соглашение - Санкт-Петербургский банк инвестиций
advertisement
С О ГЛ А Ш Е Н И Е о признании и использовании электронной подписи в системе «Банк-Клиент» № _________________ г. Санкт-Петербург «_____» ____________ 20___ г. Санкт-Петербургский банк инвестиций (закрытое акционерное общество), именуемый в дальнейшем «Банк», в лице (Должность, Фамилия, Имя, Отчество) , действующего на основании , с одной стороны, и (Устава, Доверенности) , в лице именуемый в дальнейшем «Клиент», , (Должность (если имеется), Фамилия, Имя, Отчество (если имеется)) действующего на основании , (Учредительный документ или Документ о полномочиях) с другой стороны, именуемые в дальнейшем «Стороны» либо «Сторона», заключили настоящее Соглашение о нижеследующем. 1. ТЕРМИНЫ Автоматизированное рабочее место Клиента – установленный у Клиента комплект компьютерного и коммуникационного оборудования с необходимым программным обеспечением, предназначенный для подключения к системе «Банк-Клиент» и ее использования. Владелец сертификата ключа подписи – физическое лицо, на имя которого выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом подписи, позволяющим создавать электронную подпись в электронных документах (подписывать электронные документы). Закрытый ключ подписи – уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной подписи. Запрос на сертификат - информационный массив, содержащий открытый ключ подписи физического лица, информацию об этом физическом лице, а также вспомогательную информацию, на основе которого формируется сертификат ключа подписи Ключевая дискета (ключевой носитель) – дискета (или другой носитель информации), на которую записаны криптографические ключи. Компрометация ключей - утрата доверия к тому, что используемые криптографические ключи обеспечивают безопасность передачи информации и ее использования. К обстоятельствам, обусловливающим компрометацию ключей относятся, включая, но не ограничиваясь, следующие: утрата ключевых носителей; утрата ключевых носителей с последующим обнаружением; увольнение сотрудников, имевших доступ к ключевой информации; нарушение правил хранения закрытого ключа; возникновение подозрений на утечку информации или ее искажение; нарушение печати на сейфе с ключевыми носителями; несанкционированный доступ посторонних лиц к ключевым носителям. Криптографическая защита - защита данных при помощи их криптографического преобразования. Банк______________________ Клиент______________________ 1 Криптографические ключи – закрытые и открытые ключи электронной подписи и шифрования, представляющие собой уникальные последовательности символов, используемые в алгоритмах криптографического преобразования данных. Лицензия в области защиты информации - оформленное надлежащим образом разрешение компетентного государственного органа на право проведения тех или иных работ в области защиты информации. Некорректная (не подлинная) электронная подпись – электронная подпись, проверка которой с помощью средства криптографической защиты информации и с использованием сертификата ключа подписи, действующего на момент создания подписи, дала отрицательный результат. Корректная (подлинная) электронная подпись – электронная подпись, проверка которой с помощью средства криптографической защиты информации и с использованием сертификата ключа подписи, действующего на момент создания подписи, дала положительный результат. Открытый ключ подписи – уникальная последовательность символов, соответствующая закрытому ключу подписи, предназначенная для подтверждения подлинности электронной подписи в электронном документе. Сертификат ключа подписи - электронный документ с электронной подписью организации, изготовившей сертификат, который включает в себя открытый ключ и который выдается участнику документооборота для подтверждения подлинности электронной подписи и идентификации владельца сертификата ключа подписи. Сертификат на средство электронной подписи - документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной подписи установленным требованиям. Система «Банк-Клиент» - автоматизированная компьютерная система, позволяющая Клиенту осуществлять передачу электронных документов в Банк по