7.7. "Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения" СТО БР ИББС-1.0-2014" (принят и введен в действие Распоряжением Банка России от 17.05.2014 N Р-399)

7.7.1. Средства криптографической защиты информации или шифровальные (криптографические) средства (далее - СКЗИ) предназначены для защиты информации при ее обработке, хранении и передаче по каналам связи.

Необходимость использования СКЗИ определяется организацией БС РФ самостоятельно, если иное не предусмотрено законодательством РФ.

7.7.2. Применение СКЗИ в организации БС РФ должно проводиться в соответствии с моделью угроз ИБ и моделью нарушителя ИБ, принятыми организацией БС РФ. Рекомендуется утвердить частную политику ИБ, касающуюся применения СКЗИ в организации БС РФ.

7.7.3. СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2.

7.7.4. Работы по обеспечению с помощью СКЗИ безопасности информации проводятся в соответствии с законодательством РФ, нормативными документами, регламентирующими вопросы эксплуатации СКЗИ, технической документацией на СКЗИ и лицензионными требованиями ФСБ России.

7.7.5. Для обеспечения безопасности необходимо использовать СКЗИ, которые:

- допускают встраивание в технологические процессы обработки электронных сообщений, обеспечивают взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов;

- обладают полным комплектом эксплуатационной документации, предоставляемых разработчиком СКЗИ, включая описание ключевой системы, правил работы с ней и обоснование необходимого организационно-штатного обеспечения;

- сертифицированы уполномоченным государственным органом либо имеют разрешение ФСБ России.

7.7.6. Установка и ввод в эксплуатацию, а также эксплуатация СКЗИ должны осуществляться в соответствии с эксплуатационной и технической документацией к этим средствам.

7.7.7. При применении СКЗИ должны поддерживаться непрерывность процессов протоколирования работы СКЗИ в соответствии с технической документацией на СКЗИ и обеспечения целостности программного обеспечения для среды функционирования СКЗИ, представляющую собой совокупность технических и программных средств, совместно с которыми происходит штатное функционирование СКЗИ и которые способны повлиять на выполнение предъявляемых к СКЗИ требований.

7.7.8. ИБ процессов изготовления криптографических ключей СКЗИ должна обеспечиваться комплексом технологических, организационных, технических и программных мер и средств защиты, предусмотренных технической документацией на СКЗИ.

7.7.9. Для повышения уровня безопасности при эксплуатации СКЗИ и их ключевых систем рекомендуется реализовать процедуры мониторинга ИБ, регистрирующие все значимые события, состоявшиеся в процессе обмена криптографически защищенными данными, и все инциденты ИБ.

7.7.10. Порядок применения СКЗИ определяется руководством организации БС РФ на основании указанных выше в данном разделе документов и должен включать:

- порядок ввода в действие, включая процедуры встраивания СКЗИ в АБС;

- порядок эксплуатации;

- порядок восстановления работоспособности в аварийных случаях;

- порядок внесения изменений;

- порядок снятия с эксплуатации;

- порядок управления ключевой системой;

- порядок обращения с носителями ключевой информации, включая действия при смене и компрометации ключей.

7.7.11. Криптографические ключи могут изготавливаться организациями БС РФ и (или) клиентом организации БС РФ самостоятельно. Отношения, возникающие между организациями БС РФ и их клиентами, регулируются заключаемыми договорами.