Файл: Система защиты информации в банковских системах (ПОНЯТИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ).pdf

• порядок внесения изменений;
• порядок снятия с эксплуатации;
• порядок обращения с носителями ключевой информации, включая действия при смене и компрометации ключей.

Криптографические ключи могут изготавливаться банком или клиентом банка самостоятельно. Отношения, возникающие между банком и их клиентами, регулируются заключаемыми договорами.

3.9 Общие требования по обеспечению информационной безопасности банковских платёжных технологических процессов

Порядок обмена платёжной информацией должен быть зафиксирован в договорах между участниками, осуществляющими обмен платёжной информацией.

Работники банка, в
том числе администраторы автоматизированных систем и средств защиты информации, не должны обладать полномочиями для бесконтрольного создания, авторизации, уничтожения и изменения платёжной информации, а также проведения несанкционированных операций по изменению состояния банковских счетов.

Результаты технологических операций по обработке платёжной информации должны контролироваться и удостоверяться лицами или автоматизированными процессами.

Рекомендуется, чтобы обработку платёжной информации и контроль результатов обработки осуществляли разные работники или автоматизированные процессы.

Комплекс защитных мер банковского платёжного технологического процесса должен предусматривать, в
том числе:

• доступ работника банка только к тем ресурсам банковского платёжного технологического процесса, которые необходимы ему для исполнения должностных обязанностей или реализации прав, предусмотренных технологией обработки платёжной информации;
• контроль исполнения установленной технологии подготовки, обработки, передачи и хранения платёжной информации;
• аутентификацию входящих электронных платёжных сообщений;
• защиту платёжной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации электронных платёжных сообщений;
• двустороннюю аутентификацию автоматизированных рабочих мест, участников обмена электронными платёжными сообщениями;
• возможность ввода платёжной информации в автоматизированную банковскую систему только для авторизованных пользователей;
• возможность блокирования приема к исполнению распоряжений клиентов;
• контроль, направленный на исключение возможности совершения злоумышленных действий, в частности двойной ввод, сверка, установление ограничений в зависимости от суммы совершаемых операций;
• восстановление платёжной информации в случае её умышленного или случайного искажения или выхода из строя средств вычислительной техники;
• сверку выходных электронных платёжных сообщений с соответствующими входными и обработанными электронными платёжными сообщениями при осуществлении межбанковских расчётов;
• доставку электронных платёжных сообщений участникам обмена.

---

Кроме того, в банке рекомендуется организовать авторизованный ввод платёжной информации в автоматизированную банковскую систему двумя работниками с последующей программной сверкой результатов ввода на совпадение (принцип “двойного управления”).

Для систем дистанционного банковского обслуживания должны применяться защитные механизмы, реализующие:

• снижение вероятности выполнения непреднамеренных или случайных операций или транзакций авторизованными клиентами;
• доведение информации о возможных рисках, связанных с выполнением операций или транзакций до клиентов.

Клиенты систем дистанционного банковского обслуживания должны быть обеспечены детальными инструкциями, описывающими процедуры выполнения операций или транзакций.

Должны быть определены процедуры обслуживания средств вычислительной техники, используемых в банковском платёжном технологическом процессе, включая замену их программных и (или) аппаратных частей.

Должны быть определены, выполняться и регистрироваться процедуры периодического контроля всех реализованных защитными мерами функций по обеспечению ИБ платёжной информации.

Должны быть определены, выполняться и регистрироваться процедуры контроля отсутствия размещения на устройствах, задействованных в осуществлении банковского платёжного технологического процесса, находящихся в общедоступных местах вне зоны постоянного контроля кредитной организации, в том числе банкоматов и платёжных терминалов, специализированных средств, используемых для несанкционированного съёма информации.

Должны быть определены процедуры восстановления всех реализованных программно-техническими средствами функций по обеспечению ИБ платёжной информации.

с целью уничтожения персональных данных Банком создается Комиссия из числа работников Банка, выявляющая перечень субъектов персональных данных, информация о которых подлежит уничтожению, ИСПДн, в которых производится обработка указанной информации, а также носители персональных данных, подлежащие уничтожению.

