Инструкция о порядке применения системы программно-криптографической защиты при обмене электронными платежами между подразделениями Нацбанка, а также с банками Республики Казахстан, утвержденная постановлением Правления Национального банка Республики Казахстан от 19 октября 1995 года N 177
Инструкция о порядке применения системы программно-криптографической защиты при обмене электронными платежами между подразделениями Нацбанка, а также с банками Республики Казахстан, утвержденная постановлением Правления Национального банка Республики Казахстан от 19 октября 1995 года N 177
1. Общие положения
1.1. Настоящая инструкция регламентирует вопросы организации защиты от несанкционированного доступа при обмене электронными платежами между подразделениями Нацбанка и банками с применением системы программно-криптографической защиты.
1.2. Организация защиты имеет целью предотвращение нарушений целостности данных, хранящихся в базах данных и в файлах на ЭВМ, несанкционированного доступа к банковской информации и передачи информации от имени банка иными физическими или юридическими лицами, получившими доступ к ключевой дискете.
2. Понятия, используемые в настоящей Инструкции
2.1. Система программно-криптографической защиты - совокупность программных методов и средств, предназначенных для шифрования сообщений и базирующихся на алгоритме шифрования, криптографическом ключе и механизме электронной цифровой подписи.
2.2. Электронный платеж - банковская операция, производимая банком или финансовым учреждением в электронном виде, в соответствии со стандартами электронных сообщений.
2.3. Организационные меры защиты - комплекс мер по ограничению доступа к рабочему месту и криптографическим дискетам, контролю за персоналом, допущенным к осуществлению работ по приему и передаче электронных платежей.
2.4. Технологические меры защиты - комплекс мер по обеспечению регистрации прохождения электронных платежных документов и контрольных сверок, принятых либо переданных электронных платежей.
2.5. Алгоритм шифрования - математический метод нахождения некоторого числа при наличии первоначально заданных параметров, имеющий в основе неразрешимую математическую задачу, гарантирующего минимальную вероятность обратного вычисления исходных параметров.
2.6. Дистрибутивная дискета - дискета, на которой находится первоначальное программное обеспечение и данные, предназначенные для переноса и установки их на жесткий диск компьютера.
2.7. Криптографическая (ключевая) дискета - дискета, на которой находится ключ шифрования или программное обеспечение системы программно-криптографической защиты.
2.8. Криптографический ключ (ключ шифрования) - это последовательность символов, обеспечивающая возможность шифрования и расшифрования информации.
2.9. Открытый (публичный) ключ - часть ключа шифрования для создания библиотеки открытых ключей, передается по каналам связи в Центр рассылки ключей.
2.10. Закрытый (секретный) ключ - часть ключа шифрования, создаваемая с помощью библиотеки открытых ключей только у абонента и хранящаяся с соблюдением режима строгой секретности.
2.11. Система электронной цифровой подписи - система, позволяющая гарантированно подтвердить авторство и установить истинность документа без использования бумажной технологии.
2.12. Цифровая подпись - некоторая числовая последовательность, однозначно идентифицирующая абонента, вычисляемая по сообщению специальным алгоритмом с помощью ключа шифрования.
2.13. Библиотека ключей - файл, содержащий открытые криптографические ключи всех абонентов конкретной системы программно-криптографической защиты.
2.14. Модификация - частичное изменение данных или программного обеспечения, ведущее к изменению конечного результата.
3. Организационные и технологические меры защиты
3.1. При передаче данных по каналам связи необходимо пользоваться (при наличии) специальными сетями передачи данных. При отсутствии таких сетей в зависимости от объема передаваемой информации выбрать выделенный или коммутируемый канал связи.
3.2. Прием и передача электронных платежей осуществляется в специально выделенной и защищенной комнате с доступом только уполномоченных лиц.
3.3. Допуск лиц в помещение с компьютерной техникой, где происходит прием и передача информации по каналам связи, осуществляется по списку, утвержденному приказом руководителя банка. Дверь в помещение должна быть оснащена кодовым замком.
3.4. Программное обеспечение системы криптографической защиты на магнитных носителях хранится в специально оборудованных сейфах, с регистрацией выдачи и сдачи на хранение в журнале, где отмечается дата и время выдачи и сдачи, а также подпись получателя или сдающего.
3.5. В процессе подготовки, обработки, приема и передачи электронных платежей необходимо предусмотреть пароли доступа, ограничения пользования, регистрацию времени и даты прохождения электронных платежей. При этом выполнение функций подготовки данных следует отделить от выполнения функций приема и передачу электронных платежей.
3.6. Ежедневный контроль за количеством и суммами переданных и принятых электронных платежей осуществляется посредством соответствующих отчетов и контрольных сверок.
3.7. Запрещается использование нелегальных копий иных программных продуктов на компьютерах, где проводится обработка информации или прием и передача данных по каналам связи.
3.8. Ежедневно перед началом работы компьютеры, предназначенные для подготовки и обработки приема и передачи электронных платежей, подлежат тестированию специализированными антивирусными программами.
4. Порядок получения и применения системы
программно-криптографической защиты
4.1. Получение и применение системы программно-криптографической защиты между подразделением Нацбанка, в дальнейшем - Центр, и банком, в дальнейшем - Абонент, осуществляется на основе Соглашения о порядке применения системы программно-криптографической защиты и электронной цифровой подписи при обмене электронными платежами.
4.2. Центр контролирует работу программных средств защиты в целом, определяет периодичность смены ключей, формирует и рассылает абонентам библиотеку открытых ключей шифрования. Абонент обязан выполнять все указания Центра и соблюдать определенные Центром сроки разработки ключей шифрования. Для обеспечения выполнения настоящей Инструкции Центр осуществляет выборочный контроль путем проверки рабочего места абонента на соответствие требованиям настоящей Инструкции.
