ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

(БАНК РОССИИ)

РЕГИОНАЛЬНАЯ АВТОМАТИЗИРОВАННАЯ БАНКОВСКАЯ

ИНФОРМАЦИОННАЯ СИСТЕМА (РАБИС – 1)
АВТОМАТИЗИРОВАННАЯ СИСТЕМА
ПОЛЕВЫХ УЧРЕЖДЕНИЙ БАНКА РОССИИ
Описание подсистемы информационной безопасности

Листов 13

2003
 Автоматизированная система полевых учреждений Банка России
Описание подсистемы информационной безопасности

АННОТАЦИЯ
Данный документ разработан на автоматизированную систему полевых учреждений (АС
ПУ) Банка России.

Заказчиком АС ПУ выступает Центральный Банк Российской Федерации (Банк России).

Исполнителем является ЗАО «Технос-К», адрес: 119991, г. Москва, Ленинский проспект, 53,
тел. 135-2270, e-mail: mail@tehnosk.ru.

Документ разработан в соответствии с ГОСТ 19.202-78 и оформлен в соответствии с ГОСТ

19.104-78, 19.105-78, 19.106-78.

Авторское право (Copyright)  2003 Закрытое акционерное общество «Технос-К».

Страница 2
 Автоматизированная система полевых учреждений Банка России
Описание подсистемы информационной безопасности

СОДЕРЖАНИЕ
1. Общие положения................................................................................................................................4
2. Основные принципы защиты информации в АС ПУ.......................................................................5
2.1. Организационные мероприятия.............................................................................................................5
2.2. Технологические мероприятия..............................................................................................................6
2.2.1. Применение технологии «двойного ввода»............................................................................6
2.2.2. Использование программного комплекса «Криптоцентр авизо».........................................7
2.3. Технические мероприятия.....................................................................................................................7
2.4. Программные мероприятия...................................................................................................................8
2.5. Криптографические мероприятия..........................................................................................................8
3. Технология обеспечения безопасности в АС ПУ.............................................................................9
3.1. Управление доступом............................................................................................................................9
3.1.1. Учет пользователей...................................................................................................................9
3.1.2. Обеспечение и управление парольной защитой средствами АС ПУ для идентификации
пользователей при входе в АС ПУ.....................................................................................................9
3.1.3. Контроль доступа пользователей к функциям АС ПУ и БД путем установления и
изменения их полномочий (формирование ролей).........................................................................10
3.1.4. Управление доступом с помощью разрешенных к использованию СЗИ от НСД...........10
3.2. Контроль технологических операций...................................................................................................11
3.3. Регистрация и аудит событий..............................................................................................................11
3.4. Архивирование....................................................................................................................................12
3.5. Обеспечение и контроль целостности.................................................................................................12
Источники разработки...............................................................................................................................13

Страница 3
 Автоматизированная система полевых учреждений Банка России
Описание подсистемы информационной безопасности

1. ОБЩИЕ ПОЛОЖЕНИЯ

АС ПУ разработана как единая система, использующая общую НСИ, работающая на

общей БД, имеющая стандартный интерфейс, контролируемая едиными для всей АС ПУ
подсистемами информационной безопасности и администрирования.
Подсистема информационной безопасности (ПИБ) АС ПУ предназначена для
противодействия угрозам нарушения защиты платежной информации, а также информации,
содержащей сведения ограниченного распространения. ПИБ АС ПУ разработана с учетом
требований, изложенных в [1] и [2].

ПИБ АС ПУ включает в себя следующие группы функций:

 Управления доступом;

 Контроль технологических операций;

 Регистрация и аудит событий;

 Архивирование;

 Криптографическая защита;

 Обеспечение и контроль целостности ПО и БД .

Страница 4
 Автоматизированная система полевых учреждений Банка России
Описание подсистемы информационной безопасности

2. ОСНОВНЫЕ ПРИНЦИПЫ ЗАЩИТЫ ИНФОРМАЦИИ В АС ПУ

Система защиты информации в АС ПУ представляет из себя комплекс следующих

мероприятий:

 организационные;
 технические;
 технологические;
 программные;
 криптографические.
Организационные, технические и технологические мероприятия по защите информации в АС
ПУ реализуются в соответствии с нормативно-методическими материалами Главного управления
безопасности и защиты информации (ГУБЗИ) ЦБ РФ и Департамента информатизации ЦБ РФ.

