4.6. Применение средств защиты информации.

Реклама
Приложение № 7 к Правилам
Платежной системы НКО ЗАО НРД
Требования к защите информации
в Платежной системе НКО ЗАО НРД
Москва,
2014
88
Правила Платежной системы НКО ЗАО НРД
Введение
Надежное и безопасное обслуживание всех Участников ПС НРД обеспечивается
комплексом установленных правил и процедур проведения переводов денежных средств, а также
обязательной реализацией требований по информационной безопасности (далее ИБ), указанных в
данном документе.
1.
Термины и определения.
Термины и определения, специально не оговоренные в настоящих «Требованиях к защите
информации в платежной системе НКО ЗАО НРД» (далее – Требования к защите информации в
ПС НРД), применяются в значениях, установленных Законом о НПС, БР-382 и другими
нормативными актами Банка России.
2.
2.1.
по
Область действия Требований к защите информации в ПС НРД.
Настоящие Требования к защите информации в ПС НРД входят в состав документов
обеспечению
информационной
безопасности
и
развивают
положения
«Политики
информационной безопасности» НРД.
2.2.
Требования к защите информации в ПС НРД распространяются на все элементы и на
всех субъектов платежной системы НРД и направлены на обеспечение защиты информации при
осуществлении переводов денежных средств в платежной системе НРД.
2.3.
Требования к защите информации в ПС НРД являются обязательными для
исполнения субъектами ПС НРД.
2.4. Под защищаемой информацией в ПС НРД понимается:
−
информация об остатках денежных средств на банковских счетах;
−
информация о совершенных переводах денежных средств, в том числе информация,
содержащаяся в извещениях (подтверждениях), касающихся приема к исполнению распоряжений
Участников ПС НРД, а также в извещениях (подтверждениях), касающихся исполнения
распоряжений Участников ПС НРД;
−
информация, содержащаяся в оформленных в рамках применяемой формы
безналичных расчетов распоряжениях Участников ПС НРД, распоряжениях КлО, распоряжениях
ПКЦС;
−
информация о платежных клиринговых позициях;
−
информация, необходимая для удостоверения Участниками ПС НРД права
распоряжения денежными средствами;
89
Правила Платежной системы НКО ЗАО НРД
−
ключевая информация СКЗИ, используемая при осуществлении переводов денежных
средств;
−
информация
о
конфигурации,
определяющей
параметры
работы
автоматизированных систем, программного обеспечения, средств вычислительной техники,
телекоммуникационного оборудования, и используемой для осуществления переводов денежных
средств, а также информация о конфигурации, определяющей параметры работы технических
средств защиты информации;
−
информация ограниченного доступа, в том числе персональные данные и иная
информация, подлежащая обязательной защите в соответствии с законодательством Российской
Федерации, обрабатываемая НРД при осуществлении переводов денежных средств.
3.
Общие положения.
3.1. Требования разработаны в соответствии с Законом о НПС, ПП-584 и БР-382.
3.2. Требования являются частной политикой по защите информации, связанной с
осуществлением деятельности НРД в качестве Оператора платежной системы и конкретизируются
в соответствующих инструкциях и процедурах.
3.3. Требования распространяются в полном объеме на всех субъектов ПС НРД.
3.4. Требования определяют основные принципы защиты информации и направлены на
минимизацию рисков нарушения информационной безопасности.
3.5. НРД, являясь организацией, совмещающей функции оператора по переводу денежных
средств, Оператора ПС НРД и Операторов УПИ ПС НРД, рассматривает вопрос о защите
платежной информации в качестве приоритетного направления своей работы.
3.6. Защита информации в ПС НРД обеспечивается путем реализации правовых,
организационных и технических мер, которые направлены:
−
на обеспечение защиты информации от неправомерных доступа, уничтожения,
модифицирования, блокирования, копирования, предоставления и распространения, а также от
иных неправомерных действий в отношении информации;
−
на соблюдение конфиденциальности информации;
−
на реализацию права доступа к информации в соответствии с законодательством
Российской Федерации.
Состав технических средств защиты информации указан в п.3.8. настоящих Требований к
защите информации в ПС НРД.
3.7. Выполнение требований к обеспечению защиты информации при осуществлении
переводов денежных средств обеспечивается путем:
90
Правила Платежной системы НКО ЗАО НРД
−
выбора организационных мер защиты информации; определения во внутренних
документах порядка применения организационных мер защиты информации; определения лиц,
ответственных за применение организационных
мер защиты
информации; применения
организационных мер защиты; реализации контроля применения организационных мер защиты
информации;
выполнения
иных
необходимых
действий,
связанных
с
применением
организационных мер защиты информации;
−
выбора технических средств защиты информации; определения во внутренних
документах порядка использования технических средств защиты информации, включающего
информацию о конфигурации, определяющую параметры работы технических средств защиты
информации; назначения лиц, ответственных за использование технических средств защиты
информации; использования технических средств защиты информации; реализации контроля за
использованием технических средств защиты информации; выполнения иных необходимых
действий, связанных с использованием технических средств защиты информации.
