Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
7.8. Общие требования по обеспечению информационной
безопасности банковских платежных технологических
процессов
7.8.1. СИБ банковского платежного технологического процесса
должна соответствовать требованиям пунктов 7.2 - 7.7, 7.8 настоящего
стандарта.
7.8.2. Банковский платежный технологический процесс должен быть
документирован в организации БС РФ.
7.8.3. Должны быть документально определены перечни программного
обеспечения, устанавливаемого и (или) используемого в ЭВМ и АБС и
необходимого для выполнения конкретных банковских платежных
технологических процессов. Состав установленного и используемого в ЭВМ
и АБС программного обеспечения должен соответствовать определенному
перечню. Выполнение данных требований должно контролироваться с
документированием результатов.
7.8.4. Порядок обмена платежной информацией должен быть
зафиксирован в договорах между участниками, осуществляющими обмен
платежной информацией.
7.8.5. Работники организации БС РФ, в том числе администраторы
автоматизированных систем и средств защиты информации, не должны
обладать полномочиями для бесконтрольного создания, авторизации,
уничтожения и изменения платежной информации, а также проведения
несанкционированных операций по изменению состояния банковских счетов.
7.8.6. Результаты технологических операций по обработке платежной
информации должны контролироваться (проверяться) и удостоверяться
лицами/автоматизированными процессами.
Рекомендуется, чтобы обработку платежной информации и контроль
(проверку) результатов обработки осуществляли разные
работники/автоматизированные процессы.
7.8.7. Обязанности по администрированию средств защиты платежной
информации рекомендуется возлагать приказом или распоряжением по
организации БС РФ на администраторов ИБ с отражением этих обязанностей
в их должностных инструкциях.
7.8.8. Комплекс мер по обеспечению ИБ банковского платежного
технологического процесса должен предусматривать в том числе:
- защиту платежной информации от искажения, фальсификации,
переадресации, несанкционированного уничтожения, ложной авторизации
электронных платежных сообщений;
- доступ работника организации БС РФ только к тем ресурсам
банковского платежного технологического процесса, которые необходимы
ему для исполнения должностных обязанностей или реализации прав,
предусмотренных технологией обработки платежной информации;
- контроль (мониторинг) исполнения установленной технологии
подготовки, обработки, передачи и хранения платежной информации;
- аутентификацию входящих электронных платежных сообщений;
- двустороннюю аутентификацию автоматизированных рабочих мест
(рабочих станций и серверов), участников обмена электронными
платежными сообщениями;
- возможность ввода платежной информации в АБС только для
авторизованных пользователей;
- контроль, направленный на исключение возможности совершения
злоумышленных действий (двойной ввод, сверка, установление ограничений
в зависимости от суммы совершаемых операций и т.д.);
- восстановление платежной информации в случае ее умышленного
(случайного) разрушения (искажения) или выхода из строя средств
вычислительной техники;
- сверку выходных электронных платежных сообщений с
соответствующими входными и обработанными электронными платежными
сообщениями при осуществлении межбанковских расчетов;
- доставку электронных платежных сообщений участникам обмена.
Кроме того, в организации БС РФ рекомендуется организовать
авторизованный ввод платежной информации в АБС двумя работниками с
последующей программной сверкой результатов ввода на совпадение
(принцип "двойного управления").
7.8.9. При проектировании, разработке и эксплуатации систем
дистанционного банковского обслуживания должны быть документально
определены и выполняться процедуры, реализующие в том числе механизмы:
- снижения вероятности выполнения непреднамеренных или случайных
операций или транзакций авторизованными клиентами;
- доведения информации о возможных рисках, связанных с
выполнением операций или транзакций до клиентов.
Клиенты систем дистанционного банковского обслуживания должны
быть обеспечены детальными инструкциями, описывающими процедуры
выполнения операций или транзакций.
7.8.10. Должны быть документально определены процедуры
обслуживания средств вычислительной техники, используемых в банковском
платежном технологическом процессе, включая замену их программных и
(или) аппаратных частей.
7.8.11. Должна осуществляться и быть регламентирована процедура
периодического контроля всех реализованных программно-техническими
средствами функций (требований) по обеспечению ИБ платежной
информации. Регламентирующие документы должны быть согласованы со
службой либо лицом, отвечающим в организации БС РФ за обеспечение ИБ.
7.8.12. Должна осуществляться и быть регламентирована процедура
восстановления всех реализованных программно-техническими средствами
функций по обеспечению ИБ платежной информации. Регламентирующие
документы должны быть согласованы со службой либо лицом, отвечающим в
организации БС РФ за обеспечение ИБ.
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".