телекоммуникационным каналам связи. Средство электронной подписи - аппаратное и (или) программное средство, обеспечивающее реализацию хотя бы одной из следующих функций: - создание электронной подписи в электронном документе с использованием закрытого ключа электронной подписи, - подтверждение с использованием открытого ключа электронной подписи подлинности электронной подписи в электронном документе, - создание закрытых и открытых ключей электронных подписей. Уполномоченное лицо Клиента - должностное лицо, указанное в карточке образцов подписей и оттиска печати Клиента, представленной в Банк. Электронный документ – документ, в котором информация представлена в электронноцифровой форме. Электронная подпись (ЭП) - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. 2. ПРЕДМЕТ СОГЛАШЕНИЯ 2.1. Стороны соглашаются использовать электронную подпись (далее – ЭП) для подтверждения авторства, подлинности и целостности электронных документов, передаваемых с помощью системы «Банк-Клиент». 2.2. Стороны признают в качестве средства ЭП сертифицированное средство криптографической защиты информации (далее - СКЗИ) «Крипто-Си», разработанное ООО «КриптоЭкс». 2.3. Стороны признают, что ЭП обладает следующими свойствами, позволяющими обеспечить подтверждение авторства, подлинности и целостности электронных документов: создание корректной ЭП электронного документа невозможно без знания соответствующего закрытого ключа; при любом изменении электронного документа его ЭП, сформированная до внесения Банк______________________ Клиент______________________ 2 изменений, становится некорректной; знание информации, которая содержится в электронных документах, ЭП и открытых ключах, не приводит к компрометации закрытых ключей. 2.4. Стороны признают, что получение Банком электронного документа, подписанного двумя необходимыми ЭП уполномоченных лиц Клиента (одной в случае отсутствия счетного работника в штатном расписании организации), проверка которых дала положительный результат, юридически эквивалентно получению Банком идентичного по смыслу и содержанию документа, составленного на бумажном носителе, подписанного собственноручными подписями этих же уполномоченных лиц и скрепленного печатью Клиента. 2.5. Банк осуществляет деятельность в области криптографической защиты электронных документов в системе «Банк-Клиент» на основании имеющихся у него лицензий ФСБ России. Клиент осуществляет эксплуатацию предоставленных Банком СКЗИ в рамках имеющихся у Банка лицензий ФСБ России без получения собственных лицензий. 2.6. Стороны обеспечивают условия для установки и эксплуатации СКЗИ в соответствии с требованиями, изложенными в Приложении № 1 к настоящему Соглашению. 3. ПОРЯДОК ИСПОЛЬЗОВАНИЯ КРИПТОГРАФИЧЕСКИХ КЛЮЧЕЙ 3.1. Для генерации криптографических ключей Стороны используют программное обеспечение со встроенным СКЗИ «Крипто-Си». 3.2. Генерация и регистрация криптографических ключей Клиента осуществляется в следующей последовательности: 3.2.1. Банк: с помощью программы «Крипто-Си» генерирует закрытый и открытый ключи ЭП; передает уполномоченному лицу Клиента дистрибутив системы «Банк-клиент» с закрытым и открытым ключами ЭП и Актом о вводе в эксплуатацию системы «Банк-Клиент» в виде файла MS Word; 3.2.2. Уполномоченное лицо Клиента: Получает дистрибутив системы «Банк-Клиент»; с помощью программы «Крипто-Си» генерирует закрытый и открытый ключи ЭП; передает с помощью системы «Банк-Клиент» открытый ключ ЭП в Банк; при положительном результате проверки Банком обмена электронными документами, снабженными ЭП, заверяет оба экземпляра Акта о вводе в эксплуатацию системы «Банк-Клиент» подписями и скрепляет печатью; передает оба заверенных экземпляра Акта о вводе в эксплуатацию системы «БанкКлиент» для подписи в Банк. 3.2.3. Банк: принимает оформленные экземпляры Акта о вводе в эксплуатацию системы «БанкКлиент» у уполномоченного лица Клиента; регистрирует, проставляя на Акте о вводе в эксплуатацию системы «Банк-Клиент» дату регистрации. 3.3. Открытый ключ уполномоченного лица Клиента считается зарегистрированным в Банке с даты, проставленной Банком на Акте о вводе в эксплуатацию системы «Банк-Клиент», оформленном в соответствии с требованиями настоящего Соглашения. 3.4. Открытый ключ уполномоченного лица Клиента считается действующим в момент проверки ЭП при одновременном выполнении следующих условий: сертификат ключа подписи зарегистрирован в Банке; срок действия сертификата ключа подписи не истек; действие сертификата ключа подписи не отменено. 3.5. Для отмены действия открытого ключа уполномоченного лица Клиента Клиент передает в Банк письменное уведомление об отмене действия сертификата этого ключа. 3.6. Открытый ключ уполномоченного лица Клиента считается отмененным с момента регистрации в Банке уведомления об отмене действия сертификата этого ключа. 3.7. Открытый ключ уполномоченного лица Клиента может быть временно заблокирован по просьбе Клиента, переданной уполномоченным или другим должностным лицом Клиента по Банк______________________ Клиент______________________ 3 телефону, факсу, электронной почте или иным способом при условии, что Банк имеет возможность установить, что просьба о блокировке открытого ключа исходит от Клиента. 3.8. Открытый ключ уполномоченного лица Клиента может быть временно заблокирован Банком по собственной инициативе в случае возникновения подозрений в его компрометации. 3.9. В случае необходимости смены ключей подписи по одному или нескольким лицам, имеющим права подписи, Клиент передает в Банк заявление на изготовление технологического ключа и сертификата ключа подписи (Приложение № 2 к настоящему Соглашению). 4. ПОРЯДОК ИСПОЛЬЗОВАНИЯ ЭП 4.1. Формирование ЭП под электронным документом производится Клиентом с помощью СКЗИ «Крипто-Си», встроенной в программное обеспечение автоматизированного рабочего места Клиента, с использованием закрытых ключей уполномоченных лиц Клиента, указанных в карточке образцов подписей и оттиска печати Клиента. 4.2. Проверка ЭП под электронным документом производится Банком с помощью СКЗИ «Крипто-Си», встроенной в программное обеспечение автоматизированного рабочего места Клиента, с использованием действующих открытых ключей уполномоченных лиц Клиента. 4.3. Банк может приостановить исполнение электронных документов, подписанных ЭП уполномоченного лица Клиента, на основании просьбы Клиента, переданной в Банк по телефону, факсу, электронной почте или иным способом, при условии, что Банк имеет возможность установить, что просьба о приостановлении исполнения электронных документов исходит от Клиента. 4.4. После передачи просьбы о приостановке исполнения электронных документов Клиент до 14 часов текущего операционного дня должен передать в Банк заявление о временной приостановке исполнения либо отзыве электронных документов в виде электронного документа, подписанного ЭП уполномоченных лиц Клиента, или документа на бумажном носителе с подписями и печатью в соответствии с карточкой образцов подписей и оттиска печати Клиента. 4.5. В случае, если Банк не получает от Клиента заявления о приостановке исполнения электронных документов в соответствии с требованиями пункта 4.4., он исполняет все электронные документы, подписанные корректными ЭП уполномоченных лиц Клиента, исполнение которых было приостановлено. 5. ПРАВА И ОБЯЗАННОСТИ СТОРОН 5.1. Клиент имеет право: получить в Банке программное обеспечение, необходимое для обеспечения защиты, в том числе с помощью ЭП, электронных документов, передаваемых в систему «Банк-Клиент»; получать от Банка необходимую информацию и консультационные услуги по вопросам эксплуатации программного обеспечения, используемого для обеспечения защиты электронных документов, передаваемых в систему «Банк-Клиент»; отменить или временно заблокировать действие открытого ключа своего уполномоченного лица. 5.2. Банк имеет право: в случае выявления признаков нарушения безопасности при осуществлении обслуживания посредством системы «Банк-Клиент» временно прекратить их прием и исполнение переданных Клиентом электронных документов; ограничить число одновременно действующих открытых ключей уполномоченного лица Клиента, используемых для проверки ЭП; ограничить срок действия открытого ключа уполномоченного лица Клиента. 