KgBank.net - Информационный портал о банках Кыргызстана
Информеры для вашего сайта >>>

Банки Кыргызстана
Список банков
Банковское законодательство
Микрофинансовые компании
Микрокредитные компании
Микрокредитные агентства
Кредитные союзы
Кредитные союзы, имеющие право привлечения вкладов от участников
Специализированные финансово-кредитные учреждения
Обменные бюро
Национальный банк
Истории



Общая информация
Реквизиты
Правления
Советы директоров
Благотворительность
Корреспондентские отношения
Принципы
Миссии
Награды
Денежные переводы
Платёжные карты
Депозиты
Расчётно-кассовое обслуживание
Кредиты физическим лицам
Кредиты юридическим лицам
Операции с ценными бумагами
Торговое финансирование
Интернет-банкинг
Приём платежей
Аренда сейфовых ячеек
Валютные операции
Чеки
Банковские гарантии
Эквайринг
Документарные операции
Нормативные акты НБКР
Сайты о банках
Информер курсов валют

 

Нормативные акты НБКР - Временные методические рекомендации по проверке соблюдения безопасности информационных систем в коммерческих банках Кыргызской Республики

Введение

1.1.Настоящие Методические рекомендации разработаны Национальным банком Кыргызской Республики (далее НБКР) в целях оказания содействия инспекторам банковского надзора и специалистам по информационной безопасности при проведении проверки соблюдения безопасности информационных систем коммерческих банков и других финансово-кредитных учреждений (далее банки), лицензируемых НБКР, и служат для руководства при проведении проверки на месте.

1.2.Данный документ носит типовой характер и при его практическом использовании необходимо учитывать особенности информационных систем конкретного банка.

2. Термины и определения

2.1. В настоящих Методических рекомендациях использованы термины и определения, применяемые в следующих нормативных актах:

0 Концепция обеспечения безопасности информационных систем в банковских учреждениях Кыргызской Республики, утвержденная постановлением Правления НБКР №1618 от 03.06.98 г.,

1 Рекомендации по обеспечению безопасности информационных систем в банковских учреждениях Кыргызской Республики, утвержденные постановлением Правления НБКР №8/8 от 13.02.02 г.,

2 Инструкция по обеспечению необходимого уровня безопасности электронных платежей, утвержденная постановлением Правления НБКР №66/9 от 6.11.99 г.,

3 Положение «О требованиях к обеспечению информационной безопасности в банковских учреждениях Кыргызской Республики при работе с информационными ресурсами НБКР», утвержденное постановлением Правления НБКР №19/7 от 3.07.03 г.,

4 Стандарты по обеспечению информационной безопасности учреждений банковской системы Кыргызской Республики, утвержденные постановлением Правления НБКР №24/10 от 15.09.04 г. (рег. номер МЮ КР №117-04 от 22.10.04 г.)

3. Цель проведения проверки

3.1.Основной целью проведения проверки соблюдения безопасности информационных систем в банках является оценка уровня информационной безопасности банков, оценка рисков нарушений информационной безопасности путем выявления угроз информационной безопасности, определения их источников и возможных последствий для банков.

3.2. Наиболее опасными (значимыми) угрозами информационной безопасности информационных систем (способами нанесения ущерба субъектам информационных отношений) являются:

5 нарушение конфиденциальности (разглашение, утечка) сведений, составляющих банковскую или коммерческую тайну, а также персональных данных;

6 нарушение доступности (дезорганизация работы) информационных систем, блокирование доступа к информации, нарушение технологических процессов, срыв своевременного решения задач;

7 нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов, а также фальсификация (подделка) документов.

3.3. Основными источниками угроз информационной безопасности являются:

8 непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также другие действия персонала при эксплуатации информационных систем, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности отдельных рабочих станций, подсистем или в целом всей системы;

9 преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия сотрудников, допущенных к работе с информационными системами, а также сотрудников, отвечающих за обслуживание, администрирование программного и аппаратного обеспечения, средств защиты и обеспечения информационной безопасности;

10 деятельность преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности системы в целом и ее отдельных компонентов;

11 ошибки, допущенные при проектировании информационных систем и их систем защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты);

12 действия компьютерных вирусов;

13 аварии, стихийные бедствия и т.п.

4. Объекты проверки

4.1. Основными объектами проверки являются:

14 нормативная база банка по обеспечению информационной безопасности;

15 системы обеспечения безопасности информационных ресурсов с ограниченным доступом, составляющих государственную, коммерческую, банковскую тайну, иных чувствительных по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационных ресурсов, в том числе открытой (общедоступной) информации, представленной в виде документов и массивов информации, независимо от формы и вида их представления;

16 системы обеспечения безопасности процессов обработки информации - информационных технологий, регламента и процедур сбора, обработки, хранения и передачи информации;

17 системы обеспечения безопасности информационной инфраструктуры, включающей системы обработки и анализа информации, технических и программных средств ее обработки, передачи и отображения, в том числе каналов информационного обмена и телекоммуникаций, объектов и помещений, в которых размещены компоненты инфраструктуры.

5. Общее ознакомление с информационными системами банка

5.1. В процессе проведения проверки инспектору необходимо изучить структуру информационной системы банка, а также нормативные документы, регламентирующие работу с информационными системами банка, а именно:

18 Организация локальной вычислительной сети (ЛВС) в банке.

19 Способы подключения к ЛВС рабочих мест сотрудников банка.

