st-10-xx (1027738), страница 6
Текст из файла (страница 6)
ИБ АБС должна обеспечиваться на всех стадиях ЖЦ АБС, автоматизирующих банковские технологические процессы, с учетом интересов всех сторон, вовлеченных в процессы ЖЦ (разработчиков, заказчиков, поставщиков продуктов и услуг,эксплуатирующих и надзорных подразделений организации БС РФ).7.1.8.
При принятии руководством организации БС РФ решений об использовании сети Интернет, при формировании документов, регламентирующих порядок использования сети Интернет, а также иных документов, связанных с обеспечением ИБпри использовании сети Интернет, необходимо учитывать следующие положения:– сеть Интернет не имеет единого органа управления (за исключением службыуправления пространством имен и адресов) и не является юридическим лицом, с которым можно было бы заключить договор (соглашение). Провайдеры (посредники) сетиИнтернет могут обеспечить только те услуги, которые реализуются непосредственноими;– существует вероятность несанкционированного доступа, потери и искаженияинформации, передаваемой посредством сети Интернет;– существует вероятность атаки злоумышленников на оборудование, программное обеспечение и информационные ресурсы, подключенные/доступные из сетиИнтернет;– гарантии по обеспечению ИБ при использовании сети Интернет никаким органом/учреждением/организацией не предоставляются.7.1.9.
В рамках банковских платежных технологических процессов в качестве активов, защищаемых в первую очередь, следует рассматривать:- банковский платежный технологический процесс;1)«Знать своего служащего» (Know your Employee): принцип, демонстрирующий озабоченностьорганизации по поводу отношения служащих к своим обязанностям и возможных проблем, таких, какзлоупотребление имуществом, аферы или финансовые трудности, которые могут приводить к проблемам с безопасностью.2)«Необходимо знать» (Need to Know): принцип, ограничивающий полномочия по доступу к информации и ресурсам по обработке информации на уровне минимально необходимых для выполненияопределенных обязанностей.3)«Двойное управление» (Dual Control): принцип сохранения целостности процесса и борьбы сискажением функций системы, требующий дублирования (алгоритмического, временного, ресурсногоили иного) действий до завершения определенных транзакций.проект 11.05.201022СТО БР ИББС–1.0–20хх- платежную информацию.7.2.
Общие требования по обеспечению информационнойбезопасности при назначении и распределении ролей и обеспечениидоверия к персоналу7.2.1. В организации БС РФ должны быть выделены и документально определены роли ее работников.Формирование ролей, связанных с выполнением деятельности по обеспечениюИБ, среди прочего, должно осуществляться на основании требований 7 и 8 разделовнастоящего стандарта.7.2.2. Роли следует персонифицировать с установлением ответственности за ихвыполнение.
Ответственность должна быть документально зафиксирована в должностных инструкциях.7.2.3. С целью снижения рисков нарушения ИБ не рекомендуется, чтобы в рамках одной роли совмещались следующие функции: разработки и сопровождения системы/ПО, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора ИБ, выполнения операций в системе и контроля ихвыполнения.7.2.4. В организации БС РФ должны быть документально определены и выполняться процедуры контроля деятельности работников, обладающих совокупностьюполномочий (ролями), позволяющими получить контроль над защищаемым информационным активом организации БС РФ.7.2.5. В организации БС РФ должны быть документально определены процедурыприема на работу, влияющую на обеспечение ИБ, включающие:– проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов;– проверку в части профессиональных навыков и оценку профессиональнойпригодности.Указанные процедуры должны предусматривать документальную фиксациюрезультатов проводимых проверок.7.2.6.
Рекомендуется документально определить процедуры регулярной проверки (с документальной фиксацией результатов) в части профессиональных навыков иоценки профессиональной пригодности работников, а также внеплановой проверки (сдокументальной фиксацией результатов) - при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии.7.2.7.
Все работники организации БС РФ должны давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративнойэтики, включая требования по недопущению конфликта интересов.При взаимодействии с внешними организациями и клиентами требования пообеспечению ИБ должны регламентироваться положениями, включаемыми в договора(соглашения) с ними.7.2.8. Обязанности персонала по выполнению требований по обеспечению ИБдолжны включаться в трудовые контракты (соглашения, договора) и(или) должностныеинструкции.Невыполнение работниками организации БС РФ требований по обеспечению ИБдолжно приравниваться к невыполнению должностных обязанностей и приводить какминимум к дисциплинарной ответственности.проект 11.05.2010СТО БР ИББС–1.0–20хх237.3.
Общие требования по обеспечению информационнойбезопасности автоматизированных банковских систем на стадияхжизненного цикла7.3.1. При формировании требований по обеспечению ИБ рекомендуется рассматривать следующие общие стадии модели ЖЦ АБС:1. разработка технических заданий;2. проектирование;3. создание и тестирование;4.
приемка и ввод в действие;5. эксплуатация;6. сопровождение и модернизация;7. снятие с эксплуатации.В случае разработки АБС в организации БС РФ рекомендуется рассматриватьвсе стадии ЖЦ АБС, а в случае приобретения готовых АБС рекомендуется рассматривать стадии 4-7 ЖЦ АБС.7.3.2. Разработка технических заданий и приемка АБС должны осуществлятьсяпо согласованию и при участии подразделения (лиц) в организации БС РФ, ответственных за обеспечение ИБ.7.3.3.
Ввод в действие, эксплуатация и сопровождение (модернизация), снятие сэксплуатации АБС должны осуществляться под контролем подразделения (лиц) в организации, ответственных за обеспечение ИБ.7.3.4. Привлекаемые для разработки и(или) производства средств и систем защиты АБС на договорной основе специализированные организации должны иметь лицензии на данный вид деятельности в соответствии с законодательством РФ.7.3.5. Разрабатываемые АБС и(или) их компоненты должны быть снабжены документацией, содержащей описание реализованных защитных мер, в том числе, в отношении угроз ИБ (источников угроз), описанных в модели угроз организации БС РФ.Приобретаемые организацией БС РФ готовые АБС и(или) их компоненты рекомендуется снабжать указанной документацией.Также документация на разрабатываемые АБС или приобретаемые готовые АБСи их компоненты должна содержать описание реализованных защитных мер, предпринятых разработчиком относительно безопасности разработки и безопасности поставки.В договор (контракт) о разработке АБС или поставке готовых АБС и их компонентов организациям БС РФ должны включаться положения по сопровождению поставляемых изделий на весь срок их службы.
В случае невозможности включения в договор(контракт) указанных положений должен быть приобретен полный комплект рабочейконструкторской документации, обеспечивающий возможность сопровождения АБС иих компонентов без участия разработчика. Если оба указанных варианта неприемлемы, например, вследствие высокой стоимости или позиции фирмы – поставщика (разработчика), руководство организации БС РФ должно оценить и документально оформить допустимость риска нарушения ИБ, возникающего при невозможности сопровождения АБС и их компонентов.7.3.6. При разработке технических заданий на системы дистанционного банковского обслуживания должно быть учтено, что защита данных должна обеспечиваться вусловиях:проект 11.05.201024СТО БР ИББС–1.0–20хх– попыток доступа к банковской информации анонимных, неавторизованныхзлоумышленников при использовании сетей общего пользования;– возможности ошибок авторизованных пользователей систем;– возможности ненамеренного или неадекватного использования конфиденциальных данных авторизованными пользователями.7.3.7.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
