st10-08 (1027741), страница 7
Текст из файла (страница 7)
При разработке технических заданий на системы дистанционного банковского обслуживания должно быть учтено, что защита данных должна обеспечиваться в условиях:— попыток доступа к банковской информации анонимных, неавторизованных злоумышленников при использовании сетей общего пользования;— возможности ошибок авторизованных пользователей систем;— возможности ненамеренного или неадекватного использования конфиденциальных данных авторизованными пользователями.7.3.7. На стадии тестирования должны обеспечиваться анонимность данных и проверкаадекватности разграничения доступа.7.3.8. На стадии эксплуатации АБС должны быть документально определены и выполнятьсяпроцедуры контроля работоспособности (функционирования, эффективности) реализованныхв АБС защитных мер.
Результаты выполнения контроля должны документироваться.7.3.9. На стадии сопровождения (модернизации) должны быть документально определены и выполняться процедуры контроля, обеспечивающие защиту от:— умышленного несанкционированного раскрытия, модификации или уничтожения информации;— неумышленной модификации, раскрытия или уничтожения информации;— отказа в обслуживании или ухудшения обслуживания.Результаты выполнения контроля должны документироваться.7.3.10. На стадии сопровождения (модернизации) при любом внесении изменения в АБСдолжны проводиться процедуры проверки функциональности, результаты которой должны документально фиксироваться.7.3.11.
На стадии снятия с эксплуатации должны быть документально определены и выполняться процедуры, обеспечивающие удаление информации, несанкционированное использование которой может нанести ущерб бизнесдеятельности организации, и информации, используемой средствами обеспечения ИБ, из постоянной памяти АБС и с внешних носителей, заисключением архивов электронных документов и протоколов электронного взаимодействия,ведение и сохранность которых в течение определенного срока предусмотрены соответствующими нормативными и(или) договорными документами. Результаты выполнения процедур должны документироваться.7.4. Общие требования по обеспечению информационной безопасностипри управлении доступом и регистрации7.4.1.
Должен быть документально определен перечень информационных активов (их типов) организации БС РФ. Права доступа работников и клиентов организации БС РФ к даннымактивам должны быть документально зафиксированы.20 СТО БР ИББС1.020087.4.2. В составе АБС должны применяться встроенные защитные меры, а также рекомендуются к использованию сертифицированные или разрешенные руководством организацииБС РФ к применению средства защиты информации от НСД и НРД и средства криптографической защиты информации.7.4.3. В организации БС РФ должны быть документально определены и утверждены руководством, выполняться и контролироваться процедуры идентификации, аутентификации, авторизации; управления доступом; контроля целостности; регистрации событий и действий.Процедуры управления доступом должны исключать возможность “самосанкционирования”.Результаты контроля процедур должны документироваться.7.4.4.
В организации БС РФ необходимо документально определить процедуры мониторинга и анализа данных регистрации, действий и операций, позволяющие выявлять неправомерные или подозрительные операции и транзакции. Для проведения процедур мониторинга ианализа данных регистрации, действий и операций рекомендуется использовать специализированные программные и(или) технические средства.Процедуры мониторинга и анализа должны использовать документально определенныекритерии выявления неправомерных или подозрительных действий и операций. Указанные процедуры мониторинга и анализа должны применяться на регулярной основе, например, ежедневно, ко всем выполненным операциям и транзакциям.7.4.5.
Порядок доступа работников организации БС РФ в помещения, в которых размещаются объекты среды информационных активов, должен быть регламентирован во внутренних документах организации БС РФ, а его выполнение должно контролироваться.Результаты контроля выполнения порядка доступа должны оформляться документально.7.4.6.
