Приложение №1 к договору банковского счета и банковского обслуживания

Вид материала

Документы

Содержание Предмет соглашения. общие положения Порядок организации электронных расчетов Права и обязательства банка Права и обязательства клиента. Порядок разрешения споров и урегулирования разногласий Ответственность сторон Срок действия соглашения Заключительные положения Юридические адреса и платежные реквизиты сторон Оао нкб "радиотехбанк" Инструкция по принятию дополнительных мер безопасности В этих и подобных случаях следует немедленно прекратить использование Системы, отключить компьютер от сети и начать расследовани С настоящей инструкцией ознакомлен Требования по организационно-техническим и административным мероприятиям при использовании скзи Организация работ по защите от НСД Требования по размещению технических средств с установленным СКЗИ Требования по установке СКЗИ, а также общесистемного и специального ПО на ЭВМ Требования по защите от НСД при эксплуатации СКЗИ С настоящими требованиями ознакомлен Заявление на регистрацию сотрудников клиента ... Полное содержание

Подобный материал:

• Список документов, необходимых для открытия банковского счета адвокату, 69.04kb.
• Зарегистрировано в Минюсте РФ 29 апреля 2003, 312.8kb.
• Зарегистрировано в Минюсте РФ 29 апреля 2003, 314.97kb.
• Об использовании систем дистанционного банковского обслуживания Глава I. Общие положения, 173.14kb.
• Заявление на перевод в валюте РФ без открытия банковского счета, 39.91kb.
• Правила дистанционного банковского обслуживания «sms-банкинг» для держателей международных, 147.84kb.
• Тарифы «рфи банк» зао за совершение операций по банковскому счету физического лица, 83.54kb.
• Типовой договор банковского счета юридического лица нерезидента в валюте, 118.37kb.
• Как объект банковского надзора > Центральные и коммерческие банки (как объект банковского, 585.81kb.
• Перечень документов, необходимых для идентификации клиента и открытия расчетного счета, 26.06kb.

Приложение №1

к договору банковского счета и банковского обслуживания

№__ от “__” ________ 20___ г.


соглашение №_________

ПО ОБСЛУЖИВАНИЮ БАНКОВСКОГО СЧЕТА

в системе дистанционного банковского обслуживания "Банк-клиент"


г.Н.Новгород "__"__________ 20__г.


Открытое акционерное общество Нижегородский коммерческий банк "РАДИОТЕХБАНК", именуемое в дальнейшем "Банк", в лице Председателя Правления Костровой Л. А., действующей на основании Устава, с одной стороны, и _______________________________, именуемый в дальнейшем "Клиент", в лице _______________________________________________________ , действующего на основании _______________ , с другой стороны, а при совместном именовании "Стороны", заключили настоящее соглашение о нижеследующем:

1. ПРЕДМЕТ СОГЛАШЕНИЯ. ОБЩИЕ ПОЛОЖЕНИЯ
   
   1. Предметом настоящего соглашения является осуществление Банком обслуживания Клиента с помощью автоматизированной системы дистанционного банковского обслуживания (ДБО) "Банк-клиент" (далее – Системы). В соответствии с полученными от Клиента электронными документами (ЭД), Банк осуществляет платежи Клиента путем безналичного перечисления с банковского счета Клиента, а также предоставляет дополнительные услуги.
      
   2. Официальное толкование специальных понятий, используемых в данном соглашении, дано в Федеральном Законе РФ "Об электронной цифровой подписи".
      
   3. При передаче документов в системе используется электронная цифровая подпись (ЭЦП), которая гарантирует подлинность, целостность и авторство документов, передаваемых в электронной форме. При этом поврежденные (т.е. если проверка ЭЦП даст отрицательный результат) документы не будут приняты Банком к исполнению.
      
   4. Стороны признают, что отправленные Клиентом и полученные Банком ЭД, подписанные ЭЦП Клиента, юридически равнозначны документам на бумажном носителе, подписанным собственноручными подписями из карточки с образцами подписей, хранящейся в Банке, и оттиском печати Клиента, являются основанием для осуществления операций по банковскому счету Клиента. Исполнение электронных документов и распоряжений Клиента, подписанных его ЭЦП, считается надлежащим исполнением Банком обязательств по настоящему соглашению.
      
   5. Стороны признают, что отправленные Банком и полученные Клиентом ЭД, подписанные ЭЦП Банка, юридически равнозначны документам на бумажном носителе, подписанным собственноручными подписями уполномоченных лиц Банка и оттиском печати Банка.
      
   6. Стороны признают используемую ими по настоящему договору систему защиты информации, которая обеспечивает шифрование, подлинность, целостность и авторство документов, достаточной для защиты от несанкционированного доступа, а также подтверждения авторства и подлинности электронных документов.
      
   7. Стороны признают в качестве единой шкалы времени при работе с Системой местное время г. Москвы. Контрольным является время системных часов аппаратных средств Банка.
      
   8. Виды электронных документов и требования по их оформлению устанавливаются в соответствии с требованиями действующего законодательства, нормативными актами Центрального Банка РФ. Электронные платежные документы должны содержать все реквизиты расчетных документов, предусмотренные утвержденными форматами и нормативными актами Банка России.
      
   9. Программное обеспечение, в том числе система криптографической защиты информации (СКЗИ) необходимое для функционирования Системы, предоставляются Клиенту во временное пользование на срок действия соглашения. По окончании срока действия соглашения Клиент обязуется в течение последующих трёх рабочих дней произвести удаление программного обеспечения предоставленного Банком в рамках настоящего Соглашения. Клиент осознает, что использование программного обеспечения после расторжения настоящего Соглашения является нарушением законных прав и имущественных интересов правообладателя, которое в последующем может привести к гражданско-правовой ответственности предусмотренной действующим законодательством РФ.
      

2. ПОРЯДОК ОРГАНИЗАЦИИ ЭЛЕКТРОННЫХ РАСЧЕТОВ
   
   1. Расчеты проводятся через Систему, которая состоит из Автоматизированного Рабочего Места (АРМ) Банка, АРМ Клиентов, систем телекоммуникаций.
      
   2. В Системе используются средства телекоммуникаций, обеспечивающие передачу электронных документов в Банк через официальный сайт Банка в сети Интернет (режим работы "онлайн").
      
   3. Для работы в Системе Клиент по своему усмотрению назначает одного или двух Ответственных Абонентов, а также Оператора. При этом: 1-ый Ответственный Абонент наделяется правом первой ЭЦП платежных документов, 2-ой Ответственный Абонент наделяется правом второй ЭЦП платежных документов, Оператор правом ЭЦП платежных документов не наделяется. В случае отсутствия 2-го Ответственного Абонента, 1-й Ответственный Абонент наделяется правом единственной ЭЦП платежных документов. Для работы с Системой Банком для Оператора изготавливается ключ, который будет признаваться ЭЦП Оператора. Оператор использует свою ЭЦП для доступа к работе с Системой (выполнения работы, предусмотренной его должностными обязанностями).
      