В случае выявления ИСПДн, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, производится удаление указанных сведений из соответствующих ИСПДн. Результаты удаления фиксируются в Акте удаления персональных данных (по форме Приложения 9 к настоящему Положению).

В случае выявления носителей персональных данных, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, при возможности и целесообразности производится уничтожение информации на носителях персональных данных с помощью программного обеспечения гарантированного уничтожения информации, в противном случае производится уничтожение указанных носителей персональных данных. Результаты уничтожения фиксируются в Акте уничтожения носителей персональных данных В случае поступления в Банк запроса­ субъекта ПДн, удовлетворяющего требованиям Федерального закона «О персональных данных», Руководитель подразделения, в которое поступило обращение, сообщает о наличии либо отсутствии обработки Банком персональных данных, относящихся к соответствующему субъекту ПДн путем направления Ответа о наличии обработки персональных данных (по форме Приложения 1 к настоящему Положению) либо Ответа об отсутствии обработки персональных данных (по форме Приложения 2 к настоящему Положению) соответственно.
В случае осуществления Банком обработки персональных данных, Банк также предоставляет возможность ознакомления с ними при обращении субъекта ПДн или его законного представителя в течение 30 (тридцати) рабочих дней с момента получения Банком запроса субъекта ПДн или его законного представителя. В случае отказа в предоставлении информации Руководитель подразделения сообщает об этом субъекту ПДн либо его законному представителю путем направления мотивированного Ответа об отказе в предоставлении информации о наличии обработки персональных данных  При обработке Банком персональных­ данных субъект ПДн имеет право:
- ознакомиться со своими персональными данными, обрабатываемыми Банком;
- получить информацию о способах, правовых основаниях и целях обработки персональных данных, о лицах (исключая работников Банка). Наряду с обеспечением конфиденциальности сведений, составляющих персональные данные, Банк предоставляет указанные сведения самому субъекту ПДн или его представителю, а также государственным органам и их должностным лицам, организациям в случаях и в порядке, предусмотренном законодательством Российской Федерации. Банк предоставляет на безвозмездной основе сведения, составляющие персональные данные, государственным органам и их должностным лицам, организациям в рамках их компетенции, определенной законодательством Российской Федерации, при поступлении в Банк оригинала оформленного надлежащим образом мотивированного запроса в письменной форме.
Работники Банка, ответственные за обработку и хранение персональных данных, имеющие доступ к персональными данными в силу своих должностных обязанностей, при приеме на работу подписывают «Обязательство о соблюдении требований обращения с конфиденциальной информацией»­ [9.2.2], за исключением случаев, когда аналогичные требования отражены в трудовом договоре или должностных обязанностях.. Оригиналы подписанных «Обязательств о соблюдении требований обращения с конфиденциальной информацией» хранятся в Отделе по работе с персоналом Банка.

---

3.10 Общие требования по обработке персональных данных в организации банковской системы Российской Федерации

Руководство банка должно установить цели обработки персональных данных.

В кредитной организации должна
быть установлена необходимость осуществления уведомления уполномоченного органа по защите прав субъектов персональных данных об обработке их персональных данных и организована деятельность по своевременному направлению указанного уведомления
в соответствии с
требованиями Федерального закона «О персональных данных» в случае наличия такой необходимости.

В банке должны быть установлены критерии отнесения автоматизированной банковской системе к информационной системе персональных данных.

Так
же должны быть определены процедуры учёта ресурсов персональных данных, в
том числе учёта информационных систем персональных данных.

Для каждого ресурса персональных данных должно быть обеспечено:

• выполнение ограничения обработки персональных данных достижением цели обработки персональных данных;
• выполнение установленных процедур получения согласия субъектов персональных данных на
обработку их персональных данных, в
случае если получение такого согласия необходимо в
соответствии с требованиями Федерального закона «О персональных данных» или иных нормативно-правовых актов Российской Федерации;
• установление цели обработки персональных данных;
• установление и соблюдение сроков хранения персональных данных и условий прекращения их обработки;

с целью уничтожения персональных данных Банком создается Комиссия из числа работников Банка, выявляющая перечень субъектов персональных данных, информация о которых подлежит уничтожению, ИСПДн, в которых производится обработка указанной информации, а также носители персональных данных, подлежащие уничтожению.

