СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ. Распоряжение. Центральный банк РФ (ЦБР). 25.12.08 Р-1674

Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".

Предыдущий фрагмент <<< ...  Оглавление  ... >>> Следующий фрагмент

Полный текст документа

7.6. Общие требования по обеспечению информационной
        безопасности при использовании ресурсов сети Интернет

     7.6.1.    Решение    об    использовании    сети   Интернет   для
производственной и (или) собственной хозяйственной деятельности должно
документально  приниматься  руководством  организации  БС РФ. При этом
цели   использования  сети  Интернет  должны  быть  явно  перечислены,
например, сеть Интернет в организации БС РФ может использоваться для:
     - ведения дистанционного банковского обслуживания;
     - получения  и распространения информации, связанной с банковской
деятельностью  (например,  путем  создания  информационных  web-сайтов
организации БС РФ);
     - информационно-аналитической работы в интересах организации;
     - обмена электронными сообщениями, например, почтовыми.
     Использование  сети  Интернет в неустановленных целях должно быть
запрещено.
     С целью ограничения использования сети Интернет в неустановленных
целях   в   организации   БС   РФ   рекомендуется  провести  выделение
ограниченного  числа  пакетов, содержащих перечень сервисов и ресурсов
сети  Интернет,  доступных  для  пользователей.  Наделение  работников
организации  БС  РФ  правами  пользователя  конкретного  пакета должно
оформляться   документально   и   выполняться  в  соответствии  с  его
должностными обязанностями, в частности, в соответствии с назначенными
ему ролями.
     7.6.2.  В  организации  БС РФ должен быть документально определен
порядок подключения и использования ресурсов сети Интернет, включающий
в  том  числе  положение  о  контроле со стороны подразделения (лиц) в
организации, ответственных за обеспечение ИБ.
     7.6.3.   В   организациях  БС  РФ,  осуществляющих  дистанционное
банковское  обслуживание  клиентов,  в  связи  с  повышенными  рисками
нарушения  ИБ  при  взаимодействии с сетью Интернет должны применяться
средства  защиты информации (межсетевые экраны, антивирусные средства,
средства  криптографической  защиты  информации и пр.), обеспечивающие
прием  и  передачу  информации только в установленном формате и только
для конкретной технологии.
     7.6.4.   Рекомендуется   выполнить   выделение   и   организовать
физическую  изоляцию  от  внутренних  сетей тех ЭВМ, с помощью которых
осуществляется взаимодействие с сетью Интернет в режиме on-line.
     7.6.5.  При осуществлении дистанционного банковского обслуживания
должны  применяться защитные меры, предотвращающие возможность подмены
авторизованного  клиента  злоумышленником  в рамках сеанса работы. Все
попытки   таких   подмен  должны  регистрироваться  регламентированным
образом.
     7.6.6.  Все  операции  клиентов  в  течение всего сеанса работы с
системами  дистанционного  банковского обслуживания должны выполняться
только  после  выполнения  процедур  идентификации,  аутентификации  и
авторизации.  В  случаях  нарушения  или разрыва соединения необходимо
обеспечить повторное выполнение указанных процедур.
     Для  доступа  пользователей к системам дистанционного банковского
обслуживания  рекомендуется использовать специализированное клиентское
программное обеспечение.
     7.6.7. Почтовый обмен через сеть Интернет должен осуществляться с
использованием защитных мер. Перечень указанных защитных мер и порядок
их использования должны быть определены документально.
     Рекомендуется  организовать почтовый обмен с сетью Интернет через
ограниченное  количество точек, состоящих из внешнего (подключенного к
сети   Интернет)  и  внутреннего  (подключенного  к  внутренним  сетям
организации)   почтовых  серверов  с  безопасной  системой  репликации
почтовых сообщений между ними (интернет-киоски).
     7.6.8. Электронная почта должна архивироваться. Архив должен быть
доступен   подразделению   (лицу)  в  организации,  ответственному  за
обеспечение  ИБ.  Изменения в архиве не допускаются. Порядок доступа к
информации архива должен быть документально определен.
     7.6.9.  Рекомендуется  не применять практику хранения и обработки
банковской  информации  (в  т.ч.  открытой)  на ЭВМ, с помощью которых
осуществляется  взаимодействие  с  сетью  Интернет  в  режиме on-line.
Наличие   банковской  информации  на  таких  ЭВМ  должно  определяться
бизнес-целями  организации  БС РФ и документально санкционироваться ее
руководством.
     7.6.10.   При   взаимодействии   с  сетью  Интернет  должны  быть
документально    определены    и    использоваться    защитные    меры
противодействия атакам хакеров и распространению спама <*>.
--------------------------------
     <*>  Спам  -  общее  наименование  не  запрошенных пользователями
электронных  посланий  и  рекламных  писем, рассылаемых в Интернете по
ставшим известными рассылающей стороне адресам пользователей.

Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".

Предыдущий фрагмент <<< ...  Оглавление  ... >>> Следующий фрагмент

Полный текст документа