5.3. Клиент обязуется: осуществлять эксплуатацию переданного Банком программного обеспечения, базирующегося на СКЗИ «Крипто-Си», в соответствии с требованиями, изложенными в Приложении № 1 к настоящему Соглашению; в случае компрометации закрытого ключа уполномоченного лица Клиента незамедлительно в порядке, предусмотренном настоящим Соглашением, передать в Банк просьбу о блокировании и направить письменное уведомление об отмене действия соответствующего открытого ключа. Банк______________________ Клиент______________________ 4 5.4. Банк обязуется: принимать и исполнять электронные документы, подписанные необходимыми ЭП уполномоченных лиц Клиента; предоставить Клиенту во временное пользование программное обеспечение, необходимое для защиты электронных документов, передаваемых в систему «Банк-Клиент»; предоставить Клиенту необходимую информацию и консультационные услуги по вопросам эксплуатации программного обеспечения, используемого для обеспечения защиты электронных документов, передаваемых в систему «Банк-Клиент»; при поступлении от Клиента уведомления об отмене действия открытого ключа уполномоченного лица Клиента прекратить использование этого ключа для проверки ЭП электронных документов. 5.5. Стороны обязуются: организовать внутренний режим функционирования рабочих мест таким образом, чтобы исключить возможность использования СКЗИ «Крипто-Си» и закрытых ключей неуполномоченными лицами; при выявлении одной из Сторон признаков нарушения безопасности обслуживания с помощью системы «Банк-Клиент», обеспечить незамедлительную приостановку всех действий по его осуществлению и известить о случившемся другую Сторону. 6. ОТВЕТСТВЕННОСТЬ СТОРОН 6.1. В случае невыполнения или ненадлежащего выполнения своих обязательств по настоящему Соглашению одной из Сторон, другая Сторона имеет право потребовать от виновной Стороны исполнения принятых на себя обязательств, а также возмещения причиненного ей ущерба. 6.2. Банк не несет ответственности за последствия нарушения Клиентом требований по установке и эксплуатации СКЗИ «Крипто-Си» и обращению с криптографическими ключами, в том числе убытки, понесенные Клиентом из-за несанкционированного использования закрытых ключей уполномоченных лиц Клиента неуполномоченными лицами. 6.3. После прекращения действия или расторжения настоящего Соглашения Стороны продолжают нести ответственность по электронным документам, созданным и исполненным в период действия настоящего Соглашения. 7. ОБСТОЯТЕЛЬСТВА НЕПРЕОДОЛИМОЙ СИЛЫ 7.1. В случае возникновения обстоятельств непреодолимой силы (форс-мажор), к которым относятся, в том числе, стихийные бедствия; аварии; пожары; массовые беспорядки; забастовки; военные действия; действия третьих лиц и иные обстоятельства, не зависящие от воли Сторон и препятствующие исполнению Сторонами своих обязательств по настоящему Соглашению. Сторона, попавшая под влияние таких обстоятельств, освобождается от ответственности за неисполнение, ненадлежащее исполнение принятых на себя обязательств при условии уведомления другой Стороны об обстоятельствах непреодолимой силы в разумный срок. 7.2. Действие настоящего Соглашения приостанавливается на время действия обстоятельств непреодолимой силы и возобновляется сразу после прекращения их действия. 7.3. Сторона, понесшая убытки из-за неисполнения, ненадлежащего исполнения второй Стороной своих обязанностей по настоящему Соглашению в связи с действием обстоятельств непреодолимой силы, может запросить от другой Стороны предоставления письменного подтверждения факта наличия обстоятельств непреодолимой силы, периода действия и влияния на деятельность второй Стороны. 8. СРОК ДЕЙСТВИЯ И РАСТОРЖЕНИЕ СОГЛАШЕНИЯ 8.1. Настоящее Соглашение вступает в силу с момента подписания его Сторонами. 8.2. Действие настоящего Соглашения ограничено сроком действия Договора об использовании системы «Банк-Клиент». 8.3. Настоящее Соглашение может быть расторгнуто по требованию любой из Сторон. Банк______________________ Клиент______________________ 5 8.4. Расторжение настоящего Соглашения влечет расторжение Договора об использовании системы «Банк-Клиент». 8.5. Расторжение настоящего Соглашения не влечет расторжения других договоров (соглашений) между Банком и Клиентом в части, не затрагивающей обслуживание Клиента путем обмена электронными документами, подписанными ЭП уполномоченных лиц Клиента. 