Правила использования системы Клиент-Банк
1. Общие положения
Настоящие правила вводятся в целях обеспечения соблюдения политики в сфере информационной безопасности, а также с целью предотвращения ненадлежащего использования компьютерного оборудования.
Настоящие правила устанавливают общие принципы, условия и порядок электронного документооборота с обслуживающими «ВАША ОРГАНИЗАЦИЯ» (далее – Организация) банками, осуществляемого с помощью системы «Клиент-Банк» (далее - СКБ).
Настоящие правила определяют права и обязанности пользователей СКБ, специалистов отдела информационных технологий (ИТ), обеспечивающих мероприятия по обеспечению информационной безопасности.
2. Описание программно-аппаратного комплекса СКБ
СКБ является информационной системой, организованной Банком и обеспечивающей взаимодействие Банка и клиента – Организации – с использованием технических средств в целях обеспечения электронного документооборота.
На стороне Организации СКБ содержит следующие компоненты:
- Клиентское программное обеспечение СКБ обслуживающего Банка, включая средства криптозащиты информации (СКЗИ). Допускается установка СКБ разных обслуживающих банков в рамках единого рабочего места.
- Системное программное обеспечение – операционная система, средства ограничения несанкционированного удаленного и/или непосредственного доступа к рабочему месту.
- Выделенный персональный компьютер с аппаратно-программными средствами защиты от несанкционированного доступа, изолированный от ресурсов корпоративной компьютерной сети Организации, подключенный к централизованному узлу доступа в сеть Интернет – рабочее место.
- Защищенная сеть передачи данных.
- Узел централизованного доступа в сеть Интернет.
Информационный обмен в рамках СКБ осуществляется по открытым каналам связи с использованием электронного документооборота по сети Интернет.
Электронный документооборот включает в себя процесс формирования электронного документа (далее - ЭД), подписание его электронно-цифровой подписью (далее - ЭЦП) и/или цифровой подписью (далее - ЦП), передачу ЭД получателю, проверку ЭД на подлинность (проверка ЭЦП), а также учет и хранение ЭД.
В целях обеспечения электронного документооборота Банк осуществляет управление сертификатами ключей ЭЦП.
- Носители с ключами должны храниться в специально отведенном месте (сейфе) и устанавливаются в компьютер только на время работы с программой.
- Рабочее место СКБ должно быть снабжено парольным входом в компьютер. При необходимости перерыва в работе оператор должен выйти из программы и осуществить блокировку клавиатуры и экрана ПК средствами установленной системы защиты от несанкционированного доступа. После завершения работы выключить ПК, носители с ключами убрать в место хранения.
- В случае отсутствия владельца ЭЦП (отпуск, болезнь и т.д.) к обработке электронных документов с ЭЦП допускается ответственное лицо, назначенное Приказом по Организации.
- Плановая смена рабочих ключей происходит по согласованию с Банком.
- Ключевые носители с секретными ключами ЭЦП и шифрования (секретными ключами ЦП и кодирования), а также инсталляционные носители с программным обеспечением СКЗИ необходимо взять на поэкземплярный учет в выделенных для этих целей журналах;
- Рабочие комплекты ключей (и их копии) и комплекты резервных ключей хранятся раздельно с обеспечением условия невозможности их одновременной компрометации или уничтожения;
- Лица ответственные за учет и хранение секретных ключей назначаются приказом по Организации.
3. Порядок использования СКБ
3.1. Взаимодействие корпоративной информационной системы и СКБ
Подготовка платежного документа выполняется средствами корпоративной информационной системы Организации.
Сформированный документ сохраняется в виде выходного файла и записывается на сменный flash-носитель информации.
Сменный flash-носитель устанавливается в USB-порт рабочего места СКБ, содержащиеся на нем сформированные документы загружаются пользователем в клиентское программное обеспечение СКБ для последующего формирования электронных платежных документов.
Полученные из банка электронные документы аналогичным способом переносятся пользователем в корпоративную информационную систему, где ведется архив отправленных и полученных документов.
3.2. Использование СКБ
Использование программного обеспечения СКБ Банка необходимо осуществлять в соответствии с «Регламентом электронного документооборота», предоставляемым Банком.
3.3. Ситуации компрометации ключевой информации
Понятие компрометации означает, что произошло нарушение безопасности хранения и использования ключа, в результате которого возникла вероятность несанкционированного его применения и нанесения тем самым ущерба Организации. К событиям, связанным с компрометацией ключей относятся:
- Утрата носителя (оригинал и/или дубликат) с закрытыми ключами;
- Утрата носителя (оригинал и/или дубликат) с закрытыми ключами с ее последующим обнаружением;
- Утрата ключей от сейфа в момент нахождения в нем носителей ключевой информации;
- Увольнение сотрудников, имевших доступ к ключевой информации;
- Носитель с закрытыми ключами стал на время доступен постороннему лицу без контроля со стороны владельца/пользователя;
- Обнаружен случай подписания электронного документа ЭЦП кем-либо, кроме самого владельца/пользователя ЭЦП;
- Нарушение печати на сейфе (контейнере, пенале) с ключами;
- Иные обстоятельства, прямо или косвенно свидетельствующие о наличии возможности доступа к секретному ключу ЭЦП (ЦП) посторонних лиц.
При установлении факта компрометации действующих ключей должны быть приняты следующие меры:
- Поставить в известность главного бухгалтера Организации, руководителя подразделения, обеспечивающего надзор за соблюдением правил информационной безопасности в Организации, действующего на основании договора оказания услуг персоналом;
- Направить по каналу электронной связи в Банк текстовый файл с уведомлением (согласно Регламенту обслуживающего Банка) о компрометации ключей, которое подписывается скомпрометированной ЭЦП. При наличии резервных ключей, в уведомление необходимо добавить оповещение о переходе на использование резервных ключей;
- Немедленно прекращается обмен информацией с использованием скомпрометированных ключей. Формируется запрос на получение нового комплекта рабочих ключей;
- До получения новых рабочих ключей, для обмена данными с Банком применять резервные ключи, либо перейти на бумажный документооборот.