Используемые в организации БС РФ АБС, в том числе системы дистанционного банковского обслуживания, должны обеспечивать среди прочего возможность регистрации:— операций с данными о клиентских счетах, включая операции открытия, модификации изакрытия клиентских счетов;— проводимых транзакций, имеющих финансовые последствия;— операций, связанных с назначением и распределением прав пользователей.7.4.7. Системы дистанционного банковского обслуживания должны реализовывать защитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций, например, ЭЦП.Протоколам операций, выполняемых посредством систем дистанционного банковского обслуживания, рекомендуется придать свойство юридической значимости, например, путем внесения соответствующих положений в договоры на дистанционное банковское обслуживание.7.4.8. При заключении договоров со сторонними организациями рекомендуется юридическое оформление договоренностей, предусматривающих необходимый уровень взаимодействия в случае выхода инцидента ИБ за рамки отдельной организации БС РФ.
Примером такоговзаимодействия может служить приостановка выполнения распределенной между несколькими организациями транзакции в случае, если имеющиеся данные мониторинга и анализа протоколов операций позволяют предположить, что выполнение данной транзакции является частью замысла злоумышленников.7.4.9. Должны быть документально оформлены и доведены до сведения работников иклиентов организации БС РФ процедуры, определяющие действия в случае компрометацииинформации, необходимой для их идентификации, аутентификации и(или) авторизации, в томчисле произошедшей по их вине, включая информацию о способах распознавания таких случаев.Эти процедуры должны предусматривать документирование работниками и клиентамивсех своих действий и их результатов.7.4.10. В системах дистанционного банковского обслуживания должны быть реализованы механизмы информирования (регулярного, непрерывного или по требованию) клиентов обовсех операциях, совершаемых от их имен.7.4.11.
В организации БС РФ должны применяться защитные меры, направленные на обеспечение защиты от НСД и НРД, повреждения или нарушения целостности информации, необходимой для регистрации, идентификации, аутентификации и(или) авторизации клиентов и работников организации БС РФ. Все попытки НСД и НРД к такой информации должны регистрироваться. При увольнении или изменении должностных обязанностей работников организацииБС РФ, имевших доступ к указанной информации, необходимо выполнить документированныепроцедуры соответствующего пересмотра прав доступа.7.4.12.
Работа всех пользователей АБС должна осуществляться под уникальными учетными записями.СТО БР ИББС1.02008 217.5. Общие требования по обеспечению информационной безопасностисредствами антивирусной защиты7.5.1. На всех автоматизированных рабочих местах и серверах АБС организации БС РФ,если иное не предусмотрено технологическим процессом, должны применяться средства антивирусной защиты.Процедуры установки и регулярного обновления средств антивирусной защиты (версий ибаз данных) на автоматизированных рабочих местах и серверах АБС должны быть документированы и осуществляться администраторами АБС или иными официально уполномоченнымилицами.Рекомендуется организовать автоматический режим установки обновлений антивирусного программного обеспечения и его баз данных.Установка и обновление антивирусных средств в организации должны контролироватьсяпредставителями подразделения (лицами) в организации, ответственными за обеспечение ИБ.7.5.2.
В организации БС РФ рекомендуется организовать функционирование постояннойантивирусной защиты в автоматическом режиме.7.5.3. Должны быть разработаны и введены в действие инструкции по антивирусной защите, учитывающие особенности банковских технологических процессов.7.5.4. В организации БС РФ должна быть организована антивирусная фильтрация всеготрафика электронного почтового обмена.7.5.5. Рекомендуется организовать построение эшелонированной централизованной системы антивирусной защиты, предусматривающей использование средств антивирусной защиты различных производителей и их раздельную установку на рабочих станциях, почтовых серверах и межсетевых экранах.7.5.6. Должны быть документально определены и выполняться процедуры предварительной проверки устанавливаемого или изменяемого программного обеспечения на отсутствиевирусов.
После установки или изменения программного обеспечения должна быть выполненаантивирусная проверка. Результаты установки, изменения программного обеспечения и антивирусной проверки должны документироваться.7.5.7. Должны быть документально определены процедуры, выполняемые в случае обнаружения компьютерных вирусов, в которых, в частности, должны быть зафиксированы:— необходимые меры по отражению и устранению последствий вирусной атаки;— порядок официального информирования руководства;— порядок приостановления при необходимости работы (на период устранения последствий вирусной атаки).7.5.8.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
