7.4. Общие требования по обеспечению информационной безопасности при управлении доступом и регистрацией

7.4.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры выявления, учета и классификации (отнесение к одному из типов) информационных активов организации БС РФ. Права доступа работников и клиентов организации БС РФ к информационным активам и (или) их типам должны быть учтены и зафиксированы.

7.4.2. В составе АБС должны применяться встроенные защитные меры от НСД и НРД, а также могут применяться средства защиты информации, сертифицированные по требованиям безопасности информации.

Защитные меры от НСД должны обеспечивать сокрытие вводимых субъектами доступа аутентификационных данных на устройствах отображения информации. Размещение устройств отображения информации АБС должно препятствовать ее несанкционированному просмотру.

7.4.3. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры:

- идентификации, аутентификации, авторизации субъектов доступа, в том числе внешних субъектов доступа, которые не являются работниками организации БС РФ, и программных процессов (сервисов);

- разграничения доступа к информационным активам на основе ролевого метода, с определением для каждой роли полномочий по доступу к информационным активам;

- управления предоставлением/отзывом и блокированием доступа, в том числе доступа, осуществляемого через внешние информационно-телекоммуникационные сети;

- регистрации действий субъектов доступа с обеспечением контроля целостности и защиты данных регистрации;

- управления идентификационными данными, аутентификационными данными и средствами аутентификации;

- управления учетными записями субъектов доступа;

- выявления и блокирования неуспешных попыток доступа;

- блокирования сеанса доступа после установленного времени бездействия или по запросу субъекта доступа, требующего выполнения процедур повторной аутентификации и авторизации для продолжения работы;

- ограничения действий пользователей по изменению настроек их автоматизированных мест (использование ограничений на изменение BIOS);

- управления составом разрешенных действий до выполнения идентификации и аутентификации;

- ограничения действий пользователей по изменению параметров настроек АБС и реализации контроля действий эксплуатационного персонала по изменению параметров настроек АБС;

- выявления и блокирования несанкционированного перемещения (копирования) информации, в том числе баз данных, файловых ресурсов, виртуальных машин;

- использования технологий беспроводного доступа к информации, в случае их применения, и защиты внутренних беспроводных соединений;

- использования мобильных устройств для доступа к информации в случае их применения.

Процедуры управления доступом должны исключать возможность "самосанкционирования".

7.4.4. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры мониторинга ИБ, анализа и хранения данных о действиях и операциях, позволяющие выявлять неправомерные или подозрительные операции и транзакции, для чего, среди прочего, следует:

- определить действия и операции, подлежащие регистрации;

- определить состав и содержание данных о действиях и операциях, подлежащих регистрации, сроки их хранения;

- обеспечить резервирование необходимого объема памяти для записи данных;

- обеспечить реагирование на сбои при регистрации действий и операций, в том числе аппаратные и программные ошибки, сбои в технических средствах сбора данных;

- обеспечить генерацию временных меток для регистрируемых действий и операций и синхронизацию системного времени на технических средствах, используемых для целей мониторинга ИБ, анализа и хранения данных.

В организации БС РФ должно быть реализовано ведение журналов действия и операций автоматизированных рабочих мест, серверного и сетевого оборудования, межсетевых экранов и АБС с целью их использования при реагировании на инциденты ИБ.

Рекомендуется обеспечить хранение данных о действиях и операциях не менее трех лет, а для данных, полученных в результате выполнения банковского платежного технологического процесса, - не менее пяти лет, если иные сроки хранения не установлены законодательством РФ, нормативными актами Банка России.

Для проведения процедур мониторинга ИБ и анализа данных о действиях и операциях следует использовать специализированные программные и (или) технические средства.

Процедуры мониторинга ИБ и анализа данных о действиях и операциях должны использовать зафиксированные критерии выявления неправомерных или подозрительных действий и операций. Указанные процедуры мониторинга ИБ и анализа должны применяться на регулярной основе, например ежедневно, ко всем выполненным действиям и операциям (транзакциям).

7.4.5. В организации БС РФ необходимо определить и контролировать выполнение требований:

- к разделению сегментов вычислительных сетей, в том числе создаваемых с использованием технологии виртуализации;

- к межсетевому экранированию;

- к информационному взаимодействию между сегментами вычислительных сетей.

Разделение сегментов вычислительных сетей следует осуществлять с целью обеспечения независимого выполнения банковских платежных технологических процессов организации БС РФ, а также банковских информационных технологических процессов организации БС РФ разной степени критичности, в том числе банковских информационных технологических процессов, в рамках которых осуществляется обработка персональных данных в ИСПДн.

В документах БС РФ должны быть регламентированы и контролироваться процедуры внесения изменений в конфигурацию сетевого оборудования, предусматривающие согласование вносимых изменений со службой ИБ. Работникам службы ИБ рекомендуется предоставлять доступ к конфигурации сетевого оборудования без возможности внесения изменений.

7.4.6. Должен быть определен, выполняться, регистрироваться и контролироваться порядок доступа к объектам среды информационных активов, в том числе в помещения, в которых размещаются объекты среды информационных активов.

7.4.7. Используемые в организации БС РФ АБС, в том числе системы дистанционного банковского обслуживания, должны обеспечивать, среди прочего, возможность регистрации:

- операций с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов;

- проводимых транзакций, имеющих финансовые последствия;

- операций, связанных с назначением и распределением прав пользователей.

7.4.8. В организации БС РФ должен быть определен, выполняться и контролироваться порядок использования съемных носителей информации.

7.4.9. Системы дистанционного банковского обслуживания должны реализовывать защитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций.

Протоколам операций, выполняемых посредством систем дистанционного банковского обслуживания, следует придать свойство юридической значимости, например, путем внесения соответствующих положений в договоры на дистанционное банковское обслуживание.

7.4.10. При заключении договоров со сторонними организациями рекомендуется предусматривать необходимый уровень взаимодействия в случае выхода инцидента ИБ за рамки отдельной организации БС РФ. Примером такого взаимодействия может служить приостановка выполнения распределенной между несколькими организациями транзакции в случае, если имеющиеся данные мониторинга ИБ и анализа протоколов операций позволяют предположить, что выполнение данной транзакции является частью замысла злоумышленников.

7.4.11. Должны быть определены и доведены до сведения работников и клиентов организации БС РФ процедуры, определяющие действия в случае компрометации информации, необходимой для их идентификации, аутентификации и (или) авторизации, в том числе произошедшей по их вине, включая информацию о способах распознавания таких случаев.

Эти процедуры должны предусматривать регистрацию работниками и клиентами всех своих действий и их результатов.

7.4.12. В системах дистанционного банковского обслуживания должны быть реализованы механизмы информирования (регулярного, непрерывного или по требованию) клиентов обо всех операциях, совершаемых от их имен.

7.4.13. В организации БС РФ должны применяться меры, направленные на обеспечение защиты от НСД, повреждения или нарушения целостности данных о действиях и операциях, а также меры по защите информации, необходимой для идентификации, аутентификации и (или) авторизации клиентов и работников организации БС РФ. Все попытки НСД к такой информации должны регистрироваться. Доступ к данным о действиях и операциях предоставляется только с целью выполнения служебных обязанностей.

При увольнении или изменении должностных обязанностей работников организации БС РФ, имевших доступ к указанным данным, необходимо выполнить регламентированные процедуры соответствующего пересмотра прав доступа.

7.4.14. При осуществлении доступа на участке телекоммуникационных каналов и линий связи, в том числе беспроводных, не контролируемых организацией БС РФ, должны использоваться сетевые протоколы, обеспечивающие защиту сетевого соединения, контроль целостности сетевого взаимодействия и реализацию технологии двухсторонней аутентификации.

7.4.15. Передача защищаемых данных по каналам связи, имеющим выход за пределы контролируемой организацией БС РФ зоны, должна осуществляться только при условии обеспечения их защиты от раскрытия и модификации.

7.4.16. Работа всех работников и клиентов организации БС РФ в АБС должна осуществляться под уникальными и персонифицированными учетными записями.