Письмо Московское ГТУ ЦБ РФ от 21.03.2012 г № 19-5-02/23845
О соблюдении требований информационной безопасности
Московским ГТУ Банка России проведен анализ соблюдения кредитными организациями (КО) положений Договора между кредитной организацией и Банком России о передаче-приеме отчетности в виде электронных сообщений (Договор) в части организации работ, связанных с применением средств криптографической защиты информации (СКЗИ).
В соответствии с требованиями, изложенными в приложении N 4 к Договору "Порядок обеспечения информационной безопасности при передаче-приеме электронных сообщений", для обеспечения достоверности и конфиденциальности передаваемых сведений используется СКЗИ "Верба-OW".
В процессе проведенного анализа за 2011 год выявлены следующие систематические нарушения, допускаемые кредитными организациями при эксплуатации средств криптографической защиты информации:
- Несоблюдение требований приложения 5 к Договору "Порядок управления ключами кодов аутентификации и ключами шифрования".
В соответствии с указанным приложением руководство КО обязано незамедлительно уведомлять Центр управления ключевыми системами (ЦУКС) МГТУ Банка России о фактах компрометации ключей. Невыполнение данных требований создает риски, связанные с несанкционированными действиями со стороны утративших полномочия администраторов безопасности КО, а также возможности формирования фиктивной отчетности, блокирования работы по передаче электронных сообщений в МГТУ Банка России.
- Назначение администраторами безопасности СКЗИ кредитной организации сотрудников, не имеющих соответствующей профессиональной подготовки, а также привлечение к этой работе лиц, не являющихся сотрудниками КО.
Указанные факторы приводят к нарушению требований установленного порядка генерации ключей, настройки рабочих мест с установленным СКЗИ и формируют предпосылки приостановки приема отчетности от кредитных организаций МГТУ Банка России.
- Недостаточный контроль руководителей КО за организацией своевременного исполнения информационных писем МГТУ Банка России о сроках проведения плановых смен ключевых документов.
В соответствии с информационными письмами МГТУ Банка России о проведении плановых смен администратор безопасности СКЗИ КО в установленные сроки должен согласовать дату и время прибытия в ЦУКС для регистрации и получения ключевых документов (КД). Вместе с тем в 2011 году более 30 кредитных организаций не связались с ЦУКС в установленные сроки. В целях предупреждения остановки передачи отчетности (электронных сообщений) кредитными организациями ЦУКС МГТУ Банка России были организованы дополнительные мероприятия по повторному доведению требований о получении КД.
- Нарушение администраторами безопасности СКЗИ кредитных организаций правил учета, хранения, уничтожения, создания резервных копий ключевых документов, а также программного обеспечения СКЗИ "Верба-OW". Отсутствие должного контроля за порядком передачи/приема ключевых документов при смене администраторов.
Выявленные нарушения приводят к проблемам следующего характера:
- отсутствие резервных копий КД - исключает возможность восстановления вышедших из строя ключевых документов;
- несвоевременное уничтожение выведенных из действия КД - формирует угрозу применения недействительных (устаревших) ключевых документов, что приводит к отрицательным результатам обработки отправленных электронных сообщений в Московском ГТУ Банка России;
- отсутствие контроля со стороны ответственных лиц КО за порядком передачи/приема ключевых документов при смене администратора - создает возможность неконтролируемого использования ключевых документов неуполномоченными лицами в целях фальсификации электронных сообщений.
Таким образом, все указанные недостатки могут реализовать условия неисполнения кредитными организациями обязанностей по передаче электронных сообщений, установленных Договором.
Информируя об изложенном, обращаем внимание на необходимость организации дополнительного контроля за деятельностью администраторов безопасности СКЗИ в целях снижения уровня рисков, влияющих на сроки и качество формирования отчетности, установленные Указанием Банка России от 12.11.2009 N 2332-У "О перечне, формах и порядке составления и предоставления форм отчетности кредитных организаций в Центральный банк Российской Федерации".
Первый заместитель начальника
В.В. Кныш