Утверждено постановлением Правления
Национального банка Кыргызской Республики
от 22 декабря 2021 года № 2021-П-20/72-8-(НПА)
ПОЛОЖЕНИЕ
о требованиях по обеспечению информационной безопасности
в коммерческих банках Кыргызской Республики
Глава 1. Общие положения
1. Целью настоящего Положения является установление единых требований для коммерческих банков Кыргызской Республики (далее – банки), направленных на повышение уровня информационной безопасности банковской системы Кыргызской Республики, а также минимизацию возможных потерь, вызванных действиями злоумышленников, аварийными сбоями и ошибками персонала.
2. В целях настоящего Положения применяются следующие определения:
Авторизация – это процесс предоставления определенному объекту/субъекту прав на выполнение некоторых действий в соответствии с выполняемой ролью в системе.
Автоматизированная система – это система, состоящая из персонала, комплекса средств автоматизации его деятельности, методов и мероприятий, реализующих информационную технологию выполнения установленных функций.
Автоматизированная банковская система – это автоматизированная система, реализующая технологию выполнения функций банка.
Аутентификация – проверка принадлежности объекту/субъекту доступа предъявленного им идентификатора или подтверждение подлинности.
Аутсорсинг – под аутсорсингом понимается привлечение банком внешних поставщиков услуг для выполнения на непрерывной основе отдельных видов работ и услуг, которые в обычных условиях осуществлялись бы самим банком. Банк не может использовать аутсорсинг для проведения операций, связанных с кредитованием, привлечением депозитов либо другой банковской операции, для которой требуется лицензия.
Доступность информационного актива – свойство информационной безопасности банка, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимом пользователю, и в то время, когда они ему необходимы.
Идентификатор – уникальный признак субъекта или объекта доступа.
Идентификация – процесс присвоения объектам/субъектам идентификатора (уникального имени) или сравнение идентификатора объекта/субъекта с перечнем присвоенных идентификаторов.
Информационная безопасность – безопасность, связанная с угрозами в информационной сфере. Защищенность достигается обеспечением совокупности свойств информационной безопасности: доступности, целостности, конфиденциальности информационных активов. Приоритетность свойств информационной безопасности определяется ценностью указанных активов для интересов (целей) банка.
Информационная система – взаимосвязанная совокупность средств, методов и персонала, используемых для хранения, обработки и выдачи информации в интересах достижения поставленной цели. Информационная система содержит автоматизированные и неавтоматизированные процессы хранения, обработки и выдачи информации.
Информационные активы – информация, имеющая ценность для банка с точки зрения достижения ее целей и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передаче форме.
Конфиденциальность информационного актива – состояние ресурсов банка, состоящее в том, что обработка, хранение и передача информационных активов осуществляются таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам.
Объект – процесс, выполняющийся в информационной системе, запрашивающий разрешение на получение доступа к информации.
Пароль – это секретный набор символов, предназначенный для подтверждения полномочий пользователя.
PIN-конверт – это специальный конверт для конфиденциального хранения PIN кода.
Пользователь автоматизированной системы – это субъект или объект, зарегистрированный в автоматизированной системе и использующий ее ресурсы (сотрудники и клиенты банка);
Санкционирование – действие по предоставлению пользователю возможности выполнения (предоставления разрешения) конкретных действий в системе на основе его должностных обязанностей. Без специальной санкции ни одному пользователю не разрешается доступ к какой-либо информации или приложению.
Смарт-карта – это пластиковая карта со встроенной микросхемой. В большинстве случаев смарт-карта содержит микропроцессор и операционную систему, контролирующую устройство и доступ к объектам в его памяти. Кроме того, смарт-карта, как правило, обладает возможностью проводить криптографические вычисления.
Субъект – это пользователь, запрашивающий разрешение на получение доступа к информации.
Токен («ключ») – компактное устройство в виде USB-брелока или ключ в облаке (специальный защищенный сервер), которое служит для авторизации пользователя, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения любых персональных данных.
Целостность информационного актива – свойство информационной безопасности банка сохранять неизменность или обнаруживать факт изменения в своих информационных активах.
3. Система управления информационной безопасностью является частью общей системы управления, основанной на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности банка. Система управления информационной безопасностью может быть построена в соответствии с ISO/IEC 27001.
4. Национальный банк Кыргызской Республики (далее – Национальный банк) вправе осуществлять проверку банка на соблюдение требований, установленных настоящим Положением.
5. Руководство банка несет полную ответственность за использование и функционирование всей его информационной системы.
6. В управлении системой обеспечения информационной безопасностью банк должен непрерывно использовать такие процессы, как планирование, реализация, проверка и совершенствование.
7. Требования по информационной безопасности должны быть комплексно взаимосвязаны и непрерывны по всем стадиям жизненного цикла информационных систем.
Глава 2. Требования к документам по информационной безопасности
8. В целях обеспечения информационной безопасности в банке должны быть разработаны три уровня документации:
- общие политики;
- частные политики (документы, регламентирующие практику обеспечения информационной безопасности);
- операционные процедуры по обеспечению информационной безопасности.
9. Общие политики должны отражать подходы руководства банка по обеспечению информационной безопасности банка, описывать общие принципы и цели обеспечения безопасности, систему мер, методов для достижения цели по обеспечению информационной безопасности. В банке должно быть назначено уполномоченное лицо, ответственное за реализацию политики по информационной безопасности.
10. Частные политики, регламентирующие практику обеспечения безопасности (частные политики), должны отражать поддержку целей, установленных руководством, и дальнейшую детализацию общих принципов, определяющих подробные меры, необходимые для выполнения требований политики информационной безопасности.
11. Требования по обеспечению информационной безопасности, отображаемые в частных политиках по информационной безопасности банка, должны быть определены для следующих наиболее важных областей:
- требования к персоналу;
- назначение, распределение ролей и регистрация в информационной системе;
- выявление, оценка и мониторинг рисков информационной безопасности;
- обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных систем;
- защита от несанкционированного и нерегламентированного доступа, управление доступом и регистрацией всех действий в автоматизированных системах, в телекоммуникационном оборудовании, автоматических телефонных станциях и т.д.;
- антивирусная защита;
- использование ресурсов сети интернет;
- использование криптографических средств защиты;
- защита банковских платежных и информационных технологических процессов;
- обеспечение непрерывности деятельности;
- резервное копирование и восстановление;
- физическая защита;
- управление инцидентами информационной безопасности и т.д.
12. Документы по операционным процедурам для обеспечения безопасности должны содержать описание практических приемов на техническом уровне, обеспечивающие внедрение необходимых практик. Процедуры должны соответствовать политикам банка.
13. Банк должен обеспечить наличие и сохранность документов, которые содержат свидетельства выполненной деятельности и действий по обеспечению информационной безопасности (отчеты, акты, журналы) и отражать достигнутые результаты (промежуточные и окончательные) при реализации требований документов, относящихся к обеспечению информационной безопасности банка.
Глава 3. Требования к персоналу банка
14. Персонал банка должен включать как минимум следующие категории сотрудников:
- руководство – группа лиц, принимающих стратегические решения для всего банка либо отдельных его подразделений, контролирующих деятельность подразделений банка и принимающих окончательные решения по операционной деятельности и финансовым вопросам в банке;
- менеджеры – группа лиц, принимающих тактические решения, организующих и контролирующих работу в рамках своих подразделений;
- персонал безопасности – группа лиц, ответственных за обеспечение безопасности в банке на различных участках. Персонал безопасности должен быть подчинен непосредственно руководству, с учетом исключения конфликта интересов и иметь соответствующие полномочия для выполнения своих функций;
- внутренний аудит – подразделение банка, ответственное за организацию и проведение внутреннего аудита в банке, включая аудит информационных технологий и аудит информационной безопасности;
- персонал разработки и технической поддержки – подразделение банка, ответственное за разработку, модернизацию и поддержание работоспособности информационной системы, и техническую реализацию мер безопасности;
- операционный персонал – группа лиц, производящих санкционированные операции в информационной системе банка, а также ответственных за обслуживание клиентов банка.
15. В банке должны быть разработаны процедуры приема на работу, включающие:
- проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов;
- проверку профессиональных навыков и оценку профессиональной пригодности.
16. Все сотрудники банка должны быть письменно ознакомлены с требованиями по обеспечению информационной безопасности и о соблюдении конфиденциальности и приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов.
17. Подразделение банка, ответственное за реализацию информационной безопасности, должно на систематической основе актуализировать информацию об угрозах в сфере информационной безопасности с учетом глобальных трендов, своевременно информировать руководство и сотрудников банка об угрозах, а также проводить мероприятия, направленные на повышение общего уровня осведомленности персонала в целях противодействия данным угрозам.
18. Обязанности и ответственность персонала по выполнению требований по обеспечению информационной безопасности должны быть включены в их должностные инструкции.
19. Неисполнение или ненадлежащее исполнение сотрудниками банка требований по обеспечению информационной безопасности приравнивается к невыполнению должностных обязанностей.
Глава 4. Назначение, распределение ролей и
регистрация в автоматизированной системе
20. В банке должен быть разработан и принят документ, который содержит роли сотрудников, включая роли по обеспечению информационной безопасности.
21. В автоматизированной системе должны быть определены роли, обеспечивающие четкое разграничение полномочий сотрудников.
22. При предоставлении доступа сотрудникам к автоматизированной системе должны быть выполнены процедуры санкционирования, идентификации, аутентификации и авторизации пользователей. Перед выдачей идентификатора пользователю должна осуществляться проверка подтверждения личности пользователя. Система должна фиксировать исполнителя, выдавшего идентификатор пользователю.
23. Работа всех пользователей автоматизированной системы должна осуществляться под уникальными учетными записями.
24. При распределении прав доступа сотрудников и клиентов к информационным активам, банки должны руководствоваться принципами:
- «знать своего клиента» (Know your Customer) – принцип, используемый регулирующими органами для выражения отношения к финансовым организациям с точки зрения знания деятельности их клиентов;
- «знать своего служащего» (Know your Employee) – принцип, демонстрирующий озабоченность банка по поводу отношения сотрудников банка к таким своим обязанностям и возможным проблемам, как злоупотребление имуществом, финансовые трудности, которые могут приводить к проблемам с безопасностью;
- «необходимо знать» (Need to Know) – принцип, ограничивающий полномочия по доступу сотрудников банка и клиентов банка к информации и ресурсам по обработке информации на уровне, минимально необходимом для выполнения определенных обязанностей;
- «наименьших привилегий» – принцип, означающий, что для выполнения определенной операции пользователь должен получать или предоставлять минимально необходимые привилегии;
- «двойного контроля» для операций по платежным системам и при назначении ролей в автоматизированной системе (Dual Control – принцип четырех глаз) – принцип сохранения целостности процесса и борьбы с искажением функций системы, требующий, чтобы два уполномоченных сотрудника банка, независимо друг от друга, предпринимали некое действие до завершения определенных транзакций.
25. В банке должен быть документально определен перечень информационных активов (автоматизированной системы и их типов) и права доступа сотрудников и клиентов к данным активам.
26. Формирование ролей должно осуществляться на основании существующих бизнес-процессов банка и проводиться с целью исключения концентрации полномочий и снижения риска инцидентов информационной безопасности, связанных с потерей информационными активами свойств доступности, целостности или конфиденциальности.
27. В банке должен осуществляться контроль за «привилегированным доступом», а именно: учетными записями с повышенным правом доступа к автоматизированным системам (учетные записи с правом администратора) в целях минимизации рисков и обеспечения безопасности критически важных автоматизированных систем.
28. Для каждой роли должны быть назначены лица, ответственные за их выполнение. Ответственность сотрудников должна быть зафиксирована в их должностных инструкциях.
29. Аутентификация пользователей в системе должна соответствовать критичности получаемой информации и осуществляться на основе одного или нескольких механизмов аутентификации:
- по знанию «что-то знать» (пароль, PIN-код);
- по владению «что-то иметь» (смарт-карта, токен);
- по физическим характеристикам пользователя «кем-то быть» (отпечатки пальцев или другие биометрические данные).
Двухфакторная аутентификация включает в себя любые два из этих трех механизмов: человек «что-то знает» и «что-то имеет» или «кем-то является».
30. События по регистрации и изменению прав доступа пользователей должны фиксироваться в журнале событий системы.
