Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2006 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
8. Политика информационной безопасности
организаций БС РФ
8.1. Состав и назначение политики информационной безопасности
организации БС РФ
8.1.1. Собственник (и/или менеджмент) организации должен
обеспечить разработку, принятие и внедрение политики ИБ организации БС
РФ, включая выделение требуемых для реализации этой политики ресурсов.
8.1.2. Политика ИБ должна описывать цели и задачи СМИБ и
определять совокупность правил, требований и руководящих принципов в
области ИБ, которыми руководствуется организация в своей деятельности.
8.1.3. Должны быть назначены лица, ответственные за реализацию
политики ИБ и поддержание ее в актуальном состоянии.
8.2. Общие (основные) требования по обеспечению информационной
безопасности, отображаемые в политиках информационной безопасности
организации БС РФ
8.2.1. Общие требования по обеспечению информационной
безопасности для организации БС РФ
8.2.1.1. Требования ИБ должны быть взаимоувязаны в непрерывный по
задачам, подсистемам, уровням и стадиям жизненного цикла комплекс.
8.2.1.2. Требования ИБ должны определять содержание и цели
деятельности организации БС РФ в рамках процессов управления ИБ.
8.2.1.3. Эти требования должны быть сформулированы как минимум
для следующих областей:
- назначения и распределения ролей и доверия к персоналу;
- стадий жизненного цикла АБС;
- защиты от НСД, управления доступом и регистрацией в АБС, в
телекоммуникационном оборудовании и автоматических телефонных станциях
и т.д.;
- антивирусной защиты;
- использования ресурсов Интернет;
- использования средств криптографической защиты информации;
- защиты банковских платежных и информационных технологических
процессов.
Политика ИБ организации БС РФ может учитывать и другие области,
такие, как обеспечение непрерывности, физическая защита и т.д.,
отвечающие ее бизнес-целям.
8.2.2. Общие требования по обеспечению информационной
безопасности при назначении и распределении ролей и обеспечении
доверия к персоналу
8.2.2.1. Роль - это заранее определенная совокупность правил,
устанавливающих допустимое взаимодействие между субъектом, например,
сотрудником организации, и неким объектом, например,
программно-аппаратным средством.
Для эффективного выполнения целей организации и задач по
управлению активами должны быть выделены и определены соответствующие
роли персонала организации. Роли следует персонифицировать с
установлением ответственности за их исполнение. Формирование ролей,
как правило, должно осуществляться на основании бизнес-процессов.
Ответственность должна быть зафиксирована в должностных инструкциях.
8.2.2.2. При определении ролей для сотрудников организации БС РФ
необходимо учитывать цели организации, имеющиеся ресурсы,
функциональные и процедурные требования, критерии оценки эффективности
выполнения правил для данной роли.
8.2.2.3. Не рекомендуется, чтобы одна персональная роль целиком
отражала цель, например, включала все правила, требуемые для
реализации бизнес-процесса. Совокупность правил, составляющих роли, не
должна быть критичной для организации с точки зрения последствий
успешного нападения на ее исполнителя. Не следует совмещать в одном
лице (в любой комбинации) роли разработки, сопровождения, исполнения,
администрирования или контроля, например, исполнителя и
администратора, администратора и контролера или других комбинаций.
8.2.2.4. Роль должна быть обеспечена ресурсами, необходимыми и
достаточными для ее выполнения.
8.2.2.5. Роли должны группироваться и взаимодействовать так,
чтобы организационная структура соответствовала целям организации.
Роль одного из руководителей организации (уполномоченного менеджера,
высшего менеджера и т.п.) должна включать задачу координации
своевременности и качества выполнения ролей сотрудников для достижения
целей организации.
8.2.2.6. Ненадлежащее выполнение правил назначения и
распределения ролей создает уязвимости.
8.2.2.7. Для контроля за качеством выполнения требований ИБ в
организации должны быть выделены и определены роли по обеспечению ИБ.
8.2.2.8. При приеме на работу должны быть проверены идентичность
личности, заявляемая квалификация, точность и полнота биографических
фактов, наличие рекомендаций.
8.2.2.9. Лиц, которых предполагается принять на работу, связанную
с защищаемыми активами или операциями, следует подвергать проверке в
части профессиональных навыков и оценки профессиональной пригодности.