   4. Функции Ответственного Абонента:
      

• следит за сроками действия ключей и своевременно их обновляет;
  
• подписывает электронные документы с помощью своего личного Ключа;
  
• несет личную ответственность за компрометацию своего личного секретного Ключа;
  
• своевременно извещает Банк о случаях потери, возможного несанкционированного доступа к секретному Ключу или его компрометации;
  
• участвует в процедуре проверки ЭЦП при рассмотрении конфликтных ситуаций.
  

1. Для работы в Системе Клиент по своему усмотрению назначает Оператора. Оператор правом ЭЦП платежных документов не наделяется.
   
2. Функции Оператора:
   

• отвечает за работу АРМ Клиента с соблюдением всех процедур работы по Системе;
  
• несет личную ответственность за компрометацию своего личного секретного Ключа;
  
• своевременно извещает Банк о случаях потери, возможного несанкционированного доступа к секретному Ключу или его компрометации;
  
• следит за сроками действия ключей и своевременным их обновлением;
  
• организует регулярную связь с Банком (не реже двух раз в день), и отвечает за своевременную отправку и получение сообщений;
  
• осуществляет регулярный просмотр корреспонденции по Системе;
  
• доводит до Ответственного Абонента всю переданную и принятую информацию.
  

1. Порядок работы.
   
   1. Начало работы.
      

• Клиент заполняет в 2-х экземплярах, подписывает и передает в Банк настоящее Соглашение и "Заявление на регистрацию сотрудников клиента в системе ДБО "Банк-Клиент" (далее - Заявление), являющееся неотъемлемой частью настоящего Соглашения.
  
• Для каждого сотрудника Клиента, указанного в Заявлении, Банк изготавливает технологические ключи (т.е. предназначенные только для изготовления рабочих ключей) и передает их сотруднику Клиента – владельцу ключей (или его доверенному лицу) на электронном носителе вместе с дистрибутивом Системы.
  
• Владелец ключей на своем рабочем месте выполняет изготовление рабочих ключей. Используя технологические ключи, полученные в Банке, Клиент выполняет перегенерацию электронных ключей (п. 2.7.2.).
  
• Банк регистрирует рабочий открытый ключ Клиента, выпускает сертификат и средствами Системы отправляет его Клиенту (п. 2.7.3.).
  
• Клиент, получив сертификат, средствами Системы распечатывает в 2-х экземплярах "Акт признания электронно-цифровой подписи". Затем заполняет, подписывает и передает его в Банк.
  
• Банк, получив "Акт признания электронно-цифровой подписи", регистрирует Клиента в Системе.
  
• Клиент приступает к работе в Системе.
  

1. Перегенерация ключей.
   

• Владелец ключей на своем рабочем месте, используя действующие (технологические или рабочие) ключи, средствами Системы в соответствии с инструкцией выполняет перегенерацию электронных ключей.
  
• После формирования Клиентом запроса на перегенерацию ключей в Банк автоматически отсылается новый открытый рабочий ключ Клиента.
  
• Средствами Системы Клиент распечатывает в 2-х экземплярах "Запрос на перегенерацию электронных ключей". Затем заполняет, подписывает и передает его в Банк.
  
• Далее Клиент ожидает от Банка подтверждения регистрации нового открытого ключа (выпуска сертификата) (п. 2.7.3.).
  

1. Регистрация открытого ключа (выпуск сертификата).
   

• Банк, получив от Клиента "Запрос на перегенерацию электронных ключей", проверяет соответствие параметров ключа конкретному физическому лицу, указанному в действующем "Заявлении на регистрацию сотрудников в Системе (ФИО, должность, наличие права подписи в соответствии с карточкой клиента и т.д.);
  
• Путем визуального сравнения Банк проверяет соответствие параметров нового ключа, указанных в печатной и электронной формах "Запроса на перегенерацию электронных ключей" (наименования, идентификатора, сроков действия и т.д.);
  
• Если результат хотя бы одной проверки отрицательный, Банк и Клиент проводят расследование, в ходе которого выясняется и устраняется причина несоответствия;
  
• Если результат всех проверок положительный, Банк производит выпуск электронного сертификата Клиента и средствами Системы отсылает его Клиенту.
  

1. Действия при окончании срока действия ключей (если перечень сотрудников Клиента остается без изменения).
   

• Клиент создает резервную копию действующих ключей перед генерацией новых ключей.
  
• Клиент выполняет перегенерацию ключей (п. 2.7.2.).
  
• Клиент работает на старых ключах до получения извещения Банка о дате переходе на новые ключи;
  
• Банк регистрирует открытые ключи Клиента, выпускает сертификат и средствами Системы отправляет его Клиенту (п. 2.7.3.).
  
• Аннулируются ключи, которые утрачивают свои полномочия. Для таких ключей выполняется п. 2.7.7;
  
• Клиент, получив сертификат, переходит на работу в Системе с новыми ключами.
  
• Средствами Системы Клиент распечатывает в 2-х экземплярах новый "Акт признания электронно-цифровой подписи". Затем заполняет, подписывает и передает его в Банк.
  
• Если Банк не получает от Клиента новый "Акт признания ЭЦП" в течение десяти рабочих дней со дня выпуска сертификата, работа Клиента в Системе приостанавливается до получения Банком "Акта признания ЭЦП".
  

1. Действия при смене Ответственных Абонентов или Оператора.
   

• Клиент заполняет в 2-х экземплярах, подписывает и передает в Банк новое "Заявление на регистрацию сотрудников клиента в системе ДБО "Банк-Клиент"" (далее - Заявление), являющееся неотъемлемой частью настоящего Соглашения.
  
• Аннулируются ключи, которые в соответствии с новой "Заявкой на регистрацию сотрудников" утрачивают свои полномочия. Для таких ключей выполняется п. 2.7.7. Банк приостанавливает работу в Системе соответствующего сотрудника Клиента - Ответственного Абонента (Оператора);
  
• Для каждого нового (незарегистрированного в Системе) сотрудника Клиента, указанного в заявлении, Банк изготавливает технологические ключи (т.е. предназначенные только для изготовления рабочих ключей) и передает их сотруднику Клиента – владельцу ключей (или его доверенному лицу) на электронном носителе.
  
