Положение об обеспечении информационной безопасности при работе в автоматизированной банковской системе

АБС – это информационная система, под которой в соответствии со ст.2 Закона об информации понимается «организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы». Средствами обеспечения автоматизированных информационных систем и их технологий служат программные, технические, лингвистические, правовые, организационные средства (программы для ЭВМ; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию (ст.2 Закона об информации). АБС является чатью информационной банковской системы (ИБС).

Функции АБС:

• операционный день;
• операции на фондовом рынке;
• внутрихозяйственная деятельность;
• розничные банковские услуги;
• дистанционное банковское обслуживание;
• электронные банковские услуги;
• депозитарий;
• рассчетно-кассовое обслуживание и платежные системы («карточные» продукты);
• управление деятельностью банка, реализация бизнес-логики, формы учета и отчетности;
• кредитные операции: межбанковские и коммерческие.

Приведенные выше функции АБС реализуются посредством следующих технологий:

• систем управления базами данных (распределенных);
• хранилищ данных, OLAP и OLTP технологий обработки данных (систем оперативной аналитической обработки и оперативной обработки транзакций);
• систем поиска, извлечения и подготовки достоверных данных;
• распределенной вычислительной системы, организации коллективной работы пользователей, создания реального информационного пространства банка, включая филиалы, клиентов и партнеров;
• технического, математического, программного и другого обеспечения;
• информационной аналитики и систем поддержки принятия решений (DSS - decision support system);
• обеспечения сохранности и целостности информации, безопасности АБС в целом;
• программ реализации фронт-офиса взаимодействия с клиентами;
• систем поддержки внутренней организации, менеджмента и деятельности персонала;
• систем разграничения доступа к информации разного уровня;
• поддержки стандартов учета, включая управленческий;
• поддержки и исследования в области планомерного информационного развития АБС.

Под информационной безопасностью АБС понимается обеспечение целостности, доступности и конфиденциальности ее компонентов. Для обеспечения информационной безопасности АБС руководителям и сотрудникам подразделений Банка необходимо обеспечить следующие условия:

• выработка и соблюдение правил по защите информации, а также контроль за выполнением мероприятий, направленных на защиту информации, обрабатываемой в АБС;
• использование сертифицированных технических средств и средств защиты информации;
• создание организационной структуры обеспечения информационной безопасности в АБС;
• контроль за соблюдением установленных лимитов по проводимым банковским операциям и другим сделкам;
• соблюдение установленного порядка доступа к АБС;
• надлежащая подготовка персонала;
• регулярная выверка первичных документов и счетов по проводимым банковским операциям и другим сделкам.

В ВАША ОРГАНИЗАЦИЯ (далее Организация) используется многопрофильная автоматизированная банковская система, с возможностью работы сотрудников дополнительных офисов банка, территориально удаленно расположенных, в режиме он-лайн.

Информационная безопасность обеспечивается на уровне ядра АБС и обеспечивает замкнутое сохранение данных, связанных с АБС (собственно модулей системы, системных и прикладных данных) таким образом, чтобы:

• невозможно было получить логический доступ к указанным данным вне рамок работы ПО АБС;
• любые перемещения данных из/в систему происходили под контролем подсистемы безопасности.

Информационная безопасность обеспечивается в АБС следующими механизмами:

Работа любого субъекта (пользователя или процесса) в АБС идентифицирована системой и основным средством аутентификации пользователей в АБС является схема «имя пользователя/пароль». К дополнительным механизмам работы с бюджетами пользователя можно отнести следующие:

• изменить пароль пользователя, кроме него самого, может администратор безопасности, при этом он не имеет возможности получить информацию о старом, заменяемом пароле;
• при входе пользователя в систему присутствует предупреждение о запрете использования чужих паролей и несанкционированного доступа;
• при входе пользователя в систему ему представляется информация о предыдущем успешном входе в систему (дата и время), а также количество ошибок при вводе пароля между двумя последними успешными входами в систему (если таковые были) с указанием даты и времени;
• бюджет пользователя имеет уникальный системный идентификатор, который формироваться автоматически при регистрации нового пользователя и доступен уполномоченному администратору только на чтение;
• бюджет пользователя может быть заблокирован вручную уполномоченным администратором без изменения пароля бюджета, а также получить признак требования немедленной смены пароля пользователем;
• бюджет пользователя имеет поля для описательной текстовой информации и возможность расширения для привязки дополнительных полей, например, изображения.

