Постановление Правления НБКР № 52\12 от 14.09.11 г. 

 

 

О Положении о требованиях по обеспечению информационной безопасности в коммерческих банках Кыргызской Республики 

 

В соответствии со статьями 7 и 43 Закона Кыргызской Республики «О Национальном банке Кыргызской Республики», Правление Национального банка Кыргызской Республики постановляет: 

 

1. Утвердить Положение «О требованиях по обеспечению информационной безопасности в коммерческих банках Кыргызской Республики» (прилагается). 

2. Настоящее постановление вступает в силу по истечении одного месяца после официального опубликования. 

3. После официального опубликования Юридическому управлению направить настоящее постановление в Министерство юстиции Кыргызской Республики для включения в Государственный реестр нормативных правовых актов Кыргызской Республики. 

4. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального банка Кыргызской Республики Чокоева З.Л. 

 

Председатель                          Асанкожоева З.М. 

 

 

 

Утверждено 

Постановлением Правления 

Национального банка 

Кыргызской Республики 

№ 52\12 от 14.09.2011 г. 

 

 

Положение 

«О требованиях по обеспечению информационной безопасности в коммерческих банках Кыргызской Республики» 

 

1. Общие положения 

 

1. Целью настоящего Положения является установление единых требований для коммерческих банков Кыргызской Республики, направленных на повышение уровня информационной безопасности банковской системы Кыргызской Республики, а также минимизацию возможных потерь, вызванных действиями злоумышленников, аварийными сбоями и ошибками персонала. 

2. Настоящее Положение разработано в соответствии с Гражданским кодексом Кыргызской Республики, Законами Кыргызской Республики «О Национальном банке Кыргызской Республики», «О банках и банковской деятельности в Кыргызской Республике», «Об электронном документе и электронной цифровой подписи», «О коммерческой тайне» и другими законодательными и нормативными актами Кыргызской Республики, а также Стандартом по обеспечению информационной безопасности учреждений банковской системы Кыргызской Республики, утвержденным постановлением Правления Национального банка Кыргызской Республики № 24/10 от 15 сентября 2004 г., Положением «О требованиях к обеспечению информационной безопасности в банковских учреждениях Кыргызской Республики при работе с информационными ресурсами Национального банка Кыргызской Республики», утвержденным постановлением Правления Национального банка Кыргызской Республики № 19/7 от 3 июля 2003 г., «Положением о банковских платежных картах в Кыргызской Республике», утвержденным постановлением Правления Национального банка Кыргызской Республики № 41/7 от 14 октября 2009 г. 

3. Действие настоящего Положения распространяется на коммерческие банки, а также другие организации, имеющие лицензии Национального банка на проведение банковских и платежных операций (далее банки). 

4. Все нормативные документы, касающиеся информационной безопасности, принимаемые в коммерческих банках Кыргызской Республики, должны быть приведены в соответствие с настоящим Положением. 

5. Национальный банк Кыргызской Республики (далее Национальный банк) имеет право осуществлять проверку банков на соблюдение ими установленных настоящим Положением требований. 

6. Руководство банка несет полную ответственность за использование и функционирование всей информационной системы банка. 

 

2. Термины и определения 

7. «Знать своего клиента» (Know your Customer): Принцип, используемый регулирующими органами для выражения отношения к финансовым организациям с точки зрения знания деятельности их клиентов. 

8. «Знать своего служащего» (Know your Employee): Принцип, демонстрирующий озабоченность банка по поводу отношения сотрудников банка к своим обязанностям и возможных проблем, таких, как злоупотребление имуществом, аферы или финансовые трудности, которые могут приводить к проблемам с безопасностью. 

9. «Необходимо знать» (Need to Know): Принцип, ограничивающий полномочия по доступу сотрудников банка и клиентов банка к информации и ресурсам по обработке информации на уровне, минимально необходимым для выполнения определенных обязанностей. 

10. «Двойное управление» (Dual Control): Принцип сохранения целостности процесса и борьбы с искажением функций системы, требующий того, чтобы два уполномоченных сотрудника банка независимо предпринимали некое действие до завершения определенных транзакций. 

