st-10-xx (1027738), страница 9
Текст из файла (страница 9)
При проектировании, разработке и эксплуатации систем дистанционногобанковского обслуживания должны быть документально определены и выполнятьсяпроцедуры, реализующие, в том числе, механизмы:– снижения вероятности выполнения непреднамеренных или случайных операций или транзакций авторизованными клиентами;– доведения информации о возможных рисках, связанных с выполнением операций или транзакций до клиентов.Клиенты систем дистанционного банковского обслуживания должны быть обеспечены детальными инструкциями, описывающими процедуры выполнения операцийили транзакций.7.8.10.
Должны быть документально определены процедуры обслуживаниясредств вычислительной техники, используемых в банковском платежном технологическом процессе, включая замену их программных и(или) аппаратных частей.7.8.11. Должна осуществляться и быть регламентирована процедура периодического контроля всех реализованных программно-техническими средствами функций(требований) по обеспечению ИБ платежной информации. Регламентирующие документы должны быть согласованы со службой либо лицом, отвечающим в организацииБС РФ за обеспечение ИБ.7.8.12.
Должна осуществляться и быть регламентирована процедура восстановления всех реализованных программно-техническими средствами функций по обеспечению ИБ платежной информации. Регламентирующие документы должны быть согласованы со службой либо лицом, отвечающим в организации БС РФ за обеспечение ИБ.7.9. Общие требования по обеспечению информационнойбезопасности банковских информационных технологическихпроцессов7.9.1. СИБ банковского информационного технологического процесса должна соответствовать требованиям пунктов 7.2.—7.7, 7.9 настоящего стандарта.7.9.2. В организации БС РФ рекомендуется провести классификацию неплатежной информации.Классификацию неплатежной информации следует проводить в соответствии состепенью тяжести последствий потери ее свойств ИБ, в частности, свойств доступности, целостности и конфиденциальности.7.9.3. Для каждого из типов неплатежных информационных активов (типов неплатежной информации), полученных в результате классификации, должен быть документально определен набор требований по их защите.7.9.4.
Обязанности по администрированию средств защиты неплатежной информации рекомендуется возлагать приказом или распоряжением по организации БС РФна администраторов ИБ с отражением этих обязанностей в их должностных инструкциях.7.9.5. Для каждой АБС должен быть документально определен порядок контроляее функционирования со стороны лиц, отвечающих за ИБ.7.9.6. Банковские информационные технологические процессы должны быть документированы в организации БС РФ. Указанные документы должны быть согласованысо службой ИБ.
Указанные технологические процессы должны быть реализованы врамках созданных для этих целей АБС. Не входящее в состав данных АБС сервера,офисные ЭВМ и другое оборудование рекомендуется изолировать от АБС на уровнепроект 11.05.201032СТО БР ИББС–1.0–20ххлокальных вычислительных сетей способом, согласованным со службой либо лицом,отвечающим в организации за ИБ.7.9.7. Должны быть документально определены перечни программного обеспечения, устанавливаемого и(или) используемого в ЭВМ и АБС и необходимого для выполнения конкретных банковских информационных технологических процессов.
Составустановленного и используемого в ЭВМ и АБС программного обеспечения должен соответствовать определенному перечню. Выполнение данных требований должно контролироваться с документированием результатов.7.9.8. Должна быть регламентирована и осуществляться процедура периодического контроля всех реализованных программно-техническими средствами и организационными мерами функций (требований) по обеспечению ИБ неплатежной информации. Регламентирующие документы должны быть согласованы со службой либо лицом,отвечающим в организации за ИБ.7.9.9.
Должна быть регламентирована и осуществляться процедура восстановления всех реализованных программно-техническими средствами и организационнымимерами функций по обеспечению ИБ неплатежной информации. Регламентирующиедокументы должны быть согласованы со службой либо лицом, отвечающим в организации за ИБ.7.10. Общие требования по обработке персональных данных ворганизации БС РФ7.10.1. В организации БС РФ должны быть определены, документально зафиксированы и утверждены руководством организации БС РФ цели обработки персональныхданных.7.10.2.
