Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
7.6. Общие требования по обеспечению информационной
безопасности при использовании ресурсов сети Интернет
7.6.1. Решение об использовании сети Интернет для
производственной и (или) собственной хозяйственной деятельности должно
документально приниматься руководством организации БС РФ. При этом
цели использования сети Интернет должны быть явно перечислены,
например, сеть Интернет в организации БС РФ может использоваться для:
- ведения дистанционного банковского обслуживания;
- получения и распространения информации, связанной с банковской
деятельностью (например, путем создания информационных web-сайтов
организации БС РФ);
- информационно-аналитической работы в интересах организации;
- обмена электронными сообщениями, например, почтовыми.
Использование сети Интернет в неустановленных целях должно быть
запрещено.
С целью ограничения использования сети Интернет в неустановленных
целях в организации БС РФ рекомендуется провести выделение
ограниченного числа пакетов, содержащих перечень сервисов и ресурсов
сети Интернет, доступных для пользователей. Наделение работников
организации БС РФ правами пользователя конкретного пакета должно
оформляться документально и выполняться в соответствии с его
должностными обязанностями, в частности, в соответствии с назначенными
ему ролями.
7.6.2. В организации БС РФ должен быть документально определен
порядок подключения и использования ресурсов сети Интернет, включающий
в том числе положение о контроле со стороны подразделения (лиц) в
организации, ответственных за обеспечение ИБ.
7.6.3. В организациях БС РФ, осуществляющих дистанционное
банковское обслуживание клиентов, в связи с повышенными рисками
нарушения ИБ при взаимодействии с сетью Интернет должны применяться
средства защиты информации (межсетевые экраны, антивирусные средства,
средства криптографической защиты информации и пр.), обеспечивающие
прием и передачу информации только в установленном формате и только
для конкретной технологии.
7.6.4. Рекомендуется выполнить выделение и организовать
физическую изоляцию от внутренних сетей тех ЭВМ, с помощью которых
осуществляется взаимодействие с сетью Интернет в режиме on-line.
7.6.5. При осуществлении дистанционного банковского обслуживания
должны применяться защитные меры, предотвращающие возможность подмены
авторизованного клиента злоумышленником в рамках сеанса работы. Все
попытки таких подмен должны регистрироваться регламентированным
образом.
7.6.6. Все операции клиентов в течение всего сеанса работы с
системами дистанционного банковского обслуживания должны выполняться
только после выполнения процедур идентификации, аутентификации и
авторизации. В случаях нарушения или разрыва соединения необходимо
обеспечить повторное выполнение указанных процедур.
Для доступа пользователей к системам дистанционного банковского
обслуживания рекомендуется использовать специализированное клиентское
программное обеспечение.
7.6.7. Почтовый обмен через сеть Интернет должен осуществляться с
использованием защитных мер. Перечень указанных защитных мер и порядок
их использования должны быть определены документально.
Рекомендуется организовать почтовый обмен с сетью Интернет через
ограниченное количество точек, состоящих из внешнего (подключенного к
сети Интернет) и внутреннего (подключенного к внутренним сетям
организации) почтовых серверов с безопасной системой репликации
почтовых сообщений между ними (интернет-киоски).
7.6.8. Электронная почта должна архивироваться. Архив должен быть
доступен подразделению (лицу) в организации, ответственному за
обеспечение ИБ. Изменения в архиве не допускаются. Порядок доступа к
информации архива должен быть документально определен.
7.6.9. Рекомендуется не применять практику хранения и обработки
банковской информации (в т.ч. открытой) на ЭВМ, с помощью которых
осуществляется взаимодействие с сетью Интернет в режиме on-line.
Наличие банковской информации на таких ЭВМ должно определяться
бизнес-целями организации БС РФ и документально санкционироваться ее
руководством.
7.6.10. При взаимодействии с сетью Интернет должны быть
документально определены и использоваться защитные меры
противодействия атакам хакеров и распространению спама <*>.
--------------------------------
<*> Спам - общее наименование не запрошенных пользователями
электронных посланий и рекламных писем, рассылаемых в Интернете по
ставшим известными рассылающей стороне адресам пользователей.
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".