11. Санкционирование является действием по предоставлению пользователю возможности выполнения (предоставления разрешения) конкретных действий в системе на основе его должностных обязанностей. Без специальной санкции ни одному пользователю не разрешается доступ к какой-либо информации или приложению. 

12. Идентификация (identification): процесс присвоения объектам/субъектам идентификатора (уникального имени) или сравнение идентификатора объекта/субъекта с перечнем присвоенных идентификаторов. 

13. Аутентификация - проверка принадлежности объекту/субъекту доступа предъявленного им идентификатора или подтверждение подлинности.  

14. Авторизация (authorisation): Процесс предоставления определенному объекту/субъекту прав на выполнение некоторых действий в соответствии с выполняемой ролью в системе.  

15. Информационная система - взаимосвязанная совокупность средств, методов и персонала, используемых для хранения, обработки и выдачи информации в интересах достижения поставленной цели. Информационная система содержит автоматизированные и неавтоматизированные процессы хранения, обработки и выдачи информации. 

16. Автоматизированная система (АС) это система, состоящая из персонала, комплекса средств автоматизации его деятельности, методов и мероприятий, реализующих информационную технологию выполнения установленных функций. 

17. Автоматизированная банковская система (АБС) это автоматизированная система, реализующая технологию выполнения функций банка. 

18. Пользователь автоматизированной системы это субъект или объект, зарегистрированный в автоматизированной системе и использующий ее ресурсы (сотрудники и клиенты банка). 

19. Информационные активы информация, имеющая ценность для банка с точки зрения достижения ее целей и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передаче форме. 

20. Доступность информационного актива свойство информационной безопасности банка, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимом пользователю, и в то время, когда они ему необходимы.  

21. Целостность информационного актива - свойство информационной безопасности банка сохранять неизменность или обнаруживать факт изменения в своих информационных активах. 

22. Конфиденциальность информационного актива - состояние ресурсов банка, состоящее в том, что обработка, хранение и передача информационных активов осуществляются таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам. 

23. Информационная безопасность (ИБ) - безопасность, связанная с угрозами в информационной сфере. Защищенность достигается обеспечением совокупности свойств ИБ - доступности, целостности, конфиденциальности информационных активов. Приоритетность свойств ИБ определяется ценностью указанных активов для интересов (целей) банка. 

24. Объект процесс, выполняющийся в информационной системе, запрашивающий разрешение на получение доступа к информации. 

25. Субъект пользователь, запрашивающий разрешение на получение доступа к информации. 

26. Идентификатор - уникальный признак субъекта или объекта доступа. 

27. Токен - компактное устройство в виде USB-брелока, которое служит для авторизации пользователя, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения любых персональных данных, также называется «ключ». 

28. Смарт-карта - пластиковые карты со встроенной микросхемой. В большинстве случаев смарт-карты содержат микропроцессор и операционную систему, контролирующую устройство и доступ к объектам в его памяти. Кроме того, смарт-карты, как правило, обладают возможностью проводить криптографические вычисления. 

29. Пароль это секретный набор символов, предназначенный для подтверждения полномочий пользователя. 

30. ПИН-конверт - специальный конверт для конфиденциального хранения ПИН кода. 

31. Спам - массовая рассылка коммерческой, политической и иной рекламы или иного вида сообщений (информации) лицам, не выражавшим желания их получать. 

 

3. Принятые сокращения 

АБС Автоматизированная банковская система 

АС Автоматизированная система 

ИБ Информационная безопасность 

ИС Информационная система 

ИТ Информационные технологии 

КР Кыргызская Республика 

НРД Неразрешенные действия 

НСД Несанкционированный доступ 

ПИН Персональный идентификационный код 

ПК Персональный компьютер 

ПО Программное обеспечение 

PCI DSS Payment Card Industry Data Security Standard 

 

4. Требования к документам по информационной безопасности 

32. Для обеспечения информационной безопасности банк должен разработать три уровня документации: политики, документы, регламентирующие практику обеспечения безопасности, и операционные процедуры обеспечения безопасности.  

33. Политики (общие политики) должны отражать решения высшего руководства банка по обеспечению ИБ банка, описывают общие принципы и цели обеспечения безопасности. В банке должно быть назначено уполномоченное лицо, ответственное за реализацию политики ИБ. 

34. Документы регламентирующие практику обеспечения безопасности (частные политики), должны отражать поддержку целей, установленных руководством и дальнейшую детализацию общих принципов, определяющих подробные меры, необходимые для выполнения требований политики информационной безопасности. Полномочия документов практики должны быть основаны на документах политики и строго соответствовать им.  

35. Документы операционных процедур обеспечения безопасности должны содержать описание практических приемов на техническом уровне, обеспечивающее внедрение необходимых практик. Документы процедур должны соответствовать общей политике организации и практическим приемам, на которых основаны эти процедуры. 

36. Банк должен обеспечить наличие и сохранность документов, которые содержат свидетельства выполненной деятельности по обеспечению ИБ (отчеты, акты, журналы) и отражать достигнутые результаты (промежуточные и окончательные) при реализации требований документов, относящиеся к обеспечению ИБ указанных выше уровней. 

37. Общие (основные) требования по обеспечению ИБ, отображаемые в частных политиках ИБ банка должны быть сформулированы для следующих наиболее важных областей: 

требования к персоналу; 

назначение и распределение ролей; 

обеспечение ИБ на стадиях жизненного цикла АС; 

защита от несанкционированного и нерегламентированного доступа, управление доступом и регистрацией всех действий в АС, в телекоммуникационном оборудовании, автоматических телефонных станциях и т.д.; 

управление доступом и регистрация в АС; 

антивирусная защита; 

использование ресурсов сети Интернет; 

использование криптографических средств защиты; 

защита банковских платежных и информационных технологических процессов; 

обеспечение непрерывности деятельности; 

резервное копирование и восстановление; 

физическая защита и т.д. 

38. Требования ИБ должны быть взаимоувязаны в непрерывный по задачам, подсистемам, уровням и стадиям жизненного цикла комплекс.  

39. Для управления системой обеспечения ИБ банк должен использовать процессный подход, включающий реализацию следующих процессов: планирование, реализация, проверка, совершенствование. 

5. Требования к персоналу 

40. Персонал банка должен включать как минимум следующие категории сотрудников:  

Высшее руководство - группа лиц, принимающих стратегические решения для всего банка либо отдельных его подразделений, контролирующих деятельность подразделений банка и принимающих окончательные решения по операционной деятельности и финансовым вопросам в банке;  

Менеджеры - группа лиц, принимающих тактические решения, организующих и контролирующих работу в рамках своих подразделений; 

Персонал безопасности - группа лиц, несущих ответственность за обеспечение безопасности в банке на различных участках. Персонал безопасности должен быть подчинен непосредственно высшему руководству и иметь соответствующие полномочия для выполнения своих функций; 

Внутренний аудит подразделение банка, ответственное за организацию и проведение внутреннего аудита в банке, включая ИТ аудит и аудит ИБ, в том числе и с привлечением консультантов; 

Персонал разработки и технической поддержки - подразделение банка, несущее ответственность за разработку, модернизацию и поддержание работоспособности информационной системы, и техническую реализацию мер безопасности; 

Операционный персонал - группа лиц, производящих санкционированные операции в информационной системе банка, а также ответственные за обслуживание клиентов банка. 

41. В банке должны быть документально определены процедуры приема на работу, включающие:  

проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов; 

проверку профессиональных навыков и оценку профессиональной пригодности. 

42. Все сотрудники банка должны быть ознакомлены с требованиями по обеспечению ИБ и подтвердить обязательство о соблюдении конфиденциальности и приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов. 

43. Обязанности персонала по выполнению требований по обеспечению ИБ должны быть включены в должностные инструкции. 

44. Неисполнение или ненадлежащее исполнение сотрудниками банка требований по обеспечению ИБ должны приравниваться к невыполнению должностных обязанностей и приводить как минимум к дисциплинарной ответственности. 

6. Назначение и распределение ролей 

45. В банке должны быть документально закреплены роли сотрудников, включая роли по обеспечению ИБ. 

46. В АС должны быть определенны роли, обеспечивающие четкое разграничение полномочий сотрудников. 

47. Банки должны при распределении прав доступа сотрудников и клиентов к информационным активам руководствоваться принципами: 

«знать своего клиента»; 

«знать своего служащего»; 

«необходимо знать»; 

«двойное управление» для операций по платежным системам. 

48. Формирование ролей должно осуществляться на основании существующих бизнес-процессов банка и проводиться с целью исключения концентрации полномочий и снижения риска инцидентов ИБ, связанных с потерей информационными активами свойств доступности, целостности или конфиденциальности. 

49. Для каждой роли должны быть назначены лица, ответственные за их выполнение. 

50. Ответственность сотрудников должна быть зафиксирована в должностных инструкциях. 

7. Жизненный цикл автоматизированных систем 

51. Банк должен обеспечить комплексную защиту автоматизированных систем на всех стадиях жизненного цикла АС (проектирование, реализация, тестирование, приемка, эксплуатация, сопровождение, модернизация, снятие с эксплуатации должны быть документированы и утверждены высшим руководством). 

52. Банк должен использовать только лицензионное программное обеспечение либо программное обеспечение собственной разработки при наличии полного комплекта документации, утвержденного высшим руководством (техническое задание, программа и методика испытаний, акт и журнал испытаний, акт ввода в промышленную эксплуатацию).  

8. Управление доступом и регистрация 

53. В банке должен быть документально определен перечень информационных активов (АС и их типов) и права доступа сотрудников и клиентов к данным активам. 

54. В банке при предоставлении доступа должны быть выполнены процедуры санкционирования, идентификации, аутентификации и авторизации пользователей. 

55. Процедуры управления доступом должны исключать возможность “самосанкционирования”. 

56. Перед выдачей идентификатора пользователю должна осуществляться проверка подтверждения личности пользователя. Система должна фиксировать исполнителя, выдавшего идентификатор пользователю.  

57. Аутентификация пользователей в системе должна осуществляться на основе одного или нескольких механизмов аутентификации: 

что-то, что пользователь знает (пароль); 

нечто, известное пользователю (смарт-карта, токен); 

какие-либо физические характеристики пользователя (отпечатки пальцев или другие биометрические данные). 

58. События по регистрации и изменению прав доступа пользователей должны фиксироваться в журнале событий системы. 

59. В банке должны применяться защитные меры, направленные на обеспечение защиты от несанкционированного доступа, неразрешенных действий, нарушения целостности информации, необходимой для регистрации, идентификации, аутентификации и (или) авторизации клиентов и сотрудников банка. Все попытки НСД и НРД к такой информации должны регистрироваться в журнале событий.  

60. При увольнении или изменении должностных обязанностей сотрудников банка, имевших доступ к информации АС, должны быть изменены (или заблокированы) их права и пароль доступа. 

61. Работа всех пользователей АС должна осуществляться под уникальными учетными записями. 

9. Ведение журнала событий проводимых операций 

62. Банк должен обеспечить в АС ведение журнала событий, осуществленной деятельности, как средство для проведения аудита информационной безопасности и восстановления хода событий и ведения подотчетности.  

63. Мониторинг и анализ информации журнала событий должен проводиться ежедневно администраторами АС (персонал технической поддержки) и все нестандартные ситуации, связанные с безопасностью, должны расследоваться. 

64. Информация журнала событий должна храниться в электронном виде в течение периода времени, равного сроку хранения обрабатываемых данных соответствующей АС, но не менее 2х лет. 

65. Информация журналов событий должна быть защищена от случайного или преднамеренного удаления, модификации или фальсификации. 