31. В банке должны применяться защитные меры, направленные на обеспечение защиты от несанкционированного доступа, неразрешенных действий, нарушения целостности информации, необходимой для регистрации, идентификации, аутентификации и (или) авторизации клиентов и сотрудников банка. Все попытки неразрешенных действий и несанкционированного доступа к такой информации должны регистрироваться в журнале событий.
32. Банк при предоставлении сотрудникам удаленного доступа к автоматизированной системе и корпоративным сервисам должен внедрить технологию многофакторной аутентификации.
33. При увольнении сотрудников или изменении должностных обязанностей сотрудников банка, имеющих доступ к информации автоматизированной системы, их права доступа к автоматизированной системе должны быть заблокированы или изменены.
34. В банке должна быть разработана и внедрена политика паролей. Политика паролей должна включать в себя как минимум такие основные правила и компоненты, как:
- требования к степени сложности и длине пароля;
- требования по недопустимости записи и хранения паролей на материальных носителях;
- ответственность пользователей за нарушение политики
35. Сотрудники банка должны быть ознакомлены с политикой паролей и строго соблюдать ее требования в процессе работы.
36. Банк должен разработать рекомендации по соблюдению требований политики информационной безопасности для пользователей и клиентов систем дистанционного банковского обслуживания, мобильного банкинга, электронных кошельков и проводить работу по информированию пользователей о соблюдении данных требований в процессе работы с банковскими продуктами.
Глава 5. Требование к процессу управления рисками
информационной безопасности
37. В банке должна быть разработана политика по управлению рисками информационной безопасности, интегрированная с общей политикой управления рисками банка.
38. Банк должен определить ценность активов, выявить уязвимости, угрозы и риски. Выявленные риски должны быть количественно или качественно оценены. Банк должен определить соответствующие меры и средства контроля для обработки рисков.
39. Организация процесса оценки рисков может быть основана на международном стандарте ISO 27005 или аналогичных стандартах.
Глава 6. Непрерывность деятельности банка
40. В целях обеспечения непрерывности деятельности в банке должны быть разработаны:
- политика непрерывности деятельности, которая должна содержать необходимые руководящие принципы для обеспечения непрерывности деятельности и необходимые ролям полномочия для выполнения возложенных на них задач;
- план действий в случаях наступления чрезвычайных ситуаций, где необходимо описать процедуры, а также руководство, которое обеспечит продолжение функционирования банка в аварийном состоянии;
- план восстановления деятельности, где необходимо описать процедуры, обеспечивающие оперативное восстановление работоспособности критичных систем и функций.
41. Анализ воздействия чрезвычайных ситуаций на деятельность банка является важным инструментом обеспечения непрерывности деятельности банка, которое неразрывно связано с идентификацией критичных функций и систем. Для этих целей в банке должны быть идентифицированы критичные функции и системы и их категоризация на основе степени их критичности.
42. При выявлении угроз банк обязан выбрать и внедрить защитные меры для снижения уровня рисков банка, которые могут привести к чрезвычайным ситуациям.
43. В целях надлежащей подготовки персонала к выполнению задач на случай чрезвычайной ситуации банк должен на периодичной основе тестировать план, проводить тренинги, обучения и учения для сотрудников банка.
Глава 7. Безопасность в жизненном цикле
автоматизированных систем банка
44. Банк должен обеспечить комплексную защиту автоматизированных систем на всех стадиях жизненного цикла автоматизированной системы (проектирование, реализация, тестирование, приемка, эксплуатация, сопровождение, модернизация, снятие с эксплуатации должны быть документированы и утверждены высшим руководством). При этом тестирование необходимо проводить в тестовой среде, идентичной с промышленной средой.
45. Банк должен использовать только лицензионное программное обеспечение, допускается программное обеспечение с открытым исходным кодом либо собственной разработки при наличии полного комплекта документации, утверждённого высшим руководством (техническое задание, программа и методика испытаний, акт и журнал испытаний, акт ввода в промышленную эксплуатацию).