• Владелец ключей на своем рабочем месте выполняет изготовление рабочих ключей. Используя технологические ключи, полученные в Банке, Клиент выполняет перегенерацию электронных ключей (п. 2.7.2.).
  
• Банк регистрирует открытые ключи Клиента, выпускает сертификат и средствами Системы отправляет его Клиенту (п. 2.7.3.).
  
• Клиент, получив сертификат, средствами Системы распечатывает в 2-х экземплярах "Акт признания электронно-цифровой подписи". Затем заполняет, подписывает и передает его в Банк.
  
• Банк, получив "Акт признания ЭЦП", изменяет необходимые регистрационные данные Клиента в Системе.
  
• Клиент возобновляет работу в Системе.
  

1. Компрометация ключа Клиента.
   

• При утрате или компрометации своего секретного ключа, Клиент немедленно сообщает в Банк о случившемся по телефону технической поддержки Банка или любым другим способом;
  
• При получении такого сообщения (а также при подозрении на компрометацию ключей Клиента) Банк немедленно блокирует работу Клиента в Системе;
  
• Клиент лично или через доверенное лицо передает в Банк письменное заявление с просьбой приостановить работу Ответственного Абонента и (или) Оператора с указанием причины;
  
• Банк отменяет исполнение электронных расчетных документов, полученных от Клиента по Системе, по которым у Банка есть технологическая возможность отмены. Эти документы должны быть предоставлены Клиентом в Банк на бумажном носителе;
  
• После устранения причин компрометации секретного ключа, по инициативе Клиента, производится прекращение действия старых ключей (п. 2.7.7), изготовление новых ключей (п. 2.7.2) и выпуск сертификата (п. 2.7.3.);
  
• Клиент возобновляет работу в Системе с использованием новых ключей;
  
• Если подозрение на компрометацию ключей Клиента опровергнуто Клиентом, Клиент лично или через доверенное лицо передает в Банк письменное заявление о возобновлении действия своего секретного ключа. Клиент возобновляет работу в Системе с использованием старых ключей.
  

1. Прекращение действия ключей Клиента.
   

• Прекращение действия ключей Клиента наступает в результате окончания срока действия ключей, утрате или изменения полномочий владельца ключей, компрометации закрытого ключа Клиента. Клиент или Банк могут выступить с инициативой прекращения действия ключей Клиента и в других случаях.
  
• На обоих экземплярах "Акта о признании ЭЦП", соответствующему ключу Клиента, проставляется отметка о прекращении действия ключей. Банк ставит свою подпись и печать.
  
• Банк производит отзыв сертификата Клиента и изменяет необходимые регистрационные данные Клиента в Системе
  

3. ПРАВА И ОБЯЗАТЕЛЬСТВА БАНКА
   
   1. Банк обеспечивает доступ Клиента в Систему через системы телекоммуникации: официальный сайт в сети Интернет (режим работы "онлайн").
      
   2. Банк обязуется исполнять распоряжения Клиента, переданные в виде ЭД, только при условии наличия достаточных средств на расчетном счете Клиента, отсутствия претензий по платежам в бюджет и внебюджетные фонды, при правильном оформлении ЭД (в соответствии с требованиями действующего законодательства и нормативных правовых актов Центрального Банка РФ) и если получен положительный результат проверки ЭЦП Клиента.
      
   3. Банк обязуется исполнять распоряжения, переданные Клиентом в виде ЭД, в порядке, согласно договору "Банковского счета и банковского обслуживания" и действующим тарифам Банка. ЭД, принятые Банком после окончания операционного дня, официально установленного Банком, исполняются по специальным тарифам и по индивидуальному согласованию с операционистом Банка. В противном случае считаются поступившими на следующий рабочий день.
      
   4. Банк обязуется обеспечивать конфиденциальность информации об электронных расчетах, проводимых в соответствии с настоящим Соглашением по поручению Клиента, за исключением случаев, предусмотренных действующим законодательством.
      
   5. При угрозе несанкционированного доступа Банк обязуется немедленно прекратить прием электронных документов Клиента и информировать его о случившемся, а также выяснить обстоятельства произошедшего.
      
   6. В течение первых 5 (пяти) дней каждого месяца Банк имеет право списывать с банковского счета Клиента в безакцептном порядке плату за эксплуатацию, техническое обслуживание и дополнительные услуги, которыми пользовался Клиент в рамках системы ДБО "Банк-клиент" в предыдущем месяце, в соответствии с действующими тарифами банка.
      
   7. Банк вправе в одностороннем порядке приостановить обслуживание (доступ Клиента в Систему) либо отказаться от исполнения настоящего Соглашения при нарушении или ненадлежащем исполнении Клиентом обязательств, предусмотренных разделом 4 настоящего Соглашения. При устранении причин, которые послужили основанием для приостановления операций в Системе, по взаимному соглашению сторон предоставление услуг Клиенту в Системе возобновляется.
      
   8. Банк имеет право в одностороннем порядке изменять тарифы за эксплуатацию, техническое обслуживание Системы и дополнительные услуги, в соответствии с новыми утвержденными Правлением Банка тарифами, отправив сообщение Клиенту по каналам электронной связи или другим способом не позднее, чем за 14 дней до изменения тарифов.
      
   9. Банк не несет ответственность, если по независящим от Банка причинам (неисправность компьютера, модема или каналов связи, действия компьютерных вирусов, порчи или утере ключевого носителя и т.п.) Система со стороны Клиента оказалась неработоспособной.
      
   10. Если Система со стороны Клиента оказалась неработоспособной по вине Банка, то Банк обязуется за свой счет восстановить работоспособность системы в течение 3 (трех) рабочих дней после получения от Клиента заявки в письменной форме.
       
   11. Банк обязан бесплатно консультировать Клиента по вопросам работы в Системе по телефону в рабочие дни и в рабочее время Банка.
       
   12. Банк имеет право запрашивать, и обязан предоставлять по запросам другой стороны, не позднее следующего дня с момента получения запроса, подтверждения по отдельным электронным платежным документам, а также надлежащим образом оформленные бумажные копии электронных платежных документов.
       
   13. Срок хранения Банком электронных платежных документов и уведомлений о доставке и принятии (отказе) к исполнению электронный платежный документ (ЭПД) соответствует сроку хранения платежных документов установленной формы.
       
   14. Банк имеет право производить замену систем телекоммуникации, обработки, хранения и защиты информации, уведомив об этом Клиента не менее чем за 30 дней, до предполагаемой даты замены.
       
