IBBS-1.0-2004 (1027736), страница 6
Текст из файла (страница 6)
При невозможности поддержки данного режима эксплуатирующимися в организации БС РФ аппаратнопрограммными средствами, реализация данного требования должна быть обеспечена организационными и/или административными мерами.8.2.5. Общие требования по обеспечению информационной безопасностисредствами антивирусной защиты8.2.5.1. В организации должны применяться только официально приобретенные средства антивирусной защиты.
Установка и регулярное обновление средств антивирусной защиты наавтоматизированных рабочих местах и серверах АБС должны осуществляться администраторами АБС.Лучшей практикой является автоматическая установка обновлений антивирусного программного обеспечения.8.2.5.2. При обеспечении антивирусной защиты в организации должны быть разработаныи введены в действие инструкции по антивирусной защите, учитывающие особенности банковских технологических процессов. Особое внимание должно быть уделено антивирусной фильтрации трафика электронного почтового обмена.Лучшей практикой является построение эшелонированной централизованной системыантивирусной защиты, предусматривающей использование средств антивирусной защиты различных производителей и их раздельную установку на рабочих станциях, почтовых серверах имежсетевых экранах.8.2.5.3.
В ЭВМ и АБС не допускается присутствие и использование программного обеспечения и данных, не связанных с выполнением конкретных функций в банковских технологических процессах организации.8.2.5.4. Устанавливаемое или изменяемое программное обеспечение должно быть предварительно проверено на отсутствие вирусов. После установки или изменения программногообеспечения должна быть выполнена антивирусная проверка.8.2.5.5. При обнаружении компьютерного вируса необходимо принять меры по устранению последствий вирусной атаки, проинформировать руководство и приостановить при необходимости работу (на период устранения последствий вирусной атаки).1“Необходимо знать” (Need to Know): принцип безопасности, который ограничивает доступ к информации и ресурсам пообработке информации тем, кому требуется выполнять определенные обязанности [ISO TR 13569].2“Двойное управление” (Dual Control): принцип сохранения целостности процесса и борьбы с искажением функций системы,требующий того, чтобы два лица независимо предпринимали некое действие до завершения определенных транзакций[ISO TR 13569].16СТО БР ИББС1.020048.2.5.6.
Отключение или необновление антивирусных средств не допускается. Установкаи обновление антивирусных средств в организации должны контролироваться представителями подразделений (лицами) в организации, ответственными за обеспечение ИБ.8.2.5.7. Ответственность за выполнение требований инструкции по антивирусной защитедолжна быть возложена на руководителя функционального подразделения организации, а обязанности по выполнению мер антивирусной защиты должны быть возложены на каждого сотрудника организации, имеющего доступ к ЭВМ и/или АБС.8.2.6. Общие требования по обеспечению информационной безопасностипри использовании ресурсов сети Интернет8.2.6.1. Ресурсы сети Интернет в организации БС РФ могут использоваться для ведениядистанционного банковского обслуживания (например, Internetbanking), получения и распространения информации, связанной с банковской деятельностью (путем создания информационных webсайтов), информационноаналитической работы в интересах организации, обменапочтовыми сообщениями исключительно с внешними организациями, а также ведения собственной хозяйственной деятельности.Иное использование ресурсов сети Интернет, решение о котором не принято руководствоморганизации в установленном порядке, должно рассматриваться как нарушение ИБ.При принятии руководством организации решений об использовании сети Интернет дляпроизводственной и/или собственной хозяйственной деятельности необходимо учитывать следующие положения:— сеть Интернет не имеет единого органа управления (за исключением службы управленияпространством имен и адресов) и не является юридическим лицом, с которым можно былобы заключить договор (соглашение).
Провайдеры (посредники) сети Интернет могут обеспечить только те услуги, которые реализуются непосредственно ими;— гарантии по обеспечению ИБ при использовании сети Интернет никаким органом не предоставляются.8.2.6.2. В организациях БС РФ, осуществляющих дистанционное банковское обслуживание клиентов, в связи с повышенными рисками информационной безопасности при взаимодействии с сетью Интернет обязательно должны применяться соответствующие средства защитыинформации (межсетевые экраны, антивирусные средства, средства криптографической защитыинформации (СКЗИ) и пр.), обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии. Хорошей практикой является выделениеи неподключение к внутренним сетям ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет.8.2.6.3.