2.1. Организационные мероприятия

К организационным мероприятиям относятся:

 создание модели безопасности с определением зон безопасности от

несанкционированного доступа (НСД), включая определение порядка
доступа, порядка охраны, контроля и используемых технических средств;

 размещение АРМов, дистрибутива ПО, базы личных ключей пользователей

АС ПУ в помещениях со строго ограниченным доступом персонала;

 разработка и внедрение организационно-методических материалов по защите

информации в подразделениях ЦБ РФ региона;

 проведение периодических инструктажей персонала, работающего на АРМах

АС ПУ;

 обеспечение каждого АРМ необходимым инструктивным и методическим

материалом;

 постоянный контроль за выполнением инструкций по защите информации и

за соблюдением режима информационной безопасности в помещениях с
ограниченным доступом персонала;

 ведение паспортов АРМ пользователей АС ПУ.

Страница 5
 Автоматизированная система полевых учреждений Банка России
Описание подсистемы информационной безопасности

2.2. Технологические мероприятия

К технологическим мероприятиям относятся:

 разработка технологической схемы потоков информации с определением

мест обработки, хранения, контроля и защиты;

 применение технологии «двойного ввода» (см. п.п. настоящего документа);

 использование ПК «Криптоцентр» (проставление и проверка КПД авизо и

др.);

 разработка технологических инструкций, определяющих порядок обработки,

хранения и приема/передачи конфиденциальной информации для каждого
рабочего места, на котором обрабатывается такая информация.

2.2.1. Применение технологии «двойного ввода»

АС ПУ обеспечивает ввод документов с бумажных носителей по технологии «двойного
ввода» в соответствии с [3].

В общем случае последовательность операций выглядит следующим образом:

 ответисполнитель вводит в АС ПУ информацию с бумажного носителя;

 вводимая информация проходит логический контроль;

 в БД АС ПУ заносится запись (документ) подписанная КА

ответисполнителя;

 бумажный документ (пачка документов) передается контроллеру;

 контроллер вводит цифровые реквизиты документа;

 по цифровым реквизитам в БД определяется соответствующий документ;

 контроллер визуально сверяет текстовые реквизиты документа;

 в положительном случае (совпадение всех реквизитов) документ

дополнительно подписывается КА контроллера;

 при отрицательном результате проверки в присутствии администратора

информационной безопасности производится разбор возникшей ситуации и
выполняются действия описанные в п.10 [3].

Страница 6
 Автоматизированная система полевых учреждений Банка России
Описание подсистемы информационной безопасности

2.2.2. Использование программного комплекса «Криптоцентр авизо»

АС ПУ использует внешний программный комплекс «Криптоцентр авизо» для
формирования и проверки достоверности КПД:

 почтовых и телеграфных авизо;

 дубликатов авизо;

 подтверждений (предварительный и последующий контроль).

КПД сохраняется в БД, что дает дополнительную гарантию безопасности и неизменности

информации на фоне использования КА ответисполнителя и контролера.

Обмен информацией с «Криптоцентром авизо» ведется файлами определенных форматов

[5,6]. В общем случае последовательность действий выглядит следующим образом:

 ответисполнитель выгружает данные (авизо, дубликаты авизо,

подтверждения) в файл;

 файл по технологии, определенной в конкретном ПУ (например, на дискете),

передается в «Криптоцентр авизо»;

 в «Криптоцентре авизо» проводится дополнительный логический контроль

полученной информации, проставляется КПД или признак верности КПД,
данные выгружаются в виде файла;

 файл передается в АС ПУ;

 данные полученные из «Криптоцентра авизо» проходят логический

контроль, КПД или признак верности КПД заносятся в БД.

2.3. Технические мероприятия

К техническим мероприятиям относится ряд мер, затрудняющих несанкционированный

доступ к отдельной персональной электронно-вычислительной машине (ПЭВМ), к локально-
вычислительной сети (ЛВС) и системе телекоммуникаций:

 установка паролей на SETUP, опечатывание ПЭВМ и т.п.;

 применение специальных аппаратно-программных комплексов защиты от

НСД на основе Touch Memory (например, СЗИ от НСД “Аккорд”);

 использование для АРМов автоматизированной системы ПУ персональных

ЭВМ со встроенной системой защиты от НСД;

Страница 7
 Автоматизированная система полевых учреждений Банка России
Описание подсистемы информационной безопасности

 проверка полномочий доступа к серверам и базам данных АС ПУ.

2.4. Программные мероприятия

К программным мероприятиям относятся:

 разграничение прав доступа пользователей к функциям АС ПУ и, таким

образом, к БД;

 идентификация пользователя при входе в АС ПУ, определение его

полномочий и ограничение перечня доступных функций в соответствии с
профилем роли идентифицированного пользователя;

 подробное протоколирование действий пользователя (в т.ч. регистрация

идентификатора пользователя, идентификатора рабочего места, даты и
времени производимой операции, начальные и конечные значения
изменяемых параметров);

 создание выделенного АРМа администратора информационной безопасности

с необходимыми функциями [10] (в т.ч. аудит функционирования АС ПУ).

