st10-08 (1027741), страница 8
Текст из файла (страница 8)
Должны быть документально определены и выполняться процедуры контроля заотключением и обновлением антивирусных средств на всех автоматизированных рабочих местах и серверах АБС. Результаты контроля должны документироваться.7.5.9. Ответственность за выполнение требований по антивирусной защите должна бытьвозложена на руководителя функционального подразделения организации БС РФ, а обязанности по выполнению предписанных мер антивирусной защиты должны быть возложены на каждого работника организации, имеющего доступ к ЭВМ и(или) АБС.7.6. Общие требования по обеспечению информационной безопасности прииспользовании ресурсов сети Интернет7.6.1.
Решение об использовании сети Интернет для производственной и(или) собственной хозяйственной деятельности должно документально приниматься руководством организации БС РФ. При этом цели использования сети Интернет должны быть явно перечислены, например, сеть Интернет в организации БС РФ может использоваться для:— ведения дистанционного банковского обслуживания;— получения и распространения информации, связанной с банковской деятельностью (например, путем создания информационных webсайтов организации БС РФ);— информационноаналитической работы в интересах организации;— обмена электронными сообщениями, например, почтовыми.Использование сети Интернет в неустановленных целях должно быть запрещено.С целью ограничения использования сети Интернет в неустановленных целях в организации БС РФ рекомендуется провести выделение ограниченного числа пакетов, содержащих перечень сервисов и ресурсов сети Интернет, доступных для пользователей.
Наделение работников организации БС РФ правами пользователя конкретного пакета должно оформляться документально и выполняться в соответствии с его должностными обязанностями, в частности, всоответствии с назначенными ему ролями.22 СТО БР ИББС1.020087.6.2. В организации БС РФ должен быть документально определен порядок подключения и использования ресурсов сети Интернет, включающий в том числе положение о контролесо стороны подразделения (лиц) в организации, ответственных за обеспечение ИБ.7.6.3. В организациях БС РФ, осуществляющих дистанционное банковское обслуживание клиентов, в связи с повышенными рисками нарушения ИБ при взаимодействии с сетью Интернет должны применяться средства защиты информации (межсетевые экраны, антивирусныесредства, средства криптографической защиты информации и пр.), обеспечивающие прием ипередачу информации только в установленном формате и только для конкретной технологии.7.6.4.
Рекомендуется выполнить выделение и организовать физическую изоляцию от внутренних сетей тех ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет в режиме online.7.6.5. При осуществлении дистанционного банковского обслуживания должны применяться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в рамках сеанса работы. Все попытки таких подмен должны регистрироватьсярегламентированным образом.7.6.6.
Все операции клиентов в течение всего сеанса работы с системами дистанционного банковского обслуживания должны выполняться только после выполнения процедур идентификации, аутентификации и авторизации. В случаях нарушения или разрыва соединения необходимо обеспечить повторное выполнение указанных процедур.Для доступа пользователей к системам дистанционного банковского обслуживания рекомендуется использовать специализированное клиентское программное обеспечение.7.6.7.
Почтовый обмен через сеть Интернет должен осуществляться с использованиемзащитных мер. Перечень указанных защитных мер и порядок их использования должны бытьопределены документально.Рекомендуется организовать почтовый обмен с сетью Интернет через ограниченное количество точек, состоящих из внешнего (подключенного к сети Интернет) и внутреннего (подключенного к внутренним сетям организации) почтовых серверов с безопасной системой репликации почтовых сообщений между ними (интернеткиоски).7.6.8. Электронная почта должна архивироваться. Архив должен быть доступен подразделению (лицу) в организации, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Порядок доступа к информации архива должен быть документально определен.7.6.9.
Рекомендуется не применять практику хранения и обработки банковской информации (в т.ч. открытой) на ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет в режиме online. Наличие банковской информации на таких ЭВМ должно определятьсябизнесцелями организации БС РФ и документально санкционироваться ее руководством.7.6.10. При взаимодействии с сетью Интернет должны быть документально определены ииспользоваться защитные меры противодействия атакам хакеров и распространению спама1.7.7. Общие требования по обеспечению информационной безопасностипри использовании средств криптографической защиты информации7.7.1. СКЗИ предназначены для защиты информации при ее обработке, хранении и передаче по каналам связи.
Применение СКЗИ в АБС должно проводиться в соответствии с модельюнарушителя, принятой организацией БС РФ. Рекомендуется утвердить политику (концепцию)применения СКЗИ в организации БС РФ.7.7.2. СКЗИ:— должны допускать встраивание в технологическую схему обработки электронных сообщений, обеспечивать взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов;— должны поставляться разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней, а также обоснованиенеобходимого организационноштатного обеспечения;— должны быть сертифицированы уполномоченным государственным органом, либо реализованы на основе рекомендованных уполномоченным государственным органом алгоритмов либо алгоритмов, определенных условиями договора с контрагентом (клиентом)организации БС РФ, либо соответствовать стандартам организации, взаимодействующейс организацией БС РФ.1Спам — общее наименование не запрошенных пользователями электронных посланий и рекламных писем, рассылаемых в Интернете по ставшим известными рассылающей стороне адресам пользователей.СТО БР ИББС1.02008 237.7.3.
