Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
7.4. Общие требования по обеспечению информационной
безопасности при управлении доступом и регистрации
7.4.1. Должен быть документально определен перечень
информационных активов (их типов) организации БС РФ. Права доступа
работников и клиентов организации БС РФ к данным активам должны быть
документально зафиксированы.
7.4.2. В составе АБС должны применяться встроенные защитные меры,
а также рекомендуются к использованию сертифицированные или
разрешенные руководством организации БС РФ к применению средства
защиты информации от НСД и НРД и средства криптографической защиты
информации.
7.4.3. В организации БС РФ должны быть документально определены и
утверждены руководством, выполняться и контролироваться процедуры
идентификации, аутентификации, авторизации; управления доступом;
контроля целостности; регистрации событий и действий.
Процедуры управления доступом должны исключать возможность
"самосанкционирования".
Результаты контроля процедур должны документироваться.
7.4.4. В организации БС РФ необходимо документально определить
процедуры мониторинга и анализа данных регистрации, действий и
операций, позволяющие выявлять неправомерные или подозрительные
операции и транзакции. Для проведения процедур мониторинга и анализа
данных регистрации, действий и операций рекомендуется использовать
специализированные программные и (или) технические средства.
Процедуры мониторинга и анализа должны использовать документально
определенные критерии выявления неправомерных или подозрительных
действий и операций. Указанные процедуры мониторинга и анализа должны
применяться на регулярной основе, например, ежедневно, ко всем
выполненным операциям и транзакциям.
7.4.5. Порядок доступа работников организации БС РФ в помещения,
в которых размещаются объекты среды информационных активов, должен
быть регламентирован во внутренних документах организации БС РФ, а его
выполнение должно контролироваться.
Результаты контроля выполнения порядка доступа должны оформляться
документально.
7.4.6. Используемые в организации БС РФ АБС, в том числе системы
дистанционного банковского обслуживания, должны обеспечивать среди
прочего возможность регистрации:
- операций с данными о клиентских счетах, включая операции
открытия, модификации и закрытия клиентских счетов;
- проводимых транзакций, имеющих финансовые последствия;
- операций, связанных с назначением и распределением прав
пользователей.
7.4.7. Системы дистанционного банковского обслуживания должны
реализовывать защитные меры, обеспечивающие невозможность отказа от
авторства проводимых клиентами операций и транзакций, например, ЭЦП.
Протоколам операций, выполняемых посредством систем
дистанционного банковского обслуживания, рекомендуется придать
свойство юридической значимости, например, путем внесения
соответствующих положений в договоры на дистанционное банковское
обслуживание.
7.4.8. При заключении договоров со сторонними организациями
рекомендуется юридическое оформление договоренностей,
предусматривающих необходимый уровень взаимодействия в случае выхода
инцидента ИБ за рамки отдельной организации БС РФ. Примером такого
взаимодействия может служить приостановка выполнения распределенной
между несколькими организациями транзакции в случае, если имеющиеся
данные мониторинга и анализа протоколов операций позволяют
предположить, что выполнение данной транзакции является частью замысла
злоумышленников.
7.4.9. Должны быть документально оформлены и доведены до сведения
работников и клиентов организации БС РФ процедуры, определяющие
действия в случае компрометации информации, необходимой для их
идентификации, аутентификации и (или) авторизации, в том числе
произошедшей по их вине, включая информацию о способах распознавания
таких случаев.
Эти процедуры должны предусматривать документирование работниками
и клиентами всех своих действий и их результатов.
7.4.10. В системах дистанционного банковского обслуживания должны
быть реализованы механизмы информирования (регулярного, непрерывного
или по требованию) клиентов обо всех операциях, совершаемых от их
имен.
7.4.11. В организации БС РФ должны применяться защитные меры,
направленные на обеспечение защиты от НСД и НРД, повреждения или
нарушения целостности информации, необходимой для регистрации,
идентификации, аутентификации и (или) авторизации клиентов и
работников организации БС РФ. Все попытки НСД и НРД к такой информации
должны регистрироваться. При увольнении или изменении должностных
обязанностей работников организации БС РФ, имевших доступ к указанной
информации, необходимо выполнить документированные процедуры
соответствующего пересмотра прав доступа.
7.4.12. Работа всех пользователей АБС должна осуществляться под
уникальными учетными записями.
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".