8.6. Расторжение настоящего Соглашения не прекращает обязательств Клиента и Банка, возникших до момента расторжения, в том числе по электронным документам, переданным и подписанным ЭП уполномоченных лиц Клиента, полученным Банком до момента вступления расторжения настоящего Соглашения в силу. 9. ПОРЯДОК РАЗРЕШЕНИЯ СПОРОВ 9.1. В случае несогласия Клиента с действиями Банка, связанными с исполнением Банком подписанных ЭП электронных документов, Клиент направляет в Банк письменную претензию. 9.2. Банк в течение семи дней рассматривает претензию Клиента и принимает решение об удовлетворении претензии Клиента либо отказе в претензии с письменным обоснованием причин отказа. 9.3. В случае несогласия с решением Банка Клиент направляет в Банк письменное уведомление о своем несогласии и требованием формирования комиссии для рассмотрения спора. 9.4. Стороны в течение десяти дней после получения Банком письменного уведомления Клиента создают комиссию, состоящую из равного количества представителей Сторон, в которую от каждой Стороны включается не более двух человек. 9.5. По общему согласию Стороны могут включить в состав экспертной комиссии независимого эксперта, имеющего необходимые познания в сфере электронного документооборота. 9.6. В течение десяти дней с даты создания экспертной комиссии Клиент предоставляет комиссии следующие материалы: заявление с изложением претензии; при наличии, бумажную копию оспариваемого электронного документа; при наличии, заверенные Банком копии уведомлений об отмене действия открытых ключей уполномоченных лиц Клиента; все иные документы, необходимые для рассмотрения спора. 9.7. В течение семи дней с даты создания комиссии Банк предоставляет экспертной комиссии следующие материалы: письменный ответ Банка на претензию Клиента; электронный документ, на основании которого Банк совершил оспариваемые Клиентом действия (далее - оспариваемый электронный документ), заверенный ЭП уполномоченных лиц Клиента, в виде файла (или оспариваемый электронный документ в виде файла и соответствующие этому документу ЭП в виде отдельных файлов); бумажную копию оспариваемого электронного документа; сертификаты открытых ключей уполномоченных лиц Клиента, с помощью которых проводилась проверка ЭП оспариваемого электронного документа, в виде файлов; распечатки сертификатов уполномоченных лиц Клиента на бумажном носителе содержащиеся в Акте о вводе в эксплуатацию системы «Банк-Клиент»; при наличии, оригиналы уведомлений об отмене действия открытых ключей уполномоченных лиц Клиента; иные документы, необходимые для рассмотрения спора. 9.8. Каждая из Сторон вправе передать экспертной комиссии другие материалы, имеющие отношение к сути рассматриваемой претензии. 9.9. Стороны обязаны содействовать работе комиссии и не допускать отказа от предоставления необходимых документов. 9.10. В случае непредставления в установленный срок экспертной комиссии одной из Сторон каких-либо из вышеперечисленных материалов к рассмотрению принимаются аналогичные материалы, предоставленные другой Стороной. Банк______________________ Клиент______________________ 6 9.11. Эталонную СКЗИ «Крипто-Си», необходимую для проверки ЭП оспариваемого электронного документа, экспертная комиссия получает у разработчика. 9.12. Процедура проверки корректности ЭП и правильности исполнения Банком оспариваемого электронного документа осуществляется экспертной комиссией в следующем порядке: проверяется соответствие предоставленного Банком электронного документа действиям Банка по его исполнению; проверяются дата и время регистрации, а также срок действия открытых ключей уполномоченных лиц Клиента, с помощью которых проверялись ЭП в Банке; при наличии уведомлений Клиента об отмене действия открытого ключа проверяются дата и время их регистрации в Банке; проверяется подлинность и целостность открытых ключей уполномоченных лиц Клиента, с помощью которых проверялись ЭП в Банке, путем сравнения файлов сертификатов ключей уполномоченных лиц Клиента с распечатками Актов о вводе в эксплуатацию системы «Банк-Клиент», содержащих зашифрованную часть ключа электронной подписи; с помощью эталонной СКЗИ «Крипто-Си» осуществляется проверка ЭП оспариваемого электронного документа. 