2.5. Криптографические мероприятия

К криптографическим мероприятиям относится:

 использование средств криптографической защиты информации в каналах

связи, разрешенных к применению в Банке России;

 использование для простановки и проверки подлинности ЭЦП СКЗИ

рекомендованные к применению БР;

 использование ПК «Криптоцентр» (проставление и проверка КПД авизо и

др.);

 установка на АРМах АС ПУ криптографических средств контроля

целостности программного обеспечения.

При организации работы со средствами криптографической защиты информации на объектах

автоматизации должны соблюдаться требования раздела 5 [1] и [4].

Страница 8
 Автоматизированная система полевых учреждений Банка России
Описание подсистемы информационной безопасности

3. ТЕХНОЛОГИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ В АС ПУ

3.1. Управление доступом

При управлении доступом могут быть выполнены следующие задачи:

 Учет пользователей, в том числе присвоение пользователям ситемных

ролей. Путем наделения нескольких пользователей одинаковыми ролями
могут быть организованы группы «равностатусных» пользователей;

 Обеспечение и управление парольной защитой средствами АС ПУ для

идентификации пользователей при входе в АС ПУ;

 Контроль доступа пользователей к функциям АС ПУ и БД путем

установления и изменения их полномочий (формирование ролей).

Кроме того управление доступом реализуется с помошью разрешенных к использованию

СЗИ от НСД.

3.1.1. Учет пользователей

К функциям, обеспечивающим ведение списка пользователей, относятся:

 формирование описаний пользователей,

 блокировка и разблокировка пользователей;

 установка параметров подключения пользователей к системе;

 распределение пользователей по сменам на период и распределение по ролям

на период;

 получение отчета о закрытых и заблокированных пользователях;

 формирования и печати отчета по пользователям.

Обеспечение и управление парольной защитой средствами АС ПУ для идентификации

пользователей при входе в АС ПУ

Парольная защита и идентификации пользователей при входе в АС ПУ реализуется путем:

 задания первичного пароля для нового пользователя (ввод первичного

пароля нового пользователя выполняет Системный администратор);

Страница 9
 Автоматизированная система полевых учреждений Банка России
Описание подсистемы информационной безопасности

 необходимости смены первоначального пароля при первом входе данного

пользователя в систему;
 смены пользовательского пароля по желанию пользователя;
 ограничения срока действия паролей пользователей и необходимости
смены пароля при истечении строка действия пароля;
 программного контроля качества введенного пароля.
АС ПУ обеспечивает Администратору информационной безопасности возможность
осуществления контроля за подключениями пользователей к системе (в т.ч. за попытками входа в
систему с неправильными паролями) и дает возможность, в случае необходимости, направлять
сообщения на рабочие места активных в текущий момент пользователей. В случае ввода
неправильного пароля более 3-х раз, учетная запись пользователя блокируется. Разблокировать
запись имеет право только Администратор информационной безопасности.

Подключение пользователей АС ПУ к СУБД MS SQL Server осуществляется с

помощью системного регистрационного имени, пароль которого формируется автоматически и
хранится в зашифрованном виде, недоступном пользователям, что обеспечивает невозможность
просмотра или коррекции содержимого общей базы данных не программными методами.

3.1.2. Контроль доступа пользователей к функциям АС ПУ и БД путем установления и

изменения их полномочий (формирование ролей)
К функциям, обеспечивающим формирование ролей относятся.:

 формирование описаний ролей,

 блокировка и разблокировка ролей,

 установление связей между описаниями ролей и описаниями пользователей,

 формирование состава (списка) операций роли.

3.1.3. Управление доступом с помощью разрешенных к использованию СЗИ от НСД.

Для разграничения доступа пользователей к ресурсам ПЭВМ, а также для обеспечения
контроля прав доступа к АРМ АС ПУ, могут быть использованы различные СЗИ от НДС.

Используемые средства защиты информации должны обеспечивать:

 защиту от НСД к ПЭВМ (РС), включая идентификацию пользователей по

уникальному ТМ-идентификатору и их аутентификацию (подтверждение
подлинности) с учетом необходимой длины пароля, времени его жизни,
ограничением времени доступа субъекта к ПЭВМ (РС);

Страница 10
 Автоматизированная система полевых учреждений Банка России
Описание подсистемы информационной безопасности

 защиту от несанкционированных модификаций и доверенную загрузку ОС

(контроль целостности критичных с точки зрения информационной
безопасности системных областей и файлов, программ и данных до загрузки
ОС);
 разграничение доступа к ресурсам ПЭВМ (АС), реализуемого атрибутами
доступа, которые устанавливаются администратором информационной
безопасности каждой паре "Субъект доступа - объект доступа" при
регистрации пользователей. Данная функция реализуется при установке
специального ПО разграничения доступа на диск ПЭВМ.
 другие механизмы защиты в соответствии с нормативными документами по
защите и требованиями Заказчика.

