7.8.5. Работники организации БС РФ, в том числе администраторы автоматизированных систем и средств защиты информации, не должны обладать полномочиями для бесконтрольного создания, авторизации, уничтожения и изменения платежной информации, а также проведения несанкционированных операций по изменению состояния банковских счетов.
7.8.6. Результаты технологических операций по обработке платежной информации должны контролироваться (проверяться) и удостоверяться лицами/автоматизированными процессами.
Рекомендуется, чтобы обработку платежной информации и контроль (проверку) результатов обработки осуществляли разные работники/автоматизированные процессы.
7.8.7. Обязанности по администрированию средств защиты платежной информации рекомендуется возлагать приказом или распоряжением по организации БС РФ на администраторов ИБ с отражением этих обязанностей в их должностных инструкциях.
7.8.8. Комплекс мер по обеспечению ИБ банковского платежного технологического процесса должен предусматривать, в том числе:
– защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации электронных платежных сообщений;
– доступ работника организации БС РФ только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения должностных обязанностей или реализации прав, предусмотренных технологией обработки платежной информации;
– контроль (мониторинг) исполнения установленной технологии подготовки, обработки, передачи и хранения платежной информации;
– аутентификацию входящих электронных платежных сообщений;
– двустороннюю аутентификацию автоматизированных рабочих мест (рабочих станций и серверов), участников обмена электронными платежными сообщениями;
– возможность ввода платежной информации в АБС только для авторизованных пользователей;
– контроль, направленный на исключение возможности совершения злоумышленных действий (двойной ввод, сверка, установление ограничений в зависимости от суммы совершаемых операций и т.д.);
– восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники;
– сверку выходных электронных платежных сообщений с соответствующими входными и обработанными электронными платежными сообщениями при осуществлении межбанковских расчетов;
– доставку электронных платежных сообщений участникам обмена.
Кроме того, в организации БС РФ рекомендуется организовать авторизованный ввод платежной информации в АБС двумя работниками с последующей программной сверкой результатов ввода на совпадение (принцип «двойного управления»).
7.8.9. При проектировании, разработке и эксплуатации систем дистанционного банковского обслуживания должны быть документально определены и выполняться процедуры, реализующие, в том числе, механизмы:
– снижения вероятности выполнения непреднамеренных или случайных операций или транзакций авторизованными клиентами;
– доведения информации о возможных рисках, связанных с выполнением операций или транзакций до клиентов.
Клиенты систем дистанционного банковского обслуживания должны быть обеспечены детальными инструкциями, описывающими процедуры выполнения операций или транзакций.
7.8.10. Должны быть документально определены процедуры обслуживания средств вычислительной техники, используемых в банковском платежном технологическом процессе, включая замену их программных и(или) аппаратных частей.
7.8.11. Должна осуществляться и быть регламентирована процедура периодического контроля всех реализованных программно-техническими средствами функций (требований) по обеспечению ИБ платежной информации. Регламентирующие документы должны быть согласованы со службой либо лицом, отвечающим в организации БС РФ за обеспечение ИБ.
7.8.12. Должна осуществляться и быть регламентирована процедура восстановления всех реализованных программно-техническими средствами функций по обеспечению ИБ платежной информации. Регламентирующие документы должны быть согласованы со службой либо лицом, отвечающим в организации БС РФ за обеспечение ИБ.
7.9.1. СИБ банковского информационного технологического процесса должна соответствовать требованиям пунктов 7.2.—7.7, 7.9 настоящего стандарта.
7.9.2. В организации БС РФ рекомендуется провести классификацию неплатежной информации.
Классификацию неплатежной информации следует проводить в соответствии со степенью тяжести последствий потери ее свойств ИБ, в частности, свойств доступности, целостности и конфиденциальности.
7.9.3. Для каждого из типов неплатежных информационных активов (типов неплатежной информации), полученных в результате классификации, должен быть документально определен набор требований по их защите.
7.9.4. Обязанности по администрированию средств защиты неплатежной информации рекомендуется возлагать приказом или распоряжением по организации БС РФ на администраторов ИБ с отражением этих обязанностей в их должностных инструкциях.
7.9.5. Для каждой АБС должен быть документально определен порядок контроля ее функционирования со стороны лиц, отвечающих за ИБ.
7.9.6. Банковские информационные технологические процессы должны быть документированы в организации БС РФ. Указанные документы должны быть согласованы со службой ИБ. Указанные технологические процессы должны быть реализованы в рамках созданных для этих целей АБС. Не входящее в состав данных АБС сервера, офисные ЭВМ и другое оборудование рекомендуется изолировать от АБС на уровне локальных вычислительных сетей способом, согласованным со службой либо лицом, отвечающим в организации за ИБ.
7.9.7. Должны быть документально определены перечни программного обеспечения, устанавливаемого и(или) используемого в ЭВМ и АБС и необходимого для выполнения конкретных банковских информационных технологических процессов. Состав установленного и используемого в ЭВМ и АБС программного обеспечения должен соответствовать определенному перечню. Выполнение данных требований должно контролироваться с документированием результатов.
7.9.8. Должна быть регламентирована и осуществляться процедура периодического контроля всех реализованных программно-техническими средствами и организационными мерами функций (требований) по обеспечению ИБ неплатежной информации. Регламентирующие документы должны быть согласованы со службой либо лицом, отвечающим в организации за ИБ.
7.9.9. Должна быть регламентирована и осуществляться процедура восстановления всех реализованных программно-техническими средствами и организационными мерами функций по обеспечению ИБ неплатежной информации. Регламентирующие документы должны быть согласованы со службой либо лицом, отвечающим в организации за ИБ.
7.10. Общие требования по обработке персональных данных в организации БС РФ
7.10.1. В организации БС РФ должны быть определены, документально зафиксированы и утверждены руководством организации БС РФ цели обработки персональных данных.
7.10.2. В организации БС РФ должна быть определена необходимость уведомления Уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных
7.10.3. Для каждой цели обработки персональных данных должны быть определены, документально зафиксированы и утверждены руководством организации БС РФ:
- объем и содержание персональных данных;
- сроки обработки, в том числе сроки хранения персональных данных;
- необходимость получения согласия субъектов персональных данных.
7.10.4. В организации БС РФ рекомендуется проводить классификацию персональных данных в соответствии со степенью тяжести последствий потери свойств безопасности персональных данных для субъекта персональных данных.
Рекомендуется выделять следующие категории персональных данных:
- персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» [5] к специальным категориям персональных данных;
- персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» [5] к биометрическим персональным данным;
- персональные данные, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным;
- персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» [5] к общедоступным или обезличенным персональным данным.
7.10.5. Передача персональных данных организацией БС РФ третьему лицу должна осуществляться с согласия субъекта персональных данных и на основании договора, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
7.10.6. Организация БС РФ должна прекратить обработку персональных данных и уничтожить собранные персональные данные, если иное не установлено законодательством РФ в следующих случаях и в сроки, установленные законодательством РФ:
- по достижении целей обработки или при утрате необходимости в их достижении;
- по требованию субъекта персональных данных или Уполномоченного органа по защите прав субъектов персональных данных - если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- при отзыве субъектом персональных данных согласия на обработку своих персональных данных, если такое согласие требуется в соответствии с законодательством РФ.