Главная: Рефераты

Рефераты. Научно-практические рекомендации по совершенствованию безопасности банковской системы

·        сеть Интернет не имеет единого органа управления (за исключением службы управления пространством имен и адресов) и не является юридическим лицом, с которым можно было бы заключить договор (соглашение). Провайдеры (посредники) сети Интернет могут обеспечить только те услуги, которые реализуются непосредственно ими;

·        существует вероятность несанкционированного доступа, потери и искажения информации, передаваемой посредством сети Интернет;

·        существует вероятность атаки злоумышленников на оборудование, программное обеспечение и информационные ресурсы, подключенные/доступные из сети Интернет;

·        гарантии по обеспечению безопасности при использовании сети Интернет никаким органом/учреждением/организацией не предоставляются.


В рамках банковских платежных технологических процессов в качестве активов, защищаемых в первую очередь, следует рассматривать:

·        банковский платежный технологический процесс;

·        платежную информацию.


В организации системы безопасности должны быть выделены и документально определены роли ее работников. Роли следует персонифицировать с установлением ответственности за их выполнение. Ответственность должна быть документально зафиксирована в должностных инструкциях.

С целью снижения рисков нарушения информационной безопасности не рекомендуется, чтобы в рамках одной роли совмещались следующие функции: разработки и сопровождения системы/ПО, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора информационной безопасности, выполнения операций в системе и контроля их выполнения.

Также, должны быть документально определены и выполняться процедуры контроля деятельности работников, обладающих совокупностью полномочий (ролями), позволяющих получить контроль над защищаемым информационным активом организации.

Процедуры приема на работу, влияющую на обеспечение информационной безопасности, включают:

·        проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов;

·        проверку в части профессиональных навыков и оценку профессиональной пригодности.


Указанные процедуры должны предусматривать документальную фиксацию результатов проводимых проверок.

Рекомендуется документально определить процедуры регулярной проверки (с документальной фиксацией результатов) в части профессиональных навыков и оценки профессиональной пригодности работников, а также внеплановой проверки (с документальной фиксацией результатов) — при выявлении фактов их нештатного поведения, участия в инцидентах или подозрений в таком поведении или участии.

Все работники организации должны давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов.

При взаимодействии с внешними организациями и клиентами требования по обеспечению информационной безопасности должны регламентироваться положениями, включаемыми в договоры (соглашения) с ними.

Обязанности персонала по выполнению требований по обеспечению информационной безопасности должны включаться в трудовые контракты (соглашения, договоры) и(или) должностные инструкции.

Невыполнение работниками организации требований по обеспечению информационной безопасности должно приравниваться к невыполнению должностных обязанностей и приводить как минимум к дисциплинарной ответственности.

При формировании требований по обеспечению информационной безопасности рекомендуется рассматривать следующие общие стадии модели жизненного цикла автоматизированных банковских систем:

1.     разработка технических заданий;

2.     проектирование;

3.     создание и тестирование;

4.     приемка и ввод в действие;

5.     эксплуатация;

6.     сопровождение и модернизация;

7.     снятие с эксплуатации.


В случае разработки собственной автоматизированной банковской системы следует рассматривать все стадии, а в случае приобретения готовых систем рекомендуется рассматривать стадии 4-7.

Разработка технических заданий и приемка таких систем, а также, ввод в действие, эксплуатация и сопровождение (модернизация), снятие с эксплуатации, должны осуществляться по согласованию и при участии подразделения (лиц), ответственных за обеспечение информационной безопасности.

Привлекаемые для разработки и(или) производства средств и систем защиты автоматизированной банковской системы на договорной основе специализированные организации должны иметь лицензии на данный вид деятельности в соответствии с законодательством РФ. Подобные системы и их компоненты должны быть снабжены документацией, содержащей описание реализованных защитных мер, в том числе в отношении угроз безопасности(источников угроз), а также описание реализованных защитных мер, предпринятых разработчиком относительно безопасности разработки и безопасности поставки.

При разработке технических заданий на системы дистанционного банковского обслуживания должно быть учтено, что защита данных должна обеспечиваться в условиях:

·        попыток доступа к банковской информации анонимных, неавторизованных злоумышленников при использовании сетей общего пользования;

·        возможности ошибок авторизованных пользователей систем;

·        возможности ненамеренного или неадекватного использования конфиденциальных данных авторизованными пользователями.


Следует иметь ввиду, что на стадии тестирования должны обеспечиваться анонимность данных и проверка адекватности разграничения доступа, а на стадии эксплуатации должны быть документально определены и выполняться процедуры контроля работоспособности (функционирования, эффективности) реализованных защитных мер. Результаты выполнения контроля должны документироваться.

В составе автоматизированной банковской системы должны применяться встроенные защитные меры, а также рекомендуются к использованию сертифицированные или разрешенные руководством организации к применению средства защиты информации от несанкционированного доступа и средства криптографической защиты информации.

Необходимым требование являются документально определенные и утвержденные руководством, выполняемые и контролируемые процедуры идентификации, аутентификации, авторизации; управления доступом; контроля целостности; регистрации событий и действий.

Необходимо документально определить процедуры мониторинга и анализа данных регистрации, действий и операций, позволяющие выявлять неправомерные или подозрительные операции и транзакции. Для проведения процедур мониторинга и анализа данных регистрации, действий и операций рекомендуется использовать специализированные программные и(или) технические средства.

Процедуры мониторинга и анализа должны использовать документально определенные критерии выявления неправомерных или подозрительных действий и операций. Указанные процедуры мониторинга и анализа должны применяться на регулярной основе, например, ежедневно, ко всем выполненным операциям и транзакциям.

Порядок доступа работников в помещения, в которых размещаются объекты среды информационных активов, должен быть регламентирован во внутренних документах организации, а его выполнение должно контролироваться.

Используемые в организации автоматизированные банковские системы, в том числе системы дистанционного банковского обслуживания, должны обеспечивать среди прочего возможность регистрации:

·        операций с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов;

·        проводимых транзакций, имеющих финансовые последствия;

·        операций, связанных с назначением и распределением прав пользователей.


Системы дистанционного банковского обслуживания должны реализовывать защитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций, например, электронная цифровая подпись.

Протоколам операций, выполняемых посредством систем дистанционного банковского обслуживания, рекомендуется придать свойство юридической значимости, например, путем внесения соответствующих положений в договоры на дистанционное банковское обслуживание.


При заключении договоров со сторонними организациями рекомендуется юридическое оформление договоренностей, предусматривающих необходимый уровень взаимодействия в случае выхода инцидента за рамки отдельной организации банковской системы. Примером такого взаимодействия может служить приостановка выполнения распределенной между несколькими организациями транзакции в случае, если имеющиеся данные мониторинга и анализа протоколов операций позволяют предположить, что выполнение данной транзакции является частью замысла злоумышленников.

Проверка и оценка информационной безопасности проводится путем выполнения следующих процессов:

·        мониторинга и контроля защитных мер;

·        самооценки информационной безопасности.

·        аудита информационной безопасности;

·        анализа функционирования системы обеспечения информационной безопасности (в том числе со стороны руководства).


Основными целями мониторинга и контроля защитных мер являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели. Такими целями анализа могут быть:

·        контроль за реализацией положений внутренних документов по обеспечению информационной безопасности;

·        выявление автоматизированной банковской системе;

·        выявление инцидентов информационной безопасности.


Мониторинг и контроль защитных мер проводятся уполномоченным персоналом.

Аудит проводится внешними, независимыми проверяющими организациями как для собственных целей самой организации банковской системы, так и с целью повышения доверия к ней со стороны других организаций. При подготовке к аудиту рекомендуется проведение самооценки информационной безопасности. Она проводится собственными силами и по инициативе руководства организации.

Страницы: 1, 2, 3, 4, 5, 6
2012 © Все права защищены
При использовании материалов активная ссылка на источник обязательна.