Рекомендуется выполнять контрольные проверки уже работающих
сотрудников регулярно, а также внепланово при выявлении фактов их
нештатного поведения, или участия в инцидентах ИБ, или подозрений в
таком поведении или участии.
8.2.2.10. Весь персонал организации БС РФ должен давать
письменное обязательство о соблюдении конфиденциальности,
приверженности правилам корпоративной этики, включая требования по
недопущению конфликта интересов. При этом условие о соблюдении
конфиденциальности должно распространяться на всю защищаемую
информацию, доверенную сотруднику или ставшую ему известной в процессе
выполнения им своих служебных обязанностей.
Для внешних организаций требования по ИБ регламентируются
положениями, включаемыми в договоры (соглашения).
8.2.2.11. Персонал организации должен быть компетентным для
выполнения своих функций в области обеспечения ИБ. Компетентность
персонала следует обеспечивать с помощью процессов обучения в области
ИБ, осведомленности персонала и периодической проверки уровня
компетентности.
8.2.2.12. Обязанности персонала по выполнению требований ИБ в
соответствии с положениями ISO TR 13569 и ISO/IEC IS 17799-2005
следует включать в трудовые контракты (соглашения, договоры).
8.2.3. Общие требования по обеспечению информационной
безопасности автоматизированных банковских систем на стадиях
жизненного цикла
8.2.3.1. ИБ АБС должна обеспечиваться на всех стадиях жизненного
цикла (ЖЦ) АБС, автоматизирующих банковские технологические процессы,
с учетом всех сторон, вовлеченных в процессы ЖЦ (разработчиков,
заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзорных
подразделений организации).
8.2.3.2. При заказе АБС модель ЖЦ (стадии ЖЦ, этапы работ и
процессы ЖЦ, выполняемые на этих стадиях) рекомендуется определять в
соответствии с ГОСТ 34.601-90 и документом ISO/IEC IS 15288-2002.
8.2.3.3. Разработка технических заданий, проектирование, создание
и тестирование и приемка средств и систем защиты АБС должны
осуществляться по согласованию с подразделениями (лицами) в
организации БС РФ, ответственными за обеспечение ИБ.
8.2.3.4. Ввод в действие, эксплуатация, снятие с эксплуатации АБС
в части вопросов ИБ должны осуществляться при участии подразделения
(лиц) в организации, ответственного за обеспечение ИБ.
8.2.3.5. На стадиях, связанных с разработкой АБС (определение
требований заинтересованных сторон, анализ требований, архитектурное
проектирование, реализация, интеграция и верификация, поставка, ввод в
действие), разработчиком должна быть обеспечена защита от угроз:
- неверной формулировки требований к АБС;
- выбора неадекватной модели ЖЦ АБС, в том числе неадекватного
выбора процессов ЖЦ и вовлеченных в них участников;
- принятия неверных проектных решений;
- внесения разработчиком дефектов на уровне архитектурных
решений;
- внесения разработчиком недокументированных возможностей в АБС;
- неадекватной (неполной, противоречивой, некорректной и пр.)
реализации требований к АБС;
- разработки некачественной документации;
- сборки АБС разработчиком/производителем с нарушением
требований, что приводит к появлению недокументированных возможностей
в АБС либо к неадекватной реализации требований;
- неверного конфигурирования АБС;
- приемки АБС, не отвечающей требованиям заказчика;
- внесения недокументированных возможностей в АБС в процессе
проведения приемочных испытаний посредством недокументированных
возможностей функциональных тестов и тестов ИБ.
8.2.3.6. Привлекаемые для разработки и(или) производства средств
и систем защиты АБС на договорной основе специализированные
организации должны иметь лицензии на данный вид деятельности в
соответствии с законодательством РФ.
8.2.3.7. При приобретении организациями БС РФ готовых АБС и их
компонентов разработчиком должна быть предоставлена документация,
содержащая в том числе описание защитных мер, предпринятых
разработчиком в отношении угроз, перечисленных в п. 8.2.3.5.
Также разработчиком должна быть представлена документация,
содержащая описание защитных мер, предпринятых разработчиком АБС, и их
компонентов относительно безопасности разработки, безопасности
поставки и эксплуатации, поддержки жизненного цикла, включая описание
модели жизненного цикла, оценки уязвимости. Данная документация может
быть представлена в рамках декларации о соответствии или быть
результатом оценки соответствия изделия, проведенной в рамках
соответствующей системы оценки.
