IBBS-1-0-2006 (1027734), страница 8
Текст из файла (страница 8)
В качестве объектов защиты должны рассматриваться:— банковский платежный технологический процесс;— платежная информация;— технологический процесс по управлению ролями и полномочиями сотрудников организации БС РФ, задействованных в обеспечении банковского платежного технологическогопроцесса.8.2.8.3. Банковский платежный технологический процесс должен быть однозначно определен (отражен) в нормативнометодических документах организации БС РФ.8.2.8.4. Порядок обмена платежной информацией должен быть зафиксирован в договорах между участниками, осуществляющими обмен платежной информацией.
В роли участниковмогут выступать организации БС РФ, юридические и физические лица.8.2.8.5. Сотрудники организации БС РФ, в том числе администраторы автоматизированных систем и средств защиты информации, не должны обладать всей полнотой полномочий длябесконтрольного создания, авторизации, уничтожения и изменения платежной информации, атакже проведения операций по изменению состояния банковских счетов.8.2.8.6. Результаты технологических операций по обработке платежной информации должны быть контролируемы (проверены) и удостоверены лицами/автоматизированными процессами.
Лица/автоматизированные процессы, осуществляющие обработку платежной информации и контроль (проверку) результатов обработки, должны быть независимы друг от друга.8.2.8.7. При работе с платежной информацией необходимо проводить авторизацию и контроль целостности данной информации.Лучшей практикой при автоматизированной обработке платежной информации являетсяоснащение средств вычислительной техники (на которых осуществляются операции над платежной информацией) сертифицированными или разрешенными руководителем организацииБС РФ к применению средствами защиты от НСД и средствами криптографической защиты информации.8.2.8.8.
Подготовленная клиентами организации БС РФ платежная информация, на основании которой совершаются расчетные, учетные и кассовые операции, предназначена для внутреннего использования в организации БС РФ и может быть передана иным организациям только в соответствии с действующим законодательством Российской Федерации.Указанная информация относится к категории строгой отчетности. Ограничительные пометки (грифы) “Для служебного пользования”, “Конфиденциально” или “Банковская тайна” надокументы, содержащие данную информацию, не проставляются.Безопасность информации, отнесенной к банковской тайне, обеспечивается в соответствии со статьей 26 Федерального закона “О банках и банковской деятельности”.8.2.8.9.
Обязанности по администрированию средств защиты платежной информации длякаждого технологического участка ее прохождения возлагаются приказом по организации БС РФна сотрудников (сотрудника), задействованных на данном технологическом участке (администраторов информационной безопасности), с отражением этих функций в его должностных обязанностях.Администратор информационной безопасности должен действовать на основании соответствующего нормативного документа, разработанного в организации БС РФ и утвержденного руководством организации БС РФ.Хорошей практикой является назначение денежной надбавки администратору информационной безопасности к его должностному окладу.8.2.8.10.
Комплекс мер по обеспечению информационной безопасности банковского платежного технологического процесса должен предусматривать:— защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации платежных документов;СТО БР ИББС1.0200621— минимально необходимый, гарантированный доступ сотрудника организации БС РФ только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения служебных обязанностей или реализации прав, предусмотренных технологией обработки платежной информации;— контроль (мониторинг) исполнения установленной технологии подготовки, обработки,передачи и хранения платежной информации;— аутентификацию обрабатываемой платежной информации;— двустороннюю аутентификацию автоматизированных рабочих мест, участников обменаплатежной информацией;— восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники;— авторизованный ввод платежной информации в автоматизированные банковские системы двумя сотрудниками с последующей программной сверкой результатов ввода на совпадение (Dual Control, ISO TR 13569);— сверку выходных платежных сообщений с соответствующими поступившими платежными сообщениями;— гарантированную доставку платежных сообщений участникам обмена.8.2.8.11.
Организации БС РФ — члены международных платежных систем с использованием банковских карт должны обеспечивать выполнение требований данных систем по информационной безопасности.8.2.9. Общие требования по обеспечению информационной безопасностибанковских информационных технологических процессов8.2.9.1. Система обеспечения информационной безопасности банковского информационного технологического процесса должна соответствовать требованиям пунктов 8.2.2—8.2.7настоящего стандарта и иных нормативных документов по вопросам информационной безопасности, действие которых распространяется на БС РФ.8.2.9.2.