Выход из строя носителя с закрытыми ключами не рассматривается как компрометация ключей.
4. Права и обязанности пользователей СКБ
4.1. Пользователи СКБ
Пользователями СКБ являются сотрудники Организации, выполняющие действия по проведению электронных платежей с ЭЦП в СКБ.
Список пользователей СКБ и возложение на них обязанности исполнения требований настоящих Правил в целях обеспечения информационной безопасности утверждается Приказом по Организации.
4.2. Пользователи обязаны:
- Осуществлять платежи с использованием СКБ в соответствии с утвержденным действующим финансовым планом (включая изменения и приложения к плану), а также при наличии первичных акцептованных документов в порядке очередности, указанной непосредственным руководителем.
Использовать клиентское программное обеспечение СКБ в соответствии с «Регламентом электронного документооборота», предоставляемым Банком.
- В целях проведения электронных платежей с ЭЦП получить у представителя Банка два носителя (оригинал и копия) ключей для электронно-цифровой подписи, а также резервные ключи.
- В технологическом процессе использовать копию ключей, а в случае выхода ее из строя (механическое повреждение и т.д.) – оригинал, до создания новой копии ключа.
- Хранить ключи в опечатанном владельцем ЭЦП сейфе (контейнере, пенале). При хранении рабочих ключей в одном сейфе (металлическом шкафу) с другими документами они помещаются в отдельный опечатываемый контейнер. Условия хранения носителей с ключами должны исключать возможность коробления, изгиба под воздействием температуры или другим причинам, а также воздействия пыли, магнитных и электрических полей.
- Обеспечить сохранность ключей ЭЦП и шифрования (ЦП и кодирования), паролей для входа в СКБ и другой конфиденциальной информации от несанкционированного доступа.
- В целях обеспечения информационной безопасности пользователь обязуется соблюдать «Рекомендации клиенту СКБ по обеспечению безопасности информации при эксплуатации» - Приложение к договору об использовании СКБ Банка.
- Своевременно доводить до сведения специалистов отдела ИТ информацию об изменениях правил или режима работы СКБ, инициированных Банком, а также сроки и порядок вступления в силу этих изменений (не позднее, чем за десять рабочих дней до даты вступления в силу данных изменений и дополнений).
4.3. Пользователям запрещается:
- Выводить на монитор, печатающее устройство ключевую информацию (ключи);
- Несанкционированно изготавливать копии ключей;
- Передавать кому-либо носитель с ключами, flash-носитель с данными;
- Оставлять компьютер СКБ и носители с ключами без принятия мер по защите их от несанкционированного доступа.
4.4. Пользователи имеют право:
- Получать консультацию у специалистов отдела ИТ, по работе с компьютерным оборудованием и программным обеспечением, по вопросам компьютерной безопасности;
- Вносить предложения по изменению настоящих правил;
- Получать уведомления об изменениях настоящих правил и правил работы на конкретном оборудовании.
5. Права и обязанности специалистов отдела ИТ
5.1. Специалисты отдела ИТ обеспечивают исправность оборудования и системного программного обеспечения СКБ, обеспечивают выполнение всех необходимых технических мероприятий для функционирования программного обеспечения клиентской части СКБ.
Ответственность за исправное функционирование оборудования и системного программного обеспечения СКБ, за соблюдение технических требований информационной безопасности в целях настоящих Правил возлагается на сотрудников отдела ИТ.
5.2. Специалисты отдела ИТ обязаны:
- Проверять исправность оборудования рабочего места СКБ, правильность функционирования программного обеспечения и соблюдение правил работы, с использованием, при необходимости, административного доступа на время проверки;
- По согласованию с главным бухгалтером Организации оперативно отключать компьютер СКБ от защищенной сети передачи данных, блокировать работу или выводить из эксплуатации оборудование в случае нарушения информационной безопасности, по причине неисправности оборудования или грубого нарушения Правил пользователями СКБ;
- Предоставлять пользователям СКБ информацию необходимую для работы на компьютерном оборудовании;
- Доводить до сведения пользователей СКБ информацию об изменении правил или режима работы СКБ, инициированных специалистами ИТ по техническим причинам;
- Снижать до минимально необходимого время простоя оборудования вследствие неполадок или сервисных работ;
- Создавать копии рабочих ключевых носителей с секретными ключами ЭЦП и шифрования, которые будут использоваться в работе с СКБ в присутствии лица, ответственного за данную ЭЦП;
- Не разглашать информацию, полученную в ходе выполнения служебных обязанностей;
5.3. Специалисты отдела ИТ имеют право:
- Проводить проверки содержимого компьютера СКБ на предмет его профильного использования;
- Делать предупреждения пользователям СКБ, нарушившим настоящие Правила;
- Доводить до сведения руководства пользователей СКБ факты грубого или неоднократно нарушения настоящих Правил;
- Требовать от пользователя СКБ подробного отчета о работе, если во время этой работы произошел отказ или сбой оборудования или программного обеспечения;
- Без предупреждения удалять с дисков СКБ файлы пользователей, содержащие игровые программы и программы, предназначенные для нарушения компьютерной безопасности, файлы, зараженные компьютерными вирусами, файлы, содержащие мультимедиа информацию, не имеющую отношения к профилю деятельности Организации с доведением до сведения своего непосредственного руководителя.