Вернуться назад

УТВЕРЖДЕНО 

постановлением Комитета по надзору НБКР  

№26/1 от 03.12.2004 г. 

 

 

Методические рекомендации 

по проверке соблюдения безопасности информационных 

систем в коммерческих банках Кыргызской Республики. 

(изменения и дополнения утверждены постановлениями Комитета по надзору  

№ 53/2 от 24.12.2012 г., №22/2 от 29.06.2017 г.) 

 

Введение 

 

1.1. Настоящие Методические рекомендации разработаны Национальным банком Кыргызской Республики (далее Национальный банк) в целях оказания содействия инспекторам банковского надзора и специалистам по информационной безопасности при проведении проверки соблюдения безопасности информационных систем коммерческих банков и других финансово-кредитных организаций, лицензируемых Национальным банком, а также Государственного банка развития Кыргызской Республики (далее - банки) и служат для руководства при проведении проверки на месте.  

(В редакции постановления Комитета по надзору №22/2 от 29.06.2017 г.) 

1.2.Данный документ носит типовой характер и при его практическом использовании необходимо учитывать особенности информационных систем конкретного банка.  

 

2. Термины и определения  

 

2.1. В настоящих Методических рекомендациях использованы термины и определения, применяемые в следующих нормативных актах: 

0 Концепция обеспечения безопасности информационных систем в банковских учреждениях Кыргызской Республики, утвержденная постановлением Правления НБКР №1618 от 03.06.98 г., 

1 Рекомендации по обеспечению безопасности информационных систем в банковских учреждениях Кыргызской Республики, утвержденные постановлением Правления НБКР №8/8 от 13.02.02 г.,  

2 Инструкция по обеспечению необходимого уровня безопасности электронных платежей, утвержденная постановлением Правления НБКР №66/9 от 6.11.99 г.,  

3 Положение «О требованиях к обеспечению информационной безопасности в банковских учреждениях Кыргызской Республики при работе с информационными ресурсами НБКР», утвержденное постановлением Правления НБКР №19/7 от 3.07.03 г., 

4 Стандарты по обеспечению информационной безопасности учреждений банковской системы Кыргызской Республики, утвержденные постановлением Правления НБКР №24/10 от 15.09.04 г. (рег. номер МЮ КР №117-04 от 22.10.04 г.)  

 

3. Цель проведения проверки  

 

3.1.Основной целью проведения проверки соблюдения безопасности информационных систем в банках является оценка уровня информационной безопасности банков, оценка рисков нарушений информационной безопасности путем выявления угроз информационной безопасности, определения их источников и возможных последствий для банков.  

3.2. Наиболее опасными (значимыми) угрозами информационной безопасности информационных систем (способами нанесения ущерба субъектам информационных отношений) являются: 

5 нарушение конфиденциальности (разглашение, утечка) сведений, составляющих банковскую или коммерческую тайну, а также персональных данных; 

6 нарушение доступности (дезорганизация работы) информационных систем, блокирование доступа к информации, нарушение технологических процессов, срыв своевременного решения задач; 

7 нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов, а также фальсификация (подделка) документов. 

3.3. Основными источниками угроз информационной безопасности являются: 

8 непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также другие действия персонала при эксплуатации информационных систем, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности отдельных рабочих станций, подсистем или в целом всей системы; 

9 преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия сотрудников, допущенных к работе с информационными системами, а также сотрудников, отвечающих за обслуживание, администрирование программного и аппаратного обеспечения, средств защиты и обеспечения информационной безопасности; 

10 деятельность преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности системы в целом и ее отдельных компонентов; 

11 ошибки, допущенные при проектировании информационных систем и их систем защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты); 

12 действия компьютерных вирусов; 

13 аварии, стихийные бедствия и т.п. 

 

4. Объекты проверки  

 

4.1. Основными объектами проверки являются: 

14 нормативная база банка по обеспечению информационной безопасности; 

15 системы обеспечения безопасности информационных ресурсов с ограниченным доступом, составляющих государственную, коммерческую, банковскую тайну, иных чувствительных по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационных ресурсов, в том числе открытой (общедоступной) информации, представленной в виде документов и массивов информации, независимо от формы и вида их представления; 

16 системы обеспечения безопасности процессов обработки информации - информационных технологий, регламента и процедур сбора, обработки, хранения и передачи информации; 

17 системы обеспечения безопасности информационной инфраструктуры, включающей системы обработки и анализа информации, технических и программных средств ее обработки, передачи и отображения, в том числе каналов информационного обмена и телекоммуникаций, объектов и помещений, в которых размещены компоненты инфраструктуры. 

 

5. Общее ознакомление с информационными системами банка 

 

5.1. В процессе проведения проверки инспектору необходимо изучить структуру информационной системы банка, а также нормативные документы, регламентирующие работу с информационными системами банка, а именно: 

18 Организация локальной вычислительной сети (ЛВС) в банке. 

19 Способы подключения к ЛВС рабочих мест сотрудников банка. 

20 Организация резервирования и восстановления важной информации. Организация восстановления работоспособности информационных систем на случай возникновения чрезвычайных ситуаций. 