В организации БС РФ неплатежная информация классифицируется как:— открытая информация, предназначенная для официальной передачи во внешние организации и средства массовой информации;— внутренняя банковская информация, предназначенная для использования исключительно сотрудниками организации БС РФ при выполнении ими своих служебных обязанностей;— информация, содержащая сведения ограниченного распространения в соответствии сутвержденным организацией БС РФ Перечнем, подлежащая защите в соответствии с законодательством РФ, например, банковская тайна, персональные данные;— информация, полученная из федеральных органов исполнительной власти и содержащаясведения ограниченного распространения;— информация, содержащая сведения, составляющие государственную тайну.Каждому виду информации соответствует свой необходимый уровень защиты (свой набор требований по защите).Так как требования по защите двух последних видов информации определяются государственными нормативнометодическими документами, то вопросы обеспечения защиты информации, содержащей указанные сведения, в настоящем стандарте не рассматриваются.
Автоматизированные системы организации БС РФ, обрабатывающие, хранящие и/или передающиетакую информацию, должны быть физически изолированы от прочих автоматизированных систем данной организации.8.2.9.3. В качестве объектов защиты должны рассматриваться:— информационные ресурсы;— управляющая информация АБС;— банковский информационный технологический процесс.8.2.9.4. Организация БС РФ несет ответственность за:— достоверность информации, официально предоставляемой внешним организациям и гражданам;— достоверность и выполнение регламента предоставления внешним организациям и гражданам информации, обязательность и порядок предоставления которой определены законодательством Российской Федерации и/или нормативными документами Банка России;— обеспечение соответствующего законодательству Российской Федерации уровня защиты как собственной информации, так и информации, официально полученной из внешнихорганизаций и от граждан.22СТО БР ИББС1.020068.2.9.5.
Если в АБС обрабатывается информация, требующая по решению руководствазащиты, то соответствующим распоряжением должен быть назначен администратор информационной безопасности. Допускаются назначение одного администратора информационнойбезопасности на несколько АБС, а также совмещение выполнения указанных функций с другими обязанностями.При этом совмещение в одном лице функций администратора АБС и администратора информационной безопасности АБС не допускается.8.2.9.6. Администратор АБС не должен иметь служебных полномочий (а при возможностии технических средств) по настройке параметров системы, влияющих на полномочия пользователей по доступу к информации. Однако он должен иметь право добавить в систему нового пользователя без всяких полномочий по доступу к информации, а также удалить из системы такогопользователя.Администратор информационной безопасности АБС должен иметь служебные полномочия и технические возможности по контролю действий соответствующих администраторов АБС(без вмешательства в их действия) и пользователей, а также полномочия (а при возможности итехнические средства) по настройке для каждого пользователя только тех параметров системы, которые определяют права доступа к информации.
Устанавливаемые права доступа к информации должны назначаться подразделением организации БС РФ, ответственным за эту информацию (владельцем информационного актива).Администратор информационной безопасности не должен иметь права добавить новогопользователя в АБС, а также удалить из нее существующего пользователя.В случае отсутствия у администратора информационной безопасности технических возможностей по настройке параметров АБС, влияющих на полномочия пользователей по доступук информации, эти настройки выполняются администратором АБС, но с обязательным предварительным согласованием устанавливаемых прав доступа пользователей к информации с администратором информационной безопасности.Для каждой АБС должен быть определен порядок контроля ее функционирования со стороны лиц, отвечающих за ИБ.8.2.9.7. Процессы подготовки, ввода, обработки и хранения информации, а также порядок установки, настройки, эксплуатации и восстановления необходимых технических и программных средств должны быть регламентированы и обеспечены инструктивными и методическими материалами, согласованными со службой информационной безопасности.8.2.9.8.
Должна осуществляться и быть регламентирована процедура периодического тестирования всех реализованных программнотехническими средствами функций (требований) пообеспечению ИБ. Регламентирующие документы должны быть согласованы со службой ИБ.8.2.9.9. Должна осуществляться и быть регламентирована процедура восстановления всехреализованных программнотехническими средствами функций по обеспечению ИБ.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
