IBBS-1.0-2004 (1027736), страница 7
Текст из файла (страница 7)
Банковский платежный технологический процесс должен быть однозначно определен (отражен) в нормативнометодических документах организации БС РФ.18СТО БР ИББС1.020048.2.8.4. Порядок обмена платежной информацией должен быть зафиксирован в договорах между участниками, осуществляющими обмен платежной информацией. В роли участниковмогут выступать организации БС РФ, юридические и физические лица.8.2.8.5. Сотрудники организации БС РФ, в том числе администраторы автоматизированных систем и средств защиты информации, не должны обладать всей полнотой полномочий длябесконтрольного создания, авторизации, уничтожения и изменения платежной информации, атакже проведения операций по изменению состояния банковских счетов.8.2.8.6. Результаты технологических операций по обработке платежной информациидолжны быть контролируемы (проверены) и удостоверены лицами/автоматизированнымипроцессами.
Лица/автоматизированные процессы, осуществляющие обработку платежнойинформации и контроль (проверку) результатов обработки, должны быть независимы другот друга.8.2.8.7. При работе с платежной информацией необходимо проводить авторизацию и контроль целостности данной информации.Лучшей практикой при автоматизированной обработке платежной информации являетсяоснащение средств вычислительной техники (на которых осуществляются операции над платежной информацией) сертифицированными или разрешенными руководителем организацииБС РФ к применению средствами защиты от НСД и средствами криптографической защиты информации.8.2.8.8. Подготовленная клиентами организации БС РФ платежная информация, на основании которой совершаются расчетные, учетные и кассовые операции, предназначена для внутреннего использования в организации БС РФ и может быть передана иным организациям только в соответствии с действующим законодательством Российской Федерации.Указанная информация относится к категории строгой отчетности.
Ограничительные пометки (грифы) “Для служебного пользования”, “Конфиденциально” или “Банковская тайна” надокументы, содержащие данную информацию, не проставляются.Безопасность информации, отнесенной к банковской тайне, обеспечивается в соответствии со статьей 26 Федерального закона “О банках и банковской деятельности”.8.2.8.9. Обязанности по администрированию средств защиты платежной информации длякаждого технологического участка ее прохождения возлагаются приказом по организации БСРФ на сотрудников (сотрудника), задействованных на данном технологическом участке (администраторов информационной безопасности), с отражением этих функций в его должностныхобязанностях.Администратор информационной безопасности должен действовать на основании соответствующего нормативного документа, разработанного в организации БС РФ и утвержденного руководством организации БС РФ.Хорошей практикой является назначение денежной надбавки администратору информационной безопасности к его должностному окладу.8.2.8.10.
Комплекс мер по обеспечению информационной безопасности банковского платежного технологического процесса должен предусматривать:— защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации платежных документов;— минимально необходимый, гарантированный доступ сотрудника организации БС РФ только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения служебных обязанностей или реализации прав, предусмотренных технологией обработки платежной информации;— контроль (мониторинг) исполнения установленной технологии подготовки, обработки,передачи и хранения платежной информации;— аутентификацию обрабатываемой платежной информации;— двустороннюю аутентификацию автоматизированных рабочих мест, участников обменаплатежной информацией;— восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники;— авторизованный ввод платежной информации в автоматизированные банковские системы двумя сотрудниками с последующей программной сверкой результатов ввода на совпадение (Dual Control, ISO TR 13569);— сверку выходных платежных сообщений с соответствующими поступившими платежными сообщениями;— гарантированную доставку платежных сообщений участникам обмена.8.2.8.11.
Организации БС РФ — члены международных платежных систем с использованием банковских карт должны обеспечивать выполнение требований данных систем по информационной безопасности.СТО БР ИББС1.02004198.2.9. Общие требования по обеспечению информационной безопасностибанковских информационных технологических процессов8.2.9.1. Система обеспечения информационной безопасности банковского информационного технологического процесса должна соответствовать требованиям пунктов 8.2.2—8.2.7настоящего стандарта и иных нормативных документов по вопросам информационной безопасности, действие которых распространяется на БС РФ.8.2.9.2. В организации БС РФ неплатежная информация классифицируется как:— открытая информация, предназначенная для официальной передачи во внешние организации и средства массовой информации;— внутренняя банковская информация, предназначенная для использования исключительно сотрудниками организации БС РФ при выполнении ими своих служебных обязанностей;— информация, содержащая сведения ограниченного распространения в соответствии сутвержденным организацией БС РФ Перечнем, подлежащая защите в соответствии с законодательством РФ, например, банковская тайна, персональные данные;— информация, полученная из федеральных органов исполнительной власти и содержащаясведения ограниченного распространения;— информация, содержащая сведения, составляющие государственную тайну.Каждому виду информации соответствует свой необходимый уровень защиты (свой набор требований по защите).Так как требования по защите двух последних видов информации определяются государственными нормативнометодическими документами, то вопросы обеспечения защиты информации, содержащей указанные сведения, в настоящем стандарте не рассматриваются.
Автоматизированные системы организации БС РФ, обрабатывающие, хранящие и/или передающиетакую информацию, должны быть физически изолированы от прочих автоматизированных систем данной организации.8.2.9.3. В качестве объектов защиты должны рассматриваться:— информационные ресурсы;— управляющая информация АБС;— банковский информационный технологический процесс.8.2.9.4. Организация БС РФ несет ответственность за:— достоверность информации, официально предоставляемой внешним организациям и гражданам;— достоверность и выполнение регламента предоставления внешним организациям и гражданам информации, обязательность и порядок предоставления которой определенызаконодательством Российской Федерации и/или нормативными документами Банка России;— обеспечение соответствующего законодательству Российской Федерации уровня защиты как собственной информации, так и информации, официально полученной из внешнихорганизаций и от граждан.8.2.9.5.
Если в АБС обрабатывается информация, требующая по решению руководствазащиты, то соответствующим распоряжением должен быть назначен администратор информационной безопасности. Допускается назначение одного администратора информационной безопасности на несколько АБС, а также совмещение выполнения указанных функций с другими обязанностями.При этом совмещение в одном лице функций администратора АБС и администратора информационной безопасности АБС не допускается.8.2.9.6.
Администратор АБС не должен иметь служебных полномочий (а при возможностии технических средств) по настройке параметров системы, влияющих на полномочия пользователей по доступу к информации. Однако он должен иметь право добавить в систему нового пользователя без всяких полномочий по доступу к информации, а также удалить из системы такогопользователя.Администратор информационной безопасности АБС должен иметь служебные полномочия и технические возможности по контролю действий соответствующих администраторов АБС(без вмешательства в их действия) и пользователей, а также полномочия (а при возможности итехнические средства) по настройке для каждого пользователя только тех параметров системы, которые определяют права доступа к информации. Устанавливаемые права доступа к информации должны назначаться подразделением организации БС РФ, ответственным за эту информацию (владельцем информационного актива).Администратор информационной безопасности не должен иметь права добавить новогопользователя в АБС, а также удалить из нее существующего пользователя.20СТО БР ИББС1.02004В случае отсутствия у администратора информационной безопасности технических возможностей по настройке параметров АБС, влияющих на полномочия пользователей по доступук информации, эти настройки выполняются администратором АБС, но с обязательным предварительным согласованием устанавливаемых прав доступа пользователей к информации с администратором информационной безопасности.Для каждой АБС должен быть определен порядок контроля ее функционирования со стороны лиц, отвечающих за ИБ.8.2.9.7.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