9.13. Подтверждением корректности ЭП и правильности исполнения Банком оспариваемого электронного документа является одновременное выполнение следующих условий: информация, содержащаяся в оспариваемом электронном документе полностью соответствует действиям Банка по его исполнению; открытые ключи уполномоченных лиц Клиента, с помощью которых проверялись ЭП, в момент поступления электронного документа в Банк и его проверки являлись действующими, т.е. были зарегистрированы в установленном порядке, сроки их действия не истекли и они не были отменены; подтверждена подлинность и целостность открытых ключей уполномоченных лиц Клиента, с помощью которых проводилась проверка ЭП; проверка ЭП электронного документа с использованием открытых ключей уполномоченных лиц Клиента дала положительный результат, т.е. подтвердила корректность ЭП этого документа. 9.14. Выполнение всех условий, перечисленных в п. 9.13. означает, что корректность ЭП и правильность исполнения Банком оспариваемого электронного документа подтверждена, т.е. проверяемый электронный документ подписан корректными ЭП и был правильно исполнен Банком. 9.15. Невыполнение любого из условий, перечисленных в п. 9.13. означает, что корректность ЭП и правильность исполнения электронного документа не подтверждена, т.е. проверяемый электронный документ подписан некорректными ЭП, либо электронный документ не был правильно исполнен Банком. 9.16. В том случае, если Банк принял к исполнению электронный документ, подписанный ЭП уполномоченных лиц Клиента, корректность которых и правильность исполнения указанного электронного документа установлены экспертной комиссией, претензии Клиента к Банку, связанные с последствиями исполнения указанного документа, признаются необоснованными. 9.17. В том случае, если Банк принял к исполнению электронный документ, подписанный ЭП уполномоченных лиц Клиента, корректность которых либо правильность исполнения электронного документа Банком не подтверждены экспертной комиссией, претензии Клиента к Банку, связанные с последствиями исполнения указанного документа, признаются обоснованными. 9.18. По итогам работы экспертной комиссии составляется Акт, в котором отражаются: содержание претензии Клиента; действия (процесс работы) комиссии; установленные обстоятельства; выводы комиссии. 9.19. Акт подписывается всеми членами комиссии и является основанием для принятия Сторонами окончательного решения об урегулировании спорной ситуации. Банк______________________ Клиент______________________ 7 9.20. Члены комиссии, не согласные с выводами, отраженными в Акте, подписывают Акт с возражениями либо излагают свое несогласие и выводы в письменном виде в отдельном документе, который прилагается к Акту. 9.21. Максимальный срок работы комиссии составляет тридцать дней с даты ее создания. 9.22. Стороны признают, что Акт комиссии служит основанием для решения спорного вопроса и является доказательством в случае передачи спора на рассмотрение в судебные органы. 9.23. Расходы по формированию и работе комиссии (за исключением расходов на выплату вознаграждения за работу в составе комиссии экспертам, привлеченным по инициативе Клиента) возлагаются на Банк. В случае признания комиссией требований Клиента необоснованными, Клиент обязан в течение 5 (пяти) рабочих дней с момента составления Акта комиссии возместить Банку все указанные расходы. Банк имеет право возместить указанные расходы путем безакцептного списания средств со счетов Клиента, открытых им в Банке. 9.24. В случае несогласия одной из Сторон с решением комиссии, уклонения от создания комиссии, либо участия в ее работе, воспрепятствования участию второй Стороны в работе комиссии, вторая Сторона вправе передать спор на рассмотрение в Арбитражный суд г. СанктПетербурга и Ленинградской области. 