3.2. Контроль технологических операций

Контроль технологических операций выполняется путем:

 формирования эталонной базы, содержащей входящие ЭПД с КА (для авизо –

используется код подтверждения достоверности (КПД)) [7,8,9];

 реализации технологии «двойного ввода» в соответствии с [5], которая включает в

себя операцию первичного ввода реквизитов документов оператором и операцию
контроля правильности ввода реквизитов документов контролером;

 установки КА обработки каждого файла ЭПД;

 пореквизитного контроля на совпадение ЭПД с ЭПД, содержащимися в ЭБВС, и их

сверка с реквизитами соответствующих документов, проведенных по балансу;

 установки КА контроля обработки на файлы ЭПД после прохождения операций

пореквизитной сверки.

 проверка правильности КА при обращении к файлам ЭПД.

Для простановки и проверки подлинности КА программное обеспечение АС ПУ работает со

СКЗИ ЭЦП «TULASIGN», используя вызовы функций библиотек фирмы ИнфоКрипт TSIGN (для
работы с файлами) и STRSIGN (для работы с блоками памяти). Необходимые файлы этих
библиотек включены в состав дистрибутива ПО АС ПУ.

Открытые ключи должны храниться совместно с архивом входящих и исходящих пакетов

ЭПД вместе с ЭЦП и КА не менее пяти лет средствами ОС или применяемых СКЗИ.

Страница 11
 Автоматизированная система полевых учреждений Банка России
Описание подсистемы информационной безопасности

3.3. Регистрация и аудит событий

Аудит функционирования системы (сеансов и событий) обеспечивает путем:

 регистрации действий пользователя в специальном электронном журнале

операций;

 просмотра, печати и экспорта в файл журнала регистрации действий

пользователей по различным значениям фиксируемых реквизитов процессов
или событий за конкретный период времени;

 экспорта данных за определенный период в форматы приложений MSOffice

(Word, Excel) и текстовый.

Периодичность выполнения выгрузки архива на внешний носитель устанавливается

Администратором информационной безопасности.

3.4. Архивирование

Хранение входящих и исходящих пакетов ЭПД вместе с ЭЦП и КА не менее пяти лет
совместно с открытыми ключами (ключи хранятся средствами ОС или применяемых СКЗИ).

3.5. Обеспечение и контроль целостности

Обеспечение и контроль целостности информации осуществляется:

 при запуске системы для установленного системного и прикладного ПО АС ПУ при

помощи СЗИ от НСД (например, средствами CЗИ «Аккорд»);

 по регламенту путем сравнения рассчитанных контрольных сумм модулей ПО с

эталонными значениями контрольных сумм этих модулей;

 для дополнительно поставляемых модификаций ПО АС ПУ при их установке путем

сравнения рассчитанных контрольных сумм модулей ПО с эталонными значениями
контрольных сумм поставляемых модулей.

 Источники разработки

1. Банк России. «Временные требования по обеспечению безопасности технологий обработки

электронных платежных документов в системе Центрального банка Российской Федерации»
от 03.04.1997г. № 60. – Москва, ЦБ РФ, апрель, 1997г.
2. Банк России. Положение «Требования по обеспечению информационной безопасности
электронных технологий обработки, хранения и передачи информации, содержащей
сведения ограниченного распространения, в системе Банка России» от 26.12.2000г. №130-П.
– М.: ЦБ РФ, 2000.
Страница 12
 Автоматизированная система полевых учреждений Банка России
Описание подсистемы информационной безопасности

3. Банк России. Указание № 1116-У «О порядке ввода реквизитов документов на бумажных

носителях в автоматизированные системы Банка России» от 22.02.2002г. – Москва, ЦБ РФ,
февраль, 2002г.
4. Банк России. Указание № 1099-У «О внесении изменений и дополнений во «Временные
требования по обеспечению безопасности технологий обработки электронных платежных
документов в системе Центрального банка Российской Федерации» от 03.04.1997г. № 60»»
от 14.01.2002г. – Москва, ЦБ РФ, январь, 2002г.
5. Задание ДИС № 34\2000 от 25.10.2000г. (Исх. №16-2-4\3753).
6. Дополнение 2 к Заданию №34\2000 от 26.12.2000г. (Исх.16-2-4\5040).
7. Задание №2/20001 от 16.03.2001 (Исх. №16-2-2/614).
8. Информационное сообщение о Дополнении 1 Заданию №2/20001 от 25.04.2001 (Исх. №16-2-
2/1219).
9. Информационное сообщение о Дополнении 2 Заданию №2/20001.
10. Региональная Автоматизированная Банковская Информационная Система (РАБИС-1).
Автоматизированная система полевых учреждений Банка России. Руководство
администратора подсистемы информационной безопасности. Москва, ЦБ РФ, 2003.

Страница 13