Файл: Система защиты информации в банковских системах (ПОНЯТИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ).pdf
Добавлен: 27.06.2023
Просмотров: 134
Скачиваний: 3
Ответственность за выполнение требований по антивирусной защите должна быть возложена на руководителя подразделения, отвечающего за работоспособность антивирусных средств, а обязанности по выполнению предписанных мер антивирусной защиты должны быть возложены на каждого работника организации, имеющего доступ к ЭВМ и автоматизированной банковской системе.
3.7 Общие требования по обеспечению информационной безопасности при использовании ресурсов сети Интернет
Решение об использовании сети Интернет для производственной деятельности должно приниматься руководством банка. При этом цели использования сети Интернет должны быть явно перечислены и зафиксированы. Использование сети Интернет в неустановленных целях должно быть запрещено.
С целью ограничения использования сети Интернет в неустановленных целях рекомендуется провести групп доступа в сеть Интернет, содержащих перечень сервисов и ресурсов сети Интернет, доступных для пользователей. Наделение работников правами пользователя конкретной группы доступа должно регистрироваться и выполняться в соответствии с его должностными обязанностями.
Передача защищаемых данных с использованием сети Интернет должна осуществляться только при условии обеспечения их защиты от раскрытия и изменения информации.
В связи с повышенными рисками нарушения ИБ при взаимодействии с сетью Интернет, в банке должны применяться защитные меры, в том числе межсетевые экраны, антивирусные средства, средства обнаружения вторжений (IDS/IPS), средства криптографической защиты информации, обеспечивающие, прием и передачу информации только в установленном формате и только для конкретной задачи.
Должны быть разработаны и введены в действие инструкции и рекомендации по использованию сети Интернет, учитывающие особенности банковских технологических процессов.
Должны быть определены и выполняться процедуры протоколирования посещения ресурсов сети Интернет работниками. Данные о посещенных работниками ресурсов сети Интернет должны быть доступны работникам службы ИБ.
Рекомендуется выполнить выделение и организовать физическую изоляцию от внутренних сетей тех ЭВМ, с помощью которых осуществляется непосредственное взаимодействие с сетью Интернет.
При осуществлении дистанционного банковского обслуживания должны применяться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в рамках сеанса работы. Все попытки таких подмен должны регистрироваться в установленном порядке.
Все операции клиентов в течение всего сеанса работы с системами дистанционного банковского обслуживания, в том числе операции по переводу денежных средств, должны выполняться только после выполнения процедур идентификации, аутентификации и авторизации. В случаях разрыва соединения необходимо обеспечить закрытие текущей сессии и повторное выполнение процедур идентификации, аутентификации и авторизации.
Для доступа пользователей к системам дистанционного банковского обслуживания рекомендуется использовать специализированное клиентское программное обеспечение.
Рекомендуется организовать почтовый обмен с сетью Интернет через ограниченное количество точек доступа, состоящих из внешнего (подключенного к сети Интернет) и внутреннего (подключенного к внутренним сетям организации) почтовых серверов с безопасной системой передачи почтовых сообщений между ними.
Вся электронная почта должна архивироваться. Цели создания архивов электронной почты:
- контроль информационных потоков, в том числе с целью предотвращение утечек информации;
- использование архивов при проведении разбирательств по фактам инцидентов ИБ.
Должны быть определены правила и процедуры доступа к информации архива и её изменения, предусматривающие возможность доступа работников службы ИБ к архиву.
Должны быть определены состав и порядок применения мер защиты, применяемых при взаимодействии с сетью Интернет и позволяющих обеспечить противодействие атакам злоумышленников и распространению спама.
3.8 Общие требования по обеспечению информационной безопасности при использовании средств криптографической защиты информации
Средства криптографической защиты информации или шифровальные (криптографические) средства предназначены для защиты информации при её обработке, хранении и передаче по каналам связи.
Необходимость использования средств криптографической защиты информации определяется банком самостоятельно, если иное не предусмотрено законодательством РФ.
Применение средств криптографической защиты информации в организации должно проводиться в соответствии с моделью угроз ИБ и моделью нарушителя ИБ. Рекомендуется утвердить частную политику ИБ, касающуюся применения средств криптографической защиты информации в банке.
Средства криптографической защиты информации, применяемые для защиты персональных данных, должны иметь класс не ниже КС2.
Работы по обеспечению с помощью средств криптографической защиты информации безопасности информации проводятся в соответствии с законодательством РФ, нормативными документами, регламентирующими вопросы эксплуатации средств криптографической защиты информации, технической документацией на средства криптографической защиты информации и лицензионными требованиями ФСБ России.
Спам – общее наименование не запрошенных пользователями электронных посланий и рекламных писем, рассылаемых в сети Интернет по ставшим известными рассылающей стороне адресам пользователей.
Для обеспечения безопасности необходимо использовать средства криптографической защиты информации, которые:
- обладают полным комплектом эксплуатационной документации, предоставляемых разработчиком средств криптографической защиты информации, включая описание ключевой системы, правил работы с ней и обоснование необходимого организационно-штатного обеспечения;
- сертифицированы уполномоченным государственным органом либо имеют разрешение ФСБ России;
- встраиваются в технологические процессы обработки электронных сообщений, обеспечивают взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов.
Установка и ввод в эксплуатацию, а также эксплуатация средств криптографической защиты информации должны осуществляться в соответствии с эксплуатационной и технической документацией к этим средствам.
с целью уничтожения персональных данных Банком создается Комиссия из числа работников Банка, выявляющая перечень субъектов персональных данных, информация о которых подлежит уничтожению, ИСПДн, в которых производится обработка указанной информации, а также носители персональных данных, подлежащие уничтожению.
В случае выявления ИСПДн, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, производится удаление указанных сведений из соответствующих ИСПДн. Результаты удаления фиксируются в Акте удаления персональных данных (по форме Приложения 9 к настоящему Положению).
В случае выявления носителей персональных данных, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, при возможности и целесообразности производится уничтожение информации на носителях персональных данных с помощью программного обеспечения гарантированного уничтожения информации, в противном случае производится уничтожение указанных носителей персональных данных. Результаты уничтожения фиксируются в Акте уничтожения носителей персональных данных В случае поступления в Банк запроса субъекта ПДн, удовлетворяющего требованиям Федерального закона «О персональных данных», Руководитель подразделения, в которое поступило обращение, сообщает о наличии либо отсутствии обработки Банком персональных данных, относящихся к соответствующему субъекту ПДн путем направления Ответа о наличии обработки персональных данных (по форме Приложения 1 к настоящему Положению) либо Ответа об отсутствии обработки персональных данных (по форме Приложения 2 к настоящему Положению) соответственно.
В случае осуществления Банком обработки персональных данных, Банк также предоставляет возможность ознакомления с ними при обращении субъекта ПДн или его законного представителя в течение 30 (тридцати) рабочих дней с момента получения Банком запроса субъекта ПДн или его законного представителя. В случае отказа в предоставлении информации Руководитель подразделения сообщает об этом субъекту ПДн либо его законному представителю путем направления мотивированного Ответа об отказе в предоставлении информации о наличии обработки персональных данных При обработке Банком персональных данных субъект ПДн имеет право:
- ознакомиться со своими персональными данными, обрабатываемыми Банком;
- получить информацию о способах, правовых основаниях и целях обработки персональных данных, о лицах (исключая работников Банка). Наряду с обеспечением конфиденциальности сведений, составляющих персональные данные, Банк предоставляет указанные сведения самому субъекту ПДн или его представителю, а также государственным органам и их должностным лицам, организациям в случаях и в порядке, предусмотренном законодательством Российской Федерации. Банк предоставляет на безвозмездной основе сведения, составляющие персональные данные, государственным органам и их должностным лицам, организациям в рамках их компетенции, определенной законодательством Российской Федерации, при поступлении в Банк оригинала оформленного надлежащим образом мотивированного запроса в письменной форме.
Работники Банка, ответственные за обработку и хранение персональных данных, имеющие доступ к персональными данными в силу своих должностных обязанностей, при приеме на работу подписывают «Обязательство о соблюдении требований обращения с конфиденциальной информацией» [9.2.2], за исключением случаев, когда аналогичные требования отражены в трудовом договоре или должностных обязанностях.. Оригиналы подписанных «Обязательств о соблюдении требований обращения с конфиденциальной информацией» хранятся в Отделе по работе с персоналом Банка.
Тщательное удаление информации и очищение памяти после работы приложений (этому подвержены также диски, дискеты, USB-накопители, мобильные жесткие диски).
Функция регистрации и учета предназначена для фиксирования обращений к защищаемым ресурсам, что позволяет позже расследовать инциденты, связанные с утечкой или утратой информации ограниченного доступа.
И еще исключительно важная задача СЗИ от НСД – это контроль и обеспечение целостности системы. В случае если программные или аппаратные компоненты системы подвергались модификации, правильность выполнения основной функции системы может быть поставлена под сомнение, поэтому необходимо, чтобы перед стартом компоненты системы сравнивались с эталоном и, в случае обнаружения расхождений, пользователь оповещается о несанкционированной модификации системы и дальнейшая работа системы блокировалась.
Программные и аппаратные средства позволяющие применять современные технологии аутентификации пользователей и предоставления доступа к информационным системам, а так же управление созданием и изменениями учетных записей пользователей в ИТ-системах.
Тщательное удаление информации и очищение памяти после работы приложений (этому подвержены также диски, дискеты, USB-накопители, мобильные жесткие диски).
Функция регистрации и учета предназначена для фиксирования обращений к защищаемым ресурсам, что позволяет позже расследовать инциденты, связанные с утечкой или утратой информации ограниченного доступа.