10. АДРЕСА И РЕКВИЗИТЫ СТОРОН Банк: Клиент: Санкт-Петербургский банк инвестиций (ЗАО) 197101, г. Санкт-Петербург, ул. Б. Монетная, 16, корпус 30, лит. А ИНН 7835903703 КПП 783501001 БИК 044030820 к/с 30101810100000000820 в Северо-Западном ГУ Банка России, г. Санкт-Петербург т. 611-15-40, факс 611-15-39 e-mail: info@sbionline.ru веб-сайт: http://www.sbionline.ru Адрес КИО КПП Тел. Факс e-mail От Банка От Клиента Руководитель (должность) Должность (если имеется) / / / / / / / / Главный бухгалтер М.П. Банк______________________ М.П. Клиент______________________ 8 Приложение № 1 к Соглашению о признании и использовании электронной подписи в системе «Банк-Клиент» ТРЕБОВАНИЯ по обеспечению безопасности использования программного обеспечения со встроенным СКЗИ «Крипто-Си» В целях обеспечения безопасности использования СКЗИ «Крипто-Си» (далее СКЗИ), сертифицированным ФСБ РФ, должны выполняться следующие требования по организационно-техническим мерам защиты информации: Организация системы защищенного документооборота с использованием программного обеспечения со встроенным сертифицированным СКЗИ разрешается только организациям, имеющим соответствующие лицензии на право осуществления деятельности в области криптографической защиты информации. Участники систем защищенного документооборота могут осуществлять использование программного обеспечения со встроенным СКЗИ без получения собственных лицензий. Автоматизированные рабочие места с СКЗИ должны располагаться в помещениях, обеспечивающих невозможность несанкционированного доступа к СКЗИ. Правом доступа к рабочим местам с СКЗИ должны обладать только лица, ознакомленные с правилами пользования СКЗИ и с другими нормативными документами, созданными на их основе. Системные блоки ПЭВМ с СКЗИ должны быть опечатаны специально выделенной для этих целей печатью. Наряду с этим допускается применение других дополнительных средств контроля за доступом к ПЭВМ. ПЭВМ должна обладать средствами самотестирования при включении питания, а также средствами контроля уровня питающих напряжений и прерывания работы компьютера при снижении напряжений ниже допустимых пределов. При эксплуатации ПЭВМ с СКЗИ допускается одно промежуточное выключение питания в течение суток при круглосуточном режиме работы. Периодически, не реже одного раза в два месяца, должен проводиться контроль целостности установленного программного обеспечения на всех ПЭВМ с СКЗИ. При необходимости удаления файлов, которые использовались при работе СКЗИ, должно применяться затирание содержимого удаляемых файлов с помощью утилиты WIPE.EXE из состава СКЗИ. На ПЭВМ с установленным СКЗИ должны запускаться только те приложения, которые разрешены администратором. На ПЭВМ должна быть установлена только одна операционная система. На ПЭВМ должна быть установлена парольная защита на вход в BIOS и в операционную систему. При выборе пароля необходимо следовать следующим рекомендациям: - пароль должен содержать не менее 6 символов; Банк______________________ Клиент______________________ 9 - не использовать в качестве пароля имя, фамилию, день рождения и другие памятные даты, номер телефона, автомобиля, адрес местожительства и другие данные, которые могут быть подобраны злоумышленником путем анализа информации об администраторе или пользователе; - не использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов; - не использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, “1234567” и т. п.); - использовать в качестве пароля комбинацию знаков, смысл последовательности которых трудно определить. При использовании программно-аппаратного комплекса защиты от несанкционированного доступа с интерфейсом ISA, штатными средствами BIOS должна быть исключена возможность отключения пользователями ISA-устройств. С помощью штатных средств BIOS должна быть исключена возможность работы на ПЭВМ, если во время его начальной загрузки не проходят встроенные тесты. При использовании СКЗИ на ПЭВМ, подключенных к общедоступным сетям связи, должны быть предприняты дополнительные меры, исключающие возможность несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей. Создание списка пользователей, добавление в список нового пользователя, создание идентификаторов доступа в системной базе данных прав доступа, выдача созданных идентификаторов пользователям в операционной системе должны осуществляться только администратором системы. Доступ к управлению