   15. Банк имеет право после предварительного предупреждения Клиента, отказывать ему в приёме и исполнении ЭПД, в случае выявления сомнительных операций. Определение сомнительных операций Клиента осуществляется Банком в соответствии с действующим законодательством. В случае отказа от приёма и исполнения ЭПД по указанному выше основанию, Банк принимает от Клиента только надлежащим образом оформленные расчётные документы на бумажном носителе.
       
   16. Банк, в случае нарушения Клиентом обязательств предусмотренных п. 4.5., п. 4.6. настоящего Соглашения, вправе в одностороннем порядке с предварительным уведомлением последнего за 3 (три) рабочих дня, отказаться от исполнения обязательств по настоящему Соглашению, при этом Клиент лишается возможности осуществления расчётов с использованием Системы. Возобновление обслуживания Клиента возможно лишь при наступлении следующих условий:
       

• Клиентом в полном объеме погашена задолженность перед Банком за оказанные услуги;
  
• Клиентом оплачена услуга Банка по его повторному подключению к Системе, согласно действующим тарифам.
  

4. ПРАВА И ОБЯЗАТЕЛЬСТВА КЛИЕНТА.
   
   1. Клиент обязуется приобрести за свой счет и ввести в эксплуатацию программно-технические средства в соответствии с требованиями, приведенными на официальном сайте банка.
      
   2. Клиент обязуется выполнить комплекс мероприятий по обеспечению информационной безопасности при работе с Системой, которые приведены в разделах настоящего Соглашения: "Инструкция по принятию дополнительных мер безопасности при работе в Системе" и "Требования по организационно-техническим и административным мероприятиям при использовании СКЗИ".
      
   3. Клиент обязуется эксплуатировать Систему на технически исправном и проверенном на отсутствие компьютерных вирусов оборудовании.
      
   4. Клиент не имеет права изготавливать копии, вносить исправления, изменения или дополнения, а также передавать третьей стороне программное обеспечение, поставляемое Банком по настоящему договору.
      
   5. Клиент обязуется сохранять в тайне применяемые в системе защиты информации закрытые ключи ЭЦП и периодически проводить их замену.
      
   6. Клиент обязуется оплачивать в срок до 5 (пятого) числа текущего месяца услуги, предоставленные Банком в рамках настоящего Соглашения в предыдущем месяце, в соответствии с действующими тарифами Банка.
      
   7. Клиент обязуется оплачивать услуги, оказанные Банком, по установке, переустановке Системы, изготовлению ключей и т.д. в срок, не превышающий 10 (десяти) календарных дней включительно со дня подписания Акта сдачи-приемки по соответствующим работам.
      
   8. Клиент производит оплату в соответствии с п. 4.5., п. 4.6. настоящего Соглашения одним из следующих способов:
      

• путём внесения наличных денежных средств в кассу Банка с последующим представлением копии платежного документа его ответственному сотруднику;
  
• путем перечисления денежных средств в безналичной форме на открытый в Банке расчетный счет в сумме позволяющей полностью погасить задолженность Клиента по оплате оказанных услуг, с обязательным уведомлением ответственного сотрудника Банка об этом факте любым доступным способом. В указанном случае ответственный сотрудник Банка, при получении такого уведомления и при подтверждении наличия денежных средств на счете, в размере позволяющем произвести оплату за оказанные услуги в полном объеме, в течение трёх банковских дней составляет Распоряжение о списании указанной суммы с расчетного счета клиента в безакцептном порядке.
  

9. Клиент обязуется немедленно информировать Банк по телефону или иным способом, а затем в течение одного дня в письменном виде, обо всех случаях компрометации закрытого ключа ЭЦП и (или) несанкционированного доступа к компьютерной системе. Клиент в случае компрометации своего закрытого ключа обязуется немедленно заблокировать отправку в Банк электронных документов, подготовленных с использованием этого ключа. Возобновление (начало) работы Клиента в системе производится после письменного уведомления Клиентом Банка об устранении причин и последствий несанкционированного доступа к компьютерной системе, а в случае компрометации ключа – только после замены ключа. Любая передача ЭД, произведенная Клиентом до получения Банком такого уведомления освобождает Банк от любых видов ответственности, предусмотренной за неисполнение принятых на себя обязательств в рамках действия настоящего Соглашения.
   
10. Клиент самостоятельно обеспечивает безопасность архивов ЭД, размещаемых на оборудовании Клиента.
    
11. Клиент обязуется заполнять реквизиты электронных платежных документов в соответствии с требованиями действующего законодательства и нормативных актов Центрального Банка РФ.
    
12. Клиент обязуется контролировать доставку ЭД и результаты их обработки. Для этого сеанс связи с банком должен повторяться по прошествии времени, достаточного для обработки Банком пришедших документов.
    
13. Клиент имеет право запрашивать, и обязан предоставлять по запросам другой стороны, не позднее следующего дня с момента получения запроса, подтверждения по отдельным электронным платежным документам, а также надлежащим образом оформленные бумажные копии электронных платежных документов.
    
14. Клиент обязуется самостоятельно обеспечивать сохранность информации, путем своевременного создания резервных копий. Носитель информации с электронными закрытыми ключами ЭЦП и его копии Клиент обязуется хранить в надежном месте, исключающем доступ неуполномоченных лиц.
    
15. При заключении настоящего Соглашения Клиент заполняет Заявление на регистрацию сотрудников в Системе, являющееся неотъемлемой частью настоящего Соглашения, определяя тем самым состав сотрудников (Ответственных Абонентов и Операторов) допущенных к работе с Системой. В соответствии с оформленным Клиентом Заявлением на регистрацию сотрудников, Банк создает технологические электронные ключи для Ответственных Абонентов и Оператора. Рабочие электронные ключи создаются лично Ответственным Абонентом (Оператором). Факт признания ЭЦП фиксируется Актом, подписываемым Сторонами, являющимся неотъемлемой частью настоящего Соглашения. В каждом Акте фиксируется факт признания ЭЦП для одного Ответственного Абонента, либо Оператора. В случае если в соответствии с Заявлением на регистрацию сотрудников, к работе с Системой допущено более одного Ответственного Абонента, количество изготовленных ключей и подписанных Актов о признании ЭЦП должно быть равно количеству указанных сотрудников. Каждый созданный электронный ключ Клиента регистрируется Банком. В случае если ключи клиента подлежат замене на новые (в случае компрометации, изменения персональных данных его обладателя и т.д.), в соответствующем Акте о признании ЭЦП Сторонами оформляется запись об аннулировании ключей.
    
16. При изменении перечня сотрудников, зарегистрированных для работы в Системе, а также при изменении данных уже зарегистрированных сотрудников (ФИО, должность и т.д.), Клиент обязан предоставить в Банк новые данные ("Заявление на регистрацию сотрудников в системе ДБО "Банк-Клиент") для изменения учетных данных.
    