В организации БС РФ должна быть определена необходимость уведомления Уполномоченного органа по защите прав субъектов персональных данных обобработке персональных данных7.10.3. Для каждой цели обработки персональных данных должны быть определены, документально зафиксированы и утверждены руководством организации БС РФ:− объем и содержание персональных данных;− сроки обработки, в том числе сроки хранения персональных данных;− необходимость получения согласия субъектов персональных данных.7.10.4.
В организации БС РФ рекомендуется проводить классификацию персональных данных в соответствии со степенью тяжести последствий потери свойствбезопасности персональных данных для субъекта персональных данных.Рекомендуется выделять следующие категории персональных данных:− персональные данные, отнесенные в соответствии с Федеральным законом«О персональных данных» [5] к специальным категориям персональных данных;− персональные данные, отнесенные в соответствии с Федеральным законом«О персональных данных» [5] к биометрическим персональным данным;− персональные данные, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным;проект 11.05.2010СТО БР ИББС–1.0–20хх33− персональные данные, отнесенные в соответствии с Федеральным законом«О персональных данных» [5] к общедоступным или обезличенным персональным данным.7.10.5.
Передача персональных данных организацией БС РФ третьему лицудолжна осуществляться с согласия субъекта персональных данных и на основании договора, существенным условием которого является обязанность обеспечения третьимлицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.7.10.6. Организация БС РФ должна прекратить обработку персональных данныхи уничтожить собранные персональные данные, если иное не установлено законодательством РФ в следующих случаях и в сроки, установленные законодательством РФ:− по достижении целей обработки или при утрате необходимости в их достижении;− по требованию субъекта персональных данных или Уполномоченного органапо защите прав субъектов персональных данных - если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;− при отзыве субъектом персональных данных согласия на обработку своихперсональных данных, если такое согласие требуется в соответствии с законодательством РФ.В организации БС РФ должен быть определен и документально зафиксированпорядок уничтожения персональных данных (в том числе и материальных носителейперсональных данных).7.10.7.
В организации БС РФ должен быть определен и документально зафиксирован порядок обработки обращений субъектов (или их законных представителей) повопросам обработки их персональных данных.7.10.8. В организации БС РФ должен быть определен и документально зафиксирован порядок действий в случае запросов Уполномоченного органа по защите правсубъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в области персональных данных.7.10.9. В организации БС РФ должны быть определен и документально зафиксирован подход к отнесению АБС к информационным системам персональных данных(ИСПДн).В организации БС РФ должен быть определен и документально зафиксированперечень ИСПДн. В перечень ИСПДн должны быть включены, как минимум, АБС, целью создания и использования которых является обработка персональных данных.АБС, реализующие банковские платежные технологические процессы, не относятся к ИСПДн.7.10.10.
Для каждой ИСПДн организации БС РФ должны быть определены и документально зафиксированы:− цель обработки персональных данных;− объем и содержание обрабатываемых персональных данных;− перечень действий с персональными данными и способы их обработки.Объем и содержание персональных данных, а также перечень действий и способы обработки персональных данных должны соответствовать целям обработки. В томслучае, если для выполнения банковского информационного технологического процеспроект 11.05.201034СТО БР ИББС–1.0–20ххса, реализацию которого поддерживает ИСПДн, нет необходимости в обработке определенных персональных данных, эти персональные данные должны быть удалены.7.10.11. Банковские информационные технологические процессы, в рамках которых обрабатываются персональные данные в ИСПДн, должны быть документированыв организации БС РФ.При этом рекомендуется исключать фиксацию на одном материальном носителеи персональных данных, и иных видов информационных активов, а также персональных данных, цели обработки которых заведомо несовместимы.При обработке различных категорий персональных данных для каждой категорииперсональных данных рекомендуется использоваться отдельный материальный носитель.7.10.12.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