Для определения единообразного уровня доступа субъектов к информационным объектам, являющимся первичной информационной единицей, система предусматривает следующие распределения доступа:

• к группе или нескольким группам объектов;
• к объекту;
• к набору частей объекта.

Доступ к информационным объектам должен включать следующие виды ограничений:

• нет доступа к объекту;
• доступ (к объекту/части объекта) только на чтение;
• доступ (к объекту/части объекта) только на изменение - отдельно с чтением и без чтения;
• удаление информационного объекта;
• добавление информационного объекта;
• нет доступа на чтение;
• нет доступа на изменение;
• нет доступа на добавление;
• нет доступа на удаление.

Кроме доступа к конкретным информационным объектам, предусмотрено разделение доступа к функциям, выполняющим процессы над объектами. Отдельно выделены функции, выполняющие массовые изменения данных в информационных объектах.

Схема определения доступа предоставляет возможность группового или ролевого доступа, то есть создание абстрактного профиля прав пользователя. При включении нового пользователя в конкретную группу он автоматически должен наследовать все права, присущие пользователям данной группы. При этом суммарные права пользователя должны проверяться на непротиворечивость, применяется принцип поглощения более широкими разрешительными правами более узких (суммирование прав) и принцип преимущества запретительных прав над разрешительными. Также существует возможность копирования (наследования) прав пользователя с возможностью последующей корректировки.

Для каждого информационного объекта существует владелец объекта (с возможностью в дальнейшем заменить одного владельца на другого) с полными правами доступа. Система контролирует обязательное наличие хотя бы одного пользователя (владельца или администратора) для каждого информационного объекта.

Система обеспечивает дополнительные возможности по установке разграничений доступа к информационным объектам или их частям. Примером такого разграничения является понятие овердрафта (принижение минимально допустимого остатка). Разграничение права использования овердрафта осуществляется следующим образом:

• разрешен ли овердрафт вообще;
• размер овердрафта для конкретного счета, для группы счетов;
• размер овердрафта для данного пользователя;
• размер овердрафта для данной операции;
• размер овердрафта для вида валюты.

Информация о критических атрибутах профиля пользователя (пароли, ключи) хранится в виде, исключающем возможность прямого доступа к ним пользователей, минуя средства системы. Это означает, что указанные данные при постоянном хранении защищены средствами криптографии с предоставлением доступа только либо самому пользователю, либо процессам подсистемы безопасности, либо администратору, уполномоченному подсистемой безопасности.

При работе пользователей дополнительных офисов, когда основная база данных находится в центре, а конечный пользователь - в удаленном филиале, наличие защищенных каналов связи обеспечивает информационную безопасность. При этом АБС обеспечивает защиту соединения на прикладном уровне.

АБС поддерживает логическую целостность бизнес-данных, то есть изменения должны носить характер транзакционно-ориентированных, выполняющихся в целом от начала до конца либо, в случае сбоя, не выполняющихся совсем.

Система имеет собственную встроенную и внешнюю подсистему проверки целостности файлов, модулей и системных данных самой АБС на предмет их несанкционированной модификации.

Никакие системные или прикладные данные не могут быть удалены в рамках АБС без следов. Присутствует настройка на запрет удаления отдельных категорий данных. Система также фиксирует информацию, необходимую для идентификации факта, объекта и субъекта процесса удаления. Система предусматривает возможность восстановления удаленных данных в течение определенного промежутка времени.

АБС имеет возможность резервного копирования и восстановления средствами самой системы. Резервное копирование предусматривает как сохранение прикладных, так и системных данных, и осуществляется по заранее установленному графику от одного до нескольких раз в день, либо вручную по команде оператора.