В случае выявления ИСПДн, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, производится удаление указанных сведений из соответствующих ИСПДн. Результаты удаления фиксируются в Акте удаления персональных данных (по форме Приложения 9 к настоящему Положению).

В случае выявления носителей персональных данных, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, при возможности и целесообразности производится уничтожение информации на носителях персональных данных с помощью программного обеспечения гарантированного уничтожения информации, в противном случае производится уничтожение указанных носителей персональных данных. Результаты уничтожения фиксируются в Акте уничтожения носителей персональных данных В случае поступления в Банк запроса­ субъекта ПДн, удовлетворяющего требованиям Федерального закона «О персональных данных», Руководитель подразделения, в которое поступило обращение, сообщает о наличии либо отсутствии обработки Банком персональных данных, относящихся к соответствующему субъекту ПДн путем направления Ответа о наличии обработки персональных данных (по форме Приложения 1 к настоящему Положению) либо Ответа об отсутствии обработки персональных данных (по форме Приложения 2 к настоящему Положению) соответственно.
В случае осуществления Банком обработки персональных данных, Банк также предоставляет возможность ознакомления с ними при обращении субъекта ПДн или его законного представителя в течение 30 (тридцати) рабочих дней с момента получения Банком запроса субъекта ПДн или его законного представителя. В случае отказа в предоставлении информации Руководитель подразделения сообщает об этом субъекту ПДн либо его законному представителю путем направления мотивированного Ответа об отказе в предоставлении информации о наличии обработки персональных данных  При обработке Банком персональных­ данных субъект ПДн имеет право:
- ознакомиться со своими персональными данными, обрабатываемыми Банком;
- получить информацию о способах, правовых основаниях и целях обработки персональных данных, о лицах (исключая работников Банка). Наряду с обеспечением конфиденциальности сведений, составляющих персональные данные, Банк предоставляет указанные сведения самому субъекту ПДн или его представителю, а также государственным органам и их должностным лицам, организациям в случаях и в порядке, предусмотренном законодательством Российской Федерации. Банк предоставляет на безвозмездной основе сведения, составляющие персональные данные, государственным органам и их должностным лицам, организациям в рамках их компетенции, определенной законодательством Российской Федерации, при поступлении в Банк оригинала оформленного надлежащим образом мотивированного запроса в письменной форме.
Работники Банка, ответственные за обработку и хранение персональных данных, имеющие доступ к персональными данными в силу своих должностных обязанностей, при приеме на работу подписывают «Обязательство о соблюдении требований обращения с конфиденциальной информацией»­ [9.2.2], за исключением случаев, когда аналогичные требования отражены в трудовом договоре или должностных обязанностях.. Оригиналы подписанных «Обязательств о соблюдении требований обращения с конфиденциальной информацией» хранятся в Отделе по работе с персоналом Банка.

---

• определение перечня и категорий обрабатываемых персональных данных (специальные категории, биометрические, полученные из общедоступных источников, или иные персональные данные);
• выполнение процедур учёта количества субъектов персональных данных, в
том числе субъектов персональных данных, не
являющихся работниками банка;
• соответствие содержания и объёма обрабатываемых персональных данных установленным целям обработки;
• точность, достаточность и актуальность персональных данных, в
том числе по отношению к целям обработки персональных данных;
• выполнение установленных процедур получения согласия субъектов персональных данных на передачу обработки их персональных данных третьим лицам, в случае если получение такого согласия необходимо в соответствии с требованиями Федерального закона «О
персональных данных»;
• прекращение обработки персональных данных и уничтожение либо обезличивание персональных данных по достижении целей обработки, по требованию субъекта персональных данных в случаях, предусмотренных Федеральным законом «О
персональных данных», в
том числе при отзыве субъектом персональных данных согласия на
обработку его персональных данных.

