Приложение 5

к Указанию Банка России

от 11 декабря 2015 года N 3893-У

"О порядке направления запросов

и получения информации

из Центрального каталога кредитных

историй посредством обращения

в кредитную организацию"

ПОРЯДОК

ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ

СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ДЛЯ ЦЕЛЕЙ

ПЕРЕДАЧИ-ПРИЕМА ЭЛЕКТРОННЫХ СООБЩЕНИЙ ПРИ НАПРАВЛЕНИИ

ЗАПРОСОВ И ПОЛУЧЕНИИ ИНФОРМАЦИИ ИЗ ЦЕНТРАЛЬНОГО

КАТАЛОГА КРЕДИТНЫХ ИСТОРИЙ

1. Установка и настройка СКЗИ на автоматизированных рабочих местах (далее - АРМ) пользователей выполняются в присутствии Администратора информационной безопасности, назначаемого владельцем ключа КА или ключа шифрования. При каждом запуске АРМ должен быть обеспечен контроль целостности установленного программного обеспечения СКЗИ.

2. Территориальным учреждением Банка России по месту нахождения кредитной организации (далее - территориальным учреждением) и кредитной организацией организуется работа по учету, хранению и использованию носителей ключевой информации (ключевых дискет, ключевых идентификаторов Touch Memory, ключевых Smart-карточек и иных аналогичных носителей ключевой информации) с секретными ключами КА и ключами шифрования. Возможность несанкционированного доступа к носителям ключевой информации должна быть исключена.

3. Руководством владельца ключа КА или ключа шифрования определяется список лиц, имеющих доступ к секретным ключам КА и ключам шифрования (с указанием конкретной информации для каждого лица). Доступ неуполномоченных лиц к носителям ключевой информации исключается.

4. Для хранения носителей ключевой информации с секретными ключами КА и ключами шифрования должны использоваться надежные металлические хранилища. Хранение носителей ключевой информации с секретными ключами КА и ключами шифрования допускается в одном хранилище с другими документами в отдельном контейнере, опечатываемом пользователем ключа КА и (или) ключа шифрования.

5. В течение рабочего дня вне времени составления и передачи-приема электронного сообщения (далее - ЭС), а также по окончании рабочего дня носители ключевой информации с секретными ключами КА и (или) ключами шифрования помещаются в хранилище.

6. Не допускается:

снимать несанкционированные копии с носителей ключевой информации;

знакомить с содержанием носителей ключевой информации или передавать носители ключевой информации лицам, к ним не допущенным;

выводить секретные ключи КА или ключи шифрования на дисплей (монитор) электронно-вычислительной машины (далее - ЭВМ) или принтер;

устанавливать носитель секретных ключей КА или ключей шифрования в считывающее устройство (дисковод) ЭВМ, на которой программные средства передачи-приема ЭС функционируют в непредусмотренных (нештатных) режимах, а также на другие ЭВМ;

записывать на носители ключевой информации постороннюю информацию.

7. При компрометации секретного ключа КА или ключа шифрования владелец ключа КА или ключа шифрования, допустивший компрометацию, обязан предпринять все меры для прекращения любых операций с ЭС с использованием этого ключа и немедленно проинформировать о факте компрометации регистрационный центр, который организует внеплановую замену ключей КА или ключей шифрования.

8. Владелец ключа КА или ключа шифрования, допустивший компрометацию, представляет в регистрационный центр документ, содержащий информацию о компрометации ключа КА или ключа шифрования.

9. В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей работника территориального учреждения или кредитной организации, имевшего доступ к секретным ключам КА или ключам шифрования, должна быть проведена замена ключей, к которым указанный работник имел доступ.