Глава 8. Ведение журнала регистрации
событий проводимых операций
46. В банке должно быть обеспечено ведение журнала регистрации событий (логирование) осуществленной деятельности в автоматизированной системе, персональном компьютере, серверном и сетевом оборудовании, баз данных как средство для проведения аудита информационной безопасности и восстановления хода событий и ведения подотчетности. Журнал регистрации событий должен включать в себя действия всех пользователей, в том числе высокопривилегированных учетных записей (root, administrator, sysdba, dba).
47. Мониторинг и анализ информации журнала регистрации событий должен проводиться ежедневно администраторами автоматизированной системы (персонал технической поддержки), в том числе с применением автоматизированных систем, и все нестандартные ситуации, связанные с безопасностью, должны расследоваться.
48. Информация журнала регистрации событий должна храниться в электронном виде в течение периода времени, равного сроку хранения обрабатываемых данных соответствующей автоматизированной системы, но не менее 2 (двух) лет.
49. Информация журналов регистрации событий должна быть защищена от случайного или преднамеренного удаления, модификации или фальсификации. Отключение журналирования, удаление, модификация или фальсификация информации журналов регистрации должно рассматриваться как инцидент.
Глава 9. Процесс проведения платежей и расчетов
в автоматизированной системе (в том числе SWIFT)
50. При осуществлении процесса проведения платежей и расчетов (собственных и клиентских) банк должен обеспечить соблюдение следующих требований информационной безопасности:
- обработка, учет и хранение платежной информации в автоматизированной системе на территории Кыргызской Республики;
- защита платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации электронных платежных сообщений;
- доступ сотрудника банка к ресурсам автоматизированной системы, которая обеспечивает проведение платежей и расчетов, только для исполнения должностных обязанностей;
- контроль (мониторинг) исполнения процессов подготовки, обработки, передачи и хранения платежной информации;
- аутентификация входящих электронных платежных сообщений;
- двусторонняя аутентификация автоматизированных рабочих мест (рабочих станций и серверов), участников обмена электронными платежными сообщениями (как для филиалов и отделений банков, так и для клиентов);
- возможность ввода платежной информации в автоматизированной банковской системе только для авторизованных пользователей;
- соблюдение в автоматизированной банковской системе принципа сквозной обработки платежей (обеспечение непрерывной обработки всего информационного потока поступающей финансовой информации без ручного вмешательства на протяжении всей технологической цепочки (от попадания информации в автоматизированную систему до завершения ее обработки) с целью достижения максимальной скорости проведения операций, и исключения ошибок);
- контроль, направленный на исключение возможности совершения злоумышленных действий (двойной ввод, сверка, авторизация транзакций, установление ограничений в зависимости от суммы совершаемых операций и т.д.) (как со стороны уполномоченных сотрудников, так и со стороны клиентов);
- восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники;
- сверка выходных электронных платежных сообщений с соответствующими входными и обработанными электронными платежными сообщениями при осуществлении межбанковских расчетов;
- доставка электронных платежных сообщений участникам информационного обмена.
51. Сотрудники банка, в том числе администраторы автоматизированных систем, не должны обладать полномочиями для бесконтрольного создания, авторизации, уничтожения и изменения платежной информации, а также проведения несанкционированных операций по изменению состояния банковских счетов.
52. Обработку платежной информации и контроль (проверку) результатов обработки должны осуществлять разные сотрудники.
53. Для систем, обеспечивающих проведение платежей и расчетов, должен быть предусмотрен основной и дублирующий состав персонала. В случае отсутствия какого-либо специалиста основного состава его функции должен выполнять специалист из дублирующего состава.
54. Техническая инфраструктура систем, обеспечивающих проведение платежей и расчетов, должна включать основную и резервную автоматизированную системы (аппаратно-программные комплексы), включая основные и резервные каналы связи.
55. В банке должны быть предусмотрены процедуры по переходу (переключению) системы с основной на резервную автоматизированную систему, включающие получение санкции руководства на данный переход.
56. В банке должны быть определены владельцы автоматизированной системы (должностные лица банка) и их ответственность, в том числе ответственность главного бухгалтера банка.
57. Банк должен обеспечить единую централизованную обработку, учет и хранение данных по бухгалтерскому учету в автоматизированной банковской системе.
58. Автоматизированные банковские системы, используемые в банке, в том числе системы дистанционного банковского обслуживания, должны обеспечивать возможность регистрации:
- операций с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов;
- проводимых транзакций, имеющих финансовые последствия;
- операций, связанных с назначением и распределением прав пользователей.
59. Системы дистанционного банковского обслуживания должны реализовывать защитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций.
60. В банке должны быть разработаны и доведены до сведения сотрудников и клиентов процедуры, определяющие их действия в случае компрометации информации, необходимой для их идентификации, аутентификации и (или) авторизации.
61. В системах дистанционного банковского обслуживания должны быть реализованы механизмы информирования (регулярного, непрерывного или по требованию) клиентов обо всех операциях, совершаемых от их имени.
62. Системы дистанционного банковского обслуживания должны предусматривать меры:
- снижения вероятности выполнения непреднамеренных или случайных операций, или транзакций авторизованными клиентами;
- доведения информации о возможных рисках, связанных с выполнением операций или транзакций до клиентов.
63. Клиенты систем дистанционного банковского обслуживания должны быть обеспечены детальными инструкциями, описывающими процедуры выполнения операций или транзакций.
Глава 10. Системы расчетов
банковскими платежными картами
64. При выпуске и обслуживании банковских платежных карт (далее - платежных карт) банк должен обеспечить выполнение требований настоящего Положения.
65. При использовании международных платежных карт в банке должны выполняться соответствующие требования безопасности стандарта PCI DSS.
66. При использовании систем расчетов платежными картами банк обязан обеспечить выполнение следующих требований по безопасности информационных систем:
- определение и соблюдение мер по поддержанию защищенной сети для создания и обработки данных держателей платежных карт;
- отслеживание и контроль любого доступа к сетевым ресурсам и данным платежных карт;
- запрет использования настроек безопасности и паролей, установленных производителем «по умолчанию» для программного обеспечения и оборудования;
- обеспечение защиты данных держателей платежных карт при хранении;
- обеспечение шифрования данных платежных карт, передаваемых по сетям общего пользования;
- использование и регулярное обновление антивирусного программного обеспечения;
- обеспечение безопасности при разработке и поддержке систем и приложений;
- ограничение доступа к данным платежных карт в соответствии со служебной необходимостью;
- назначение уникального идентификатора каждому лицу, имеющему доступ к вычислительным ресурсам;
- ограничение физического доступа к данным держателей банковских платежных карт и предоставление доступа только уполномоченным сотрудникам;
- регулярное тестирование систем и процессов обеспечения безопасности;
- актуальность политики информационной безопасности, регламентирующей деятельность сотрудников и контрагентов.
67. При работе с банковскими платежными картами банк должен применять следующие меры защиты:
- персонализация карт должна быть физически отделена от функций выпуска PIN-конвертов и должны быть назначены разные ответственные сотрудники для выполнения указанных операций;
- при печати PIN-конвертов верхний бланк должен быть уничтожен в присутствии двух уполномоченных сотрудников, ответственных за печать PIN-конвертов или PIN- код платежной карты может быть доставлен до клиента иными инструментами, применяемыми Банком, обеспечивающих информационную безопасность;
- персонализация карт должна проводиться в присутствии двух уполномоченных сотрудников, ответственных за персонализацию;
- должны быть предусмотрены меры по защите банкоматов, автоматизированных терминалов самообслуживания и POS-терминалов от вандализма и злоумышленных действий;
- число попыток ввода PIN-кода карты должно быть ограничено (не более трех), после чего карта должна быть заблокирована, изъята и возвращена ее владельцу персонально;
- должно быть установлено ограничение числа операций и суммы денежных средств в течение одного дня для одного счета (установка лимитов).
Глава 11. Банковский информационный процесс
68. Для каждой автоматизированной системы соответствующим распоряжением должны быть назначены администраторы, которые должны соблюдать политику информационной безопасности банка при настройке и работе с автоматизированной системой. Сотрудники подразделения по информационной безопасности должны проверять автоматизированную систему на соответствие политике информационной безопасности банка, в том числе в рамках оценки рисков.
69. В банке должны быть определены процедуры и персонал обслуживания автоматизированной системы, виды техники, используемые в банковском технологическом процессе, включая замену их программных и/или аппаратных частей.
Глава 12. Использование ресурсов сети интернет
70. В банке должны применяться меры по сегментации и межсетевому экранированию внутренних вычислительных сетей, а также по защите внутренних вычислительных сетей при взаимодействии с сетью интернет.
71. Банк обязан применять меры по регистрации изменений параметров настроек средств и систем защиты информации, межсетевого экранирования и защиты вычислительных сетей банка.
72. В банке должны быть определены и утверждены руководством банка цели использования сети интернет. Использование сети интернет в неустановленных целях должно быть запрещено.
73. Банку необходимо определить порядок подключения и использования ресурсов сети интернет, включающий в том числе контроль со стороны подразделения, ответственного за обеспечение информационной безопасности.
74. В банке, осуществляющем дистанционное банковское обслуживание клиентов, в связи с повышенными рисками нарушения информационной безопасности при взаимодействии с сетью интернет должны применяться средства защиты информации, обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии.
75. При осуществлении дистанционного банковского обслуживания должны применяться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в течение сеанса работы.
76. Все операции клиентов в течение всего сеанса работы с системами дистанционного банковского обслуживания должны выполняться только после выполнения процедур идентификации, аутентификации и авторизации. В случаях истечения времени сеанса работы (нарушения или разрыва соединения) необходимо обеспечить повторное выполнение указанных процедур.
77. Почтовый обмен через сеть интернет должен осуществляться с использованием защитных мер и противодействия распространению спама.
78. При взаимодействии с сетью интернет должны использоваться защитные меры противодействия атакам злоумышленников.
Глава 13. Антивирусная защита
79. На всех автоматизированных рабочих местах и серверах автоматизированной системы в банке должны применяться средства антивирусной защиты, если иное не предусмотрено технологическим процессом.
80. В банке должны применяться только официально приобретенные (лицензионные) средства антивирусной защиты. Установка и регулярное обновление средств антивирусной защиты на автоматизированных рабочих местах и серверах автоматизированной системы должны осуществляться ответственными администраторами.
81. При обеспечении антивирусной защиты в банке должны быть разработаны и введены в действие инструкции по антивирусной защите, учитывающие особенности банковских информационных процессов. Ответственность за выполнение требований процедур по антивирусной защите должна быть возложена на каждого сотрудника банка, имеющего доступ к персональному компьютеру и/или автоматизированной системе.
82. В банке должна осуществляться антивирусная фильтрация трафика электронного почтового обмена.
83. Устанавливаемое или изменяемое программное обеспечение должно быть предварительно проверено на отсутствие вирусов. При обнаружении компьютерного вируса должны быть приняты меры по его обезвреживанию и восстановлению работоспособности рабочих мест.
84. Отключение или необновление антивирусных средств не допускается. Установка и обновление средств антивирусной защиты должны контролироваться ответственными сотрудниками.
Глава 14. Использование криптографических средств защиты
85. В банке должна быть обеспечена безопасность использования криптографических средств защиты информации.
86. Используемые в банке средства криптографической защиты должны:
- поставляться разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней;
- иметь строгий регламент использования ключей, предполагающий контроль со стороны администратора информационной безопасности за действиями пользователя на всех этапах работы с ключевой информацией.
Глава 15. Резервное копирование и восстановление
87. В банке должны создаваться резервные копии для платежной и другой банковской информации, а также для системного и прикладного программного обеспечения, необходимого для обработки этой информации.
88. В качестве носителей данных должны использоваться внешние носители информации: жесткие диски, магнитные ленты, записываемые оптические цифровые диски и др.
89. Все резервные копии должны быть промаркированы с указанием хранимой информации, учетного номера и даты создания копии.
90. Резервные копии (или их дубликаты) должны храниться в удаленных помещениях, обеспечивающих защиту от несанкционированного доступа, защиту от электромагнитных излучений, защиту от тепловых воздействий, защиту от механических воздействий, а также при поддержании внутренней температуры и влажности воздуха на заданном уровне.
91. В банке должны осуществляться процедуры периодического тестирования и восстановления данных архива резервных копий, согласно внутренним документам.
Глава 16. Защита данных
92. В банке должны быть предусмотрены меры по защите персональных данных, а также любых сведений, охраняемых законодательством Кыргызской Республики, в том числе сведений, составляющих банковскую тайну и т.д., и определен порядок обработки персональных данных в соответствии с законодательством Кыргызской Республики.
Глава 17. Требования к физической безопасности
93. Банк должен обеспечить техническую укрепленность помещений в соответствии с требованиями, предъявляемыми к банкам Кыргызской Республики, согласно инструкции «О единых требованиях по технической укрепленности финансово-кредитных учреждений и порядке их охраны в Кыргызской Республике».
94. В банке должны быть разработаны и утверждены внутренние документы по обеспечению физической безопасности и технической укрепленности помещений, специализированных центров обработки данных, критичных и уязвимых зон, в которых размещены аппаратно-вычислительные комплексы информационных систем, от несанкционированного доступа, воздействий внешней окружающей среды и чрезвычайных случаев техногенного характера.
95. Помещения для оборудования информационных систем должны соответствовать условиям эксплуатации данного оборудования.
96. Порядок доступа сотрудников банка в центры обработки информации, в которых размещаются объекты информационных активов, должен быть регламентирован во внутренних документах банка, а их выполнение должно контролироваться. Физический доступ в помещения, в которых размещены объекты информационных систем, должен быть четко регламентирован и разрешен только определенной группе уполномоченных лиц ответственного подразделения, в соответствии с возложенными на них задачами и обязанностями.
97. В случае если банк осуществляет выпуск платежных карт, то помещение, в котором банк устанавливает аппаратно-программный комплекс по персонализации платежных карт, должно:
- быть изолированным (непроходным, без окон);
- быть оснащено надежными автоматическими замками;
- быть оснащено средствами пожарной и охранной сигнализации, средствами наблюдения, исключающими возможность бесконтрольного проникновения в помещение посторонних лиц и обеспечивающими физическую сохранность находящихся в помещении защищаемых ресурсов;
- иметь в наличии как минимум два помещения (для выполнения персонализации карт и выпуска PIN-конвертов), оборудованных сейфами для хранения заготовок карт и PIN-конвертов.
Помещение для выпуска PIN-конвертов должно быть оборудовано шредером для уничтожения бланков и испорченных PIN-конвертов.
Глава 18. Требования к процессу управления
инцидентами информационной безопасности
98. Управление инцидентами и уязвимостями информационной безопасности осуществляется на основе разработанных и четко используемых процессов.
99. Банк должен идентифицировать инциденты и уязвимости, они должны быть оценены и к ним должны быть приняты меры по предотвращению возникновения подобных инцидентов информационной безопасности. Уязвимости должны быть устранены.
100. Результаты анализа инцидентов информационной безопасности, а также рекомендации по минимизации вероятности возникновения инцидентов информационной безопасности и их возможного ущерба должны в дальнейшем использоваться для оценки рисков информационной безопасности.
Глава 19. Аутсорсинг
101. Банк должен проводить оценку риска при использовании аутсорсинга в своей деятельности, включая центры обработки данных, облачных технологий и сервисов. Оценка риска должна включать в себя анализ всей имеющейся информации о поставщике услуг (компании), которая доступна для банка. Оценка риска проводится с учетом требований Национального банка Кыргызской Республики. На основании запроса Национального банка Кыргызской Республики, банк должен предоставить вышеуказанную оценку рисков.
102. Договор с поставщиком аутсорсинговых услуг должен содержать как минимум следующие разделы:
- об информационной безопасности, о сохранности информации персонального характера, а также любых других сведений и тайн, охраняемых законодательством Кыргызской Республики;
- о непрерывности деятельности, включая план обеспечения непрерывности и восстановления;
- об обязательном содействии регулятору/группе проверки Национального банка в целях осуществления надзорных функций по проверке деятельности организации и в случае необходимости для своевременного получения дополнительной информации.
103. План обеспечения непрерывности деятельности банка должен включать меры, обеспечивающие своевременный доступ к информации, переданной на аутсорсинг, а также возобновление предоставления услуг в случае возникновения чрезвычайных ситуаций в деятельности поставщика услуг (аутсорсинг).