Должны быть определены, выполняться, регистрироваться и контролироваться процедуры прекращения обработки персональных данных и их уничтожения либо обезличивания в сроки, установленные Федеральным законом «О
персональных данных», в следующих случаях:

• по достижении цели обработки персональных данных (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между банком и субъектом персональных данных);
• если персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
• выявления неправомерной обработки персональных данных, осуществляемой банком или обработчиком, действующим по её поручению, если обеспечить правомерность обработки персональных данных невозможно;
• выявления неправомерной обработки персональных данных без согласия субъекта персональных данных;
• отзыва субъектом персональных данных согласия на обработку его персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между банком и субъектом персональных данных).

---

Ресурс персональных – совокупность персональных данных, обрабатываемых с использованием или без использования средств автоматизации и автоматизированной банковской системой, в
том числе информационной системой персональных данных, объединенных общими целями обработки.

В случае отсутствия возможности уничтожения персональных данных либо обезличивания персональных данных в течение срока, установленного Федеральным законом «О
персональных данных», банк обеспечивает их блокирование с последующим обеспечением уничтожения персональных данных. Уничтожение персональных данных производится не позднее шести месяцев со дня их блокирования.

с целью уничтожения персональных данных Банком создается Комиссия из числа работников Банка, выявляющая перечень субъектов персональных данных, информация о которых подлежит уничтожению, ИСПДн, в которых производится обработка указанной информации, а также носители персональных данных, подлежащие уничтожению.

В случае выявления ИСПДн, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, производится удаление указанных сведений из соответствующих ИСПДн. Результаты удаления фиксируются в Акте удаления персональных данных (по форме Приложения 9 к настоящему Положению).

В случае выявления носителей персональных данных, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, при возможности и целесообразности производится уничтожение информации на носителях персональных данных с помощью программного обеспечения гарантированного уничтожения информации, в противном случае производится уничтожение указанных носителей персональных данных. Результаты уничтожения фиксируются в Акте уничтожения носителей персональных данных В случае поступления в Банк запроса­ субъекта ПДн, удовлетворяющего требованиям Федерального закона «О персональных данных», Руководитель подразделения, в которое поступило обращение, сообщает о наличии либо отсутствии обработки Банком персональных данных, относящихся к соответствующему субъекту ПДн путем направления Ответа о наличии обработки персональных данных (по форме Приложения 1 к настоящему Положению) либо Ответа об отсутствии обработки персональных данных (по форме Приложения 2 к настоящему Положению) соответственно.
В случае осуществления Банком обработки персональных данных, Банк также предоставляет возможность ознакомления с ними при обращении субъекта ПДн или его законного представителя в течение 30 (тридцати) рабочих дней с момента получения Банком запроса субъекта ПДн или его законного представителя. В случае отказа в предоставлении информации Руководитель подразделения сообщает об этом субъекту ПДн либо его законному представителю путем направления мотивированного Ответа об отказе в предоставлении информации о наличии обработки персональных данных  При обработке Банком персональных­ данных субъект ПДн имеет право:
- ознакомиться со своими персональными данными, обрабатываемыми Банком;
- получить информацию о способах, правовых основаниях и целях обработки персональных данных, о лицах (исключая работников Банка). Наряду с обеспечением конфиденциальности сведений, составляющих персональные данные, Банк предоставляет указанные сведения самому субъекту ПДн или его представителю, а также государственным органам и их должностным лицам, организациям в случаях и в порядке, предусмотренном законодательством Российской Федерации. Банк предоставляет на безвозмездной основе сведения, составляющие персональные данные, государственным органам и их должностным лицам, организациям в рамках их компетенции, определенной законодательством Российской Федерации, при поступлении в Банк оригинала оформленного надлежащим образом мотивированного запроса в письменной форме.
Работники Банка, ответственные за обработку и хранение персональных данных, имеющие доступ к персональными данными в силу своих должностных обязанностей, при приеме на работу подписывают «Обязательство о соблюдении требований обращения с конфиденциальной информацией»­ [9.2.2], за исключением случаев, когда аналогичные требования отражены в трудовом договоре или должностных обязанностях.. Оригиналы подписанных «Обязательств о соблюдении требований обращения с конфиденциальной информацией» хранятся в Отделе по работе с персоналом Банка.

---