При применении СКЗИ в АБС должна поддерживаться непрерывность процессовпротоколирования работы СКЗИ и обеспечения целостности программного обеспечения длявсех звеньев АБС, взаимодействующих со СКЗИ.7.7.4. ИБ процессов изготовления ключевых документов СКЗИ должна обеспечиватьсякомплексом технологических, организационных, технических и программных мер и средств защиты.7.7.5. Для повышения уровня безопасности при эксплуатации СКЗИ и их ключевых систем в АБС рекомендуется реализовать процедуры мониторинга, регистрирующего все значимые события, состоявшиеся в процессе обмена электронными сообщениями, и все инциденты ИБ.7.7.6.
Порядок применения СКЗИ в АБС определяется руководством организации БС РФи должен включать:— порядок ввода в действие, включая процедуры встраивания СКЗИ в АБС;— порядок эксплуатации;— порядок восстановления работоспособности в аварийных случаях;— порядок внесения изменений;— порядок снятия с эксплуатации;— порядок управления ключевой системой;— порядок обращения с носителями ключевой информации, включая действия при смене икомпрометации ключей.7.7.7. Ключи ЭЦП и(или) иных СКЗИ (например, кодов аутентификации1) должны изготавливаться в каждой организации и(или) физическим лицом самостоятельно. В случае изготовления ключей для одной организации БС РФ в другой организации правовые и организационныеследствия таких действий должны быть отражены в соответствующем договоре.7.8. Общие требования по обеспечению информационной безопасностибанковских платежных технологических процессов7.8.1. СИБ банковского платежного технологического процесса должна соответствоватьтребованиям пунктов 7.2—7.7, 7.8 настоящего стандарта.7.8.2.
Банковский платежный технологический процесс должен быть документирован ворганизации БС РФ.7.8.3. Должны быть документально определены перечни программного обеспечения, устанавливаемого и(или) используемого в ЭВМ и АБС и необходимого для выполнения конкретных банковских платежных технологических процессов. Состав установленного и используемого в ЭВМ и АБС программного обеспечения должен соответствовать определенному перечню.Выполнение данных требований должно контролироваться с документированием результатов.7.8.4. Порядок обмена платежной информацией должен быть зафиксирован в договорахмежду участниками, осуществляющими обмен платежной информацией.7.8.5.
Работники организации БС РФ, в том числе администраторы автоматизированныхсистем и средств защиты информации, не должны обладать полномочиями для бесконтрольного создания, авторизации, уничтожения и изменения платежной информации, а также проведения несанкционированных операций по изменению состояния банковских счетов.7.8.6. Результаты технологических операций по обработке платежной информации должны контролироваться (проверяться) и удостоверяться лицами/автоматизированными процессами.Рекомендуется, чтобы обработку платежной информации и контроль (проверку) результатов обработки осуществляли разные работники/автоматизированные процессы.7.8.7. Обязанности по администрированию средств защиты платежной информации рекомендуется возлагать приказом или распоряжением по организации БС РФ на администраторов ИБ с отражением этих обязанностей в их должностных инструкциях.7.8.8.
Комплекс мер по обеспечению ИБ банковского платежного технологического процесса должен предусматривать в том числе:— защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации электронных платежных сообщений;— доступ работника организации БС РФ только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения должностных обязанностей или реализации прав, предусмотренных технологией обработки платежной информации;1Код аутентификации — средство защиты информации, используемое для контроля целостности и подтверждения подлинностиэлектронных документов.
Код аутентификации позволяет подтвердить его принадлежность зарегистрированному владельцу.24 СТО БР ИББС1.02008— контроль (мониторинг) исполнения установленной технологии подготовки, обработки,передачи и хранения платежной информации;— аутентификацию входящих электронных платежных сообщений;— двустороннюю аутентификацию автоматизированных рабочих мест (рабочих станций исерверов), участников обмена электронными платежными сообщениями;— возможность ввода платежной информации в АБС только для авторизованных пользователей;— контроль, направленный на исключение возможности совершения злоумышленных действий (двойной ввод, сверка, установление ограничений в зависимости от суммы совершаемых операций и т.д.);— восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники;— сверку выходных электронных платежных сообщений с соответствующими входными иобработанными электронными платежными сообщениями при осуществлении межбанковских расчетов;— доставку электронных платежных сообщений участникам обмена.Кроме того, в организации БС РФ рекомендуется организовать авторизованный ввод платежной информации в АБС двумя работниками с последующей программной сверкой результатов ввода на совпадение (принцип “двойного управления”).7.8.9.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