3.8. Субъектами ПС НРД используются технические средства защиты информации, в том
числе:
−
средства межсетевого экранирования, анализирующие проходящий через них
сетевой трафик и имеющие возможность блокировки сетевых соединений, не попадающих под
заранее
установленные
правила
сетевого
взаимодействия;
на
средствах
межсетевого
экранирования должно быть настроено правило, запрещающее прямой доступ из внешней сети к
защищаемым ресурсам платежной инфраструктуры, а также ограничивающие доступ элементов
платежной инфраструктуры к ресурсам сети Интернет, не связанным с выполнением переводов
денежных средств;
−
средства VPN или защищенного файлового обмена при использовании сети
Интернет в качестве транспортной среды передачи данных;
−
средства антивирусной защиты;
−
средства обнаружения и предотвращения вторжений;
−
средства анализа защищенности;
−
СКЗИ, если иное не предусмотрено федеральными законами и иными нормативными
правовыми актами Российской Федерации.
3.9. Субъекты ПС НРД рассматривают защиту информации, обрабатываемую в ПС НРД,
важным компонентом своей деятельности и уделяют этому должное внимание.
4.
Общие требования к защите информации в ПС НРД.
Субъекты ПС НРД выполняют следующие требования по защите информации.
91
Правила Платежной системы НКО ЗАО НРД
4.1.
безопасности
Наличие
подразделения,
(защиту
информации)
отвечающего
или
за
назначение
обеспечение
лиц(а),
информационной
ответственных(ого)
за
информационную безопасность.
4.2.
Включение обязанности по выполнению требований к защите информации в
должностные инструкции работников, участвующих в обработке информации, указанной в п.2.4
настоящих Требований к защите информации в ПС НРД.
4.3.
Определение
угроз
безопасности
информации
и
анализ
уязвимости
информационных систем.
4.3.1. Составление и поддержание в актуальном состоянии модели угроз и нарушителя.
4.3.2. Выработка и внедрение мер по защите от актуальных угроз на основании модели
угроз и нарушителя.
4.3.3. Разработка и реализация систем защиты информации в информационных системах.
4.3.4. Применение средств защиты информации (криптографических средств, средств
защиты информации от несанкционированного доступа, средств антивирусной защиты, средств
межсетевого экранирования, систем обнаружения вторжений, средств контроля (анализа)
защищенности (сканеры уязвимости) и других).
4.4.
Анализ и управление рисками нарушения требований к защите информации,
включающий следующие действия:
4.4.1. Выявление и оценка рисков нарушения информационной безопасности.
4.4.2. Определение перечня неприемлемых рисков из числа выявленных.
4.4.3. Составление плана обработки для каждого неприемлемого риска.
4.4.4. Контроль реализации и проверка на эффективность планов обработки рисков.
4.4.5. Оценка и обработка каждого вновь выявленного риска в соответствии с п. 4.4.1- 4.4.4
настоящих Требований к защите информации в ПС НРД.
4.5.
Разработка и реализация систем защиты информации в информационных системах.
4.5.1. Требования к защите информации реализуются:
−
в случае разработки и создания информационных систем - на всех стадиях (этапах)
их создания и эксплуатации;
−
в случае приобретения информационных систем - при вводе их в эксплуатацию и
при эксплуатации.
4.6.
Применение средств защиты информации.
4.6.1. Для проведения работ по защите информации могут привлекаться на договорной
основе
организации,
имеющие
лицензии
на
деятельность
по
технической
защите
конфиденциальной информации и (или) на деятельность по разработке и производству средств
защиты конфиденциальной информации.
92
Правила Платежной системы НКО ЗАО НРД
4.6.2. Субъекты
ПС
НРД
утверждают
внутренние
нормативные
документы,
устанавливающие порядок реализации требований к защите информации, а также порядок
использования технических средств защиты информации, включая информацию о конфигурации
технических средств защиты информации, определяющую параметры их работы.
4.6.3. Применение шифровальных (криптографических) средств защиты информации
осуществляется в соответствии с законодательством Российской Федерации.
4.7.
Осуществляется управление инцидентами, связанными с нарушением требований к
защите информации.
4.7.1. В целях выявления инцидентов информационной безопасности проводится
мониторинг событий с использованием автоматизированных средств мониторинга, а также
регулярное наблюдение за действиями пользователей и состоянием рабочих мест.
4.7.2. Осуществляется регистрация событий информационной безопасности, их анализ,
выявление и оперативное реагирование на инциденты ИБ, выявленные в результате мониторинга в
соответствии с установленным регламентом.
4.7.3. Каждый выявленный инцидент обрабатывается, классифицируется, а его описание
сохраняется в базе данных.
4.7.4. По каждому инциденту принимаются адекватные меры на устранение негативных
последствий и предотвращение повторения аналогичных инцидентов.
4.7.5. Статистика зафиксированных инцидентов анализируется с целью выявления новых
угроз и рисков.
4.8.
Использование информационно-телекоммуникационных сетей общего пользования
в ПС НРД.
4.8.1. НРД и организации, привлеченные НРД для выполнения функций Оператора УПИ
ПС НРД, разрабатывают и утверждают внутренние нормативные документы (частные политики)
по использованию сетей общего доступа, а также внедряют соответствующие меры и средства для
выполнения требований этих документов.
4.8.2. При использовании сетей общего пользования (в частности при дистанционном
обслуживании Участников ПС НРД) применяется межсетевое экранирование.
4.8.3. Разрабатываются правила доступа к информационным ресурсам НРД внешних
пользователей, использующих сети общего доступа.
4.9.
Порядок доступа к объектам инфраструктуры платежной системы
4.9.1. Доступ к объектам инфраструктуры регламентирован и контролируется.
4.9.2. Доступ
имеет
разрешительный
характер
и
осуществляется
на
основании
согласованных заявок (для работников) и заключенных договоров (для Участников ПС НРД).
