Информационная безопасность в банковском секторе

В организации БС РФ должны быть документально определены и выполняться процедуры контроля деятельности работников, обладающих совокупностью полномочий (ролями), позволяющих получить контроль над защищаемым информационным активом организации БС РФ. 

При распределении прав доступа работников и клиентов к информационным активам организации БС РФ следует руководствоваться принципами: 

• "знать своего клиента";
• "знать своего служащего";
• "необходимо знать", 

а также рекомендуется использовать принцип "двойное управление". 

Формирование ролей должно осуществляться на основании существующих бизнес-процессов организации БС РФ и проводиться с целью исключения концентрации полномочий и снижения риска инцидентов ИБ, связанных с потерей информационными активами свойств доступности, целостности или конфиденциальности. 

Формирование ролей не должно выполняться по принципу фиксации фактически сложившихся прав и полномочий персонала организации БС РФ. 

В организации БС РФ должны быть документально определены и утверждены руководством, выполняться и контролироваться процедуры идентификации, аутентификации, авторизации; управления доступом; контроля целостности; регистрации событий и действий. 

Процедуры управления доступом должны исключать возможность самосанкционирования 

должны применяться защитные меры, направленные на обеспечение защиты от НСД и НРД, повреждения или нарушения целостности информации, необходимой для регистрации, идентификации, аутентификации и (или) авторизации клиентов и работников организации БС РФ. Все попытки НСД и НРД к такой информации должны регистрироваться 

должна обеспечиваться возможность регистрации: 

• операций с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов;
• проводимых транзакций, имеющих финансовые последствия;
• операций, связанных с назначением и распределением прав пользователей 

следует определить процедуры мониторинга и анализа данных регистрации, действий и операций, позволяющие выявлять неправомерные или подозрительные операции и транзакции, для проведения которых рекомендуется использовать специализированные программные и (или) технические средства. 

Указанные процедуры мониторинга и анализа должны применяться на регулярной основе, например, ежедневно, ко всем выполненным операциям и транзакциям. 

должна быть организована антивирусная фильтрация всего трафика электронного почтового обмена 

организация построения эшелонированной централизованной системы антивирусной защиты, предусматривающей использование средств антивирусной защиты различных производителей и их раздельную установку на рабочих станциях, почтовых серверах и межсетевых экранах 

Использование сети Интернет в неустановленных целях должно быть запрещено. 

С целью ограничения использования сети Интернет в неустановленных целях в организации БС РФ рекомендуется провести выделение ограниченного числа пакетов, содержащих перечень сервисов и ресурсов сети Интернет, доступных для пользователей. Наделение работников организации БС РФ правами пользователя конкретного пакета должно оформляться документально и выполняться в соответствии с его должностными обязанностями, в частности, в соответствии с назначенными ему ролями. 

при осуществлении ДБО клиентов должны применяться средства защиты информации (межсетевые экраны, антивирусные средства, средства криптографической защиты информации и пр.), обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии; 

при осуществлении ДБО должны применяться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в рамках сеанса работы. Все попытки таких подмен должны регистрироваться 

Почтовый обмен через сеть Интернет должен осуществляться с использованием защитных мер. 

Электронная почта должна архивироваться, изменения в архиве не допускаются; 

должны использоваться защитные меры противодействия атакам хакеров и распространению спама 

СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2 

Комплекс мер по обеспечению ИБ банковского платежного технологического процесса должен предусматривать в том числе: 

• защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации электронных платежных сообщений;
• доступ работника организации БС РФ только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения должностных обязанностей или реализации прав, предусмотренных технологией обработки платежной информации;
• контроль (мониторинг) исполнения установленной технологии подготовки, обработки, передачи и хранения платежной информации; 

При проектировании, разработке и эксплуатации систем дистанционного банковского обслуживания должны быть документально определены и выполняться процедуры, реализующие в том числе механизмы: 

• снижения вероятности выполнения непреднамеренных или случайных операций или транзакций авторизованными клиентами 

рекомендуется сформировать и поддерживать в актуальном состоянии централизованную базу данных инцидентов ИБ