10. Процесс проведения платежей и расчетов в АС (в том числе SWIFT) 

66. Банк должен обеспечить соблюдение следующих требований ИБ при осуществлении процесса проведения платежей и расчетов (собственных и клиентских): 

обработку, учет и хранение платежной информации в АС на территории Кыргызской республики; 

защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации электронных платежных сообщений; 

доступ сотрудника банка только к тем ресурсам АС, обеспечивающим проведение платежей и расчетов, которые необходимы ему для исполнения должностных обязанностей; 

контроль (мониторинг) исполнения процессов подготовки, обработки, передачи и хранения платежной информации; 

аутентификацию входящих электронных платежных сообщений; 

двустороннюю аутентификацию автоматизированных рабочих мест (рабочих станций и серверов), участников обмена электронными платежными сообщениями (как для филиалов и отделений банков, так и для клиентов); 

возможность ввода платежной информации в АБС только для авторизованных пользователей; 

соблюдение в АБС принципа сквозной обработки платежей (обеспечение непрерывной обработки всего информационного потока поступающей финансовой информации без ручного вмешательства на протяжении всей технологической цепочки (от попадания информации в автоматизированную систему до завершения ее обработки) с целью достижения максимальной скорости проведения операций, и исключения ошибок); 

контроль, направленный на исключение возможности совершения злоумышленных действий (двойной ввод, сверка, авторизация транзакций, установление ограничений в зависимости от суммы совершаемых операций и т.д.) (как со стороны уполномоченных сотрудников, так и со стороны клиентов); 

восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники; 

сверку выходных электронных платежных сообщений с соответствующими входными и обработанными электронными платежными сообщениями при осуществлении межбанковских расчетов; 

доставку электронных платежных сообщений участникам обмена. 

67. Сотрудники банка, в том числе администраторы автоматизированных систем, не должны обладать полномочиями для бесконтрольного создания, авторизации, уничтожения и изменения платежной информации, а также проведения несанкционированных операций по изменению состояния банковских счетов. 

68. Обработку платежной информации и контроль (проверку) результатов обработки должны осуществлять разные сотрудники. 

69. Для систем обеспечивающих проведения платежей и расчетов должен быть предусмотрен основной и дублирующий состав персонала. В случае отсутствия какого-либо специалиста основного состава его функции должен выполнять специалист из дублирующего состава. 

70. Техническая инфраструктура систем, обеспечивающих проведение платежей и расчетов должна включать основную и резервную AC (аппаратно-программные комплексы), включая основные и резервные каналы связи. 

71. В банке должны быть предусмотрены процедуры по переходу (переключению) системы с основной на резервную АС, включающие получение санкции руководства на данный переход. 

72. В банке должны быть определены владельцы АС (должностные лица банка) и их ответственность, в том числе должна быть определена ответственность главного бухгалтера банка. 

73. Банк должен обеспечить единую централизованную обработку, учет и хранение данных по бухгалтерскому учету в АБС. 

74. АБС, используемые в банке, в том числе системы дистанционного банковского обслуживания, должны обеспечивать возможность регистрации: 

операций с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов; 

проводимых транзакций, имеющих финансовые последствия; 

операций, связанных с назначением и распределением прав пользователей. 

75. Системы дистанционного банковского обслуживания должны реализовывать защитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций. 

76. В банке должны быть разработаны и доведены до сведения сотрудников и клиентов процедуры, определяющие их действия в случае компрометации информации, необходимой для их идентификации, аутентификации и (или) авторизации.  

77. В системах дистанционного банковского обслуживания должны быть реализованы механизмы информирования (регулярного, непрерывного или по требованию) клиентов обо всех операциях, совершаемых от их имени. 

78. Системы дистанционного банковского обслуживания должны предусматривать меры: 

снижения вероятности выполнения непреднамеренных или случайных операций или транзакций авторизованными клиентами; 

доведения информации о возможных рисках, связанных с выполнением операций или транзакций до клиентов. 

79. Клиенты систем дистанционного банковского обслуживания должны быть обеспечены детальными инструкциями, описывающими процедуры выполнения операций или транзакций. 

11. Системы расчетов банковскими платежными картами 

80. При выпуске и обслуживании банковских платежных карт банк должен обеспечить выполнение всех пунктов настоящего Положения.  

81. При использовании международных платежных карт в банке должны выполняться соответствующие требования безопасности стандарта PCI DSS. 

82. Банк должен обеспечить выполнение следующих требований по безопасности информационных систем при использовании систем расчетов платежными картами: 

определение и соблюдение мер для поддержания защищенной сети для создания и обработки данных держателей платежных карт;  

отслеживание и контроль любого доступа любой доступ к сетевым ресурсам и данным платежных карт; 

запрет использования настроек безопасности и паролей, установленных производителем «по умолчанию» для ПО и оборудования; 

обеспечение защиты данных держателей платежных карт при хранении; 

обеспечение шифрования данных платежных карт, передаваемых по сетям общего пользования; 

использование и регулярное обновление антивирусного программного обеспечения; 

обеспечение безопасности при разработке и поддержке систем и приложений; 

ограничение доступа к данным платежных карт в соответствии со служебной необходимостью; 

назначение уникального идентификатора каждому лицу, имеющему доступ к вычислительным ресурсам; 

ограничение физического доступа к данным держателей банковских платежных карт и предоставление доступа только уполномоченным сотрудникам; 

регулярное тестирование систем и процессов обеспечения безопасности; 

актуальность политики ИБ, регламентирующей деятельность сотрудников и контрагентов.  

83. Банк при работе с банковскими платежными картами должен применять перечисленные ниже меры защиты: 

персонализация карт должна быть физически отделена от функций выпуска ПИН-конвертов и должны быть назначены разные ответственные сотрудники для выполнения указанных операций; 

при печати ПИН-конвертов верхний бланк должен быть уничтожен в присутствии двух уполномоченных сотрудников, ответственных за печать ПИН-конвертов; 

персонализация карт должна проводиться в присутствии двух уполномоченных сотрудников, ответственных за персонализацию; 

должны быть предусмотрены меры по защите банкоматов, автоматизированных терминалов самообслуживания и торговых терминалов от вандализма и злоумышленных действий; 

число попыток ввода ПИН кода карты должно быть ограничено (не более трех), после чего карта должна быть заблокирована, изъята и возвращена ее владельцу персонально; 

должно быть установлено ограничение числа операций и суммы денежных средств в течение одного дня для одного счета (установка лимитов). 

12. Банковский информационный процесс 

84. Для каждой АС соответствующим распоряжением должен быть назначен администратор информационной безопасности. Допускается назначение одного администратора информационной безопасности на несколько АС, а также совмещение выполнения указанных функций с другими обязанностями.  

85. Должны быть определены процедуры и персонал обслуживания средств вычислительной техники, используемых в банковском технологическом процессе, включая замену их программных и/или аппаратных частей. 

86. Должна осуществляться процедура периодического контроля всех реализованных программно-техническими средствами функций (требований) по обеспечению ИБ банковской информации.  

13. Использование ресурсов сети Интернет 

87. В банке должны быть явно определены и утверждены руководством банка цели использования сети Интернет, 

88. Использование сети Интернет в неустановленных целях должно быть запрещено.  

89. В банке должен быть документально определен порядок подключения и использования ресурсов сети Интернет, включающий, в том числе контроль со стороны подразделения, ответственного за обеспечение ИБ. 

90. В банке, осуществляющем дистанционное банковское обслуживание клиентов, в связи с повышенными рисками нарушения ИБ при взаимодействии с сетью Интернет должны применяться средства защиты информации, обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии. 

91. При осуществлении дистанционного банковского обслуживания должны применяться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в течение сеанса работы. 

92. Все операции клиентов в течение всего сеанса работы с системами дистанционного банковского обслуживания должны выполняться только после выполнения процедур идентификации, аутентификации и авторизации. В случаях нарушения или разрыва соединения необходимо обеспечить повторное выполнение указанных процедур. 

93. Почтовый обмен через сеть Интернет должен осуществляться с использованием защитных мер и противодействия распространению спама.  

94. При взаимодействии с сетью Интернет должны использоваться защитные меры противодействия атакам хакеров. 

14. Антивирусная защита 

95. На всех автоматизированных рабочих местах и серверах АС в банке должны применяться средства антивирусной защиты, если иное не предусмотрено технологическим процессом. 

96. В банке должны применяться только официально приобретенные (лицензионные) средства антивирусной защиты. Установка и регулярное обновление средств антивирусной защиты на автоматизированных рабочих местах и серверах АС должны осуществляться ответственными администраторами. 

97. При обеспечении антивирусной защиты в банке должны быть разработаны и введены в действие инструкции по антивирусной защите, учитывающие особенности банковских информационных процессов. 

98. В банке должна осуществляться антивирусная фильтрация трафика электронного почтового обмена. 

99. Устанавливаемое или изменяемое программное обеспечение должно быть предварительно проверено на отсутствие вирусов.  

100. При обнаружении компьютерного вируса должны быть приняты меры по его обезвреживанию и восстановлению работоспособности рабочих мест. 

101. Отключение или не обновление антивирусных средств не допускается. Установка и обновление средств антивирусной защиты должны контролироваться ответственными сотрудниками. 

102. Ответственность за выполнение требований процедур по антивирусной защите должны быть возложены на каждого сотрудника банка, имеющего доступ к ПК и/или АС. 

15. Использование криптографических средств защиты 

103. В банке должна быть обеспечена безопасность использования криптографических средств защиты информации. 

104. Используемые в банке средства криптографической защиты должны: 

поставляться разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней. 

иметь строгий регламент использования ключей, предполагающий контроль со стороны администратора ИБ за действиями пользователя на всех этапах работы с ключевой информацией. 

обеспечивать реализацию процедур сброса ключей в случаях отсутствия штатной активности пользователей в соответствии с регламентом использования ключей или при переходе АБС в нештатный режим работы. 

16. Резервное копирование и восстановление 

105. В банке должны создаваться резервные копии для платежной и другой банковской информации, а также для системного и прикладного программного обеспечения, необходимого для обработки этой информации. 

106. В качестве носителей данных должны использоваться внешние носители информации: жесткие диски, магнитные ленты, записываемые оптические цифровые диски и др.  

107. Все резервные копии должны быть промаркированы, с указанием хранимой информации, учетного номера и даты создания копии.  

108. Резервные копии (или их дубликаты) должны храниться в удаленных помещениях, обеспечивающих защиту от несанкционированного доступа, защиту от электромагнитных излучений, защиту от тепловых воздействий, защиту от механических воздействий, а также при поддержании внутренней температуры и влажности воздуха на заданном уровне. 

109. Должны осуществляться процедуры периодического тестирования и восстановления данных архива резервных копий.  

17. Защита персональных данных 

110. В банке должны быть предусмотрены меры по защите персональных данных и определен порядок обработки персональных данных в соответствии с Законом «Об информации персонального характера» от 14 апреля 2008 года N 58. 

18. Требования к помещениям и порядок доступа 

111. Банк должен обеспечить техническую укрепленность помещений в соответствии с требованиями, предъявляемыми к банкам и иным финансово-кредитным учреждениям Кыргызской Республики. 

112. Помещения для оборудования информационных систем должны соответствовать условиям эксплуатации данного оборудования.  

113. Порядок доступа сотрудников банка в помещения, в которых размещаются объекты информационных активов, должен быть регламентирован во внутренних документах банка, а их выполнение должно контролироваться. 

114. В случае, если банк осуществляет выпуск банковских карт самостоятельно, то помещение, в котором банк устанавливает аппаратно-программный комплекс по персонализации банковских карт, должно соответствовать следующим основным требованиям: 

должно быть изолированным (не проходным, без окон); 

должно быть оснащено надежными автоматическими замками; 

должно быть оснащено средствами пожарной и охранной сигнализации, средствами наблюдения, исключающим возможность бесконтрольного проникновения в помещение посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов; 

наличие как минимум двух помещений (для выполнения персонализации карт и выпуска ПИН-конвертов), оборудованных сейфами для хранения заготовок карт и ПИН-конвертов; 

помещение для выпуска ПИН-конвертов должно быть оборудовано шредером для уничтожения бланков и испорченных ПИН-конвертов.