4.3. Для организации защиты обмена банковской информацией Абонент получает из Центра программное обеспечение системы программно-криптографической защиты и электронной цифровой подписи без права тиражирования и передачи.
4.4. Для установки системы программно-криптографической защиты и электронной цифровой подписи Абонент представляет в Центр дискету для записи инсталляционной копии и доверенность на получение данного программного обеспечения. Центр оформляет в специальном журнале передачу Абоненту дистрибутивной дискеты с программным обеспечением системы электронной подписи и системы программно-криптографической защиты информации. Программное обеспечение устанавливается на рабочем месте Абонента и в назначенные Центром сроки Абонент генерирует и отправляет по каналам связи открытые ключи шифрования для включения их в библиотеку ключей, рассылаемой Центром. Дальнейший обмен ключами и информацией между Центром и Абонентом проходит по каналам связи.
4.5. Абонент обязан через уполномоченное лицо обеспечить надлежащее хранение ключевой дискеты, исключив возможность копирования или порчи. Ключевая дискета и ее копии хранятся в сейфе, который ежедневно опечатывается. Выдача и прием ключевой дискеты подлежат регистрации в соответствующем журнале.
4.6. К эксплуатации программного обеспечения системы программно-криптографической защиты допускаются лица, назначенные приказом руководителя банка (филиала).
4.7. В случае нарушения режима хранения или эксплуатации ключевой дискеты Абонент обязан незамедлительно сообщить об этом в Центр для генерации новых ключей с указанием причин нарушения и принятых мер по устранению выявленных нарушений.
4.8. В случае увольнения сотрудников, имевших доступ к ключевой дискете, руководство банка обязано заблаговременно (за 10 дней) сообщить об этом в Центр с целью подготовки и получения новой ключевой дискеты, которая должна быть введена в действие с даты увольнения сотрудника.
4.9. В случае временного отсутствия связи, ввиду повреждения канала связи или выхода из строя коммуникационного оборудования, информация передается на магнитных носителях.
4.10. При передаче на магнитных носителях информация должна быть подготовлена в виде файла электронных платежей, зашифрована и подписана электронной цифровой подписью. При этом обязательным требованием является предоставление первичных платежных документов, заверенных визой главного бухгалтера и оттиском печати банка плательщика.
Приложения:
1. Типовое соглашение об использовании системы программно-криптографической защиты и электронной цифровой подписи при обмене электронными платежами.
2. Типовая форма журнала регистрации выдачи и сдачи на хранение магнитных носителей с программным обеспечением системы криптографической защиты.
Председатель Правления
Национального банка Республики Казахстан Д. Сембаев
Приложение 1
Соглашение
об использовании системы программно-криптографической защиты и
электронной цифровой подписи при обмене электронными платежами
"____" ___________1995 г.
_______________________________________именуемый в дальнейшем Центр, в лице _____________________________________________________________ с одной стороны, и ____________________________________, именуемый в дальнейшем Абонент, в лице ______________________________________с другой стороны, заключили настоящее Соглашение о нижеследующем.
1. Предмет соглашения
1.1 Стороны заключили настоящее Соглашение в целях применения системы программно-криптографической защиты и электронной цифровой подписи, используемой между сторонами при обмене электронными платежами в соответствии с "Инструкцией о порядке применения системы программно-криптографической защиты и электронной цифровой подписи при обмене электронными платежами между подразделениями Нацбанка и банками Республики Казахстан" от 19 октября 1995 г.
2. Обязательства сторон
Стороны обязуются:
2.1. Выполнять требования "Инструкции о порядке применения системы программно-криптографической защиты и электронной цифровой подписи при обмене электронными платежами между подразделениями Нацбанка и банками Республики Казахстан" от 19 октября 1995 г. и ознакомить с вышеназванной Инструкцией сотрудников, допущенных к эксплуатации программного обеспечения системы программно-криптографической защиты и электронной цифровой подписи;
2.2. Принять к обработке электронный платеж, если система программно-криптографической защиты подтвердила его подлинность;
2.3. При выявлении системой программно-криптографической защиты изменений, внесенных в электронный платеж, аннулировать прием и сформировать запрос на его повторную передачу.
3. Ответственность сторон
3.1. Стороны несут ответственность друг перед другом за невыполнение или ненадлежащее выполнение обязательств по настоящему Соглашению, повлекшее за собой нанесение ущерба одной из сторон. Возмещение ущерба производится в соответствии с действующим законодательством Республики Казахстан.
4. Разрешение споров
4.1. В случае возникновения разногласий в процессе выполнения условий настоящего Соглашения стороны обязуются предпринять все необходимые меры для их урегулирования во внесудебном порядке. При недостижении взаимного согласия сторон споры рассматриваются арбитражным судом в установленном законом порядке.
5. Срок действия Соглашения
5.1. Настоящее Соглашение вступает в силу с момента подписания его сторонами и носит бессрочный характер. Соглашение может быть расторгнуто по волеизъявлению одной из сторон, предварительно известившей об этом другую сторону не позднее чем за две недели до даты расторжения.
_________________________1995 г.
_________________________1995 г.
Приложение 2
Журнал
регистрации выдачи и приема на хранение магнитных носителей с
программным обеспечением системы криптографической защиты
----------------------------------------------------------------------------
Номер дискеты Кому передана Расписка в получении, Расписка в обратном
дата и время приеме, дата и время
----------------------------------------------------------------------------
|
|
|