20 Организация резервирования и восстановления важной информации. Организация восстановления работоспособности информационных систем на случай возникновения чрезвычайных ситуаций.

21 Организация подключения к ресурсам сети Интернет и электронной почте.

22 Способы защиты электронных платежей.

23 Организация безопасности внутреннего электронного документооборота в банке.

24 Организация делопроизводства с конфиденциальными документами. Доступ лиц к работе с конфиденциальными документами.

25 Организация взаимодействия банка с представительствами банка и филиалами.

26 Организация обучения сотрудников правилам безопасности;

27 Организация систем архивирования, систем обнаружения атак злоумышленников и антивирусной защиты.

5.2. Нормативная база по обеспечению информационной безопасности банка должна как минимум, включать список нормативных документов, приведенных в приложении С к Стандартам по обеспечению информационной безопасности учреждений банковской системы Кыргызской Республики, утвержденным постановлением Правления НБКР №24/10 от 15.09.04 г. (рег. номер МЮ КР №117-04 от 22.10.04 г.) и соответствовать нормативным актам, указанным в пункте 2 настоящих методических рекомендаций.

5.3.Также инспектору необходимо изучить контрольную отчетность – регистрационные журналы и отчеты по безопасности информационных систем, все организационно-распорядительные документы по вопросам обеспечения информационной безопасности, а также отчеты внутреннего и внешнего аудита информационных систем.

6. Проверка обеспечения безопасности технических средств.

6.1. В целях выявления нарушений соблюдения безопасности технических средств, инспектору необходимо проверить:

28 наличие помещений для оборудования информационной системы; соответствующего условиям эксплуатации данного оборудования;

29 соответствие технической укрепленности помещений требованиям, установленным НБКР;

30 соблюдение ограничения доступа в специальные помещения;

31 наличие специального оборудования для хранения носителей информации, обеспечивающего защиту от несанкционированного доступа, от теплового, механического и электромагнитного воздействия;

32 использование автономных и бесперебойных источников питания.

7. Проверка обеспечения безопасности программного обеспечения.

7.1.В целях выявления нарушений соблюдения безопасности Автоматизированных систем (АС), инспектору необходимо проверить:

33 соблюдение ограничения доступа к программному обеспечению;

34 разграничение прав и полномочий при работе с АС;

35 наличие резервной копии программного обеспечения.

8. Проверка контроля доступа к информационным ресурсам.

8.1. В целях проверки недопущения несанкционированного доступа к информационным ресурсам, инспектору необходимо проверить:

36 наличие системы разграничения доступа сотрудников к работе с автоматизированными системами;

37 применение регистрации пользователя, его действий, а также несанкционированных операций;

38 применение идентификации пользователя;

39 применение антивирусной защиты.

9. Проверка обеспечения конфиденциальности данных.

9.1. В целях проверки обеспечения конфиденциальности данных инспектору необходимо проверить:

40 применение нормативной политики безопасности;

41 обеспечение регистрирования доступа к конфиденциальным данным;

42 применение специальных средств кодирования информации (средства криптографии) и межсетевого экранирования.

10. Проверка обеспечения целостности данных

10.1. В целях проверки обеспечения целостности данных инспектору необходимо проверить:

43 обеспечение дублирования данных;

44 обеспечение периодического резервного копирования и восстановления данных;

45 обеспечение соответствующей защитой данных на внешнем уровне.

11. Проверка обеспечения кадровой безопасности.

11.1. В целях проверки обеспечения кадровой безопасности инспектору необходимо проверить:

46 наличие соответствующего персонала;

47 применение нормативной политики;

48 соблюдение сегрегации полномочий;

49 обеспечение контроля за установлением и соблюдением полномочий пользователей.

12. Проверка обеспечения безопасности коммуникаций

12.1. В целях проверки обеспечения безопасности коммуникаций инспектору необходимо проверить:

50 обеспечение безопасности использования линий связи и коммуникационного оборудования;

51 наличие резервных линий связи или альтернативных способов передачи информации;

52 применение средств криптографии, межсетевого экранирования данных, а также средств аутентификации при защите информации на внешнем уровне;

53 обеспечение защиты платежных документов;

54 обеспечение регистрации и хранения платежных документов.

13. Проверка обеспечения безопасности при использовании пластиковых карт

13.1. В целях проверки обеспечения безопасности при использовании пластиковых карт инспектору необходимо проверить:

55 обеспечение контроля за целостностью и подлинностью передачи транзакций по каналам связи, а также последующей идентификацией и аутентификацией держателя карты;

56 проведение мониторинга и контроля за транзакциями в системе, мониторинга и управления сетью терминалов и банкоматов;

57 применение методов шифрования и верификации.

14. Составление отчета о проверке

14.1. По окончании проверки инспектор составляет отчет о проверке обеспечения безопасности информационных систем, включающий как минимум следующее:

58 схематичное описание структуры информационной системы банка;

59 описание результатов проверки всех вышеизложенных разделов данных методических рекомендаций;

60 рекомендации по устранению нарушений соблюдения безопасности информационных систем, если таковые были выявлены.

    © KgBank.net, 2011. Все права защищены.
 
 

Предупреждение: На момент создания сайта и его страниц вся информация бралась из открытых источников (таких как, например, сайты банков). В настоящий момент сайт не обновляется, вследствие чего большинство информации на сайте устарело. Для получения актуальной информации по банкам и их услугам, рекомендуем обращаться непосредственно в банки, а также читать информацию на официальных сайтах банков.