17. При заключении настоящего соглашения, а в дальнейшем при изменении состава сотрудников Клиента (Ответственных Абонентов), Клиент обязан заполнить и предоставить в Банк анкеты физических лиц - Ответственных Абонентов, по установленной Банком форме. При изменении любых данных, указанных в анкетах физического лица, Клиент обязан предоставить в Банк новые анкеты физического лица в течение 3 (трёх) рабочих дней.
    

5. ПОРЯДОК РАЗРЕШЕНИЯ СПОРОВ И УРЕГУЛИРОВАНИЯ РАЗНОГЛАСИЙ
   
   1. Споры, возникающие в связи с исполнением настоящего соглашения, Стороны обязуются разрешать путем переговоров с учетом принципов добросовестности и взаимного уважения, в соответствии с порядком, установленным настоящим разделом.
      
   2. Для рассмотрения спорных ситуаций, связанных с обменом Сторонами ЭД, Клиент передает в Банк письменную претензию с указанием информации о спорном Электронном документе. До подачи письменной претензии Клиент должен убедиться в целостности своего программного обеспечения, неизменности используемой ключевой информации, а также отсутствии несанкционированных действий Ответственных Абонентов Клиента, Оператора, и/или третьих лиц.
      
   3. Банк в течение 7 (семи) рабочих дней с даты получения претензии Клиента рассматривает претензию Клиента и, в зависимости от принятого решения, либо удовлетворяет претензию Клиента, либо передает Клиенту письменное заключение о необоснованности его претензии, подписанное уполномоченным работником Банка.
      
   4. В случае несогласия с заключением Банка по предъявленной Банку претензии Клиент направляет в Банк письменное уведомление о своем несогласии с требованием о формировании экспертной комиссии для рассмотрения спора.
      
   5. Стороны в течение 7 (семи) рабочих дней с даты получения Банком уведомления Клиента о несогласии с заключением Банка по предъявленной Банку претензии формируют экспертную комиссию, состоящую из равного числа представителей Сторон, в которую от каждой Стороны включается не более 3 (трех) человек. Формирование экспертной комиссии подтверждается актом, подписанным Сторонами.
      
   6. В течение 7 (семи) рабочих дней с даты формирования экспертной комиссии Стороны передают экспертной комиссии материалы и документы, подтверждающие факт передачи в Банк Клиентом Электронного документа, авторство, неизменность, подлинность и правильность исполнения Банком Электронного документа, в том числе файлы, записи баз данных, протоколы работы Системы магнитные и иные носители с записями переговоров или сеансов связи, договоры и соглашения, в соответствии и во исполнение которых сформирован и направлен в Банк Электронный документ, а также иные документы по требованию экспертной комиссии.
      
   7. Экспертная комиссия на основании изучения представленных Сторонами материалов проводит экспертизу и выносит заключение об обоснованности претензии Клиента большинством голосов.
      
   8. Результаты работы экспертной комиссии отражаются в акте (далее – Акт экспертной комиссии), который подписывается всеми членами комиссии. Члены комиссии, не согласные с выводами, изложенными в Акте экспертной комиссии, подписывают указанный Акт экспертной комиссии с возражениями, которые прилагаются к нему в письменном виде. В случае, если одна из Сторон уклоняется от подписания Акта экспертной комиссии, то Акт экспертной комиссии составляется второй Стороной с указанием информации о факте отказа от его подписания другой Стороной.
      
   9. Стороны признают, что Акт экспертной комиссии служит основанием для удовлетворения претензии либо отказе в ее удовлетворении.
      
   10. В случае если в соответствии с Актом экспертной комиссии, какая-либо из Сторон должна перечислить другой Стороне денежные средства, то такое перечисление осуществляется в течение 3 (трех) рабочих дней с момента подписания Акта экспертной комиссии на банковский счет соответствующей Стороны. Если указанные денежные средства должны быть перечислены Клиентом Банку, то последний вправе списать без распоряжения Клиента (в бесспорном порядке) указанные денежные средства с любых счетов Клиента.
       
   11. Расходы по формированию и работе экспертной комиссии возлагаются на Банк. В случае признания экспертной комиссией требований Клиента необоснованными, Клиент обязан в течение 5 (пяти) рабочих дней с даты составления Акта экспертной комиссии возместить Банку все указанные расходы. Банк имеет право возместить указанные расходы путем списания без распоряжения Клиента в безакцептном порядке денежных средств со счетов Клиента.
       
   12. В случае несогласия одной из Сторон с решением экспертной комиссии, уклонения от формирования экспертной комиссии либо участия в ее работе, препятствования участию одной из Сторон в работе экспертной комиссии, вторая Сторона вправе передать спор на рассмотрение в соответствии с законодательством Российской Федерации в арбитражный суд по месту нахождения Банка.
       

6. ОТВЕТСТВЕННОСТЬ СТОРОН
   
   1. Каждая Сторона несет ответственность за сохранность своих закрытых электронных ключей и за действия своих уполномоченных лиц при обмене ЭД.
      
   2. Стороны не несут ответственности за срывы и помехи в работе линий связи, приводящих к невозможности передачи информации.
      
   3. Стороны не несут ответственности за прекращение использования Системы, возникшее вследствие действия непреодолимой силы, существенно влияющей на функционирование системы, в виде стихийных бедствий, отключения электроэнергии, повреждения линий связи, общественных явлений, а также решений органов власти, обязательных для исполнения.
      
   4. Банк несет ответственность только за виновное неисполнение (ненадлежащее исполнение) своих обязательств по данному Соглашению.
      
   5. Банк не несет ответственности за ущерб, возникший вследствие разглашения Клиентом информации, используемой для шифрования и передачи электронных документов, вне зависимости от причин, третьим лицам.
      
   6. Банк не несет ответственность за сохранность программного обеспечения и архивов ЭД, размещаемых на оборудовании Клиента.
      
   7. Банк не несет ответственности за увеличение времени, необходимого для обмена информацией между Клиентом и Банком по Системе, если это вызвано ухудшением качества линий связи.
      
   8. Банк не несет ответственности в случае не информирования или несвоевременного информирования Клиентом Банка о фактах компрометации ключа электронной цифровой подписи Ответственного Абонента Клиента, а именно: утраты носителя с ключом электронной цифровой подписи или использования носителя с ключом электронной цифровой подписи кем бы то ни было, кроме ее владельца;
      
   9. Банк не несет ответственности за убытки, понесенные Клиентом, вследствие принятия к исполнению полученных по Системе электронных платежных документов, ЭЦП которых выполнена с помощью скомпрометированных ключей Клиента, если принятие к исполнению таких документов было вызвано нарушением Клиентом условий раздела 4 настоящего договора.
      
