СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ. Распоряжение. Центральный банк РФ (ЦБР). 25.12.08 Р-1674

Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".

Предыдущий фрагмент <<< ...  Оглавление  ... >>> Следующий фрагмент

Полный текст документа

7.4. Общие требования по обеспечению информационной
          безопасности при управлении доступом и регистрации

     7.4.1.    Должен    быть    документально    определен   перечень
информационных  активов  (их  типов)  организации БС РФ. Права доступа
работников  и  клиентов организации БС РФ к данным активам должны быть
документально зафиксированы.
     7.4.2. В составе АБС должны применяться встроенные защитные меры,
а   также   рекомендуются   к   использованию   сертифицированные  или
разрешенные  руководством  организации  БС  РФ  к  применению средства
защиты  информации  от  НСД  и НРД и средства криптографической защиты
информации.
     7.4.3. В организации БС РФ должны быть документально определены и
утверждены  руководством,  выполняться  и  контролироваться  процедуры
идентификации,   аутентификации,   авторизации;  управления  доступом;
контроля целостности; регистрации событий и действий.
     Процедуры   управления   доступом  должны  исключать  возможность
"самосанкционирования".
     Результаты контроля процедур должны документироваться.
     7.4.4.  В  организации  БС РФ необходимо документально определить
процедуры   мониторинга  и  анализа  данных  регистрации,  действий  и
операций,   позволяющие   выявлять  неправомерные  или  подозрительные
операции  и  транзакции. Для проведения процедур мониторинга и анализа
данных  регистрации,  действий  и  операций рекомендуется использовать
специализированные программные и (или) технические средства.
     Процедуры мониторинга и анализа должны использовать документально
определенные   критерии  выявления  неправомерных  или  подозрительных
действий  и операций. Указанные процедуры мониторинга и анализа должны
применяться   на  регулярной  основе,  например,  ежедневно,  ко  всем
выполненным операциям и транзакциям.
     7.4.5.  Порядок доступа работников организации БС РФ в помещения,
в  которых  размещаются  объекты  среды информационных активов, должен
быть регламентирован во внутренних документах организации БС РФ, а его
выполнение должно контролироваться.
     Результаты контроля выполнения порядка доступа должны оформляться
документально.
     7.4.6.  Используемые в организации БС РФ АБС, в том числе системы
дистанционного  банковского  обслуживания,  должны  обеспечивать среди
прочего возможность регистрации:
     - операций  с  данными  о  клиентских  счетах,  включая  операции
открытия, модификации и закрытия клиентских счетов;
     - проводимых транзакций, имеющих финансовые последствия;
     - операций,   связанных   с  назначением  и  распределением  прав
пользователей.
     7.4.7.  Системы  дистанционного  банковского  обслуживания должны
реализовывать  защитные  меры,  обеспечивающие невозможность отказа от
авторства проводимых клиентами операций и транзакций, например, ЭЦП.
     Протоколам     операций,     выполняемых    посредством    систем
дистанционного   банковского   обслуживания,   рекомендуется   придать
свойство    юридической    значимости,    например,   путем   внесения
соответствующих  положений  в  договоры  на  дистанционное  банковское
обслуживание.
     7.4.8.  При  заключении  договоров  со  сторонними  организациями
рекомендуется       юридическое       оформление      договоренностей,
предусматривающих  необходимый  уровень взаимодействия в случае выхода
инцидента  ИБ  за  рамки  отдельной организации БС РФ. Примером такого
взаимодействия  может  служить  приостановка выполнения распределенной
между  несколькими  организациями  транзакции в случае, если имеющиеся
данные   мониторинга   и   анализа   протоколов   операций   позволяют
предположить, что выполнение данной транзакции является частью замысла
злоумышленников.
     7.4.9. Должны быть документально оформлены и доведены до сведения
работников  и  клиентов  организации  БС  РФ  процедуры,  определяющие
действия   в  случае  компрометации  информации,  необходимой  для  их
идентификации,   аутентификации  и  (или)  авторизации,  в  том  числе
произошедшей  по  их вине, включая информацию о способах распознавания
таких случаев.
     Эти процедуры должны предусматривать документирование работниками
и клиентами всех своих действий и их результатов.
     7.4.10. В системах дистанционного банковского обслуживания должны
быть  реализованы  механизмы информирования (регулярного, непрерывного
или  по  требованию)  клиентов  обо  всех операциях, совершаемых от их
имен.
     7.4.11.  В  организации  БС  РФ должны применяться защитные меры,
направленные  на  обеспечение  защиты  от  НСД  и НРД, повреждения или
нарушения   целостности   информации,   необходимой  для  регистрации,
идентификации,   аутентификации   и   (или)   авторизации  клиентов  и
работников организации БС РФ. Все попытки НСД и НРД к такой информации
должны  регистрироваться.  При  увольнении  или  изменении должностных
обязанностей  работников организации БС РФ, имевших доступ к указанной
информации,    необходимо    выполнить   документированные   процедуры
соответствующего пересмотра прав доступа.
     7.4.12.  Работа  всех пользователей АБС должна осуществляться под
уникальными учетными записями.

Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".

Предыдущий фрагмент <<< ...  Оглавление  ... >>> Следующий фрагмент

Полный текст документа