21 Организация подключения к ресурсам сети Интернет и электронной почте. 

22 Способы защиты электронных платежей. 

23 Организация безопасности внутреннего электронного документооборота в банке. 

24 Организация делопроизводства с конфиденциальными документами. Доступ лиц к работе с конфиденциальными документами. 

25 Организация взаимодействия банка с представительствами банка и филиалами. 

26 Организация обучения сотрудников правилам безопасности; 

27 Организация систем архивирования, систем обнаружения атак злоумышленников и антивирусной защиты. 

5.2. Нормативная база по обеспечению информационной безопасности банка должна как минимум, включать список нормативных документов, приведенных в приложении С к Стандартам по обеспечению информационной безопасности учреждений банковской системы Кыргызской Республики, утвержденным постановлением Правления НБКР №24/10 от 15.09.04 г. (рег. номер МЮ КР №117-04 от 22.10.04 г.) и соответствовать нормативным актам, указанным в пункте 2 настоящих методических рекомендаций. 

5.3.Также инспектору необходимо изучить контрольную отчетность регистрационные журналы и отчеты по безопасности информационных систем, все организационно-распорядительные документы по вопросам обеспечения информационной безопасности, а также отчеты внутреннего и внешнего аудита информационных систем. 

 

6. Проверка обеспечения безопасности технических средств 

 

6.1. В целях выявления нарушений соблюдения безопасности технических средств, инспектору необходимо проверить: 

28 наличие помещений для оборудования информационной системы; соответствующего условиям эксплуатации данного оборудования; 

29 соответствие технической укрепленности помещений требованиям, установленным Национальным банком;  

30 соблюдение ограничения доступа в специальные помещения; 

31 наличие специального оборудования для хранения носителей информации, обеспечивающего защиту от несанкционированного доступа, от теплового, механического и электромагнитного воздействия;  

32 использование автономных и бесперебойных источников питания. 

 

7. Проверка обеспечения безопасности программного обеспечения 

 

7.1.В целях выявления нарушений соблюдения безопасности Автоматизированных систем (АС), инспектору необходимо проверить: 

33 соблюдение ограничения доступа к программному обеспечению; 

34 разграничение прав и полномочий при работе с АС; 

35 наличие резервной копии программного обеспечения. 

 

8. Проверка контроля доступа к информационным ресурсам 

 

8.1. В целях проверки недопущения несанкционированного доступа к информационным ресурсам, инспектору необходимо проверить: 

36 наличие системы разграничения доступа сотрудников к работе с автоматизированными системами;  

37 применение регистрации пользователя, его действий, а также несанкционированных операций; 

38 применение идентификации пользователя; 

39 применение антивирусной защиты. 

 

9. Проверка обеспечения конфиденциальности данных 

 

9.1. В целях проверки обеспечения конфиденциальности данных инспектору необходимо проверить: 

40 применение нормативной политики безопасности; 

41 обеспечение регистрирования доступа к конфиденциальным данным; 

42 применение специальных средств кодирования информации (средства криптографии) и межсетевого экранирования. 

 

10. Проверка обеспечения целостности данных 

 

10.1. В целях проверки обеспечения целостности данных инспектору необходимо проверить: 

43 обеспечение дублирования данных; 

44 обеспечение периодического резервного копирования и восстановления данных; 

45 обеспечение соответствующей защитой данных на внешнем уровне. 

 

11. Проверка обеспечения кадровой безопасности 

 

11.1. В целях проверки обеспечения кадровой безопасности инспектору необходимо проверить: 

46 наличие соответствующего персонала; 

47 применение нормативной политики; 

48 соблюдение сегрегации полномочий; 

49 обеспечение контроля за установлением и соблюдением полномочий пользователей. 

 

12. Проверка обеспечения безопасности коммуникаций 

 

12.1. В целях проверки обеспечения безопасности коммуникаций инспектору необходимо проверить: 

50 обеспечение безопасности использования линий связи и коммуникационного оборудования; 

51 наличие резервных линий связи или альтернативных способов передачи информации; 

52 применение средств криптографии, межсетевого экранирования данных, а также средств аутентификации при защите информации на внешнем уровне; 

53 обеспечение защиты платежных документов; 

54 обеспечение регистрации и хранения платежных документов. 

 

13. Проверка обеспечения безопасности при использовании пластиковых карт 

 

13.1. В целях проверки обеспечения безопасности при использовании пластиковых карт инспектору необходимо проверить: 

55 обеспечение контроля за целостностью и подлинностью передачи транзакций по каналам связи, а также последующей идентификацией и аутентификацией держателя карты; 

56 проведение мониторинга и контроля за транзакциями в системе, мониторинга и управления сетью терминалов и банкоматов; 

57 применение методов шифрования и верификации.  

 

14. Составление отчета о проверке 

 

14.1. По окончании проверки инспектор составляет отчет о проверке обеспечения безопасности информационных систем, включающий как минимум следующее: 

58 схематичное описание структуры информационной системы банка; 

59 описание результатов проверки всех вышеизложенных разделов данных методических рекомендаций; 

60 рекомендации по устранению нарушений соблюдения безопасности информационных систем, если таковые были выявлены.