И еще исключительно важная задача СЗИ от НСД – это контроль и обеспечение целостности системы. В случае если программные или аппаратные компоненты системы подвергались модификации, правильность выполнения основной функции системы может быть поставлена под сомнение, поэтому необходимо, чтобы перед стартом компоненты системы сравнивались с эталоном и, в случае обнаружения расхождений, пользователь оповещается о несанкционированной модификации системы и дальнейшая работа системы блокировалась.
Программные и аппаратные средства позволяющие применять современные технологии аутентификации пользователей и предоставления доступа к информационным системам, а так же управление созданием и изменениями учетных записей пользователей в ИТ-системах.
При применении средств криптографической защиты информации должны поддерживаться непрерывность процессов протоколирования работы средств криптографической защиты информации в соответствии с технической документацией на средства криптографической защиты информации и обеспечения целостности программного обеспечения для среды функционирования средств криптографической защиты информации, представляющую собой совокупность технических и программных средств, совместно с которыми происходит штатное функционирование средств криптографической защиты информации и которые способны повлиять на выполнение предъявляемых к средствам криптографической защиты информации требований.
ИБ процессов изготовления криптографических ключей средств криптографической защиты информации должна обеспечиваться комплексом технологических, организационных, технических и программных мер и средств защиты, предусмотренных технической документацией на средства криптографической защиты информации.
Для повышения уровня безопасности при эксплуатации средств криптографической защиты информации и их ключевых систем рекомендуется реализовать процедуры мониторинга ИБ, регистрирующие все значимые события, состоявшиеся в процессе обмена криптографически защищёнными данными, и все инциденты ИБ.
Порядок применения средств криптографической защиты информации определяется руководством банка на основании указанных выше в данном разделе документов и должен включать:
- порядок восстановления работоспособности в аварийных случаях;
- порядок управления ключевой системой;
- порядок ввода в действие, включая процедуры встраивания средств криптографической защиты информации в автоматизированной банковской системе;
- порядок эксплуатации;
с целью уничтожения персональных данных Банком создается Комиссия из числа работников Банка, выявляющая перечень субъектов персональных данных, информация о которых подлежит уничтожению, ИСПДн, в которых производится обработка указанной информации, а также носители персональных данных, подлежащие уничтожению.
В случае выявления ИСПДн, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, производится удаление указанных сведений из соответствующих ИСПДн. Результаты удаления фиксируются в Акте удаления персональных данных (по форме Приложения 9 к настоящему Положению).
В случае выявления носителей персональных данных, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, при возможности и целесообразности производится уничтожение информации на носителях персональных данных с помощью программного обеспечения гарантированного уничтожения информации, в противном случае производится уничтожение указанных носителей персональных данных. Результаты уничтожения фиксируются в Акте уничтожения носителей персональных данных В случае поступления в Банк запроса субъекта ПДн, удовлетворяющего требованиям Федерального закона «О персональных данных», Руководитель подразделения, в которое поступило обращение, сообщает о наличии либо отсутствии обработки Банком персональных данных, относящихся к соответствующему субъекту ПДн путем направления Ответа о наличии обработки персональных данных (по форме Приложения 1 к настоящему Положению) либо Ответа об отсутствии обработки персональных данных (по форме Приложения 2 к настоящему Положению) соответственно.
В случае осуществления Банком обработки персональных данных, Банк также предоставляет возможность ознакомления с ними при обращении субъекта ПДн или его законного представителя в течение 30 (тридцати) рабочих дней с момента получения Банком запроса субъекта ПДн или его законного представителя. В случае отказа в предоставлении информации Руководитель подразделения сообщает об этом субъекту ПДн либо его законному представителю путем направления мотивированного Ответа об отказе в предоставлении информации о наличии обработки персональных данных При обработке Банком персональных данных субъект ПДн имеет право:
- ознакомиться со своими персональными данными, обрабатываемыми Банком;
- получить информацию о способах, правовых основаниях и целях обработки персональных данных, о лицах (исключая работников Банка). Наряду с обеспечением конфиденциальности сведений, составляющих персональные данные, Банк предоставляет указанные сведения самому субъекту ПДн или его представителю, а также государственным органам и их должностным лицам, организациям в случаях и в порядке, предусмотренном законодательством Российской Федерации. Банк предоставляет на безвозмездной основе сведения, составляющие персональные данные, государственным органам и их должностным лицам, организациям в рамках их компетенции, определенной законодательством Российской Федерации, при поступлении в Банк оригинала оформленного надлежащим образом мотивированного запроса в письменной форме.
Работники Банка, ответственные за обработку и хранение персональных данных, имеющие доступ к персональными данными в силу своих должностных обязанностей, при приеме на работу подписывают «Обязательство о соблюдении требований обращения с конфиденциальной информацией» [9.2.2], за исключением случаев, когда аналогичные требования отражены в трудовом договоре или должностных обязанностях.. Оригиналы подписанных «Обязательств о соблюдении требований обращения с конфиденциальной информацией» хранятся в Отделе по работе с персоналом Банка.