В договор (контракт) о поставке АБС и их компонентов организациям
БС РФ рекомендуется включать положения по сопровождению поставляемых
изделий на весь срок их службы. В случае невозможности включения в
договор (контракт) указанных требований к разработчику должна быть
рассмотрена возможность приобретения полного комплекта рабочей
конструкторской документации на изделие, обеспечивающего возможность
сопровождения АБС и их компонентов без участия разработчика. Если оба
указанных варианта неприемлемы, например, вследствие высокой
стоимости, руководство организации БС РФ должно обеспечить анализ
влияния угрозы невозможности сопровождения АБС и их компонентов на
обеспечение непрерывности бизнеса.
8.2.3.8. На стадии эксплуатации в соответствии с документом ISO
TR 13569 должна быть обеспечена защита от следующих угроз:
- умышленное несанкционированное раскрытие, модификация или
уничтожение информации;
- неумышленная модификация или уничтожение информации;
- недоставка или ошибочная доставка информации;
- отказ в обслуживании или ухудшение обслуживания.
Кроме этого, актуальной является угроза отказа от авторства
сообщения.
8.2.3.9. На стадии сопровождения должна быть обеспечена защита от
угроз:
- внесения изменений в АБС, приводящих к нарушению ее
функциональности либо к появлению недокументированных возможностей;
- невнесения разработчиком/поставщиком изменений, необходимых для
поддержки правильного функционирования и правильного состояния АБС.
8.2.3.10. На стадии снятия с эксплуатации должно быть обеспечено
удаление информации, несанкционированное использование которой может
нанести ущерб бизнес-деятельности организации, и информации,
используемой средствами обеспечения ИБ, из постоянной памяти АБС или с
внешних носителей.
8.2.3.11. Требования ИБ должны включаться во все договоры и
контракты на проведение работ или оказание услуг на всех стадиях ЖЦ
АБС.
8.2.4. Общие требования по обеспечению информационной
безопасности при управлении доступом и регистрации
8.2.4.1. При распределении прав доступа персонала и клиентов к
активам организации БС РФ следует руководствоваться специальным
принципом "знание своих клиентов и служащих" (см. п. 6.2.2),
выражаемым следующим образом:
- "знать своего клиента"8;
- "знать своего служащего"9;
- "необходимо знать"10,
а также руководствоваться принципом "двойное управление"11.
8.2.4.2. В составе АБС должны применяться встроенные механизмы
защиты информации, а также могут использоваться сертифицированные или
разрешенные к применению средства защиты информации от НСД.
8.2.4.3. В организации должны обеспечиваться: идентификация,
аутентификация, авторизация; управление доступом; контроль
целостности; регистрация, включая:
- функционирование системы парольной защиты электронных
вычислительных машин (ЭВМ) и локальных вычислительных сетей (ЛВС).
Рекомендуется организовать службу централизованной парольной защиты
для генерации, распространения, смены, удаления паролей, разработки
необходимых инструкций, контроля за действиями персонала по работе с
паролями;
- непротиворечивая и прозрачная административно-техническая
поддержка задач управления доступом к ресурсам ЭВМ и/или ЛВС.
Назначение/лишение полномочий по доступу сотрудников к ресурсам ЭВМ
и/или ЛВС санкционируется руководителем функционального подразделения
организации, несущего персональную ответственность за обеспечение ИБ в
данном подразделении;
- контроль доступа пользователей к ресурсам ЭВМ и/или ЛВС.
Оперативный контроль доступа пользователей осуществляется
подразделениями (лицами) в организации, ответственными за обеспечение
ИБ;
- формирование уникальных идентификаторов сообщений и
идентификаторов пользователей (виды идентификаторов определяются
особенностями конкретного технологического процесса);
- регистрация действий персонала и пользователей в специальном
электронном журнале. Данный электронный журнал должен быть доступным
для чтения, просмотра, анализа, хранения и резервного копирования
только администратору ИБ. При невозможности поддержки данного режима
эксплуатирующимися в организации БС РФ аппаратно-программными
средствами реализация данного требования должна быть обеспечена
организационными и/или административными мерами.
8.2.5. Общие требования по обеспечению информационной
безопасности средствами антивирусной защиты
8.2.5.1. В организации должны применяться только официально
приобретенные средства антивирусной защиты. Установка и регулярное
обновление средств антивирусной защиты на автоматизированных рабочих
местах и серверах АБС должны осуществляться администраторами АБС.