привилегиями, квотами и установке прав доступа пользователей к файловой системе должен иметь только администратор системы. Управление привилегиями и квотами операционной системы должно осуществляться для каждого пользователя персонально на основе его системной учетной информации. Права доступа каждого пользователя к файловой системе операционной системы должны определяться администратором системы в соответствии с правилами эксплуатации системы. Любые дополнительные права доступа должны даваться пользователям только системным администратором по согласованию со службой безопасности, если это необходимо для функционирования автоматизированной системы, базы данных и/или вычислительного комплекса в целом. Рабочие места должны быть защищены с помощью специальных программных и аппаратных средств антивирусной защиты (сетевых или персональных). Программное обеспечение, установленное на ПЭВМ, не должно содержать средств разработки и отладки приложений, а также средств, позволяющих осуществлять несанкционированный доступ к системным ресурсам. Под средствами разработки подразумеваются также средства написания программ при помощи языка макроопределений, поставляемого в составе прикладного программного обеспечения, например, Microsoft Office. Не следует исполнять и открывать файлы, полученные из общедоступных сетей передачи данных, без проведения соответствующих проверок на предмет содержания в них программных закладок и вирусов. Банк______________________ Клиент______________________ 10 При эксплуатации СКЗИ ЗАПРЕЩАЕТСЯ: Оставлять без контроля вычислительные средства, на которых установлены СКЗИ, при включенном питании и загруженном программном обеспечении СКЗИ. При кратковременном перерыве в работе рекомендуется производить гашение экрана, возобновление активности экрана должно производиться с использованием пароля доступа. Несанкционированно устанавливать, создавать и выполнять на ПЭВМ посторонние программы (программы, не санкционированные к запуску администратором), в том числе программы, позволяющие, пользуясь ошибками операционной системы, получать привилегии администратора. В случае обнаружения «посторонних» программ, нарушения целостности программного обеспечения, либо выявления факта повреждения печатей на системных блоках работа на ПЭВМ с программным обеспечением СКЗИ должна быть прекращена. По данному факту должно быть проведено служебное расследование и организованы работы по анализу и ликвидации негативных последствий данного нарушения. Осуществлять несанкционированное администратором информационной безопасности копирование носителей персональной ключевой информации. Разглашать содержимое носителей персональной ключевой информации или передавать сами носители лицам, к ним не допущенным. Выводить конфиденциальную ключевую информацию на дисплей и принтер. Использовать носители персональной ключевой информации в режимах, не предусмотренных правилами пользования СКЗИ, либо использовать ключевые носители на посторонних ПЭВМ. Записывать на носители персональной ключевой информации постороннюю информацию. Использовать программное обеспечение СКЗИ для защиты информации с грифом секретности «секретно» и выше. Банк______________________ Клиент______________________ 11 Приложение № 2 к Соглашению о признании и использовании электронной подписи в системе "БанкКлиент" Заявление на изготовление технологического ключа и сертификата ключа подписи Пользователя системы ДБО Наименование Клиента КИО □ Прошу изготовить технологический ключ и сертификат ключа подписи своего уполномоченного представителя в соответствии со следующими идентификационными данными: Фамилия, имя, отчество Должность Право подписи Область применения сертификата Система «Клиент-Банк» □ Прошу заблокировать существующий сертификат ключа подписи для следующего владельца ЭП: Фамилия, имя, отчество Должность Право подписи Область применения сертификата должность Система «Клиент-Банк» подпись Ф.И.О. «____» ______________ 20 __ г. М.П. Заявление получено и зарегистрировано в Банке «____»_____________20__г. _______________________ (подпись) Банк______________________ ________________________ Ф.И.О. Клиент______________________ 12
