st-10-xx (1027738), страница 8
Текст из файла (страница 8)
Наделение работников организации БС РФ правами пользователя конкретного пакета должно оформляться документально и выполняться в соответствии с его должностными обязанностями, в частности в соответствии с назначенными ему ролями.7.6.2. В организации БС РФ должен быть документально определен порядок подключения и использования ресурсов сети Интернет, включающий в том числе положение о контроле со стороны подразделения (лиц) в организации, ответственных заобеспечение ИБ.7.6.3.
В организациях БС РФ, осуществляющих дистанционное банковское обслуживание клиентов, в связи с повышенными рисками нарушения ИБ при взаимодействии с сетью Интернет должны применяться средства защиты информации (межсетевые экраны, антивирусные средства, средства криптографической защиты информации и пр.), обеспечивающие прием и передачу информации только в установленномформате и только для конкретной технологии.7.6.4.
Рекомендуется выполнить выделение и организовать физическую изоляцию от внутренних сетей тех ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет в режиме on-line.7.6.5. При осуществлении дистанционного банковского обслуживания должныприменяться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в рамках сеанса работы. Все попытки таких подмендолжны регистрироваться регламентированным образом.7.6.6.
Все операции клиентов в течение всего сеанса работы с системами дистанционного банковского обслуживания должны выполняться только после выполненияпроцедур идентификации, аутентификации и авторизации. В случаях нарушения илиразрыва соединения необходимо обеспечить повторное выполнение указанных процедур.проект 11.05.201028СТО БР ИББС–1.0–20ххДля доступа пользователей к системам дистанционного банковского обслуживания рекомендуется использовать специализированное клиентское программное обеспечение.7.6.7. Почтовый обмен через сеть Интернет должен осуществляться с использованием защитных мер.
Перечень указанных защитных мер и порядок их использованиядолжны быть определены документально.Рекомендуется организовать почтовый обмен с сетью Интернет через ограниченное количество точек, состоящих из внешнего (подключенного к сети Интернет) ивнутреннего (подключенного к внутренним сетям организации) почтовых серверов сбезопасной системой репликации почтовых сообщений между ними (Интернет-киоски).7.6.8. Электронная почта должна архивироваться.
Архив должен быть доступенподразделению (лицу) в организации, ответственному за обеспечение ИБ. Изменения вархиве не допускаются. Порядок доступа к информации архива должен быть документально определен.7.6.9. Рекомендуется не применять практику хранения и обработки банковскойинформации (в т.ч. открытой) на ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет в режиме on-line.
Наличие банковской информации на таких ЭВМ должно определяться бизнес-целями организации БС РФ и документальносанкционироваться ее руководством.7.6.10. При взаимодействии с сетью Интернет должны быть документально определены и использоваться защитные меры противодействия атакам хакеров и распространению спама 1) .7.7. Общие требования по обеспечению информационнойбезопасности при использовании средств криптографическойзащиты информации7.7.1. Средства криптографической защиты информации или шифровальные(криптографические) средства (далее – СКЗИ) предназначены для защиты информации при ее обработке, хранении и передаче по каналам связи.Необходимость использования СКЗИ определяется организацией БС РФ самостоятельно, если иное не предусмотрено законодательством РФ.Применение СКЗИ в организации БС РФ должно проводиться в соответствии смоделью угроз ИБ и моделью нарушителя ИБ, принятыми организацией БС РФ.
Рекомендуется утвердить частную политику ИБ, касающуюся применения СКЗИ в организации БС РФ.СКЗИ, применяемые для защиты персональных данных, должны иметь класс нениже КС2.Работы по обеспечению с помощью СКЗИ безопасности информации проводятсяв соответствии с действующими в настоящее время нормативными документами, регламентирующими вопросы эксплуатации СКЗИ, технической документацией на СКЗИ илицензионными требованиями ФСБ России.7.7.2.
Для обеспечения безопасности необходимо использовать СКЗИ, которые:– допускают встраивание в технологические процессы обработки электронныхсообщений, обеспечивают взаимодействие с прикладным программным обеспечением1)Спам – общее наименование незапрошенных пользователями электронных посланий и рекламных писем, рассылаемых в Интернете по ставшим известными рассылающей стороне адресам пользователей.проект 11.05.2010СТО БР ИББС–1.0–20хх29на уровне обработки запросов на криптографические преобразования и выдачи результатов;– поставляются разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней, а также обоснование необходимого организационно-штатного обеспечения;– сертифицированы уполномоченным государственным органом, либо имеютразрешение ФСБ России.7.7.3. Установка и ввод в эксплуатацию, а также эксплуатация СКЗИ должныосуществляться в соответствии с эксплуатационной и технической документацией кэтим средствам.7.7.4.