Лучшей практикой является автоматическая установка обновлений
антивирусного программного обеспечения.
8.2.5.2. При обеспечении антивирусной защиты в организации должны
быть разработаны и введены в действие инструкции по антивирусной
защите, учитывающие особенности банковских технологических процессов.
Особое внимание должно быть уделено антивирусной фильтрации трафика
электронного почтового обмена.
Лучшей практикой является построение эшелонированной
централизованной системы антивирусной защиты, предусматривающей
использование средств антивирусной защиты различных производителей и
их раздельную установку на рабочих станциях, почтовых серверах и
межсетевых экранах.
8.2.5.3. В ЭВМ и АБС не допускается присутствие и использование
программного обеспечения и данных, не связанных с выполнением
конкретных функций в банковских технологических процессах организации.
8.2.5.4. Устанавливаемое или изменяемое программное обеспечение
должно быть предварительно проверено на отсутствие вирусов. После
установки или изменения программного обеспечения должна быть выполнена
антивирусная проверка.
8.2.5.5. При обнаружении компьютерного вируса необходимо принять
меры по устранению последствий вирусной атаки, проинформировать
руководство и приостановить при необходимости работу (на период
устранения последствий вирусной атаки).
8.2.5.6. Отключение или необновление антивирусных средств не
допускается. Установка и обновление антивирусных средств в организации
должны контролироваться представителями подразделений (лицами) в
организации, ответственными за обеспечение ИБ.
8.2.5.7. Ответственность за выполнение требований инструкции по
антивирусной защите должна быть возложена на руководителя
функционального подразделения организации, а обязанности по выполнению
мер антивирусной защиты должны быть возложены на каждого сотрудника
организации, имеющего доступ к ЭВМ и/или АБС.
8.2.6. Общие требования по обеспечению информационной
безопасности при использовании ресурсов сети Интернет
8.2.6.1. Ресурсы сети Интернет в организации БС РФ могут
использоваться для ведения дистанционного банковского обслуживания
(например, Internet-banking), получения и распространения информации,
связанной с банковской деятельностью (путем создания информационных
web-сайтов), информационно-аналитической работы в интересах
организации, обмена почтовыми сообщениями исключительно с внешними
организациями, а также ведения собственной хозяйственной деятельности.
Иное использование ресурсов сети Интернет, решение о котором не
принято руководством организации в установленном порядке, должно
рассматриваться как нарушение ИБ.
При принятии руководством организации решений об использовании
сети Интернет для производственной и/или собственной хозяйственной
деятельности необходимо учитывать следующие положения:
- сеть Интернет не имеет единого органа управления (за
исключением службы управления пространством имен и адресов) и не
является юридическим лицом, с которым можно было бы заключить договор
(соглашение). Провайдеры (посредники) сети Интернет могут обеспечить
только те услуги, которые реализуются непосредственно ими;
- гарантии по обеспечению ИБ при использовании сети Интернет
никаким органом не предоставляются.
8.2.6.2. В организациях БС РФ, осуществляющих дистанционное
банковское обслуживание клиентов, в связи с повышенными рисками
информационной безопасности при взаимодействии с сетью Интернет
обязательно должны применяться соответствующие средства защиты
информации (межсетевые экраны, антивирусные средства, средства
криптографической защиты информации (СКЗИ) и пр.), обеспечивающие
прием и передачу информации только в установленном формате и только
для конкретной технологии. Хорошей практикой является выделение и
неподключение к внутренним сетям ЭВМ, с помощью которых осуществляется
взаимодействие с сетью Интернет.
8.2.6.3. Почтовый обмен через сеть Интернет должен осуществляться
с использованием защитных мер.
Хорошей практикой является наличие в организации ограниченного
количества точек почтового обмена с сетью Интернет, состоящих из
внешнего (подключенного к сети Интернет) и внутреннего (подключенного
к внутренним сетям организации) почтовых серверов с безопасной
системой репликации почтовых сообщений между ними (интернет-киоски).
8.2.6.4. Электронная почта должна архивироваться. Архив должен
быть доступен только подразделению (лицу) в организации,
ответственному за обеспечение ИБ. Изменения в архиве не допускаются.
Доступ к информации архива должен быть ограничен.