   10. За неисполнение или ненадлежащее исполнение обязательств по настоящему договору стороны несут ответственность в соответствии с действующим законодательством.
       

7. СРОК ДЕЙСТВИЯ СОГЛАШЕНИЯ
   
   1. Настоящее соглашение считается заключенным с момента подписания сторонами и действует без ограничения срока.
      
   2. Любая из сторон имеет право расторгнуть настоящее соглашение в одностороннем порядке, предупредив об этом другую сторону письменно за 10 дней до предполагаемой даты расторжения соглашения.
      
   3. В случае расторжения договора банковского счета и банковского обслуживания настоящее соглашение утрачивает силу.
      

8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
   
   1. Во всем остальном, что не предусмотрено настоящим соглашением и договором банковского счета и банковского обслуживания, стороны руководствуются действующим законодательством.
      
   2. Неотъемлемой частью настоящего соглашения является "Инструкция по принятию дополнительных мер безопасности при работе в Системе".
      
   3. Неотъемлемой частью настоящего соглашения являются "Требования по организационно-техническим и административным мероприятиям при использовании СКЗИ".
      
   4. Все споры, возникающие по исполнению настоящего соглашения, решаются сторонами путем переговоров в соответствии с действующим законодательством. При необходимости к переговорам могут быть привлечены представители компании-разработчика Системы.
      
   5. Данное соглашение составлено в двух экземплярах, имеющих равную юридическую силу, по одному для каждой стороны.
      
   6. Все изменения к настоящему соглашению оформляются в письменном виде, подписываются обеими сторонами.
      

9. ЮРИДИЧЕСКИЕ АДРЕСА И ПЛАТЕЖНЫЕ РЕКВИЗИТЫ СТОРОН
   

Банк: 603009, г. Н.Новгород, ул. Батумская, 21-а к/с 30101810300000000760 в Приокском РКЦ, БИК 042220760, ИНН 5261005926 Председатель Правления ОАО НКБ "РАДИОТЕХБАНК" ________________Кострова Л.А. _____________________ 20__г. М.П.

Клиент: Индекc __________ Адрес ______________________________ р/сч ______________________________ в ОАО НКБ "РАДИОТЕХБАНК" ИНН _________________, ___________________________ ___________________________ _____________________ 20_ г. М.П.

ИНСТРУКЦИЯ ПО ПРИНЯТИЮ ДОПОЛНИТЕЛЬНЫХ МЕР БЕЗОПАСНОСТИ

ПРИ РАБОТЕ В СИСТЕМЕ ДБО "БАНК-КЛИЕНТ"

к Соглашению по обслуживанию банковского счета в системе дистанционного

банковского обслуживания "Банк-Клиент" № _____________ от "___" _________ 20___ г.


г. Н. Новгород. "___" ____________ 20__ г.


Внимание! После передачи электронных ключей по системе ДБО "Банк-Клиент" (далее Системе), владелец несет личную ответственность за сохранность секретного Ключа и пароля. В целях обеспечения противодействия преступным посягательствам следует принять дополнительные меры безопасности и контроля при использовании системы ДБО:

• Перед началом работы в Системе, после установки программного обеспечения и первого входа, необходимо сменить пароль входа в Систему. Также рекомендуется произвести самостоятельную перегенерацию электронных ключей. Периодически (например, раз в месяц) меняйте пароль.
  
• При работе с Системой работайте под учетной записью пользователя операционной системы, не имеющей прав локального администратора;
  
• Перед началом работы в Системе закрывайте все открытые интернет-страницы. По окончанию работы с системой также следует закрыть окно браузера.
  
• При входе в систему проконтролируйте наличие защищенного соединения (SSL) с Банком и правильность содержимого адресной строки браузера. Адрес операционного сайта банка должен начинаться с https:// и заканчиваться rtbank.ru. Признаком защищенного соединения является значок запертого замка в строке состояния броузера и отсутствие предупреждающих сообщений о сертификатах при входе в систему. Категорически не допускается работать в системе при любом другом адресе в адресной строке броузера или при отсутствии защищенного соединения (SSL);
  
• Никогда, даже на короткое время, не передавайте электронный носитель с ключами ЭЦП другим лицам, например, для проверки работы Системы, проверки настроек взаимодействия с Банком и т.п. При необходимости таких проверок только лично владелец ключа ЭЦП должен подключить съемный носитель к компьютеру, убедиться, что пароль доступа к ключу вводится в интерфейс клиентского АРМа, и лично ввести пароль, исключая его подсматривание.
  
• Категорически не допускается сообщать информацию о вашем логине, пароле и т.д. никому, включая лицам, представляющимися сотрудниками банка. Сотрудники ОАО НКБ РАДИОТЕХБАНК никогда не просят сообщать подобные сведения. О таких случаях следует немедленно сообщать в службу поддержки Банка;
  
• Не отлучайтесь от компьютера, пока в нем находится съемный носитель, содержащий электронные ключи. Перед тем, как покинуть рабочее место (даже на короткое время), уберите ключевой носитель в недоступное место и заблокируйте свой сеанс.
  
• Извлекайте из компьютера съемный носитель, содержащий электронные ключи, сразу после завершения работы по Системе.
  
• Не записывайте на носитель, содержащий электронные ключи, какую либо другую информацию. Не пишите на ключевом носителе свое имя и пароль;
  
• Категорически запрещается хранить электронные ключи на жестком диске компьютера.
  
• Храните съемный носитель, содержащий электронные ключи, в надежном месте, исключающем доступ к нему неуполномоченных лиц или повреждение материального носителя.
  
• Работая с системой Интернет-Банк, не спешите! Во избежание неверных действий, читайте внимательно и до конца всю находящуюся на экране информацию и руководство. Запомните, что при работе в системе ДБО у Вас отсутствует возможность аннулирования некоторых Ваших действий.
  

В случае выявления явных или косвенных признаков компрометации ключей ЭЦП или вредоносных программ (действий) в компьютере, используемом для работы по Системе, при попытках перенаправления браузера на другие (ложные) сайты незамедлительно уведомить Банк с целью блокирования возможности использования скомпрометированных секретных ключей ЭЦП с последующей их заменой.

К событиям, связанным с компрометацией ключей ЭЦП или подозрением на компрометацию относятся, включая, но не ограничиваясь, следующие:

• утеря материального носителя, содержащего секретный ключ, в том числе с последующим обнаружением;
  
• выход из строя материального носителя, содержащего секретный ключ, когда невозможно достоверно определить причину этого события (доказательно не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленника);
  
• обнаружение факта или угрозы использования (копирования) секретного ключа и/или доступа к Системе с использованием секретного ключа неуполномоченными лицами (несанкционированная отправка электронных документов);
  
• увольнение или смены ответственного сотрудника Клиента, имевшего доступ к секретному ключу или руководителя организации.
  
• подозрения, что компьютер, на котором установлена Система, подвергся заражению компьютерными вирусами, программами-шпионами и т.д.
  
• если компьютер, на котором установлена Система, ведет себя "не как обычно" – спонтанно перезагружается, сами собой запускаются или закрываются программы и т.д.
  

В этих и подобных случаях следует немедленно прекратить использование Системы, отключить компьютер от сети и начать расследование инцидента.

Помимо указанных выше требований Банк рекомендует также:

• Исключить доступ к компьютерам, используемым для работы по Системе, посторонним лицам и персоналу предприятия, не уполномоченному на работу по Системе и/или обслуживание компьютеров.
  
• На компьютерах, используемых для работы по Системе, исключить посещение всех Интернет-сайтов, кроме используемых для входа в Систему, а также исключить установку развлекательных и игровых программ.
  
• Использовать только лицензионное программное обеспечение (операционные системы, офисные пакеты и пр.), обеспечить автоматическое обновление системного и прикладного программного обеспечения.
  
• При обслуживании компьютера ИТ-сотрудниками (системными администраторами) обеспечивать контроль над выполняемыми ими действиями.
  
• Исключить использование средств удаленного администрирования компьютера, на котором производится подключение к Системе, в том числе встроенных в операционную систему (например, удаленное управление рабочим столом);
  
• Установить и настроить на рабочем месте средства антивирусной защиты с ежедневным автоматическим обновлением антивирусных баз и специализированные программные средства безопасности: персональный межсетевой экран, антишпионское программное обеспечение и т.п.
  
• Не открывать подозрительные файлы, присланные вам по электронной почте;
  
• Периодически (например, раз в месяц) менять пароль операционной системы. Исключить использование пустых паролей - выберите пароль по возможности длинный и трудно угадываемый со сложной комбинацией букв и цифр, которые не связаны с Вашими личными данными. Нельзя использовать свой личный код, номера телефона, машины и т.п., имена родственников, знакомых и т.д.;
  
• Не использовать пароль Интернет-Банка в других системах! Пароль могут расшифровать и попробовать его использовать в Системе;
  
• Провести разъяснительную работу среди сотрудников, уполномоченных для работы в Системе. При этом обратить особое внимание на необходимость строгого сохранения в тайне закрытого (секретного) ключа электронной цифровой подписи. Исключить неконтролируемое копирование ключевого носителя.
  
• На рабочем месте, с которого ведется работа в Системе, своевременно устанавливать обновления, выпускаемые разработчиками программного обеспечения операционной системы Windows и web-броузера Microsoft Internet Explorer.
  

С настоящей инструкцией ознакомлен

Клиент: ___________________________ ___________________________ _____________________ 20_ г. М.П.

ТРЕБОВАНИЯ ПО ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКИМ И АДМИНИСТРАТИВНЫМ МЕРОПРИЯТИЯМ ПРИ ИСПОЛЬЗОВАНИИ СКЗИ

к Соглашению по обслуживанию банковского счета в системе дистанционного

банковского обслуживания "Банк-Клиент" № _____________ от "___" _________ 20___ г.


г. Н. Новгород. "___" ____________ 20__ г.


Защита аппаратного и программного обеспечения от несанкционированного доступа (НСД) при установке и использовании СКЗИ является составной частью общей задачи обеспечения безопасности информации в системе, в состав которой входит СКЗИ. Наряду с применением средств защиты от НСД необходимо выполнение целого ряда мер, включающего в себя организационно-технические и административные мероприятия, связанные с обеспечением правильности функционирования технических средств обработки и передачи информации, а также установление соответствующих правил для обслуживающего персонала, допущенного к работе с конфиденциальной информацией. Ниже содержатся основные требования по выполнению указанных мер защиты.

Организация работ по защите от НСД

Защита информации от НСД должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ. Защита информации от НСД должна предусматривать контроль эффективности средств защиты от НСД. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем или администратором безопасности. В организации, эксплуатирующей СКЗИ, должен быть назначен администратор безопасности, на которого возлагаются задачи организации работ по использованию СКЗИ, выработки соответствующих инструкций для пользователей, а также контроль за соблюдением описанных ниже требований. Правом доступа к рабочим местам с установленными СКЗИ должны обладать только определенные для эксплуатации лица, прошедшие соответствующую подготовку. Администратор безопасности должен ознакомить каждого пользователя, применяющего СКЗИ, с настоящим соглашением, а также с другими нормативными документами, созданными на его основе.


Требования по размещению технических средств с установленным СКЗИ

При размещении технических средств с установленным СКЗИ:

• Должны быть приняты меры по исключению несанкционированного доступа в помещения, в которых размещены технические средства с установленным СКЗИ, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в этих помещениях.
  
• Внутренняя планировка, расположение и укомплектованность рабочих мест в помещениях должны обеспечивать исполнителям работ сохранность доверенных им конфиденциальных документов и сведений, включая ключевую информацию.
  

Требования по установке СКЗИ, а также общесистемного и специального ПО на ЭВМ

К установке общесистемного и специального программного обеспечения, а также СКЗИ, допускаются лица, прошедшие соответствующую подготовку и изучившие документацию на соответствующее ПО и на СКЗИ. При установке программного обеспечения СКЗИ следует:

• На технических средствах, предназначенных для работы с СКЗИ использовать только лицензионное программное обеспечение фирм-изготовителей.
  
• Установка ПО СКЗИ на ЭВМ должна производиться только с зарегистрированного, защищенного от записи лицензионного носителя.
  
• На ЭВМ не должны устанавливаться средства разработки ПО и отладчики. Если средства отладки приложений нужны для технологических потребностей организации, то их использование должно быть санкционировано администратором безопасности.
  
• При этом должны быть реализованы меры, исключающие возможность использования этих средств для редактирования кода и памяти СКЗИ и приложений, использующих СКЗИ, а также для просмотра кода и памяти СКЗИ и приложений, использующих СКЗИ, в процессе обработки СКЗИ защищаемой информации и/или при загруженной ключевой информации.
  
• Предусмотреть меры, исключающие возможность несанкционированного необнаруживаемого изменения аппаратной части технических средств, на которых установлены СКЗИ (например, путем опечатывания системного блока и разъемов ЭВМ).
  
• После завершения процесса установки должны быть выполнены действия, необходимые для осуществления периодического контроля целостности установленного ПО СКЗИ.
  