93
Правила Платежной системы НКО ЗАО НРД
4.9.3. Доступ персонифицируется и ограничивается минимально необходимым набором
полномочий.
4.10. Организация
и
проведение
контроля
Периодически
проводится
оценка
выполнения
требований
по
защите
требованиям
по
защите
информации.
4.10.1.
соответствия
информации.
Контроль
4.10.2.
(оценка)
соблюдения
требований
по
защите
информации
осуществляется привлеченными НРД Операторами УПИ ПС НРД и Участниками ПС НРД
самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на
деятельность по технической защите конфиденциальной информации.
Для контроля деятельности пользователей и администраторов платежных систем
4.10.3.
организуется мониторинг событий ИБ.
5.
Требования к обеспечению защиты информации при осуществлении переводов
денежных средств в ПС НРД.
Субъекты ПС НРД обеспечивают исполнение следующих требований.
5.1. При назначении и распределении ролей пользователей.
Регистрация лиц, обладающих правами:
5.1.1.
−
по осуществлению доступа к защищаемой информации;
−
по управлению криптографическими ключами;
−
по воздействию на объекты информационной инфраструктуры, которое может
привести к нарушению предоставления услуг по осуществлению переводов денежных средств;
−
по
формированию
электронных
сообщений,
содержащих
распоряжения
об
осуществлении переводов денежных средств.
Запрет выполнения одним лицом в один момент времени функций, связанных:
5.1.2.
−
с
созданием
(модернизацией)
объекта
информационной
инфраструктуры
и
эксплуатацией объекта информационной инфраструктуры;
−
с
эксплуатацией
объекта
информационной
инфраструктуры
в
части
его
использования по назначению и эксплуатацией объекта информационной инфраструктуры в части
его технического обслуживания и ремонта.
5.1.3.
Контроль и регистрация действий лиц, обладающих правами, указанными в п. 5.1.1
настоящих Требований к защите информации в ПС НРД.
5.2.
На стадиях жизненного цикла объектов информационной инфраструктуры.
94
Правила Платежной системы НКО ЗАО НРД
5.2.1.
Включение в технические задания на создание (модернизацию) объектов
информационной инфраструктуры требований к обеспечению защиты информации при
осуществлении переводов денежных средств.
5.2.2.
Обязательное участие СИБ субъекта ПС НРД в разработке и согласовании
технических заданий на создание (модернизацию) объектов информационной инфраструктуры.
5.2.3.
Осуществление со стороны СИБ субъекта ПС НРД контроля соответствия
создаваемых (модернизируемых) объектов информационной инфраструктуры требованиям
технических заданий.
5.2.4.
−
Обеспечивается:
наличие эксплуатационной документации на используемые технические средства
защиты информации, включая информацию о конфигурации технических средств защиты
информации, определяющую параметры их работы.
−
контроль выполнения требований эксплуатационной документации на используемые
технические средства защиты информации в течение всего срока их эксплуатации;
−
восстановление функционирования технических средств защиты информации,
используемых при осуществлении переводов денежных средств, в случаях сбоев и (или)
отказов в их работе.
5.2.5.
Реализация запрета использования защищаемой информации на стадии создания
объектов информационной инфраструктуры.
5.2.6.
Осуществление на стадиях эксплуатации и снятия с эксплуатации объектов
информационной инфраструктуры:
−
реализации запрета несанкционированного копирования защищаемой информации;
−
защиты резервных копий защищаемой информации;
−
уничтожение защищаемой информации в случаях, когда указанная информация
больше не используется, за исключением защищаемой информации, перемещенной в архивы,
ведение и сохранность которых предусмотрены законодательными актами Российской Федерации,
нормативными актами Банка России, правилами платежной системы и (или) договорами,
заключенными НРД;
−
уничтожение защищаемой информации, в том числе содержащейся в архивах,
способом, обеспечивающим невозможность ее восстановления.
5.3.
5.3.1.
При управлении доступом к защищаемой информации в ПС НРД.
Учет объектов информационной инфраструктуры, используемых для обработки,
хранения и (или) передачи защищаемой информации.
5.3.2.
Применение
технических
средств
защиты
информации,
включая
некриптографические средства защиты информации от несанкционированного доступа, в том
95
Правила Платежной системы НКО ЗАО НРД
числе прошедшие в установленном порядке процедуру оценки соответствия. Допускается
применение некриптографических средств защиты информации от несанкционированного доступа
иностранного производства.
5.3.3.
Доступ к защищаемой информации, находящейся на объектах информационной
инфраструктуры, осуществляется с выполнением следующих обязательных процедур:
−
идентификация, аутентификация, авторизация и регистрация действий работников
Участников ПС НРД при осуществлении доступа к защищаемой информации;
−
идентификация,
аутентификация,
авторизация
Участников
ПС
НРД
при
осуществлении переводов денежных средств;
−
определение порядка использования информации, необходимой для выполнения
аутентификации;
−
регистрация действий, связанных с назначением и распределением прав доступа к
защищаемой информации;
−
регистрация действий с информацией о банковских счетах, включая операции
открытия и закрытия банковских счетов;
−
реализация запрета несанкционированного расширения прав доступа к защищаемой
информации;
−
назначение
работникам
субъекта
ПС
НРД
минимально
необходимых
для
выполнения их функциональных обязанностей прав доступа к защищаемой информации.
