УТВЕРЖДЕНО
постановлением Комитета по надзору НБКР
№26/1 от 03.12.2004 г.
Методические рекомендации
по проверке соблюдения безопасности информационных
систем в коммерческих банках Кыргызской Республики.
(изменения и дополнения утверждены постановлениями Комитета по надзору
№ 53/2 от 24.12.2012 г., №22/2 от 29.06.2017 г.)
Введение
1.1. Настоящие Методические рекомендации разработаны Национальным банком Кыргызской Республики (далее – Национальный банк) в целях оказания содействия инспекторам банковского надзора и специалистам по информационной безопасности при проведении проверки соблюдения безопасности информационных систем коммерческих банков и других финансово-кредитных организаций, лицензируемых Национальным банком, а также Государственного банка развития Кыргызской Республики (далее - банки) и служат для руководства при проведении проверки на месте.
(В редакции постановления Комитета по надзору №22/2 от 29.06.2017 г.)
1.2.Данный документ носит типовой характер и при его практическом использовании необходимо учитывать особенности информационных систем конкретного банка.
2. Термины и определения
2.1. В настоящих Методических рекомендациях использованы термины и определения, применяемые в следующих нормативных актах:
0 Концепция обеспечения безопасности информационных систем в банковских учреждениях Кыргызской Республики, утвержденная постановлением Правления НБКР №1618 от 03.06.98 г.,
1 Рекомендации по обеспечению безопасности информационных систем в банковских учреждениях Кыргызской Республики, утвержденные постановлением Правления НБКР №8/8 от 13.02.02 г.,
2 Инструкция по обеспечению необходимого уровня безопасности электронных платежей, утвержденная постановлением Правления НБКР №66/9 от 6.11.99 г.,
3 Положение «О требованиях к обеспечению информационной безопасности в банковских учреждениях Кыргызской Республики при работе с информационными ресурсами НБКР», утвержденное постановлением Правления НБКР №19/7 от 3.07.03 г.,
4 Стандарты по обеспечению информационной безопасности учреждений банковской системы Кыргызской Республики, утвержденные постановлением Правления НБКР №24/10 от 15.09.04 г. (рег. номер МЮ КР №117-04 от 22.10.04 г.)
3. Цель проведения проверки
3.1.Основной целью проведения проверки соблюдения безопасности информационных систем в банках является оценка уровня информационной безопасности банков, оценка рисков нарушений информационной безопасности путем выявления угроз информационной безопасности, определения их источников и возможных последствий для банков.
3.2. Наиболее опасными (значимыми) угрозами информационной безопасности информационных систем (способами нанесения ущерба субъектам информационных отношений) являются:
5 нарушение конфиденциальности (разглашение, утечка) сведений, составляющих банковскую или коммерческую тайну, а также персональных данных;
6 нарушение доступности (дезорганизация работы) информационных систем, блокирование доступа к информации, нарушение технологических процессов, срыв своевременного решения задач;
7 нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов, а также фальсификация (подделка) документов.
3.3. Основными источниками угроз информационной безопасности являются:
8 непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также другие действия персонала при эксплуатации информационных систем, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности отдельных рабочих станций, подсистем или в целом всей системы;
9 преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия сотрудников, допущенных к работе с информационными системами, а также сотрудников, отвечающих за обслуживание, администрирование программного и аппаратного обеспечения, средств защиты и обеспечения информационной безопасности;
10 деятельность преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности системы в целом и ее отдельных компонентов;
11 ошибки, допущенные при проектировании информационных систем и их систем защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты);
12 действия компьютерных вирусов;
13 аварии, стихийные бедствия и т.п.
4. Объекты проверки
4.1. Основными объектами проверки являются:
14 нормативная база банка по обеспечению информационной безопасности;
15 системы обеспечения безопасности информационных ресурсов с ограниченным доступом, составляющих государственную, коммерческую, банковскую тайну, иных чувствительных по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационных ресурсов, в том числе открытой (общедоступной) информации, представленной в виде документов и массивов информации, независимо от формы и вида их представления;
16 системы обеспечения безопасности процессов обработки информации - информационных технологий, регламента и процедур сбора, обработки, хранения и передачи информации;
17 системы обеспечения безопасности информационной инфраструктуры, включающей системы обработки и анализа информации, технических и программных средств ее обработки, передачи и отображения, в том числе каналов информационного обмена и телекоммуникаций, объектов и помещений, в которых размещены компоненты инфраструктуры.
5. Общее ознакомление с информационными системами банка
5.1. В процессе проведения проверки инспектору необходимо изучить структуру информационной системы банка, а также нормативные документы, регламентирующие работу с информационными системами банка, а именно:
18 Организация локальной вычислительной сети (ЛВС) в банке.
19 Способы подключения к ЛВС рабочих мест сотрудников банка.
20 Организация резервирования и восстановления важной информации. Организация восстановления работоспособности информационных систем на случай возникновения чрезвычайных ситуаций.
21 Организация подключения к ресурсам сети Интернет и электронной почте.
22 Способы защиты электронных платежей.
23 Организация безопасности внутреннего электронного документооборота в банке.
24 Организация делопроизводства с конфиденциальными документами. Доступ лиц к работе с конфиденциальными документами.
25 Организация взаимодействия банка с представительствами банка и филиалами.
26 Организация обучения сотрудников правилам безопасности;
27 Организация систем архивирования, систем обнаружения атак злоумышленников и антивирусной защиты.
5.2. Нормативная база по обеспечению информационной безопасности банка должна как минимум, включать список нормативных документов, приведенных в приложении С к Стандартам по обеспечению информационной безопасности учреждений банковской системы Кыргызской Республики, утвержденным постановлением Правления НБКР №24/10 от 15.09.04 г. (рег. номер МЮ КР №117-04 от 22.10.04 г.) и соответствовать нормативным актам, указанным в пункте 2 настоящих методических рекомендаций.
5.3.Также инспектору необходимо изучить контрольную отчетность – регистрационные журналы и отчеты по безопасности информационных систем, все организационно-распорядительные документы по вопросам обеспечения информационной безопасности, а также отчеты внутреннего и внешнего аудита информационных систем.
6. Проверка обеспечения безопасности технических средств
6.1. В целях выявления нарушений соблюдения безопасности технических средств, инспектору необходимо проверить:
28 наличие помещений для оборудования информационной системы; соответствующего условиям эксплуатации данного оборудования;
29 соответствие технической укрепленности помещений требованиям, установленным Национальным банком;
30 соблюдение ограничения доступа в специальные помещения;
31 наличие специального оборудования для хранения носителей информации, обеспечивающего защиту от несанкционированного доступа, от теплового, механического и электромагнитного воздействия;
32 использование автономных и бесперебойных источников питания.
7. Проверка обеспечения безопасности программного обеспечения
7.1.В целях выявления нарушений соблюдения безопасности Автоматизированных систем (АС), инспектору необходимо проверить:
33 соблюдение ограничения доступа к программному обеспечению;
34 разграничение прав и полномочий при работе с АС;
35 наличие резервной копии программного обеспечения.
8. Проверка контроля доступа к информационным ресурсам
8.1. В целях проверки недопущения несанкционированного доступа к информационным ресурсам, инспектору необходимо проверить:
36 наличие системы разграничения доступа сотрудников к работе с автоматизированными системами;
37 применение регистрации пользователя, его действий, а также несанкционированных операций;
38 применение идентификации пользователя;
39 применение антивирусной защиты.
9. Проверка обеспечения конфиденциальности данных
9.1. В целях проверки обеспечения конфиденциальности данных инспектору необходимо проверить:
40 применение нормативной политики безопасности;
41 обеспечение регистрирования доступа к конфиденциальным данным;
42 применение специальных средств кодирования информации (средства криптографии) и межсетевого экранирования.
10. Проверка обеспечения целостности данных
10.1. В целях проверки обеспечения целостности данных инспектору необходимо проверить:
43 обеспечение дублирования данных;
44 обеспечение периодического резервного копирования и восстановления данных;
45 обеспечение соответствующей защитой данных на внешнем уровне.
11. Проверка обеспечения кадровой безопасности
11.1. В целях проверки обеспечения кадровой безопасности инспектору необходимо проверить:
46 наличие соответствующего персонала;
47 применение нормативной политики;
48 соблюдение сегрегации полномочий;
49 обеспечение контроля за установлением и соблюдением полномочий пользователей.
12. Проверка обеспечения безопасности коммуникаций
12.1. В целях проверки обеспечения безопасности коммуникаций инспектору необходимо проверить:
50 обеспечение безопасности использования линий связи и коммуникационного оборудования;
51 наличие резервных линий связи или альтернативных способов передачи информации;
52 применение средств криптографии, межсетевого экранирования данных, а также средств аутентификации при защите информации на внешнем уровне;
53 обеспечение защиты платежных документов;
54 обеспечение регистрации и хранения платежных документов.
13. Проверка обеспечения безопасности при использовании пластиковых карт
13.1. В целях проверки обеспечения безопасности при использовании пластиковых карт инспектору необходимо проверить:
55 обеспечение контроля за целостностью и подлинностью передачи транзакций по каналам связи, а также последующей идентификацией и аутентификацией держателя карты;
56 проведение мониторинга и контроля за транзакциями в системе, мониторинга и управления сетью терминалов и банкоматов;
57 применение методов шифрования и верификации.
14. Составление отчета о проверке
14.1. По окончании проверки инспектор составляет отчет о проверке обеспечения безопасности информационных систем, включающий как минимум следующее:
58 схематичное описание структуры информационной системы банка;
59 описание результатов проверки всех вышеизложенных разделов данных методических рекомендаций;
60 рекомендации по устранению нарушений соблюдения безопасности информационных систем, если таковые были выявлены.