8.2.6.5. В организациях БС РФ наличие банковской информации на
ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет
в режиме on-line, определяется бизнес-целями организации. При этом
необходимо учитывать высокую вероятность несанкционированного доступа,
потери и искажения данной информации. Хорошей практикой является
практика, когда ЭВМ, с помощью которых осуществляется взаимодействие с
сетью Интернет в режиме on-line, не содержат никакой банковской
информации (в т.ч. открытой).
8.2.6.6. При взаимодействии с сетью Интернет должно
обеспечиваться противодействие атакам хакеров и распространению
спама12.
8.2.6.7. Порядок подключения и использования ресурсов сети
Интернет в организации БС РФ должен контролироваться подразделениями
(лицами) в организации, ответственными за обеспечение ИБ. Любое
подключение и использование сети Интернет должно быть санкционировано
руководством функционального подразделения организации.
8.2.7. Общие требования по обеспечению информационной
безопасности при использовании средств криптографической защиты
информации
8.2.7.1. Средства криптографической защиты информации:
- должны допускать встраивание в технологическую схему обработки
электронных сообщений, обеспечивать взаимодействие с прикладным
программным обеспечением на уровне обработки запросов на
криптографические преобразования и выдачи результатов;
- должны поставляться разработчиками с полным комплектом
эксплуатационной документации, включая описание ключевой системы,
правила работы с ней, а также обоснование необходимого
организационно-штатного обеспечения;
- должны быть реализованы на основе алгоритмов, соответствующих
национальным стандартам РФ, условиям договора с контрагентом и(или)
стандартам организации;
- должны иметь строгий регламент использования ключей,
предполагающий контроль со стороны администратора ИБ организации за
действиями пользователя на всех этапах работы с ключевой информацией
(получение ключевого носителя, ввод ключей, использование ключей и
сдача ключевого носителя);
- должны обеспечивать реализацию процедур сброса ключей в случаях
отсутствия штатной активности пользователей в соответствии с
регламентом использования ключей или при переходе АБС в нештатный
режим работы;
- не должны содержать требований к ЭВМ по специальной проверке на
отсутствие закладных устройств, если иное не оговорено в технической
документации на конкретное средство защиты;
- не должны требовать дополнительной защиты от утечки по побочным
каналам электромагнитного излучения.
8.2.7.2. При применении СКЗИ в АБС должны поддерживаться
непрерывность процессов протоколирования работы СКЗИ и обеспечения
целостности программного обеспечения для всех звеньев АБС.
8.2.7.3. ИБ процессов изготовления ключевых документов СКЗИ
должна обеспечиваться комплексом технологических, организационных,
технических и программных мер и средств защиты.
8.2.7.4. Для повышения уровня безопасности при эксплуатации СКЗИ
и их ключевых систем в АБС хорошей практикой является реализация
процедуры мониторинга, регистрирующего все значимые события,
состоявшиеся в процессе обмена электронными сообщениями, и все
инциденты ИБ.
8.2.7.5. Внутренний порядок применения СКЗИ в АБС определяется
руководством организации и должен включать:
- порядок ввода в действие;
- порядок эксплуатации;
- порядок восстановления работоспособности в аварийных случаях;
- порядок внесения изменений;
- порядок снятия с эксплуатации;
- порядок управления ключевой системой;
- порядок обращения с носителями ключевой информации.
8.2.7.6. Ключи кодов аутентификации (КА) и/или электронной
цифровой подписи (ЭЦП) должны изготавливаться в каждой организации
самостоятельно. В случае изготовления ключей КА, ЭЦП для одной
организации в другой организации БС РФ согласие первой организации
считать данный ключ своим должно быть зафиксировано в договоре.
8.2.8. Общие требования по обеспечению информационной
безопасности банковских платежных технологических процессов
8.2.8.1. Система обеспечения информационной безопасности
банковского платежного технологического процесса должна
соответствовать требованиям пунктов 8.2.2-8.2.7 настоящего стандарта и
иных нормативных документов по вопросам информационной безопасности,
действие которых распространяется на банковскую систему Российской
Федерации.
8.2.8.2. В качестве объектов защиты должны рассматриваться:
- банковский платежный технологический процесс;
- платежная информация;
- технологический процесс по управлению ролями и полномочиями
сотрудников организации БС РФ, задействованных в обеспечении
банковского платежного технологического процесса.
8.2.8.3. Банковский платежный технологический процесс должен быть
однозначно определен (отражен) в нормативно-методических документах
организации БС РФ.
8.2.8.4. Порядок обмена платежной информацией должен быть
зафиксирован в договорах между участниками, осуществляющими обмен
платежной информацией. В роли участников могут выступать организации
БС РФ, юридические и физические лица.
8.2.8.5. Сотрудники организации БС РФ, в том числе администраторы
автоматизированных систем и средств защиты информации, не должны
обладать всей полнотой полномочий для бесконтрольного создания,
авторизации, уничтожения и изменения платежной информации, а также
проведения операций по изменению состояния банковских счетов.
8.2.8.6. Результаты технологических операций по обработке
платежной информации должны быть контролируемы (проверены) и
удостоверены лицами/автоматизированными процессами.
Лица/автоматизированные процессы, осуществляющие обработку платежной
информации и контроль (проверку) результатов обработки, должны быть
независимы друг от друга.
8.2.8.7. При работе с платежной информацией необходимо проводить
авторизацию и контроль целостности данной информации.
Лучшей практикой при автоматизированной обработке платежной
информации является оснащение средств вычислительной техники (на
которых осуществляются операции над платежной информацией)
сертифицированными или разрешенными руководителем организации БС РФ к
применению средствами защиты от НСД и средствами криптографической
защиты информации.
8.2.8.8. Подготовленная клиентами организации БС РФ платежная
информация, на основании которой совершаются расчетные, учетные и
кассовые операции, предназначена для внутреннего использования в
организации БС РФ и может быть передана иным организациям только в
соответствии с действующим законодательством Российской Федерации.
Указанная информация относится к категории строгой отчетности.
Ограничительные пометки (грифы) "Для служебного пользования",
"Конфиденциально" или "Банковская тайна" на документы, содержащие
данную информацию, не проставляются.
Безопасность информации, отнесенной к банковской тайне,
обеспечивается в соответствии со статьей 26 Федерального закона "О
банках и банковской деятельности".
8.2.8.9. Обязанности по администрированию средств защиты
платежной информации для каждого технологического участка ее
прохождения возлагаются приказом по организации БС РФ на сотрудников
(сотрудника), задействованных на данном технологическом участке
(администраторов информационной безопасности), с отражением этих
функций в его должностных обязанностях.
Администратор информационной безопасности должен действовать на
основании соответствующего нормативного документа, разработанного в
организации БС РФ и утвержденного руководством организации БС РФ.
Хорошей практикой является назначение денежной надбавки
администратору информационной безопасности к его должностному окладу.
8.2.8.10. Комплекс мер по обеспечению информационной безопасности
банковского платежного технологического процесса должен
предусматривать:
- защиту платежной информации от искажения, фальсификации,
переадресации, несанкционированного уничтожения, ложной авторизации
платежных документов;
- минимально необходимый, гарантированный доступ сотрудника
организации БС РФ только к тем ресурсам банковского платежного
технологического процесса, которые необходимы ему для исполнения
служебных обязанностей или реализации прав, предусмотренных
технологией обработки платежной информации;
- контроль (мониторинг) исполнения установленной технологии
подготовки, обработки, передачи и хранения платежной информации;
- аутентификацию обрабатываемой платежной информации;
- двустороннюю аутентификацию автоматизированных рабочих мест,
участников обмена платежной информацией;
- восстановление платежной информации в случае ее умышленного
(случайного) разрушения (искажения) или выхода из строя средств
вычислительной техники;
- авторизованный ввод платежной информации в автоматизированные
банковские системы двумя сотрудниками с последующей программной
сверкой результатов ввода на совпадение (Dual Control, ISO TR 13569);
- сверку выходных платежных сообщений с соответствующими
поступившими платежными сообщениями;
- гарантированную доставку платежных сообщений участникам обмена.
8.2.8.11. Организации БС РФ - члены международных платежных
систем с использованием банковских карт должны обеспечивать выполнение
требований данных систем по информационной безопасности.
8.2.9. Общие требования по обеспечению информационной
безопасности банковских информационных технологических процессов
8.2.9.1. Система обеспечения информационной безопасности
банковского информационного технологического процесса должна
соответствовать требованиям пунктов 8.2.2-8.2.7 настоящего стандарта и
иных нормативных документов по вопросам информационной безопасности,
действие которых распространяется на БС РФ.
8.2.9.2. В организации БС РФ неплатежная информация
классифицируется как:
- открытая информация, предназначенная для официальной передачи
во внешние организации и средства массовой информации;
- внутренняя банковская информация, предназначенная для
использования исключительно сотрудниками организации БС РФ при
выполнении ими своих служебных обязанностей;
- информация, содержащая сведения ограниченного распространения в
соответствии с утвержденным организацией БС РФ Перечнем, подлежащая
защите в соответствии с законодательством РФ, например, банковская
тайна, персональные данные;
- информация, полученная из федеральных органов исполнительной
власти и содержащая сведения ограниченного распространения;
- информация, содержащая сведения, составляющие государственную
тайну.
Каждому виду информации соответствует свой необходимый уровень
защиты (свой набор требований по защите).
Так как требования по защите двух последних видов информации
определяются государственными нормативно-методическими документами, то
вопросы обеспечения защиты информации, содержащей указанные сведения,
в настоящем стандарте не рассматриваются. Автоматизированные системы
организации БС РФ, обрабатывающие, хранящие и/или передающие такую
информацию, должны быть физически изолированы от прочих
автоматизированных систем данной организации.
8.2.9.3. В качестве объектов защиты должны рассматриваться:
- информационные ресурсы;
- управляющая информация АБС;
- банковский информационный технологический процесс.
8.2.9.4. Организация БС РФ несет ответственность за:
- достоверность информации, официально предоставляемой внешним
организациям и гражданам;
- достоверность и выполнение регламента предоставления внешним
организациям и гражданам информации, обязательность и порядок
предоставления которой определены законодательством Российской
Федерации и/или нормативными документами Банка России;
- обеспечение соответствующего законодательству Российской
Федерации уровня защиты как собственной информации, так и информации,
официально полученной из внешних организаций и от граждан.
8.2.9.5. Если в АБС обрабатывается информация, требующая по
решению руководства защиты, то соответствующим распоряжением должен
быть назначен администратор информационной безопасности. Допускаются
назначение одного администратора информационной безопасности на
несколько АБС, а также совмещение выполнения указанных функций с
другими обязанностями.
При этом совмещение в одном лице функций администратора АБС и
администратора информационной безопасности АБС не допускается.
8.2.9.6. Администратор АБС не должен иметь служебных полномочий
(а при возможности и технических средств) по настройке параметров
системы, влияющих на полномочия пользователей по доступу к информации.
Однако он должен иметь право добавить в систему нового пользователя
без всяких полномочий по доступу к информации, а также удалить из
системы такого пользователя.
Администратор информационной безопасности АБС должен иметь
служебные полномочия и технические возможности по контролю действий
соответствующих администраторов АБС (без вмешательства в их действия)
и пользователей, а также полномочия (а при возможности и технические
средства) по настройке для каждого пользователя только тех параметров
системы, которые определяют права доступа к информации.
Устанавливаемые права доступа к информации должны назначаться
подразделением организации БС РФ, ответственным за эту информацию
(владельцем информационного актива).
Администратор информационной безопасности не должен иметь права
добавить нового пользователя в АБС, а также удалить из нее
существующего пользователя.
В случае отсутствия у администратора информационной безопасности
технических возможностей по настройке параметров АБС, влияющих на
полномочия пользователей по доступу к информации, эти настройки
выполняются администратором АБС, но с обязательным предварительным
согласованием устанавливаемых прав доступа пользователей к информации
с администратором информационной безопасности.
Для каждой АБС должен быть определен порядок контроля ее
функционирования со стороны лиц, отвечающих за ИБ.
8.2.9.7. Процессы подготовки, ввода, обработки и хранения
информации, а также порядок установки, настройки, эксплуатации и
восстановления необходимых технических и программных средств должны
быть регламентированы и обеспечены инструктивными и методическими
материалами, согласованными со службой информационной безопасности.
8.2.9.8. Должна осуществляться и быть регламентирована процедура
периодического тестирования всех реализованных программно-техническими
средствами функций (требований) по обеспечению ИБ. Регламентирующие
документы должны быть согласованы со службой ИБ.
8.2.9.9. Должна осуществляться и быть регламентирована процедура
восстановления всех реализованных программно-техническими средствами
функций по обеспечению ИБ. Регламентирующие документы должны быть
согласованы со службой ИБ.
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2006 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".