−
регистрация действий Участников ПС НРД, выполняемых с использованием ПО и
автоматизированных систем, входящих в состав объектов информационной инфраструктуры и
используемых для осуществления переводов денежных средств, а также действий, связанных с
назначением и распределением прав Участников ПС НРД, предоставленных им в ПО и
автоматизированных системах. При этом фиксируются:
а)
дата (день, месяц, год) и время (часы, минуты, секунды) осуществления действия
Участника ПС НРД;
б) набор символов, присвоенный Участнику ПС НРД и позволяющий идентифицировать
его в автоматизированной системе, программном обеспечении (далее - идентификатор Участника
ПС НРД);
в) код, соответствующий выполняемому действию;
г)
идентификационная
информация,
используемая
для
адресации
устройства,
с
использованием которого осуществлен доступ к автоматизированной системе, программному
обеспечению с целью осуществления переводов денежных средств, которой в зависимости от
технической возможности является IP-адрес, МАС-адрес, номер SIM-карты, номер телефона и
(или) иной идентификатор устройства (далее - идентификатор устройства).
96
Правила Платежной системы НКО ЗАО НРД
Обеспечивается хранение информации, указанной в не менее пяти лет, начиная с даты
осуществления Участником ПС НРД действия, выполняемого с использованием ПО и
автоматизированной системы.
Во внутренних документах Оператора ПС НРД определяются:
−
порядок формирования уникального идентификатора Участника ПС НРД в ПО,
автоматизированной системе;
−
перечень кодов действий Участников ПС НРД, выполняемых при осуществлении
переводов денежных средств с использованием ПО, автоматизированной системы;
−
подлежащий регистрации идентификатор устройства;
−
порядок регистрации и хранения информации, указанной в подпунктах а) – г) .
5.3.4.
НРД и организации, привлеченные НРД в качестве Операторов УПИ ПС НРД,
принимают и фиксируют во внутренних документах решения о необходимости применения
организационных мер защиты информации и (или) использования технических средств защиты
информации, предназначенных для:
−
контроля физического доступа к объектам информационной инфраструктуры (за
исключением электронных средств платежа), сбои и (или) отказы в работе которых приводят к
невозможности предоставления услуг по переводу денежных средств или к несвоевременности
осуществления переводов денежных средств, а также доступа в здания и помещения, в которых
они размещаются;
−
предотвращения
физического
воздействия
на
эксплуатируемые
средства
вычислительной техники, телекоммуникационное оборудование, которые используются для
осуществления переводов денежных средств, сбои и (или) отказы в работе которых приводят к
невозможности предоставления услуг по переводу денежных средств или к несвоевременности
осуществления переводов денежных средств, за исключением электронных средств платежа.
5.3.5.
В случае применения организационных мер защиты информации и (или)
использования технических средств защиты информации, указанных в п.3.8 и подпункте 5.3.4
настоящих Требований к защите информации в ПС НРД, обеспечивается применение указанных
организационных мер защиты информации и (или) использование указанных технических средств
защиты информации.
5.3.6.
Субъекты
ПС
НРД
обеспечивают
принятие
мер,
направленных
на
предотвращение хищений носителей с защищаемой информации.
5.3.7.
Обеспечивается возможность приостановления (блокирования) Участником ПС
НРД приема к исполнению распоряжений об осуществлении переводов денежных средств от
имени указанного Участника ПС НРД.
5.4.
По защите информации от воздействия вредоносного кода.
97
Правила Платежной системы НКО ЗАО НРД
Субъекты ПС НРД обеспечивают:
5.4.1.
−
применение специализированных лицензионных антивирусных программ с целью
выявления вредоносного кода и для предотвращения воздействия вредоносного кода на объекты
информационной инфраструктуры, на средствах вычислительной техники;
−
своевременное обновление версий антивирусных средств защиты информации и баз
данных, используемых в работе таких средств и содержащих описание вредоносных кодов и
способы их обезвреживания;
−
настройку функционирования антивирусных средств в автоматическом режиме в
соответствии с описанием конфигурации и установленных параметров работы;
−
проверку съемных носителей на наличие вредоносного кода перед подключением к
компьютерам;
−
предварительную проверку на отсутствие вредоносного кода программного
обеспечения, устанавливаемого или изменяемого на СВТ;
−
проверку на отсутствие вредоносного кода СВТ, выполняемую после установки или
изменения ПО;
−
установку и применение средств защиты от спама;
−
разработку
инструкции пользователям автоматизированных информационных
систем по порядку использования средств защиты от вредоносного кода и спама и действиям в
случае их обнаружения.
5.4.2.
НРД актуализирует рекомендации для Участников ПС НРД по защите
информации от воздействия вредоносного кода в соответствии с изменениями способов и методов
реализации таких кодов.
5.4.3.
НРД и организации, привлеченные НРД в качестве Операторов УПИ ПС НРД,
предусматривают использование технических средств защиты информации от воздействия
вредоносного кода различных производителей и их раздельную установку на ПЭВМ и серверах,
используемых для осуществления переводов денежных средств, а также на межсетевых экранах,
задействованных в осуществлении переводов денежных средств.
Документация на используемые технические средства защиты информации от воздействия
вредоносного кода включает в себя информацию о порядке использования технических средств
защиты информации, включая информацию о конфигурации
технических средств защиты
информации, определяющую параметры их работы.
5.4.4.
