Документ утратил силу или отменен. Подробнее см. Справку
"Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения. СТО БР ИББС-1.0-2006" (принят и введен в действие распоряжением Банка России от 26.01.2006 N Р-27)

8.2.4. Общие требования по обеспечению информационной безопасности при управлении доступом и регистрации

8.2.4.1. При распределении прав доступа персонала и клиентов к активам организации БС РФ следует руководствоваться специальным принципом "знание своих клиентов и служащих" (см. п. 6.2.2), выражаемым следующим образом:

- "знать своего клиента" <8>;

- "знать своего служащего" <9>;

- "необходимо знать" <10>,

а также руководствоваться принципом "двойное управление" <11>.

--------------------------------

<8> "Знать своего клиента" (Know your Customer): принцип, используемый регулирующими органами для выражения отношения к финансовым организациям с точки зрения знания деятельности их клиентов [ISO TR 13569].

<9> "Знать своего служащего" (Know your Employee): принцип, демонстрирующий озабоченность организации по поводу отношения служащих к своим обязанностям и возможных проблем, таких как злоупотребление имуществом, аферы или финансовые трудности, которые могут приводить к проблемам с безопасностью [ISO TR 13569].

<10> "Необходимо знать" (Need to Know): принцип безопасности, который ограничивает доступ к информации и ресурсам по обработке информации тем, кому требуется выполнять определенные обязанности [ISO TR 13569].

<11> "Двойное управление" (Dual Control): принцип сохранения целостности процесса и борьбы с искажением функций системы, требующий того, чтобы два лица независимо предпринимали некое действие до завершения определенных транзакций [ISO TR 13569].

8.2.4.2. В составе АБС должны применяться встроенные механизмы защиты информации, а также могут использоваться сертифицированные или разрешенные к применению средства защиты информации от НСД.

8.2.4.3. В организации должны обеспечиваться: идентификация, аутентификация, авторизация; управление доступом; контроль целостности; регистрация, включая:

- функционирование системы парольной защиты электронных вычислительных машин (ЭВМ) и локальных вычислительных сетей (ЛВС). Рекомендуется организовать службу централизованной парольной защиты для генерации, распространения, смены, удаления паролей, разработки необходимых инструкций, контроля за действиями персонала по работе с паролями;

- непротиворечивая и прозрачная административно-техническая поддержка задач управления доступом к ресурсам ЭВМ и/или ЛВС. Назначение/лишение полномочий по доступу сотрудников к ресурсам ЭВМ и/или ЛВС санкционируется руководителем функционального подразделения организации, несущего персональную ответственность за обеспечение ИБ в данном подразделении;

- контроль доступа пользователей к ресурсам ЭВМ и/или ЛВС. Оперативный контроль доступа пользователей осуществляется подразделениями (лицами) в организации, ответственными за обеспечение ИБ;

- формирование уникальных идентификаторов сообщений и идентификаторов пользователей (виды идентификаторов определяются особенностями конкретного технологического процесса);

- регистрация действий персонала и пользователей в специальном электронном журнале. Данный электронный журнал должен быть доступным для чтения, просмотра, анализа, хранения и резервного копирования только администратору ИБ. При невозможности поддержки данного режима эксплуатирующимися в организации БС РФ аппаратно-программными средствами реализация данного требования должна быть обеспечена организационными и/или административными мерами.

8.2.3. Общие требования по обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла 8.2.5. Общие требования по обеспечению информационной безопасности средствами антивирусной защиты