• Программное обеспечение, устанавливаемое на ЭВМ с СКЗИ, не должно содержать возможностей, позволяющих:
  

- модифицировать содержимое произвольных областей памяти;

- модифицировать собственный код и код других подпрограмм;

- модифицировать память, выделенную для других подпрограмм;

- передавать управление в область собственных данных и данных других подпрограмм;

- несанкционированно модифицировать файлы, содержащие исполняемые коды при их хранении на жестком диске;

- повышать предоставленные привилегии;

- модифицировать настройки ОС;

- использовать недокументированные фирмой-разработчиком функции ОС.

• Рекомендуется периодически проверять на отсутствие аппаратных закладок аппаратуру, на которой устанавливается и работает СКЗИ. Необходимость таких проверок определяется решением руководства эксплуатирующей организации.
  

Требования по защите от НСД при эксплуатации СКЗИ

При организации работ по защите информации от НСД необходимо учитывать следующие требования:

• Администратор безопасности должен периодически (не реже 1 раза в 2 месяца) проводить контроль целостности и легальности установленных копий ПО на всех ЭВМ со встроенной СКЗИ.
  
• Необходимо разработать и применить политику назначения и смены паролей (для входа в операционную систему (ОС), BIOS, при шифровании на пароле и т.д.), использовать фильтры паролей в соответствии со следующими правилами:
  

- длина пароля должна быть не менее 6 символов;

- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т.д.), а также общепринятые сокращения (USER, ADMIN и т.д.);

- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4-x позициях;

- личный пароль пользователь не имеет права сообщать никому;

- периодичность смены пароля определяется принятой политикой безопасности, но не должна превышать 1 года.

• Указанная политика обязательна для всех учетных записей, зарегистрированных в ОС.
  
• Средствами BIOS должна быть исключена возможность работы на ЭВМ с СКЗИ, если во время её начальной загрузки не проходят встроенные тесты.
  
• Запрещается:
  

- оставлять без контроля вычислительные средства, на которых эксплуатируется СКЗИ, после ввода ключевой информации либо иной конфиденциальной информации;

- использовать СКЗИ в случае обнаружения отказа оборудования программно-аппаратных комплексов защиты от НСД либо программного обеспечения защиты от НСД;

- вносить какие-либо изменения в программное обеспечение СКЗИ;

- осуществлять несанкционированное администратором безопасности копирование ключевых носителей;

- разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не допущенным, выводить ключевую информацию на дисплей, принтер и т.п. иные средства отображения информации;

- использовать ключевые носители в режимах, не предусмотренных функционированием СКЗИ;

- записывать на ключевые носители постороннюю информацию.

• Администратор безопасности должен сконфигурировать операционную систему, в среде которой планируется использовать СКЗИ, и осуществлять периодический контроль сделанных настроек в соответствии со следующими требованиями:
  

- не использовать нестандартные, измененные или отладочные версии ОС.

- исключить возможность загрузки и использования ОС, отличной от предусмотренной штатной работой.

- исключить возможность удаленного управления, администрирования и модификации ОС и её настроек.

- на ЭВМ должна быть установлена только одна операционная система.

- правом установки и настройки ОС и СКЗИ должен обладать только администратор безопасности.

- ОС должна быть настроена только для работы с СКЗИ. Все неиспользуемые ресурсы системы необходимо отключить (протоколы, сервисы и т.п.).

- режимы безопасности, реализованные в ОС, должны быть настроены на максимальный уровень.

- всем пользователям и группам, зарегистрированным в ОС, необходимо назначить минимально возможные для нормальной работы права.

• Необходимо предусмотреть меры, максимально ограничивающие доступ к следующим ресурсам системы (в соответствующих условиях возможно полное удаление ресурса или его неиспользуемой части):
  

- системный реестр;

- файлы и каталоги;

- временные файлы;

- журналы системы;

- файлы подкачки;

- кэшируемая информация (пароли и т.п.);

- отладочная информация.

• Кроме того, необходимо организовать затирание (по окончании сеанса работы СКЗИ) временных файлов и файлов подкачки, формируемых или модифицируемых в процессе работы СКЗИ. Если это не выполнимо, то на жесткий диск должны распространяться требования, предъявляемые к ключевым носителям.
  
• Должно быть исключено попадание в систему программ, позволяющих, пользуясь ошибками ОС, повышать предоставленные привилегии.
  
• Необходимо организовать и использовать комплекс мероприятий антивирусной защиты.
  
• Необходимо регулярно устанавливать пакеты обновления безопасности ОС (Service Packs, Hot fix и т.п.), обновлять антивирусные базы, а также исследовать информационные ресурсы по вопросам компьютерной безопасности с целью своевременной минимизации опасных последствий от возможного воздействия на ОС.
  
• В случае подключения ЭВМ с установленным СКЗИ к общедоступным сетям передачи данных, необходимо исключить возможность открытия и исполнения файлов и скриптовых объектов (например, " onclick="return false">
• При использовании СКЗИ на ЭВМ, подключенных к общедоступным сетям связи, с целью исключения возможности несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей, должны использоваться дополнительные методы и средства защиты (например: установка межсетевых экранов, организация VPN и т.п.). При этом предпочтение должно отдаваться средствам защиты, имеющим сертификат уполномоченного органа по сертификации.
  
• Организовать и использовать систему аудита, организовать регулярный анализ результатов аудита.
  
• Исключить одновременную работу в ОС с работающим СКЗИ и загруженной ключевой информацией нескольких пользователей.
  

СКЗИ в вариантах исполнения 1-11 уровня КС1 при условии выполнения настоящих рекомендаций обеспечивают защиту конфиденциальной информации от внешнего нарушителя, самостоятельно осуществляющего создание методов и средств реализации атак, а также самостоятельно реализующего атаки.

СКЗИ в вариантах исполнения 12-22 уровня КС2 при условии выполнения настоящих рекомендаций и использовании дополнительных средств защиты от НСД обеспечивают защиту конфиденциальной информации также от внутреннего нарушителя, не являющегося пользователем средств вычислительной техники, на которых реализованы СКЗИ, самостоятельно осуществляющего создание методов и средств реализации атак, а также самостоятельно реализующего атаки.

В вариантах исполнения 12-19, 22 СКЗИ обеспечивает уровень защищенности класса КС2 при совместном использовании с любым программно-аппаратным комплексом (ПАК) защиты от НСД, сертифицированным ФСБ РФ по требованиям, выдвигаемым к электронным замкам.

С настоящими требованиями ознакомлен

Клиент: ___________________________ ___________________________ _____________________ 20_ г. М.П.