В случае обнаружения вредоносного кода или факта воздействия НРД
обеспечивает принятие следующих мер, направленных на предотвращение распространения
вредоносного кода и устранение последствий воздействия вредоносного кода:
98
Правила Платежной системы НКО ЗАО НРД
−
при необходимости приостанавливается осуществление переводов денежных
средств в ПС НРД на период устранения последствий заражения вредоносным кодом в случаях
наличия угроз или реализации:
а) искажения (фальсификации) платежных документов;
б) утраты платежной информации;
в) нарушения целостности среды функционирования платёжных систем;
г) компрометации информации, используемой для идентификации и аутентификации;
−
предпринимает меры по недопущению распространения вредоносного кода на
другие компьютеры;
−
производит процедуру обезвреживания вредоносного кода с помощью имеющихся
технических средств;
−
производится информирование Участников ПС НРД в кратчайшие сроки, способы и
меры информирования, а также контактная информация указывается в заключенных договорах.
При использовании сети Интернет.
5.5.
При использовании сети Интернет для осуществления переводов денежных
5.5.1.
средств Субъекты ПС НРД обеспечивают:
−
применение организационных мер защиты информации и (или) использование
технических средств защиты информации (см. п. 3.8 настоящих Требований к защите информации
в ПС НРД), предназначенных для:
а)
предотвращения доступа к содержанию защищаемой информации, передаваемой по
сети Интернет;
б)
несанкционированного
доступа
к
защищаемой
информации
на
объектах
информационной инфраструктуры с использованием сети Интернет;
в) несанкционированного доступа к защищаемой информации путем использования
уязвимостей программного обеспечения;
−
снижение тяжести последствий от воздействий на объекты информационной
инфраструктуры с целью создания условий для невозможности предоставления услуг по переводу
денежных средств или несвоевременности осуществления переводов денежных средств;
−
фильтрацию сетевых пакетов при обмене информацией между вычислительными
сетями, в которых располагаются объекты информационной инфраструктуры, и сетью Интернет.
5.5.2.
НРД обеспечивает формирование для Участников ПС НРД рекомендаций по
защите информации от несанкционированного доступа по использованию сети Интернет для
осуществления переводов денежных средств.
5.6.
При использовании СКЗИ субъектами ПС НРД обеспечивается выполнение
следующих требований.
99
Правила Платежной системы НКО ЗАО НРД
5.6.1.
Работы по обеспечению защиты информации с помощью СКЗИ проводятся в
соответствии с ФЗ-63, ПКЗ-2005 и технической документацией на СКЗИ.
В случае применения СКЗИ российского производителя, указанные СКЗИ должны иметь
сертификаты уполномоченного государственного органа.
5.6.2.
−
Разрешается применять СКЗИ, которые:
допускают встраивание в технологические процессы осуществления переводов
денежных средств в ПС НРД, обеспечивают взаимодействие с прикладным программным
обеспечением на уровне обработки запросов на криптографические преобразования и выдачи
результатов;
−
поставляются
разработчиками
с
полным
комплектом
эксплуатационной
документации, включая описание ключевой системы, правила работы с ней, а также обоснование
необходимого организационно-штатного обеспечения;
−
поддерживают непрерывность процессов протоколирования работы СКЗИ и
обеспечения целостности программного обеспечения для среды функционирования СКЗИ,
представляющей собой совокупность технических и программных средств, совместно с которыми
происходит штатное функционирование СКЗИ и которые способны повлиять на выполнение
предъявляемых к СКЗИ требований.
5.6.3.
Во внутренних документах субъектов ПС НРД определяется и выполняется
порядок применения СКЗИ, включающий:
−
порядок
ввода
в
действие,
включая
процедуры
встраивания
СКЗИ
в
автоматизированные системы, используемые для осуществления переводов денежных средств;
−
порядок эксплуатации СКЗИ;
−
порядок восстановления работоспособности СКЗИ в случаях сбоев и (или) отказов в
их работе;
−
порядок внесения изменений в программное обеспечение СКЗИ и техническую
документацию на СКЗИ;
−
порядок снятия с эксплуатации СКЗИ;
−
порядок управления ключевой системой;
−
порядок обращения с носителями криптографических ключей, включая порядок
применения организационных мер защиты информации и использования технических средств
защиты
информации,
предназначенных
для
предотвращения
несанкционированного
использования криптографических ключей, и порядок действий при смене и компрометации
ключей.
5.6.4.
Безопасность
процессов
изготовления
криптографических
ключей
СКЗИ
обеспечивается комплексом технологических мер защиты информации, организационных мер
100
Правила Платежной системы НКО ЗАО НРД
защиты информации и технических средств защиты информации в соответствии с технической
документацией на СКЗИ.
5.7.
5.7.1.
Использование технологических мер защиты информации.
Субъекты ПС НРД обеспечивают учет и контроль состава установленного и (или)
используемого на СВТ программного обеспечения.
5.7.2.
Участниками ПС НРД разрабатываются и применяются организационные меры
защиты информации, которые в том числе должны включать:
−
наличие политики информационной безопасности;
−
определение лиц, ответственных за обеспечение ИБ;
−
наличие
необходимой
документации
и
регламентов
по
эксплуатации
программных и аппаратных средств;
−
порядок использования технических средств защиты информации, включая
информацию
о конфигурации технических средств защиты информации,
определяющую параметры их работы;
−
процедуры контроля за действиями пользователей информационных систем;
−
процедуры по управлению изменениями в автоматизированных информационных
системах;
−
порядок учета, использования и хранения документов и носителей информации;
−
организация и порядок архивирования и резервного копирования информации;
−
порядок действия в нештатных (чрезвычайных ситуациях);
−
процедуры предоставления и распределения ролей пользователей;
−
мероприятия по повышению осведомленности пользователей в области ИБ.
5.7.3.
Порядок применения организационных мер по защите информации определяется
внутренними регламентами Участников ПС НРД.
5.7.4.
Состав технических средств защиты информации формируется Участниками ПС
НРД, исходя из утвержденной модели угроз в соответствии с выявленными актуальными
угрозами, и должен включать (но не ограничиваясь) средства:
−
идентификации и аутентификации;
−
разграничения полномочий пользователей;
−
защиты от несанкционированного доступа;
−
обеспечения целостности информации;
−
криптографической защиты информации;
−
антивирусной защиты и защиты от спама;
−
мониторинга и аудита;
−
межсетевого экранирования и фильтрации трафика;
101
Правила Платежной системы НКО ЗАО НРД
−
регистрации действий пользователей.
Распоряжение субъекта ПС НРД в электронном виде может быть удостоверено
5.7.5.
электронной подписью, а также в соответствии с пунктом 3 статьи 847 Гражданского кодекса
Российской Федерации, аналогами собственноручной подписи, кодами, паролями и иными
средствами, позволяющими подтвердить составление распоряжения уполномоченным на это
лицом.
При
5.7.6.
эксплуатации
объектов
информационной
инфраструктуры
НРД
обеспечивает:
−
защиту электронных сообщений от искажения, фальсификации, переадресации,
несанкционированного ознакомления и (или) уничтожения, ложной авторизации;
−
контроль
(мониторинг)
соблюдения
установленной
технологии
подготовки,
обработки, передачи и хранения электронных сообщений и защищаемой информации на объектах
информационной инфраструктуры;
−
аутентификацию входных электронных сообщений;
−
взаимную (двустороннюю) аутентификацию участников обмена электронными
сообщениями;
−
восстановление информации об остатках денежных средств на банковских счетах в
случае умышленного (случайного) разрушения (искажения) или выхода из строя СВТ;
−
сверку выходных электронных сообщений с соответствующими входными и
обработанными электронными сообщениями при осуществлении расчетов в платежной системе;
−
выявление фальсифицированных электронных сообщений, в том числе имитацию
третьими лицами действий Участников ПС НРД при использовании электронных средств платежа,
и осуществление операций, связанных с осуществлением переводов денежных средств,
злоумышленником от имени авторизованного Участника ПС НРД (подмена авторизованного
Участника ПС НРД) после выполнения процедуры авторизации.
5.8.
5.8.1.
Организация и функционирование СИБ субъектов ПС НРД.
Субъекты ПС НРД обеспечивают формирование СИБ, определяя в своих
внутренних нормативных актах цели и задачи деятельности этой службы.
5.8.2.
СИБ предоставляются полномочия и выделяются ресурсы, необходимые для
выполнения установленных целей и задач.
5.8.3.
СИБ назначается куратор из состава органов управления в соответствии с
уставными документами Участника ПС НРД. При этом СИБ и служба информатизации
(автоматизации) Участника ПС НРД не должны иметь общего куратора
102
Правила Платежной системы НКО ЗАО НРД
СИБ осуществляет планирование и контроль обеспечения защиты информации
5.8.4.
при
осуществлении
переводов
денежных
средств,
для
чего
наделяется
следующими
полномочиями:
−
осуществлять контроль (мониторинг) выполнения порядка обеспечения защиты
информации при осуществлении переводов денежных средств;
−
определять
требования
к
техническим
средствам
защиты
информации
и
организационным мерам защиты информации;
−
контролировать выполнение работниками Участника ПС НРД требований к
обеспечению защиты информации при осуществлении переводов денежных средств;
−
участвовать в разбирательствах инцидентов, связанных с нарушением требований к
обеспечению защиты информации при осуществлении переводов денежных средств, и предлагать
применение дисциплинарных взысканий, а также направлять предложения по совершенствованию
методов защиты информации;
−
участвовать в действиях, связанных с выполнением требований к обеспечению
защиты информации при осуществлении переводов денежных средств, применяемых при
восстановлении предоставления услуг платежной системы после сбоев и отказов в работе
объектов информационной инфраструктуры.
5.9.
5.9.1.
Повышение осведомленности в области обеспечения защиты информации.
Осуществляется повышение осведомленности работников субъектов ПС НРД в
области обеспечения защиты информации по порядку:
−
применения организационных мер защиты информации;
−
использования технических средств защиты информации.
5.9.2.
Обеспечивается повышение осведомленности работников субъектов ПС НРД,
получивших новые полномочия, связанные с применением организационных мер защиты
информации или использованием технических средств защиты информации.
5.9.3.
Обеспечивается доведение до субъектов ПС НРД информации о возможных
рисках получения несанкционированного доступа к защищаемой информации с целью
осуществления переводов денежных средств лицами, не обладающими правом распоряжения
этими денежными средствами, и рекомендуемых мерах по их снижению.
5.10. Выявление и реагирование на инциденты, связанные с нарушением требований к
обеспечению защиты информации.
5.10.1.
Участники ПС НРД обеспечивают информирование НРД о выявленных
инцидентах, связанных с нарушением требований к обеспечению защиты информации при
осуществлении переводов денежных средств в ПС НРД в следующем порядке:
−
сообщения рассылаются в произвольной форме;
103
Правила Платежной системы НКО ЗАО НРД
−
в тексте сообщения указывается: наименование Участника ПС НРД, время
выявления инцидента, характер его проявления, последствия воздействия инцидента,
принятые меры по устранению последствий и недопущению повторения подобного
инцидента;
−
при необходимости ссылки на применяемые методики анализа и реагирования на
инциденты;
−
сообщение должны быть разосланы не позднее 10 числа месяца, следующего за
месяцем, в котором был выявлен инцидент.
5.10.2.
НРД составляет ежемесячные сводные отчеты по выявленным инцидентам в ПС
НРД (при наличие в отчетном периоде информации об инцидентах), включая при необходимости
информацию о методиках анализа и реагирования на инциденты, и рассылает такие отчеты в адрес
Участников ПС НРД не позднее 15 числа месяца, следующего за отчетным.
5.10.3.
Если для устранения последствий выявленного инцидента, связанного с
нарушением требований к обеспечению защиты информации при переводе денежных средств, в
ПС НРД возникает необходимость привлечения других Участников ПС НРД, то Участник ПС
НРД, обнаруживший инцидент, вправе обратиться непосредственно к другим Участникам ПС НРД
или в НРД для организации взаимодействия в целях устранения последствий выявленного
инцидента. При этом Участники ПС НРД ставят в известность НРД о фактах и результатах
совместных действий по устранению последствий выявленных инцидентов.
5.10.4.
−
Участники ПС НРД обеспечивают:
применение организационных мер защиты информации и (или) использование
технических средств защиты информации (см. п.3.8 настоящих Требований к защите информации
в ПС НРД), предназначенных для выявления инцидентов, связанных с нарушением требований к
обеспечению защиты информации при осуществлении переводов денежных средств;
−
регистрацию самостоятельно выявленных инцидентов, связанных с нарушением
требований к обеспечению защиты информации при осуществлении переводов денежных средств,
порядок регистрации и хранения сведений об инцидентах определяется во внутренних
документах;
−
информирование
СИБ, о выявлении инцидентов, связанных с нарушением
требований к обеспечению защиты информации при осуществлении переводов денежных средств;
−
реагирование на выявленные инциденты, связанные с нарушением требований к
обеспечению защиты информации при осуществлении переводов денежных средств;
−
анализ причин выявленных инцидентов, связанных с нарушением требований к
обеспечению защиты информации при осуществлении переводов денежных средств, проведение
оценки результатов реагирования на такие инциденты;
104
Правила Платежной системы НКО ЗАО НРД
−
учет и доступность для Операторов УПИ ПС НРД и Участников ПС НРД
информации:
а) о выявленных в ПС НРД инцидентах, связанных с нарушением требований к
обеспечению защиты информации при осуществлении переводов денежных средств;
б) о методиках анализа и реагирования на инциденты, связанные с нарушением требований
к обеспечению защиты информации при осуществлении переводов денежных средств.
5.11. Определение и реализация порядка обеспечения защиты информации.
5.11.1.
НРД самостоятельно определяет требования по защите информации при переводе
денежных средств в ПС НРД.
5.11.2.
Участники ПС НРД разрабатывают и утверждают документы, содержащие
порядок обеспечения защиты информации при осуществлении переводов денежных средств в ПС
НРД, которые определяют:
−
состав и порядок применения организационных мер защиты информации;
−
состав и порядок использования технических средств защиты информации.
В эксплуатационную документацию на соответствующие технические средства включается
информация
о конфигурации технических средств защиты информации, определяющую
параметры их работы.
5.11.3.
Участники и Оператор ПС НРД
обеспечивают
регистрацию и хранение
информации на бумажных носителях и (или) в электронном виде, содержащей подтверждения
выполнения порядка применения организационных мер защиты информации и использования
технических средств защиты информации. Порядок регистрации и хранения результатов контроля
определяется Участниками и Оператором ПС НРД самостоятельно, с соблюдением того, что он
должен обеспечить возможность проведения на их основе своевременного разбора спорных или
проблемных ситуаций.
5.11.4.
Для определения порядка обеспечения защиты информации при осуществлении
переводов денежных средств в ПС НРД используются:
−
положения
национальных
стандартов
по
защите
информации,
стандартов
организаций, в том числе стандартов Банка России, рекомендаций в области стандартизации, в том
числе рекомендаций Банка России, принятых в соответствии с законодательством Российской
Федерации о техническом регулировании;
−
положения документов, определяемых международными платежными системами;
−
результаты
анализа
рисков
при
обеспечении
защиты
информации
при
осуществлении переводов денежных средств на основе моделей угроз и нарушителей
безопасности информации, определенных в национальных стандартах по защите информации,
стандартах организаций, в том числе стандартах Банка России, принятых в соответствии с
105
Правила Платежной системы НКО ЗАО НРД
законодательством Российской Федерации о техническом регулировании, или на основе моделей
угроз и нарушителей безопасности информации собственной разработки.
5.11.5.
НРД и организации, привлеченные НРД в качестве Операторов УПИ ПС НРД,
обеспечивают выполнение порядка обеспечения защиты информации при осуществлении
переводов денежных средств, при этом их СИБ осуществляет контроль (мониторинг) выполнения
порядка обеспечения защиты информации при осуществлении переводов денежных средств,
включая:
−
контроль (мониторинг) применения организационных мер защиты информации;
−
контроль (мониторинг) использования технических средств защиты информации.
