- •Политика информационной безопасности
- •Общие положения
- •Порядок доступа к конфиденциальной информации
- •Защита от несанкционированного доступа
- •Защищенность внутренних ресурсов сети от вмешательства извне
- •Управление доступом и регистрацией в абс
- •Управление доступом и регистрацией в Diasoft 5nt
- •Защита системы Интернет-банкинга
- •Управление доступом к удаленным рабочим местам бирж и торговых площадок
- •Управление доступом к телекоммуникационному оборудованию и упатс
- •Разграничение прав доступа на разделяемые сетевые ресурсы
- •Использование ресурсов Интернет
- •Использование средств криптографической защиты информации
- •Защита серверов и рабочих станций пользователей локальной сети от доступа извне и заражения вирусами
- •Дублирование, резервирование и раздельное хранение конфиденциальной информации
- •Защита банковских платежных и информационных технологических процессов
- •Обеспечение бесперебойного функционирования информационных систем Банка
- •Заключение
Защита банковских платежных и информационных технологических процессов
Банковский платежный технологический процесс определен во внутренних нормативно-методических документах ООО КБ “********”.
Порядок обмена платежной информацией однозначно определен в договорах между участниками, осуществляющими обмен платежной информацией.
Сотрудники ООО КБ “********”, в том числе администраторы АБС и средств защиты информации, не имеют полномочий для бесконтрольного создания, авторизации, уничтожения и изменения платежной информации, а также проведения операций по изменению состояния банковских счетов
Результаты технологических операций по обработке платежной информации контролируются и удостоверяются авторизованными сотрудниками, причем лица, осуществляющие обработку платежной информации и контроль результатов обработки, независимы друг от друга
При работе с платежной информацией производится авторизация и контроль целостности данной информации
Подготовленная клиентами Банка платежная информация, на основании которой совершаются расчетные, учетные и кассовые операции, имеет только внутреннее использование в ООО КБ “********”
Обязанности по администрированию средств защиты платежной информации для каждого технологического участка ее прохождения возлагаются приказом по Банку на сотрудников, задействованных на данном технологическом участке, с отражением этих функций в должностных обязанностях
Комплекс мер по обеспечению информационной безопасности банковского платежного технологического процесса предусматривает:
защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации платежных документов
минимально необходимый, гарантированный доступ сотрудника Банка только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения служебных обязанностей или реализации прав, предусмотренных технологией обработки платежной информации
контроль исполнения установленной технологии подготовки, обработки, передачи и хранения платежной информации
аутентификацию обрабатываемой платежной информации
двустороннюю аутентификацию автоматизированных рабочих мест, участников обмена платежной информацией
восстановление платежной информации в случае ее разрушения (искажения) или выхода из строя средств вычислительной техники
авторизованный ввод платежной информации в АБС двумя сотрудниками с последующей программной сверкой результатов ввода на совпадение
сверку выходных платежных сообщений с соответствующими поступившими платежными сообщениями
гарантированную доставку платежных сообщений участникам обмена
Обеспечение бесперебойного функционирования информационных систем Банка
Бесперебойность функционирования информационных систем Банка обеспечивается дублированием ключевых систем, разработкой комплекса мероприятий по устранению аварийных ситуаций и тренингом ИТ-персонала по выполнению этих мер
Резервированием ключевой информации и хранением ее в отдельных помещениях
Резервированием каналов связи в ключевых системах
Сопровождением фирм-разработчиков автоматизированных систем и приложений
Наличием документации разработчика, содержащей описание защитных мер, предпринятых разработчиком АБС, и их компонентов относительно безопасности разработки, безопасности поставки и эксплуатации, поддержки жизненного цикла, включая описание модели жизненного цикла, оценки уязвимости.