Раздел 2. Организация применения средств защиты от ВК
2.1. Учитывая расширение применения систем ДБО, кредитным организациям рекомендуется обеспечивать надежное и эффективное противодействие атакам ВК, совершенствуемым по способам распространения и воздействия на автоматизированные системы, ПО, средства вычислительной техники, телекоммуникационное оборудование кредитной организации, на основе организации постоянного применения мер защиты от ВК, включающих нижеперечисленные.
2.1.1. Включение во внутренние документы по вопросам политики обеспечения информационной безопасности <1> положений, определяющих состав и содержание мер защиты от ВК средств вычислительной техники и следующих компонентов автоматизированных систем и телекоммуникационного оборудования кредитной организации (далее - объектов защиты):
--------------------------------
<1> Принимаемые кредитной организацией в соответствии с пунктом 3.8, пунктом 14 приложения 2 к Положению Банка России от 16 декабря 2003 года N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" ("Вестник Банка России" от 4 февраля 2004 года N 7).
автоматизированных рабочих мест (далее - АРМ) системных и (или) сетевых администраторов, администраторов баз данных, администраторов информационной безопасности и тому подобное;
серверов, предназначенных для хранения информационных файлов (файловых серверов) и централизованного доступа к ним;
серверов, обеспечивающих представительство кредитной организации в сети Интернет (Web-, FTP-, proxy-серверов, серверов доменных имен (DNS) и тому подобное);
банкоматов, платежных терминалов и тому подобное.
2.1.2. Закрепление функций по осуществлению защиты от ВК, а также по контролю над ее состоянием в положениях о структурных подразделениях кредитной организации, к компетенции которых отнесены: применение информационных технологий, обеспечение информационной безопасности и внутренний контроль, а также в должностных инструкциях работников кредитной организации, осуществляющих данные функции, и всех работников, имеющих доступ к компьютерам и объектам защиты.
2.1.3. Регулярное проведение обучающих мероприятий и контроля знаний работников кредитной организации по тематике защиты от ВК.
2.1.4. Регламентация и контроль выполнения порядка доведения до органов управления кредитной организации результатов осуществления мер защиты от ВК, сведений о предотвращенных и (или) состоявшихся атаках ВК, а также об их последствиях.
2.1.5. Регулярный сбор и анализ информации о распространении ВК с целью своевременной разработки и принятия необходимых мер защиты от ВК, в том числе рекомендуемых компаниями - разработчиками ПО.
2.1.6. Регламентация и контроль выполнения мер защиты от ВК в части обезвреживания выявленного ВК и устранения последствий его воздействия на деятельность кредитной организации.
2.1.7. Организация функционирования постоянной защиты от ВК в автоматическом режиме и использование средств централизованного контроля и управления средствами антивирусной защиты.
2.1.8. Сочетание дистанционного (осуществляемого централизованно через информационно-телекоммуникационные сети кредитной организации со специально организованного управляющего АРМ) и локального контроля ВК (осуществляемого непосредственно на серверах различного назначения, рабочих станциях и АРМ администраторов банковских автоматизированных систем, информационной безопасности, баз данных, информационно-телекоммуникационных сетей кредитной организации, систем ДБО и тому подобное).
2.1.9. Организация функционирования рабочих станций автоматизированных систем с наделением пользователей этих рабочих станций минимально необходимыми для выполнения их функций правами и исключением их учетных записей из группы локальных администраторов.
2.1.10. Использование средств защиты от ВК различных организаций-производителей или поставщиков и их раздельная установка на следующих группах средств вычислительной техники и объектов защиты:
- маршрутизаторы и межсетевые экраны.
2.1.11. Проведение испытаний приобретаемых средств защиты от ВК на совместимость со средствами вычислительной техники и объектами защиты, используемыми в кредитной организации, с другими средствами защиты от ВК, согласно разработанным и утвержденным регламентам. По результатам испытаний рекомендуется определять оптимальные настройки средств защиты от ВК для каждого средства вычислительной техники и объекта защиты с учетом особенностей технологии осуществляемого на нем процесса.
2.1.12. Регулярный контроль целостности и работоспособности защитного ПО (согласно разработанному и утвержденному регламенту).
2.1.13. Осуществление в автоматическом режиме обновления баз данных ВК средств защиты от ВК по мере их размещения (обновления) разработчиками средств защиты от ВК.
2.1.14. Осуществление фильтрации ВК во всех сообщениях электронной почты кредитной организации (применение защитных почтовых шлюзов).
2.1.15. Применение автоматизированных средств обобщения и анализа информации, фиксируемой в журналах протоколирования работы защитного ПО.
2.1.16. Заключение договоров (соглашений) с провайдерами <1> доступа к сети Интернет, предусматривающих осуществление ими фильтрации ВК в информационных потоках, поступающих от них в кредитную организацию.
--------------------------------
<1> Понятие "провайдер" используется в значении, определенном в письме Банка России от 31 марта 2008 года N 36-Т "О рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга" ("Вестник Банка России" от 9 апреля 2008 года N 16).
2.1.17. Организация в кредитной организации специальных АРМ, обособленных от информационно-телекоммуникационных сетей, в том числе от сети Интернет, и оснащенных всеми используемыми в кредитной организации средствами защиты от ВК. Рекомендуется использовать указанные АРМ для проведения дополнительного системно-независимого контроля на наличие ВК носителей информации, встроенных в средства вычислительной техники и в объекты защиты кредитной организации. Системно-независимому контролю на наличие ВК целесообразно подвергать носители информации, в отношении которых есть основания предполагать наличие ВК, не обнаруживаемого средствами защиты от ВК соответствующих средств вычислительной техники и объектов защиты кредитной организации. Также рекомендуется осуществлять системно-независимый контроль на наличие ВК съемных машинных носителей информации перед их использованием на средствах вычислительной техники и объектах защиты кредитной организации. Системно-независимый контроль на наличие ВК осуществляется под управлением операционной системы, загружаемой с носителя информации, заведомо не содержащего ВК.
2.1.18. Осуществление контроля использования съемных носителей информации с использованием организационных мер и специализированных средств, осуществляющих централизованный мониторинг подключаемых устройств, ограничение использования съемных носителей информации.
2.1.19. Регламентация состава и правил использования автоматизированных систем, ПО, средств вычислительной техники, телекоммуникационного оборудования кредитной организации на всех этапах их создания и эксплуатации в части обеспечения защиты от ВК в интересах выявления в составе ПО "посторонних" программных модулей, нерегламентированных процессов в оперативной памяти средств вычислительной техники и признаков некорректного функционирования ПО, что может свидетельствовать о воздействии ВК.
2.1.20. Регулярный контроль (предпочтительно не реже одного раза в месяц) состава и целостности ПО автоматизированных систем, средств вычислительной техники, телекоммуникационного оборудования кредитной организации, а также выполнения правил его использования в части обеспечения защиты от ВК (согласно разработанному и утвержденному регламенту).
2.1.21. Регламентация правил создания, ведения и защиты от несанкционированного доступа резервных копий и архивов баз данных автоматизированных систем, телекоммуникационного оборудования кредитной организации, а также эталонных и рабочих копий системного и прикладного ПО автоматизированных систем.
2.1.22. Регулярный контроль (предпочтительно не реже одного раза в год) выполнения правил создания, ведения и защиты от несанкционированного доступа резервных копий и архивов баз данных автоматизированных систем, телекоммуникационного оборудования кредитной организации, а также эталонных и рабочих копий системного и прикладного ПО автоматизированных систем.
2.1.23. Разделение информационно-телекоммуникационных сетей кредитной организации на подсети (сегменты) по их функциональному назначению, по степени критичности влияния на выполнение бизнес-процессов и с учетом подверженности воздействию ВК с целью ограничения возможностей его распространения.
2.1.24. Использование средств анализа наличия на средствах вычислительной техники и объектах защиты неустраненных недостатков системного и прикладного ПО в части защиты от ВК.
2.1.25. Использование рабочих станций кредитной организации в терминальном режиме (с ограниченными функциональными возможностями) для обеспечения доступа к сети Интернет через специально выделенный сервер, целостность системного ПО которого регулярно контролируется согласно разработанному и утвержденному регламенту.
2.1.26. Разработка и тестирование планов по локализации средств вычислительной техники и объектов защиты кредитной организации, подвергшихся воздействию ВК, и последующему восстановлению работоспособности этих средств вычислительной техники и объектов защиты.
2.2. При выборе средств защиты от ВК рекомендуется отдавать предпочтение известным, хорошо зарекомендовавшим себя в течение продолжительного времени компаниям - разработчикам средств защиты от ВК, предлагающим продукты, использующие зарегистрированные товарные знаки, а также удовлетворяющие требованиям, которые рекомендуется изложить во внутреннем документе, подготовленном с участием структурных подразделений кредитной организации, к компетенции которых отнесено применение информационных технологий, обеспечение информационной безопасности, а также внутренний контроль, и утвержденном уполномоченным органом управления. Целесообразно предусматривать приобретение средств защиты от ВК у авторизованных партнеров компаний - разработчиков средств защиты от ВК.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей