8.2.8. Общие требования по обеспечению информационной безопасности банковских платежных технологических процессов
8.2.8.1. Система обеспечения информационной безопасности банковского платежного технологического процесса должна соответствовать требованиям пунктов 8.2.2 - 8.2.7 настоящего стандарта и иных нормативных документов по вопросам информационной безопасности, действие которых распространяется на банковскую систему Российской Федерации.
8.2.8.2. В качестве объектов защиты должны рассматриваться:
- банковский платежный технологический процесс;
- технологический процесс по управлению ролями и полномочиями сотрудников организации БС РФ, задействованных в обеспечении банковского платежного технологического процесса.
8.2.8.3. Банковский платежный технологический процесс должен быть однозначно определен (отражен) в нормативно-методических документах организации БС РФ.
8.2.8.4. Порядок обмена платежной информацией должен быть зафиксирован в договорах между участниками, осуществляющими обмен платежной информацией. В роли участников могут выступать организации БС РФ, юридические и физические лица.
8.2.8.5. Сотрудники организации БС РФ, в том числе администраторы автоматизированных систем и средств защиты информации, не должны обладать всей полнотой полномочий для бесконтрольного создания, авторизации, уничтожения и изменения платежной информации, а также проведения операций по изменению состояния банковских счетов.
8.2.8.6. Результаты технологических операций по обработке платежной информации должны быть контролируемы (проверены) и удостоверены лицами/автоматизированными процессами. Лица/автоматизированные процессы, осуществляющие обработку платежной информации и контроль (проверку) результатов обработки, должны быть независимы друг от друга.
8.2.8.7. При работе с платежной информацией необходимо проводить авторизацию и контроль целостности данной информации.
Лучшей практикой при автоматизированной обработке платежной информации является оснащение средств вычислительной техники (на которых осуществляются операции над платежной информацией) сертифицированными или разрешенными руководителем организации БС РФ к применению средствами защиты от НСД и средствами криптографической защиты информации.
8.2.8.8. Подготовленная клиентами организации БС РФ платежная информация, на основании которой совершаются расчетные, учетные и кассовые операции, предназначена для внутреннего использования в организации БС РФ и может быть передана иным организациям только в соответствии с действующим законодательством Российской Федерации.
Указанная информация относится к категории строгой отчетности. Ограничительные пометки (грифы) "Для служебного пользования", "Конфиденциально" или "Банковская тайна" на документы, содержащие данную информацию, не проставляются.
Безопасность информации, отнесенной к банковской тайне, обеспечивается в соответствии со статьей 26 Федерального закона "О банках и банковской деятельности".
8.2.8.9. Обязанности по администрированию средств защиты платежной информации для каждого технологического участка ее прохождения возлагаются приказом по организации БС РФ на сотрудников (сотрудника), задействованных на данном технологическом участке (администраторов информационной безопасности), с отражением этих функций в его должностных обязанностях.
Администратор информационной безопасности должен действовать на основании соответствующего нормативного документа, разработанного в организации БС РФ и утвержденного руководством организации БС РФ.
Хорошей практикой является назначение денежной надбавки администратору информационной безопасности к его должностному окладу.
8.2.8.10. Комплекс мер по обеспечению информационной безопасности банковского платежного технологического процесса должен предусматривать:
- защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации платежных документов;
- минимально необходимый, гарантированный доступ сотрудника организации БС РФ только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения служебных обязанностей или реализации прав, предусмотренных технологией обработки платежной информации;
- контроль (мониторинг) исполнения установленной технологии подготовки, обработки, передачи и хранения платежной информации;
- аутентификацию обрабатываемой платежной информации;
- двустороннюю аутентификацию автоматизированных рабочих мест, участников обмена платежной информацией;
- восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники;
- авторизованный ввод платежной информации в автоматизированные банковские системы двумя сотрудниками с последующей программной сверкой результатов ввода на совпадение (Dual Control, ISO TR 13569);
- сверку выходных платежных сообщений с соответствующими поступившими платежными сообщениями;
- гарантированную доставку платежных сообщений участникам обмена.
8.2.8.11. Организации БС РФ - члены международных платежных систем с использованием банковских карт должны обеспечивать выполнение требований данных систем по информационной безопасности.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей