Проект
Об утверждении Положения
«О требованиях по обеспечению информационной безопасности
в коммерческих банках Кыргызской Республики»
В соответствии со статьями 20 и 68 Закона Кыргызской Республики
«О Национальном банке Кыргызской Республики, банках и банковской деятельности» Правление Национального банка Кыргызской Республики постановляет:
1. Утвердить Положение «О требованиях по обеспечению информационной безопасности в коммерческих банках Кыргызской Республики» (прилагается).
2. Признать утратившим силу:
- Положение «О требованиях по обеспечению информационной безопасности в коммерческих банках Кыргызской Республики», утвержденное постановлением Правления Национального банка Кыргызской Республики от 14 сентября 2011 года № 52/12;
- пункт 38 Приложения к постановлению Правления Национального банка Кыргызской Республики «О внесении изменений и дополнений в некоторые нормативные правовые акты Национального банка Кыргызской Республики» от 16 сентября 2012 года № 43/1;
- подпункт 12 пункта 1 постановления Правления Национального банка Кыргызской Республики «О внесении изменений и дополнений в некоторые нормативные правовые акты Национального банка Кыргызской Республики и признании утратившими силу некоторых нормативных правовых актов Национального банка Кыргызской Республики» от 15 июня 2017 года № 2017-П-12/25-12-(НПА).
3. Настоящее постановление вступает в силу по истечении пятнадцати дней со дня официального опубликования.
4. Юридическому управлению:
- опубликовать настоящее постановление на официальном интернет-сайте Национального банка Кыргызской Республики;
- после официального опубликования направить настоящее постановление в Министерство юстиции Кыргызской Республики для внесения в Государственный реестр нормативных правовых актов Кыргызской Республики.
5. Управлению методологии надзора и лицензирования банков довести настоящее постановление до сведения ОЮЛ «Союз банков Кыргызстана», коммерческих банков, Государственного банка развития Кыргызской Республики, ОАО «Финансовая компания кредитных союзов», соответствующих структурных подразделений, областных управлений, представительства Национального банка в Баткенской области.
6. Контроль за исполнением настоящего постановления возложить на члена Правления, курирующего управление безопасности и информационной защиты.
Приложение
к постановлению Правления
Национального банка
Кыргызской Республики
от «_____» _________2021 года
№ _________________________
ПОЛОЖЕНИЕ
о требованиях по обеспечению информационной безопасности
в коммерческих банках Кыргызской Республики
1. Общие положения
1. Целью настоящего Положения является установление единых требований для коммерческих банков Кыргызской Республики (далее – банки), направленных на повышение уровня информационной безопасности банковской системы Кыргызской Республики, а также минимизацию возможных потерь, вызванных действиями злоумышленников, аварийными сбоями и ошибками персонала.
2. В целях настоящего Положения применяются следующие определения:
Авторизация – это процесс предоставления определенному объекту/субъекту прав на выполнение некоторых действий в соответствии с выполняемой ролью в системе.
Автоматизированная система – это система, состоящая из персонала, комплекса средств автоматизации его деятельности, методов и мероприятий, реализующих информационную технологию выполнения установленных функций.
Автоматизированная банковская система – это автоматизированная система, реализующая технологию выполнения функций банка.
Аутентификация – проверка принадлежности объекту/субъекту доступа предъявленного им идентификатора или подтверждение подлинности.
Доступность информационного актива – свойство информационной безопасности банка, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимом пользователю, и в то время, когда они ему необходимы.
Идентификатор – уникальный признак субъекта или объекта доступа.
Идентификация – процесс присвоения объектам/субъектам идентификатора (уникального имени) или сравнение идентификатора объекта/субъекта с перечнем присвоенных идентификаторов.
Информационная безопасность – безопасность, связанная с угрозами в информационной сфере. Защищенность достигается обеспечением совокупности свойств информационной безопасности: доступности, целостности, конфиденциальности информационных активов. Приоритетность свойств информационной безопасности определяется ценностью указанных активов для интересов (целей) банка.
Информационная система – взаимосвязанная совокупность средств, методов и персонала, используемых для хранения, обработки и выдачи информации в интересах достижения поставленной цели. Информационная система содержит автоматизированные и неавтоматизированные процессы хранения, обработки и выдачи информации.
Информационные активы – информация, имеющая ценность для банка с точки зрения достижения ее целей и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передаче форме.
Конфиденциальность информационного актива – состояние ресурсов банка, состоящее в том, что обработка, хранение и передача информационных активов осуществляются таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам.
Объект – процесс, выполняющийся в информационной системе, запрашивающий разрешение на получение доступа к информации.
Пароль – это секретный набор символов, предназначенный для подтверждения полномочий пользователя.
ПИН-конверт – это специальный конверт для конфиденциального хранения ПИН кода.
Пользователь автоматизированной системы – это субъект или объект, зарегистрированный в автоматизированной системе и использующий ее ресурсы (сотрудники и клиенты банка);
Санкционирование – действие по предоставлению пользователю возможности выполнения (предоставления разрешения) конкретных действий в системе на основе его должностных обязанностей. Без специальной санкции ни одному пользователю не разрешается доступ к какой-либо информации или приложению.
Смарт-карта – это пластиковая карта со встроенной микросхемой. В большинстве случаев смарт-карта содержит микропроцессор и операционную систему, контролирующую устройство и доступ к объектам в его памяти. Кроме того, смарт-карта, как правило, обладает возможностью проводить криптографические вычисления.
Субъект – это пользователь, запрашивающий разрешение на получение доступа к информации.
Токен («ключ»)– компактное устройство в виде USB-брелока, которое служит для авторизации пользователя, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения любых персональных данных.
Целостность информационного актива – свойство информационной безопасности банка сохранять неизменность или обнаруживать факт изменения в своих информационных активах.
3. Система управления информационной безопасностью является частью общей системы управления, основанной на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности банка. Система управления информационной безопасностью может быть построена в соответствии с ISO/IEC 27001.
4. Национальный банк Кыргызской Республики (далее – Национальный банк) вправе осуществлять проверку банка на соблюдение требований, установленных настоящим Положением.
5. Руководство банка несет полную ответственность за использование и функционирование всей его информационной системы.
6. В управлении системой обеспечения информационной безопасностью банк должен непрерывно использовать такие процессы, как планирование, реализация, проверка и совершенствование.
7. Требования по информационной безопасности должны быть комплексно взаимосвязаны и непрерывны по всем стадиям жизненного цикла информационных систем.
2. Требования к документам по информационной безопасности
8. В целях обеспечения информационной безопасности в банке должны быть разработаны три уровня документации:
- общие политики;
- частные политики (документы, регламентирующие практику обеспечения информационной безопасности);
- операционные процедуры по обеспечению информационной безопасности.
9. Общие политики должны отражать подходы руководства банка по обеспечению информационной безопасности банка, описывать общие принципы и цели обеспечения безопасности, систему мер, методов для достижения цели по обеспечению информационной безопасности. В банке должно быть назначено уполномоченное лицо, ответственное за реализацию политики по информационной безопасности.
10. Частные политики, регламентирующие практику обеспечения безопасности (частные политики), должны отражать поддержку целей, установленных руководством, и дальнейшую детализацию общих принципов, определяющих подробные меры, необходимые для выполнения требований политики информационной безопасности.
11. Требования по обеспечению информационной безопасности, отображаемые в частных политиках по информационной безопасности банка, должны быть определены для следующих наиболее важных областей:
- требования к персоналу;
- назначение, распределение ролей и регистрация в информационной системе;
- оценка рисков информационной безопасности;
- обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных систем;
- защита от несанкционированного и нерегламентированного доступа, управление доступом и регистрацией всех действий в автоматизированных системах, в телекоммуникационном оборудовании, автоматических телефонных станциях и т.д.;
- антивирусная защита;
- использование ресурсов сети интернет;
- использование криптографических средств защиты;
- защита банковских платежных и информационных технологических процессов;
- обеспечение непрерывности деятельности;
- резервное копирование и восстановление;
- физическая защита;
- управление инцидентами информационной безопасности и т.д.
12. Документы по операционным процедурам для обеспечения безопасности должны содержать описание практических приемов на техническом уровне, обеспечивающем внедрение необходимых практик. Процедуры должны соответствовать общей политике банка и практическим приемам, на которых основаны процедуры.
13. Банк должен обеспечить наличие и сохранность документов, которые содержат свидетельства выполненной деятельности и действий по обеспечению информационной безопасности (отчеты, акты, журналы) и отражать достигнутые результаты (промежуточные и окончательные) при реализации требований документов, относящиеся к обеспечению информационной безопасности банка.
3. Требования к персоналу банка
14. Персонал банка должен включать как минимум следующие категории сотрудников:
- руководство – группа лиц, принимающих стратегические решения для всего банка либо отдельных его подразделений, контролирующих деятельность подразделений банка и принимающих окончательные решения по операционной деятельности и финансовым вопросам в банке;
- менеджеры – группа лиц, принимающих тактические решения, организующих и контролирующих работу в рамках своих подразделений;
- персонал безопасности – группа лиц, ответственных за обеспечение безопасности в банке на различных участках. Персонал безопасности должен быть подчинен непосредственно руководству и иметь соответствующие полномочия для выполнения своих функций;
- внутренний аудит – подразделение банка, ответственное за организацию и проведение внутреннего аудита в банке, включая аудит информационных технологий и аудит информационной безопасности, в том числе и с привлечением консультантов;
- персонал разработки и технической поддержки – подразделение банка, ответственное за разработку, модернизацию и поддержание работоспособности информационной системы, и техническую реализацию мер безопасности;
- операционный персонал – группа лиц, производящих санкционированные операции в информационной системе банка, а также ответственных за обслуживание клиентов банка.
15. В банке должны быть разработаны процедуры приема на работу, включающие:
- проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов;
- проверку профессиональных навыков и оценку профессиональной пригодности.
16. Все сотрудники банка должны быть ознакомлены с требованиями по обеспечению информационной безопасности и подписать обязательство о соблюдении конфиденциальности и приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов.
17. Подразделение банка, ответственное за реализацию информационной безопасности, должно на систематической основе актуализировать информацию об угрозах в сфере информационной безопасности с учетом глобальных трендов c своевременным информированием сотрудников банка об угрозах, а также проводить мероприятия, направленные на повышение общего уровня осведомленности персонала в целях противодействия данным угрозам.
18. Обязанности и ответственность персонала по выполнению требований по обеспечению информационной безопасности должны быть включены в их должностные инструкции.
19. Неисполнение или ненадлежащее исполнение сотрудниками банка требований по обеспечению информационной безопасности приравнивается к невыполнению должностных обязанностей и приводит к соответствующей ответственности.
4. Назначение, распределение ролей и
регистрация в автоматизированной системе
20. В банке должен быть разработан и принят документ, который содержит роли сотрудников, включая роли по обеспечению информационной безопасности.
21. В автоматизированной системе должны быть определены роли, обеспечивающие четкое разграничение полномочий сотрудников.
22. При предоставлении доступа сотрудникам к автоматизированной системе должны быть выполнены процедуры санкционирования, идентификации, аутентификации и авторизации пользователей. Перед выдачей идентификатора пользователю должна осуществляться проверка подтверждения личности пользователя. Система должна фиксировать исполнителя, выдавшего идентификатор пользователю.
23. Работа всех пользователей автоматизированной системы должна осуществляться под уникальными учетными записями.
24. При распределении прав доступа сотрудников и клиентов к информационным активам, банки должны руководствоваться принципами:
- «знать своего клиента» (Know your Customer) – принцип, используемый регулирующими органами для выражения отношения к финансовым организациям с точки зрения знания деятельности их клиентов;
- «знать своего служащего» (Know your Employee) – принцип, демонстрирующий озабоченность банка по поводу отношения сотрудников банка к таким своим обязанностям и возможным проблемам, как злоупотребление имуществом, финансовые трудности, которые могут приводить к проблемам с безопасностью;
- «необходимо знать» (Need to Know) – принцип, ограничивающий полномочия по доступу сотрудников банка и клиентов банка к информации и ресурсам по обработке информации на уровне, минимально необходимом для выполнения определенных обязанностей;
- «наименьших привилегий» – принцип, означающий, что для выполнения определенной операции пользователь должен получать или предоставлять минимально необходимые привилегии;
- «двойной контроль» для операций по платежным системам и при назначении ролей в автоматизированной системе (Dual Control – принцип четырех глаз) – принцип сохранения целостности процесса и борьбы с искажением функций системы, требующий, чтобы два уполномоченных сотрудника банка, независимо друг от друга, предпринимали некое действие до завершения определенных транзакций.
25. В банке должен быть документально определен перечень информационных активов (автоматизированной системы и их типов) и права доступа сотрудников и клиентов к данным активам.
26. Формирование ролей должно осуществляться на основании существующих бизнес-процессов банка и проводиться с целью исключения концентрации полномочий и снижения риска инцидентов информационной безопасности, связанных с потерей информационными активами свойств доступности, целостности или конфиденциальности.
27. В банке должен осуществляться контроль за «привилегированным доступом», а именно: учетными записями с повышенным правом доступа к автоматизированным системам (учетные записи с правом администратора) в целях минимизации рисков и обеспечения безопасности критически важных автоматизированных систем.
28. Для каждой роли должны быть назначены лица, ответственные за их выполнение. Ответственность сотрудников должна быть зафиксирована в их должностных инструкциях.
29. Аутентификация пользователей в системе должна соответствовать критичности получаемой информации и осуществляться на основе одного или нескольких механизмов аутентификации:
- по знанию «что-то знать» (пароль, ПИН-код);
- по владению «что-то иметь» (смарт-карта, токен);
- по физическим характеристикам пользователя «кем-то быть» (отпечатки пальцев или другие биометрические данные).
Двухфакторная аутентификация включает в себя любые два из этих трех механизмов: человек «что-то знает» и «что-то имеет» или «кем-то быть».
30. События по регистрации и изменению прав доступа пользователей должны фиксироваться в журнале событий системы.
31. В банке должны применяться защитные меры, направленные на обеспечение защиты от несанкционированного доступа, неразрешенных действий, нарушения целостности информации, необходимой для регистрации, идентификации, аутентификации и (или) авторизации клиентов и сотрудников банка. Все попытки неразрешенных действий и несанкционированного доступа к такой информации должны регистрироваться в журнале событий.
32. Банк при предоставлении сотрудникам удаленного доступа к автоматизированной системе и корпоративным сервисам должен внедрить технологию многофакторной аутентификации.
33. При увольнении сотрудников или изменении должностных обязанностей сотрудников банка, имеющих доступ к информации автоматизированной системы, их права доступа к автоматизированной системе должны быть заблокированы или изменены.
34. В банке должна быть разработана и внедрена политика паролей. Политика паролей должна включать в себя как минимум такие основные правила и компоненты, как:
- требования к степени сложности и длине пароля;
- требования к частоте и периодичности смены пароля;
- требования к срокам действий паролей;
- требования по недопустимости записи и хранения паролей на материальных носителях;
- ответственность и санкции пользователей за нарушение политики.
35. Сотрудники банка должны быть ознакомлены с политикой паролей и строго соблюдать ее требования в процессе работы.
36. Банк должен разработать рекомендации по соблюдению требований политики информационной безопасности для пользователей и клиентов систем дистанционного банковского обслуживания, мобильного банкинга, электронных кошельков и проводить работу по информированию пользователей о соблюдении данных требований в процессе работы с банковскими продуктами.
5. Требование к процессу управления рисками
информационной безопасности
37. В банке должна быть разработана политика по управлению рисками информационной безопасности, интегрированная с общей политикой управления рисками банка.
38. Банк должен определить ценность активов, выявить уязвимости и угрозы и рассчитать риски. Выявленные риски должны быть количественно или качественно оценены. Банк должен определить соответствующие меры и средства контроля для снижения рисков.
39. Организация процесса оценки рисков может быть основана на международном стандарте ISO 27005 или аналогичных стандартах.
6. Непрерывность деятельности банка
40. В целях обеспечения непрерывности деятельности в банке должны быть разработаны:
- политика непрерывности деятельности, которая должна содержать необходимые руководящие принципы для обеспечения непрерывности деятельности и необходимые ролям полномочия для выполнения возложенных на них задач;
- план действий в случаях наступления чрезвычайных ситуаций, где необходимо описать процедуры, а также руководство, которое обеспечит продолжение функционирования банка в аварийном состоянии;
- стратегия восстановления деятельности, где необходимо описать методы, обеспечивающие оперативное восстановление работоспособности критичных систем и функций.
41. Анализ воздействия чрезвычайных ситуаций на деятельность банка является важным инструментом обеспечения непрерывности деятельности банка, которое неразрывно связано с идентификацией критичных функций и систем. Для этих целей в банке должны быть идентифицированы критичные функции и системы и их категоризация на основе степени их критичности.
42. При выявлении угроз банк обязан выбрать и внедрить защитные меры для снижения уровня рисков банка, которые могут привести к чрезвычайным ситуациям.
43. В целях надлежащей подготовки персонала к выполнению задач на случай чрезвычайной ситуации банк должен на периодичной основе тестировать план, проводить тренинги и учения для сотрудников банка.
7. Безопасность в жизненном цикле
автоматизированных систем банка
44. Банк должен обеспечить комплексную защиту автоматизированных систем на всех стадиях жизненного цикла автоматизированной системы (проектирование, реализация, тестирование, приемка, эксплуатация, сопровождение, модернизация, снятие с эксплуатации должны быть документированы и утверждены высшим руководством).
45. Банк должен использовать только лицензионное программное обеспечение либо программное обеспечение собственной разработки при наличии полного комплекта документации, утвержденного высшим руководством (техническое задание, программа и методика испытаний, акт и журнал испытаний, акт ввода в промышленную эксплуатацию).
8. Ведение журнала событий проводимых операций
46. В банке должно быть обеспечено ведение журнала регистрации событий (логирование) осуществленной деятельности в автоматизированной системе, персональном компьютере, как средство для проведения аудита информационной безопасности и восстановления хода событий и ведения подотчетности.
47. Мониторинг и анализ информации журнала регистрации событий должен проводиться ежедневно администраторами автоматизированной системы (персонал технической поддержки), в том числе с применением автоматизированных систем, и все нестандартные ситуации, связанные с безопасностью, должны расследоваться.
48. Информация журнала регистрации событий должна храниться в электронном виде в течение периода времени, равного сроку хранения обрабатываемых данных соответствующей автоматизированной системы, но не менее 2 (двух) лет.
49. Информация журналов регистрации событий должна быть защищена от случайного или преднамеренного удаления, модификации или фальсификации. Журнал регистрации событий должен включать в себя действия всех пользователей, в том числе высокопривилегированных учетных записей (root, administrator).
9. Процесс проведения платежей и расчетов
в автоматизированной системе (в том числе SWIFT)
50. При осуществлении процесса проведения платежей и расчетов (собственных и клиентских) банк должен обеспечить соблюдение следующих требований информационной безопасности:
- обработка, учет и хранение платежной информации в автоматизированной системе на территории Кыргызской республики;
- защита платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации электронных платежных сообщений;
- доступ сотрудника банка только к ресурсам автоматизированной системы, которые обеспечивают проведение платежей и расчетов, необходимые для исполнения должностных обязанностей;
- контроль (мониторинг) исполнения процессов подготовки, обработки, передачи и хранения платежной информации;
- аутентификация входящих электронных платежных сообщений;
- двусторонняя аутентификация автоматизированных рабочих мест (рабочих станций и серверов), участников обмена электронными платежными сообщениями (как для филиалов и отделений банков, так и для клиентов);
- возможность ввода платежной информации в автоматизированной банковской системе только для авторизованных пользователей;
- соблюдение в автоматизированной банковской системе принципа сквозной обработки платежей (обеспечение непрерывной обработки всего информационного потока поступающей финансовой информации без ручного вмешательства на протяжении всей технологической цепочки (от попадания информации в автоматизированную систему до завершения ее обработки) с целью достижения максимальной скорости проведения операций, и исключения ошибок);
- контроль, направленный на исключение возможности совершения злоумышленных действий (двойной ввод, сверка, авторизация транзакций, установление ограничений в зависимости от суммы совершаемых операций и т.д.) (как со стороны уполномоченных сотрудников, так и со стороны клиентов);
- восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники;
- сверка выходных электронных платежных сообщений с соответствующими входными и обработанными электронными платежными сообщениями при осуществлении межбанковских расчетов;
- доставка электронных платежных сообщений участникам обмена.
51. Сотрудники банка, в том числе администраторы автоматизированных систем, не должны обладать полномочиями для бесконтрольного создания, авторизации, уничтожения и изменения платежной информации, а также проведения несанкционированных операций по изменению состояния банковских счетов.
52. Обработку платежной информации и контроль (проверку) результатов обработки должны осуществлять разные сотрудники.
53. Для систем, обеспечивающих проведение платежей и расчетов, должен быть предусмотрен основной и дублирующий состав персонала. В случае отсутствия какого-либо специалиста основного состава его функции должен выполнять специалист из дублирующего состава.
54. Техническая инфраструктура систем, обеспечивающих проведение платежей и расчетов, должна включать основную и резервную автоматизированную системы (аппаратно-программные комплексы), включая основные и резервные каналы связи.
55. В банке должны быть предусмотрены процедуры по переходу (переключению) системы с основной на резервную автоматизированную систему, включающие получение санкции руководства на данный переход.
56. В банке должны быть определены владельцы автоматизированной системы (должностные лица банка) и их ответственность, в том числе ответственность главного бухгалтера банка.
57. Банк должен обеспечить единую централизованную обработку, учет и хранение данных по бухгалтерскому учету в автоматизированной банковской системе.
58. Автоматизированные банковские системы, используемые в банке, в том числе системы дистанционного банковского обслуживания, должны обеспечивать возможность регистрации:
- операций с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов;
- проводимых транзакций, имеющих финансовые последствия;
- операций, связанных с назначением и распределением прав пользователей.
59. Системы дистанционного банковского обслуживания должны реализовывать защитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций.
60. В банке должны быть разработаны и доведены до сведения сотрудников и клиентов процедуры, определяющие их действия в случае компрометации информации, необходимой для их идентификации, аутентификации и (или) авторизации.
61. В системах дистанционного банковского обслуживания должны быть реализованы механизмы информирования (регулярного, непрерывного или по требованию) клиентов обо всех операциях, совершаемых от их имени.
62. Системы дистанционного банковского обслуживания должны предусматривать меры:
- снижения вероятности выполнения непреднамеренных или случайных операций, или транзакций авторизованными клиентами;
- доведения информации о возможных рисках, связанных с выполнением операций или транзакций до клиентов.
63. Клиенты систем дистанционного банковского обслуживания должны быть обеспечены детальными инструкциями, описывающими процедуры выполнения операций или транзакций.
10. Системы расчетов банковскими платежными картами
64. При выпуске и обслуживании банковских платежных карт банк должен обеспечить выполнение требований настоящего Положения.
65. При использовании международных платежных карт в банке должны выполняться соответствующие требования безопасности стандарта PCI DSS.
66. При использовании систем расчетов платежными картами банк обязан обеспечить выполнение следующих требований по безопасности информационных систем:
- определение и соблюдение мер по поддержанию защищенной сети для создания и обработки данных держателей платежных карт;
- отслеживание и контроль любого доступа к сетевым ресурсам и данным платежных карт;
- запрет использования настроек безопасности и паролей, установленных производителем «по умолчанию» для программного обеспечения и оборудования;
- обеспечение защиты данных держателей платежных карт при хранении;
- обеспечение шифрования данных платежных карт, передаваемых по сетям общего пользования;
- использование и регулярное обновление антивирусного программного обеспечения;
- обеспечение безопасности при разработке и поддержке систем и приложений;
- ограничение доступа к данным платежных карт в соответствии со служебной необходимостью;
- назначение уникального идентификатора каждому лицу, имеющему доступ к вычислительным ресурсам;
- ограничение физического доступа к данным держателей банковских платежных карт и предоставление доступа только уполномоченным сотрудникам;
- регулярное тестирование систем и процессов обеспечения безопасности;
- актуальность политики информационной безопасности, регламентирующей деятельность сотрудников и контрагентов.
67. При работе с банковскими платежными картами банк должен применять следующие меры защиты:
- персонализация карт должна быть физически отделена от функций выпуска ПИН-конвертов и должны быть назначены разные ответственные сотрудники для выполнения указанных операций;
- при печати ПИН-конвертов верхний бланк должен быть уничтожен в присутствии двух уполномоченных сотрудников, ответственных за печать ПИН-конвертов;
- персонализация карт должна проводиться в присутствии двух уполномоченных сотрудников, ответственных за персонализацию;
- должны быть предусмотрены меры по защите банкоматов, автоматизированных терминалов самообслуживания и торговых терминалов от вандализма и злоумышленных действий;
- число попыток ввода ПИН-кода карты должно быть ограничено (не более трех), после чего карта должна быть заблокирована, изъята и возвращена ее владельцу персонально;
- должно быть установлено ограничение числа операций и суммы денежных средств в течение одного дня для одного счета (установка лимитов).
11. Банковский информационный процесс
68. Для каждой автоматизированной системы соответствующим распоряжением должен быть назначен администратор информационной безопасности. Допускается назначение одного администратора информационной безопасности на несколько автоматизированных систем.
69. В банке должны быть определены процедуры и персонал обслуживания автоматизированной системы, техники, используемых в банковском технологическом процессе, включая замену их программных и/или аппаратных частей.
12. Использование ресурсов сети интернет
70. В банке должны применяться меры по сегментации и межсетевому экранированию внутренних вычислительных сетей, а также по защите внутренних вычислительных сетей при взаимодействии с сетью интернет.
71. Банк обязан применять меры по регистрации изменений параметров настроек средств и систем защиты информации, межсетевого экранирования и защиты вычислительных сетей банка.
72. В банке должны быть определены и утверждены руководством банка цели использования сети интернет. Использование сети интернет в неустановленных целях должно быть запрещено.
73. Банку необходимо определить порядок подключения и использования ресурсов сети интернет, включающий в том числе контроль со стороны подразделения, ответственного за обеспечение информационной безопасности.
74. В банке, осуществляющем дистанционное банковское обслуживание клиентов, в связи с повышенными рисками нарушения информационной безопасности при взаимодействии с сетью интернет должны применяться средства защиты информации, обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии.
75. При осуществлении дистанционного банковского обслуживания должны применяться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в течение сеанса работы.
76. Все операции клиентов в течение всего сеанса работы с системами дистанционного банковского обслуживания должны выполняться только после выполнения процедур идентификации, аутентификации и авторизации. В случаях нарушения или разрыва соединения необходимо обеспечить повторное выполнение указанных процедур.
77. Почтовый обмен через сеть интернет должен осуществляться с использованием защитных мер и противодействия распространению спама.
78. При взаимодействии с сетью интернет должны использоваться защитные меры противодействия атакам злоумышленников.
13. Антивирусная защита
79. На всех автоматизированных рабочих местах и серверах автоматизированной системы в банке должны применяться средства антивирусной защиты, если иное не предусмотрено технологическим процессом.
80. В банке должны применяться только официально приобретенные (лицензионные) средства антивирусной защиты. Установка и регулярное обновление средств антивирусной защиты на автоматизированных рабочих местах и серверах автоматизированной системы должны осуществляться ответственными администраторами.
81. При обеспечении антивирусной защиты в банке должны быть разработаны и введены в действие инструкции по антивирусной защите, учитывающие особенности банковских информационных процессов.
82. В банке должна осуществляться антивирусная фильтрация трафика электронного почтового обмена.
83. Устанавливаемое или изменяемое программное обеспечение должно быть предварительно проверено на отсутствие вирусов. При обнаружении компьютерного вируса должны быть приняты меры по его обезвреживанию и восстановлению работоспособности рабочих мест.
84. Отключение или необновление антивирусных средств не допускается. Установка и обновление средств антивирусной защиты должны контролироваться ответственными сотрудниками.
85. Ответственность за выполнение требований процедур по антивирусной защите должны быть возложены на каждого сотрудника банка, имеющего доступ к персональному компьютеру и/или автоматизированной системе.
14. Использование криптографических средств защиты
86. В банке должна быть обеспечена безопасность использования криптографических средств защиты информации.
87. Используемые в банке средства криптографической защиты должны:
- поставляться разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней;
- иметь строгий регламент использования ключей, предполагающий контроль со стороны администратора информационной безопасности за действиями пользователя на всех этапах работы с ключевой информацией;
- соответствовать современным криптостойким алгоритмам шифрования.
15. Резервное копирование и восстановление
88. В банке должны создаваться резервные копии для платежной и другой банковской информации, а также для системного и прикладного программного обеспечения, необходимого для обработки этой информации.
89. В качестве носителей данных должны использоваться внешние носители информации: жесткие диски, магнитные ленты, записываемые оптические цифровые диски и др.
90. Все резервные копии должны быть промаркированы с указанием хранимой информации, учетного номера и даты создания копии.
91. Резервные копии (или их дубликаты) должны храниться в удаленных помещениях, обеспечивающих защиту от несанкционированного доступа, защиту от электромагнитных излучений, защиту от тепловых воздействий, защиту от механических воздействий, а также при поддержании внутренней температуры и влажности воздуха на заданном уровне.
92. В банке должны осуществляться процедуры периодического тестирования и восстановления данных архива резервных копий.
16. Защита данных
93. В банке должны быть предусмотрены меры по защите персональных данных, а также любых сведений, охраняемых законодательством Кыргызской Республики, в том числе сведений, составляющих банковскую тайну, врачебную тайну и т.д., и определен порядок обработки персональных данных в соответствии с законодательством Кыргызской Республики.
17. Требования к физической безопасности
94. Банк должен обеспечить техническую укрепленность помещений в соответствии с требованиями, предъявляемыми к банкам Кыргызской Республики.
95. В банке должны быть разработаны и утверждены внутренние документы по обеспечению физической безопасности и технической укрепленности помещений, специализированных центров обработки данных, критичных и уязвимых зон, в которых размещены аппаратно-вычислительные комплексы информационных систем, от несанкционированного доступа, воздействий внешней окружающей среды и чрезвычайных случаев техногенного характера.
96. Помещения для оборудования информационных систем должны соответствовать условиям эксплуатации данного оборудования.
97. Порядок доступа сотрудников банка в помещения, в которых размещаются объекты информационных активов, должен быть регламентирован во внутренних документах банка, а их выполнение должно контролироваться. Физический доступ в помещения, в которых размещены объекты информационных систем, должен быть четко регламентирован и разрешен только определенной группе уполномоченных лиц ответственного подразделения, в соответствии с возложенными на них задачами и обязанностями.
98. В случае если банк осуществляет выпуск банковских карт, то помещение, в котором банк устанавливает аппаратно-программный комплекс по персонализации банковских карт, должно:
- быть изолированным (непроходным, без окон);
- быть оснащено надежными автоматическими замками;
- быть оснащено средствами пожарной и охранной сигнализации, средствами наблюдения, исключающими возможность бесконтрольного проникновения в помещение посторонних лиц и обеспечивающими физическую сохранность находящихся в помещении защищаемых ресурсов;
- иметь в наличии как минимум два помещения (для выполнения персонализации карт и выпуска ПИН-конвертов), оборудованных сейфами для хранения заготовок карт и ПИН-конвертов.
Помещение для выпуска ПИН-конвертов должно быть оборудовано шредером для уничтожения бланков и испорченных ПИН-конвертов.
18. Требования к процессу управления
инцидентами информационной безопасности
99. Управление инцидентами и уязвимостями информационной безопасности осуществляется на основе разработанных и четко используемых процессов.
100. Банк должен идентифицировать инциденты и уязвимости, они должны быть оценены и к ним должны быть приняты меры по предотвращению возникновения подобных инцидентов информационной безопасности. Уязвимости должны быть устранены.
101. Результаты анализа инцидентов информационной безопасности, а также рекомендации по минимизации вероятности возникновения инцидентов информационной безопасности и их возможного ущерба должны в дальнейшем использоваться для оценки рисков информационной безопасности.
19. Аутсорсинг
102. Аутсорсинг в банке используется, согласно требованиям Национального банка, при этом в отношении любого планируемого аутсорсинга Банк должен предварительно провести оценку риска. Оценка риска должна включать в себя анализ всей имеющейся информации о поставщике услуг (компании), которая доступна для банка.
Кроме того, оценка риска должна включать в себя подробный отчет независимого аудита. На основании запроса Национального банка, банк предоставляет оценку риска вместе с аудиторским отчетом поставщика услуг.
103. Договор с поставщиком аутсорсинговых услуг должен содержать как минимум следующие разделы:
- об информационной безопасности, о сохранности информации персонального характера, а также любых других сведений и тайн, охраняемых законодательством Кыргызской Республики;
- о непрерывности деятельности, включая план обеспечения непрерывности и восстановления;
- об обязательном содействии регулятору/группе проверки Национального банка в целях осуществления надзорных функций по проверке деятельности организации и в случае необходимости для своевременного получения дополнительной информации.
104. План обеспечения непрерывности деятельности банка должен включать меры, обеспечивающие своевременный доступ к информации, переданной на аутсорсинг, а также возобновление предоставления услуг в случае возникновения чрезвычайных ситуаций в деятельности поставщика услуг (аутсорсинг).
СПРАВКА-ОБОСНОВАНИЕ
к проекту постановления «Об утверждении Положения «О требованиях по обеспечению информационной безопасности в коммерческих банках Кыргызской Республики»
1. Цель и задачи
Проект постановления Правления Национального банка «Об утверждении Положения «О требованиях по обеспечению информационной безопасности в коммерческих банках Кыргызской Республики» (далее – проект) разработан в целях совершенствования действующей нормативной правовой базы по информационной безопасности, что будет способствовать повышению уровня информационной безопасности банковской системы.
2. Описательная часть
В целях обеспечения устойчивости финансового сектора, а также учитывая приоритетные направления Национального банка по развитию финансовых технологий и цифровизации банковских услуг, немаловажным вектором является постоянная актуализация требований по информационной безопасности.
Постоянное и динамичное развитие информационных технологий и их использование в банкоской системе требует адекватного регулирования вопросов по обеспечению инорфмационной безопасности.
Информационная безопасность – это предотвращение любых несанкционированных действий с данными. Обеспечение информационной безопасности важно как для электронных, так и бумажных данных. Главное требование информационной безопасности – полноценная защита конфиденциальной информации и обеспечение ее целостности.
Проект постановления предусматривает актуализацию требований по обеспечению информационной безопасности в коммерческих банках Кыргызской Республики путем разработки требований, основанных на международных стандартах и лучших практиках в сфере информационной безопасности.
Проектом постановления предусмотрены требования по управлению рисками информационной безопасности и непрерывности деятельности, так как оценка рисков информационной безопасности является неотъемлемой частью общей политики управления рисками банков, что, в свою очередь, затрагивает вопросы непрерывности деятельности банков.
Помимо этого, проектом постановления устанавливаются требования к организации физической безопасности, процессу управления инцидентами информационной безопасности и аутсорсингу.
Принимая во внимание, что по итогам проведенной работы значительный объем требований Положения «О требованиях по обеспечению информационной безопасности в коммерческих банках Кыргызской Республики» подлежит актуализации, указанный документ предлагается принять в новой редакции.
3. Прогнозы возможных социальных, экономических, правовых, правозащитных, гендерных, экологических, коррупционных последствий.
Принятие данного проекта постановления негативных социальных, экономических, правовых, правозащитных, гендерных, экологических, коррупционных последствий не повлечет.
4. Информация о результатах общественного обсуждения
В соответствии со статьями 19 и 22 Закона «О нормативных правовых актах Кыргызской Республики», а также с требованиями Положения «О нормативных правовых актах Национального банка Кыргызской Республики» проекты нормативных правовых актов, непосредственно затрагивающие интересы граждан и юридических лиц, а также регулирующие предпринимательскую деятельность, подлежат общественному обсуждению и анализу регулятивного воздействия.
Материалы по проекту будут размещены для общественного обсуждения на официальном интернет-сайте Национального банка и Едином портале общественного обсуждения проектов нормативных правовых актов Кыргызской Республики.
5. Анализ соответствия проекта законодательству
Проект постановления не противоречит законодательству Кыргызской Республики.
6. Информация о необходимости финансирования
Принятие предлагаемого проекта постановления не предусматривает выделения дополнительных средств.
7. Информация об анализе регулятивного воздействия
В соответсвии с требованиями подпункта 6 пункта 4 Методики проведения анализа регулятивного воздействия нормативных правовых актов на деятельность субъектов предпринимательства, утвержденной постановлением Правительства Кыргызской Республики от 30 сентября 2020 года №504, проведение анализа регулятивного воздействия по проекту постановления не требуется.
