Имеющиеся в составе АРМ администраторов ПО подсистем средства автоматизированного формирования паспортов ПО АРМ позволяют формировать и выводить на печать паспорта ПО для каждого АРМ подсистемы, содержащие актуальные данные о составе и контрольных характеристиках используемых модулей прикладного ПО ПК РКЦ РАБИС-НП.
Поскольку в формируемые средствами АРМ администратора ПО паспорта включаются только прикладные модули ПК РКЦ РАБИС-НП, для контроля целостности и ведения паспортов остального программного обеспечения, установленного локально на рабочих станциях АРМ, рекомендуется дополнительное использование типового программного комплекса «Паспорт АРМ» разработки ГУ Банка России по Тульской области.
Подсистема ОИТУ КЦОИ вместе с подсистемой «сервер доступа ТУ» может рассматриваться как «черный ящик», организованный по принципам электронного документооборота. Этот «черный ящик» ведет свою внутреннюю учетно-операционную информационную базу, но «общение» этого «черного ящика» со всеми потребителями его услуг организовано исключительно посредством обмена электронными документами (в качестве которых выступают файлы и электронные сообщения поддерживаемых интерфейсов обмена).
Защита файлов и сообщений, обеспечивающая возможность их аутентификации (контроля целостности и происхождения) и придающая им статус электронного документа обеспечивается средствами электронной цифровой подписи (ЭЦП/КА/ЗК).
Электронные сообщения РАБИС-НП подразделяются на две категории:
Электронные сообщения (документы), не требующие дополнительного технологического контроля другим исполнителем (контролером) или контуром контроля (ЭСИС/ЭСИД);
Электронные сообщения (документы), требующие дополнительного технологического контроля другим исполнителем (контролером) или контуром контроля; успешный результат контроля такого ЭС/ЭД подтверждается наличием подписи контролера или контура контроля (ЭПС/ЭПД и ЭСИС/ЭСИД-подтверждения по операциям, изменяющим состояние банковских счетов).
Аутентификация (проверка подлинности) и авторизация (проверка полномочий отправителя) электронного сообщения выполняется перед любым использованием содержащихся в нем данных (перед помещением в архив входящих и передачей на обработку, при извлечении из архивов, перед использованием в процедурах контроля или сверки и т.д.).
Средства электронной цифровой подписи (ЭЦП/КА/ЗК) в РАБИС-НП являются основным средством защиты электронных сообщений РАБИС-НП.
В настоящее время все функциональные компоненты подсистем ОИТУ КЦОИ, выполняющие защиту и аутентификацию электронных сообщений, реализованы для работы на отдельных Intel- установках под управлением ОС Windows.
Для защиты электронных сообщений и файлов ВЭР на региональном уровне, уровне КЦОИ и уровне АС «БЭСП» в ТПК РАБИС-НП используются программные библиотеки СКАД «Сигнатура», разработки ООО «Валидата». При этом должны применяться правила заполнения сертификатов ключей для системы ВЭР РАБИС-НП и для системы «БЭСП» соответственно.
Для защиты файлов ЭС системы МЭР используются программные библиотеки СКАД «Сигнатура», разработки ООО «Валидата», с использованием ключей и справочников сертификатов для системы МЭР, управляемых ГЦКИ ГУБиЗИ Банка России.
На серверах доступа и АРМ контролера ЭС подсистем ОИТУ КЦОИ вместо программных библиотек СКАД «Сигнатура» возможно применение программных библиотек и криптосерверной подсистемы СКЗИ «Янтарь АСБР», разработки ООО «Валидата».
Структура региональной ключевой системы ЭЦП/КА/ЗК для РАБИС-НП предполагает наличие ключей подписи (не считая резервных) для следующих субъектов:
Для каждого пользователя каждой из подсистем УБР (РКЦ, ГРКЦ) и ТУ региона;
Для каждого регионального участника электронного обмена;
Для контуров обработки и контуров контроля каждого полевого учреждения региона;
Для контура обработки и контура контроля сервера доступа ТУ.
Структура ключевой системы КА/ЗК уровня КЦОИ для РАБИС-НП предполагает наличие ключей для следующих субъектов:
Для контура обработки и контура контроля КЦОИ;
Для пользователей АРМ подсистем ОИТУ КЦОИ (взаимодействующих с подсистемой ОИТУ обменом сообщениями);
Для контуров обработки и контуров контроля каждого из серверов доступа ТУ.
Структура ключевой системы КА/ЗК АС «БЭСП» для узлов РАБИС-НП предполагает наличие ключей для следующих субъектов:
Создание пользовательских ключей КА/ЗК должно выполняться пользователями, в присутствии администратора информационной безопасности, на специальных АРМ ключевой системы. При первом создании пользовательского ключа должен использоваться сертификат регистрации, полученный из Центра регистрации ключевой системы (ЦУКС). После создания, открытые ключи пользователей должны направляться в составе запросов на сертификацию в Центр регистрации (ЦУКС).
Справочники сертификатов, устанавливаемые на рабочие станции и сервера подсистем РАБИС-НП, конфигурируются администраторами информационной безопасности подсистем во взаимодействии с ЦУКС.
Правила применения сертификатов ключей подписи СКАД «Сигнатура» в системе внутрирегиональных электронных расчетов РАБИС-НП приведены в документе МБТД.001.ИБ.02.2.М «РАБИС-НП. Правила применения сертификатов СКАД «Сигнатура» в системе внутрирегиональных электронных расчетов».
Защита и аутентификация ЭС интерфейсов обмена ПУР и КЦОИ с ЦОиР АС «БЭСП» при использовании СКАД «Сигнатура» обеспечивается при соблюдении в ключевой системе АС «БЭСП» формата сертификатов ключей, установленного документом МБТД.002.ИБ.02.2.М «Система «БЭСП». Правила заполнения полей сертификатов СКАД «Сигнатура» и применения сертификатов СКАД «Сигнатура»».
Ключевыми системой подписи (ЭЦП, КА, ЗК) СКАД «Сигнатура» регионального уровня управляют Центры управления ключевыми системами (ЦУКС) УБиЗИ территориальных Управлений Банка России. Ключевой системой подписи (КА, ЗК) СКАД «Сигнатура» уровня КЦОИ управляет ЦУКС территориального Управления Банка России, эксплуатирующего КЦОИ (ГУ Банка России по Нижегородской области). Ключевой системой АС «БЭСП» управляет ГЦКИ ГУБиЗИ Банка России.
Необходимыми компонентами любой системы электронного документооборота являются архивы электронных документов. В РАБИС-НП ведение оперативных архивов электронных документов предусмотрено во всех подсистемах (подсистемах УБР и ТУ, подсистемах «Сервер доступа ТУ» и подсистемах ОИТУ КЦОИ). Архивные подсистемы долговременного хранения ЭС для регламентного переноса в них электронных документов из оперативных архивов подсистем РАБИС-НП на долговременное хранение должны быть организованы в подсистемах ТЦОИ и подсистемах ОИТУ КЦОИ.
На объектах автоматизации должен быть организован эффективный контрольно-пропускной режим, исключающий неконтролируемое пребывание посторонних лиц на территории объекта.
Все технические средства, входящие в состав программных комплексов, должны размещаться в выделенных помещениях, удовлетворяющих следующим требованиям:
помещения должны быть оборудованы сигнализацией, и по окончании рабочего дня опечатываться и сдаваться под охрану;
на входные двери этих помещений должны быть установлены замки, гарантирующие надежную защиту помещений в нерабочее время, а для контроля доступа в помещения в течение рабочего дня должны быть установлены автоматические замки (электронные, кодовые и т.п.) или другие средства контроля и регистрации.
Право доступа в выделенные помещения должно предоставляться только лицам, непосредственно участвующим в технологическом процессе. Для обеспечения данного требования составляются списки сотрудников, имеющих право входа в данное помещение, утверждаемые руководителем учреждения. Лица, не включенные в данный список, могут находиться в помещении только в присутствии, по крайней мере, одного из сотрудников учреждения, включенных в список. Обслуживающий персонал (уборщицы, электрики и т.п.) должны допускаться в помещения только для выполнения их непосредственных обязанностей, в сопровождении лица, ответственного за помещение.
Доступ лиц в выделенные помещения должен контролироваться и регистрироваться автоматизированными средствами контроля и регистрации доступа или путем организации дежурств.
Разработчики прикладного обеспечения должны быть административно и территориально отделены от персонала, эксплуатирующего автоматизированную систему. Локальная сеть рабочего комплекса банковской автоматизированной системы должна быть изолирована на логическом и физическом уровнях от других локальных и глобальных сетей, используемых на объекте автоматизации.
Исходные тексты программного обеспечения банковской автоматизированной системы не должны быть доступны пользователям системы. Для обеспечения целостности программного обеспечения при передаче в Фонд алгоритмов и программ Банка России, а также, при тиражировании регионам - пользователям, должны использоваться средства защиты информации, рекомендованные ГУБиЗИ Банка России.
Для каждого автоматизированного рабочего места автоматизированной системы, должен вестись паспорт программного обеспечения АРМ, оформленный в соответствии с «Временным требованиям по обеспечению безопасности технологий обработки электронных платежных документов в системе Центрального банка Российской Федерации» от 03.0497 г. №60.
Операторы АРМ обязаны следить за тем, чтобы в паспорт заносились сведения о всех изменениях, вносимых в аппаратное или программное обеспечение АРМ (записи должны производиться лицом, осуществляющим изменения).
Каждое автоматизированное рабочее место, подключенное к автоматизированной расчетной системе, должно быть обеспечено инструктивными и методическими материалами, содержащими:
руководство пользователя АРМ;
описание технологии работы на АРМ;
описание работы со средствами защиты ПЭВМ АРМ от НСД;
порядок проведения антивирусного контроля и профилактики на АРМ;
порядок использования криптографических средств и ключевых носителей (если данный АРМ предполагает использование средств криптографической защиты информации).
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9