5.12. Оценка соответствия системы защиты информации субъектов ПС НРД Требованиям
защиты информации в ПС НРД.
5.12.1.
НРД и организации, привлеченные НРД в качестве Операторов УПИ ПС НРД,
обеспечивают проведение оценки соответствия, которая осуществляется на основе:
−
информации на бумажном носителе и (или) в электронном виде, содержащей
подтверждения выполнения порядка применения организационных мер защиты информации и
использования технических средств защиты информации;
−
анализа
соответствия
порядка
применения организационных мер защиты
информации и использования технических средств защиты информации положениям настоящих
Требований защиты информации в ПС НРД;
−
результатов контроля (мониторинга) выполнения порядка обеспечения защиты
информации при осуществлении переводов денежных средств.
5.12.2.
Оценка соответствия проводится самостоятельно или с привлечением сторонних
организаций не реже одного раза в два года, а также по требованию Банка России.
5.12.3.
Порядок проведения оценки соответствия и документирования ее результатов
определен в приложении №1 к БР-382.
5.12.4.
Перечень требований к обеспечению защиты информации при осуществлении
переводов денежных средств, выполнение которых проверяется при проведении оценки
соответствия, определен в приложении №2 к БР-382.
5.13. Доведение информации об обеспечении защиты информации в платежной системе.
5.13.1.
Субъекты
ПС
НРД
обеспечивают
предоставление
в НРД
информации,
необходимой для анализа обеспечения защиты информации при осуществлении переводов
денежных средств в ПС НРД, по результатам проведенной оценки соответствия или по
дополнительному требованию НРД.
106
Правила Платежной системы НКО ЗАО НРД
5.13.2.
Субъекты ПС НРД направляют Оператору ПС НРД информацию для анализа
обеспечения в платежной системе защиты информации при осуществлении переводов денежных
средств по форме отчетности, установленной БР-382, которая включает сведения:
−
о степени выполнения требований к обеспечению защиты информации при
осуществлении переводов денежных средств в ПС НРД;
−
о реализации порядка обеспечения защиты информации при осуществлении
переводов денежных средств в ПС НРД;
−
о выявленных инцидентах, связанных с нарушением требований к обеспечению
защиты информации при осуществлении переводов денежных средств в ПС НРД;
−
о результатах проведенных оценок соответствия собственной системы защиты
информации Требованиям защиты информации в ПС НРД;
−
5.13.3.
о выявленных угрозах и уязвимостях в обеспечении защиты информации в ПС НРД.
Информирование по инцидентам производится в соответствии с п.5.10.
настоящих Правил. Остальная информация направляется не поздее15 дней после проведения
самооценки или по запросу НРД.
5.14. Совершенствование системы защиты информации в ПС НРД.
5.14.1.
Участники ПС НРД разрабатывают регламент пересмотра порядка обеспечения
защиты информации при осуществлении переводов денежных средств в ПС НРД.
5.14.2.
Пересмотр порядка обеспечения защиты информации при осуществлении
переводов денежных средств в ПС НРД осуществляется в связи:
−
с изменениями требований к защите информации, определенных правилами ПС
−
с изменениями, внесенными в законодательные акты Российской Федерации,
НРД;
нормативные акты Банка России, регулирующие отношения в национальной платежной системе;
−
c изменениями Требований к защите информации в ПС НРД;
−
с выявлением новых угроз, рисков и уязвимостей в обеспечении защиты
информации при осуществлении переводов денежных средств;
−
с выявлением недостатков при осуществлении контроля (мониторинга) выполнения
порядка обеспечения защиты информации при осуществлении переводов денежных средств;
−
с выявлением несоответствий при проведении оценки соответствия собственной
системы защиты информации Требованиям к защите информации в ПС НРД.
5.14.3.
Принятие
решений
по
совершенствованию
защиты
информации
при
осуществлении переводов денежных средств согласуется с СИБ субъекта ПС НРД.
107
Правила Платежной системы НКО ЗАО НРД
6.
Контроль и надзор за выполнением требований по защите информации в ПС
6.1.
Контроль
НРД.
и
надзор
за
выполнением
требований,
установленных
ПП-584,
осуществляются ФСБ, и ФСТЭК, в пределах их полномочий и без права ознакомления с
защищаемой информацией (Ст.27.2 Закона о НПС).
6.2.
Контроль соблюдения установленных требований осуществляется Банком России в
рамках надзора в национальной платежной системе в установленном им порядке, согласованном с
ФСТЭК и ФСБ (Ст.27.3 Закона о НПС).
6.3.
Контроль реализации настоящих Требований к защите информации в ПС НРД
осуществляет НРД.
7.
Ответственность субъектов ПС НРД.
Все субъекты ПС НРД несут ответственность за выполнение настоящих Требований к защите
информации в ПС НРД в соответствии с законодательством Российской Федерации.
при
8.
Актуализация Требований к защите информации в ПС НРД.
8.1.
Настоящие Требования к защите информации в ПС НРД могут пересматриваться
изменении
законодательных
и
нормативных
документов
Российской
Федерации,
нормативных актов и предписаний регулирующих и надзорных органов, договорных требований
НРД со сторонними организациями, модернизации СОИБ по результатам аудитов и самооценок
ИБ, а также по инициативе Руководителя НРД или Руководителя СИБ НРД.
8.2.
Основанием для пересмотра настоящих Требований к защите информации в ПС НРД
могут являться результаты аудитов и самооценок.
108
Правила Платежной системы НКО ЗАО НРД
Скачать