код аутентификации» будет использоваться при взаимодействии с Банком России и подразделениями Пенсионного фонда и Фонда социального страхования. Технологии при этом применяются те же, что и при использовании ЭЦП, а вот правовая регламентация совсем иная, что позволяет Банку России обойти неудобные для него ограничения, налагаемые законом «Об электронной цифровой подписи». Основным отличием КА от ЭЦП является то, что код аутентификации принадлежит не физическому лицу, а организации, участвующей в электронном обмене.

Учитывая, что Банк России давно работает с электронными документами, неудивительно, что нормативный документ содержит грамотные формулировки и положения, которые можно в случае необходимости позаимствовать.
«Порядок обеспечения информационной безопасности при использовании СКЗИ» (Приложение 7 к Положению Банка России от 15 ноября 2010 г. № 361-П «О порядке сообщения банком в электронном виде органу контроля за уплатой страховых взносов об открытии или о закрытии счета, об изменении реквизитов счета»)

3. Владельцы ключей могут иметь резервные ключи КА и ключи шифрования.

4. В Банке России и его территориальных учреждениях организуются регистрационные центры, выполняющие функции регистрации ключей КА и (или) ключей шифрования и управления ключами КА и (или) ключами шифрования.

5. Владелец ключей изготавливает ключ КА самостоятельно. Ключ шифрования, предназначенный для обеспечения защиты информации при ее передаче по каналам связи, предоставляется ему регистрационным центром. Получение ключа шифрования оформляется актом. Форма акта определяется регистрационным центром.

6. Ключ КА подлежит регистрации в регистрационном центре. Для этого изготавливается регистрационная карточка в 2 экземплярах …

Один экземпляр оформленной регистрационной карточки остается в регистрационном центре, другой передается владельцу ключа КА. Ключ КА считается зарегистрированным со дня передачи владельцу ключа КА его экземпляра оформленной регистрационной карточки.
Порядок содержит требования к срокам хранения документов и открытых ключей, а также требования к организации хранения секретных ключей и их уничтожения:
«Порядок обеспечения информационной безопасности при использовании СКЗИ» (Приложение 7 к Положению Банка России от 15 ноября 2010 г. № 361-П «О порядке сообщения банком в электронном виде органу контроля за уплатой страховых взносов об открытии или о закрытии счета, об изменении реквизитов счета»)

13. После ввода в действие новых ключей КА и (или) ключей шифрования прежде действовавшие секретные ключи КА и (или) ключи шифрования уничтожаются, а открытые ключи КА хранятся владельцем ключей в течение всего срока хранения электронных сообщений, для подтверждения подлинности и контроля целостности которых они могут быть использованы.

14. Уничтожение открытых ключей КА после истечения срока их хранения осуществляется владельцем ключей самостоятельно.

15. Программные средства, предназначенные для создания и проверки КА, а также документация на эти средства хранятся владельцем ключей в течение всего срока хранения электронных сообщений, для подписания и подтверждения подлинности и контроля целостности которых использовались (могут быть использованы) указанные средства.

21. Для хранения носителей ключевой информации с секретными ключами КА и (или) ключами шифрования должны использоваться надежные металлические хранилища. Допускается хранение носителей ключевой информации с секретными ключами КА и (или) ключами шифрования в одном хранилище с другими документами, но при этом отдельно от них, в отдельном контейнере, опечатываемом пользователем ключа КА и (или) ключа шифрования.

22. В течение рабочего дня вне времени составления передачи и приема электронного сообщения, а также по окончании рабочего дня носители ключевой информации с секретными ключами КА и (или) ключами шифрования помещаются в хранилище.

27. СКЗИ и открытые ключи КА, необходимые для аутентификации хранящихся в банке электронных сообщений, квитанций о получении электронного сообщения и извещений об ошибках, подлежат хранению банком в течение срока, указанного в пункте 3.3 настоящего Положения. (не меньше срока хранения соответствующего юридического дела клиента, т.е. долго! – Н.Х.)
Документом также установлено, что организации, взаимодействующие в электронном виде, должны разработать следующие документы:
  • Порядок учета, хранения и использования носителей ключевой информации (ключевых дискет, ключевых идентификаторов touch memory, ключевых смарт-карточек) с секретными ключами КА и ключами шифрования (п.18).

  • Список лиц, имеющих доступ к секретным ключам КА и ключам шифрования (с указанием конкретной информации для каждого лица).
При компрометации ключа КА и (или) ключа шифрования владелец ключей должен не только провести служебное расследование, но и документально оформить его результаты и представить эти документы в регистрационный центр (п.25).

И еще один важный момент, о котором в организациях часто забывают. В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей работника, который имел доступ к секретным ключам КА и (или) ключам шифрования, должна быть проведена замена ключей, к которым указанный работник имел доступ (п.26).

Источник: Консультант+
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=107963

1 комментарий:

  1. На самом деле никто не мешает вместо обоснование введение новой сущности - КА : "Основным отличием КА от ЭЦП является то, что код аутентификации принадлежит не физическому лицу, а организации, участвующей в электронном обмене."
    в рамках действующего ФЗ-1 выпустить СКП с указанием области применения для физических лиц - взаимодействие с ЦБ РФ. Если требуется туда даже можно писать возможность работы без доверенности (на основании выписки из ЕГЮРЛа). Так что видимо причина ухода из-под ФЗ-1 в другом, а в не невозможности ассоцировать ключи с представителями юрлица.

    ОтветитьУдалить