Почтовый обмен через сеть Интернет должен осуществляться с использованиемзащитных мер.Хорошей практикой является наличие в организации ограниченного количества точек почтового обмена с сетью Интернет, состоящих из внешнего (подключенного к сети Интернет) ивнутреннего (подключенного к внутренним сетям организации) почтовых серверов с безопасной системой репликации почтовых сообщений между ними (интернеткиоски).8.2.6.4. Электронная почта должна архивироваться. Архив должен быть доступен толькоподразделению (лицу) в организации, ответственному за обеспечение ИБ.
Изменения в архивене допускаются. Доступ к информации архива должен быть ограничен.8.2.6.5. В организациях БС РФ наличие банковской информации на ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет в режиме online, определяется бизнесцелями организации. При этом необходимо учитывать высокую вероятность несанкционированного доступа, потери и искажения данной информации. Хорошей практикой является практика, когда ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет в режиме online, не содержат никакой банковской информации (в т.ч. открытой).8.2.6.6.
При взаимодействии с сетью Интернет должно обеспечиваться противодействиеатакам хакеров и распространению спама1.8.2.6.7. Порядок подключения и использования ресурсов сети Интернет в организацииБС РФ должен контролироваться подразделениями (лицами) в организации, ответственнымиза обеспечение ИБ. Любое подключение и использование сети Интернет должно быть санкционировано руководством функционального подразделения организации.1Спам — общее наименование не запрошенных пользователями электронных посланий и рекламных писем, рассылаемых в Интернете по ставшим известными рассылающей стороне адресам пользователей.СТО БР ИББС1.02004178.2.7.
Общие требования по обеспечению информационной безопасностипри использовании средств криптографической защиты информации8.2.7.1. Средства криптографической защиты информации:— должны допускать встраивание в технологическую схему обработки электронных сообщений, обеспечивать взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов;— должны поставляться разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней, а также обоснованиенеобходимого организационноштатного обеспечения;— должны быть реализованы на основе алгоритмов, соответствующих национальным стандартам РФ, условиям договора с контрагентом и(или) стандартам организации;— должны иметь строгий регламент использования ключей, предполагающий контроль состороны администратора ИБ организации за действиями пользователя на всех этапахработы с ключевой информацией (получение ключевого носителя, ввод ключей, использование ключей и сдача ключевого носителя);— должны обеспечивать реализацию процедур сброса ключей в случаях отсутствия штатной активности пользователей в соответствии с регламентом использования ключей илипри переходе АБС в нештатный режим работы;— не должны содержать требований к ЭВМ по специальной проверке на отсутствие закладных устройств, если иное не оговорено в технической документации на конкретное средство защиты;— не должны требовать дополнительной защиты от утечки по побочным каналам электромагнитного излучения.8.2.7.2.
При применении СКЗИ в АБС должны поддерживаться непрерывность процессовпротоколирования работы СКЗИ и обеспечения целостности программного обеспечения длявсех звеньев АБС.8.2.7.3. ИБ процессов изготовления ключевых документов СКЗИ должна обеспечиватьсякомплексом технологических, организационных, технических и программных мер и средств защиты.8.2.7.4.
Для повышения уровня безопасности при эксплуатации СКЗИ и их ключевых систем в АБС хорошей практикой является реализация процедуры мониторинга, регистрирующеговсе значимые события, состоявшиеся в процессе обмена электронными сообщениями, и всеинциденты ИБ.8.2.7.5. Внутренний порядок применения СКЗИ в АБС определяется руководством организации и должен включать:— порядок ввода в действие;— порядок эксплуатации;— порядок восстановления работоспособности в аварийных случаях;— порядок внесения изменений;— порядок снятия с эксплуатации;— порядок управления ключевой системой;— порядок обращения с носителями ключевой информации.8.2.7.6. Ключи кодов аутентификации (КА) и/или электронной цифровой подписи (ЭЦП)должны изготавливаться в каждой организации самостоятельно.
В случае изготовления ключейКА, ЭЦП для одной организации в другой организации БС РФ согласие первой организации считать данный ключ своим должно быть зафиксировано в договоре.8.2.8. Общие требования по обеспечению информационной безопасностибанковских платежных технологических процессов8.2.8.1. Система обеспечения информационной безопасности банковского платежноготехнологического процесса должна соответствовать требованиям пунктов 8.2.2—8.2.7 настоящего стандарта и иных нормативных документов по вопросам информационной безопасности,действие которых распространяется на банковскую систему Российской Федерации.8.2.8.2.
В качестве объектов защиты должны рассматриваться:— банковский платежный технологический процесс;— платежная информация (примечание к п. 3.8 настоящего стандарта);— технологический процесс по управлению ролями и полномочиями сотрудников организации БС РФ, задействованных в обеспечении банковского платежного технологическогопроцесса.8.2.8.3.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