При применении СКЗИ должны поддерживаться непрерывность процессовпротоколирования работы СКЗИ и обеспечения целостности программного обеспечения для среды функционирования СКЗИ, представляющую собой совокупность технических и программных средств, совместно с которыми происходит штатное функционирование СКЗИ и которые способны повлиять на выполнение предъявляемых к СКЗИтребований.7.7.5 ИБ процессов изготовления криптографических ключей СКЗИ должна обеспечиваться комплексом технологических, организационных, технических и программных мер и средств защиты.7.7.6. Для повышения уровня безопасности при эксплуатации СКЗИ и их ключевых систем рекомендуется реализовать процедуры мониторинга, регистрирующего всезначимые события, состоявшиеся в процессе обмена криптографически защищеннымиданными, и все инциденты ИБ.7.7.7.
Порядок применения СКЗИ определяется руководством организации БСРФ на основании указанных выше в данном разделе документов и должен включать:– порядок ввода в действие, включая процедуры встраивания СКЗИ в АБС;– порядок эксплуатации;– порядок восстановления работоспособности в аварийных случаях;– порядок внесения изменений;– порядок снятия с эксплуатации;– порядок управления ключевой системой;– порядок обращения с носителями ключевой информации, включая действияпри смене и компрометации ключей.7.7.8.
Криптографические ключи могут изготавливаться организациями БС РФ и(или) клиентом организации БС РФ самостоятельно. Отношения, возникающие междуорганизациями БС РФ и их клиентами, регулируются заключаемыми договорами.7.8. Общие требования по обеспечению информационнойбезопасности банковских платежных технологических процессов7.8.1. СИБ банковского платежного технологического процесса должна соответствовать требованиям пунктов 7.2. – 7.7, 7.8 настоящего стандарта.7.8.2. Банковский платежный технологический процесс должен быть документирован в организации БС РФ.7.8.3.
Должны быть документально определены перечни программного обеспечения, устанавливаемого и(или) используемого в ЭВМ и АБС и необходимого для выполнения конкретных банковских платежных технологических процессов. Состав устапроект 11.05.201030СТО БР ИББС–1.0–20ххновленного и используемого в ЭВМ и АБС программного обеспечения должен соответствовать определенному перечню. Выполнение данных требований должно контролироваться с документированием результатов.7.8.4.
Порядок обмена платежной информацией должен быть зафиксирован в договорах между участниками, осуществляющими обмен платежной информацией.7.8.5. Работники организации БС РФ, в том числе администраторы автоматизированных систем и средств защиты информации, не должны обладать полномочиямидля бесконтрольного создания, авторизации, уничтожения и изменения платежной информации, а также проведения несанкционированных операций по изменению состояния банковских счетов.7.8.6.
Результаты технологических операций по обработке платежной информациидолжныконтролироваться(проверяться)иудостоверятьсялицами/автоматизированными процессами.Рекомендуется, чтобы обработку платежной информации и контроль (проверку)результатов обработки осуществляли разные работники/автоматизированные процессы.7.8.7. Обязанности по администрированию средств защиты платежной информации рекомендуется возлагать приказом или распоряжением по организации БС РФ наадминистраторов ИБ с отражением этих обязанностей в их должностных инструкциях.7.8.8.
Комплекс мер по обеспечению ИБ банковского платежного технологического процесса должен предусматривать, в том числе:– защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации электронных платежныхсообщений;– доступ работника организации БС РФ только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения должностных обязанностей или реализации прав, предусмотренных технологией обработкиплатежной информации;–контроль (мониторинг) исполнения установленной технологии подготовки,обработки, передачи и хранения платежной информации;– аутентификацию входящих электронных платежных сообщений;– двустороннюю аутентификацию автоматизированных рабочих мест (рабочихстанций и серверов), участников обмена электронными платежными сообщениями;– возможность ввода платежной информации в АБС только для авторизованных пользователей;– контроль, направленный на исключение возможности совершения злоумышленных действий (двойной ввод, сверка, установление ограничений в зависимости отсуммы совершаемых операций и т.д.);– восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники;–сверку выходных электронных платежных сообщений с соответствующимивходными и обработанными электронными платежными сообщениями при осуществлении межбанковских расчетов;– доставку электронных платежных сообщений участникам обмена.Кроме того, в организации БС РФ рекомендуется организовать авторизованныйввод платежной информации в АБС двумя работниками с последующей программнойсверкой результатов ввода на совпадение (принцип «двойного управления»).проект 11.05.2010СТО БР ИББС–1.0–20хх317.8.9.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
