Как известно, требования к защите информации снижают удобство работы с программным обеспечением. Требования, обеспечивающие максимальную безопасность, обеспечивают наименьшее удобство в работе. И наоборот, требования, обеспечивающие максимальное удобство в работе, обычно не стыкуются с требованиями необходимой безопасности.
Учитывая, что коммерческие банки имеют различную структуру, техническую оснащённость, уровень подготовки персонала и возможности по обеспечению безопасности, в данном документе предлагается три уровня безопасности, которые могут быть применены исполнителями по выбору.
Минимальный уровень безопасности – уровень безопасности с наименее жёсткими требованиями, достаточными для безопасной работы с электронными платежами. Этот уровень предусматривает все работы с ключевыми материалами, обеспечивающими юридическую значимость ЭЦП. Предполагает минимальное количество ЭЦП у клиентов, регистрацию открытых ключей ЭЦП в ЦУКС посредством регистрационных карточек (сертификатов), процедуру проверки ЭЦП на АРМ банка. Выполнение требований этого уровня обязательно для обеспечения информационной и юридической защиты электронных документов.
Максимальный уровень безопасности – уровень безопасности с наиболее жёсткими требованиями. Уровень включает в себя все требования минимального уровня безопасности и набор дополнительных требований, направленных на повышение безопасности ключевой системы электронных расчётов (создание эталонного программного обеспечения, регистрация действий сотрудников ЦУКС, резервные ЭЦП клиентов и др.). Максимальный уровень безопасности рекомендуется применять в ЦУКС для организации надёжной ключевой системы и бесперебойной работы электронных платежей.
Средний уровень безопасности – уровень безопасности, который включает все требования минимального и дополнительно к этому некоторые требования максимального уровня безопасности (по возможности). Средний уровень рекомендуется в качестве стартового, с постепенным переходом на максимальный уровень.
Выбрав для себя уровень безопасности, банк может реализовать его требования в своих подразделениях. Постепенно рекомендуется повысить уровень безопасности до максимального.
В тексте инструкции требования уровней безопасности помечаются следующими значками:
min - минимальный уровень (обязательные требования)
MAX - максимальный уровень (по возможности)
Значок возле текста означает принадлежность помеченного абзаца к конкретному уровню. Если в тексте встречается значок min, то это означает, что текст предназначен для ВСЕХ ТРЁХ уровней. Если в тексте встречается значок MAX, то этот текст предназначен для максимального уровня и может быть включён в средний уровень безопасности. Текст, не помеченный значками, является пояснительным.