Система аудита АБС различает бизнес-значимые и системно-значимые события. Для бизнес-значимых событий фиксируются параметры, которые не отражаются напрямую в прикладных данных системы, например такие, как время запуска процедуры массовой работы со счетами, имя пользователя и сетевой адрес его рабочей станции. Для системно-значимых событий происходит фиксация любых изменений, которые так или иначе могут отразиться на работе системы. Такой список включает следующие события:

• добавление, удаление пользователя или изменение атрибутов пользователя;
• изменение настроек криптографической защиты данных;
• изменение настроек контроля целостности;
• изменение настроек удаленного доступа;
• изменение настроек резервного копирования;
• изменение настроек, влияющих на работоспособность и производительность системы;
• запуск, остановка процедур системного характера и обмен данными с процедурами системного характера;
• сообщения администратору, имеющие отношение к безопасности системы.

При этом информация, фиксируемая в регистрационных журналах, обеспечивает однозначную идентификацию субъекта, причины, времени, местоположения и результата произведенного действия.

Все бизнес-значимые действия пользователей в АБС, как успешные, так и неудачные, начиная от попытки установления связи и до завершения сессии, фиксируются. Журнал будет использован для исследования корректности работы АБС, мониторинга действий пользователей, расследования сложных или подозрительных событий и т.д.

Все события разбиты на типы (открытие счета, регистрация клиента, корректировка карточки счета и пр.) и категории (клиенты, счета, пользователи, системные события, безопасность и т.д.).

Каждый тип событий характеризуется уровнем доступа или тем, интересы каких пользователей могут затронуть события данного типа и для кого они будут доступны при просмотре журнала.

Подходы к снижению операционного риска в АБС можно разделить на три составляющие:

1. Технологический подход, при котором минимизация операционного риска производится за счет рационализации общей технологии обработки информации в автоматизированной системе независимо от прикладного назначения ПО.

2. Функциональный подход, при котором операционный риск минимизируется за счет полноты соответствия реализованных прикладных алгоритмов требованиям предметной области (нормативы, правила, описания банковских продуктов и т.п.).

3. Методологический аспект, направленный на повышение степени формализации нормативов, правил, законодательных актов и других регламентирующих документов, определяющих порядок и правила реализации банковских услуг и продуктов.

Технологический подход:

• управление правами доступа пользователей — позволяет разграничить доступ к информации в зависимости от компетенции и сферы ответственности конкретного исполнителя;
• автоматизированное заполнение документов условно постоянной информацией - минимизирует ручной ввод данных пользователем АБС:
• применение различных настроечных параметров (реквизиты банка, оргструктура, ФИО руководства и т.п.), информация из которых автоматически включается в различные платежные документы, отчеты и другие документы;
• справочники-классификаторы с нормативно-справочной информацией (НСИ), которая используется как при заполнении исходящих, так и при контроле входящих документов. Состав таких справочников в АБС достаточно широк, он включает в себя общероссийские классификаторы (ОКВЭД, ОКПО, СОАТО и др.), отраслевые классификаторы (ЦБ РФ, МНС, ФСФМ, ФСФР и др.), а также ряд международных стандартов (ISO, SWIFT, стандарты международных платежных систем);
• шаблоны операций и документов с предварительно заполненными параметрами, например маски счетов, коды документов, коды операций и т.п. Такие шаблоны позволяют избежать полного ручного заполнения документов - достаточно указать сумму и детали платежа. Если учесть, что количество платежных (и других) документов, формируемых в АБС, достаточно велико, а число реквизитов в таких документах тоже немалое, такие шаблоны являются эффективнейшим средством снижения операционного риска;
• формализованное описание условий типовых договоров, банковских продуктов (типы операций, процентные ставки, пеня, срочность и т.п.) - также позволяет избежать появления ошибок как при первоначальном вводе договора, так и при последующей его обработке (начисление процентов, пролонгация, закрытие);
• реализация протоколов обмена с внешними системами РКЦ, карточными процессингами и др. - исключает ручной набор платежных документов на терминалах соответствующих внешних систем;
• однократность ввода информации и многократное ее использование в различных модулях АБС и других приложениях.

Функциональный подход:

• модульность АБС – достижение соответствия результатов функционирования программного обеспечения АБС разнородным и жестким требованиям со стороны внешних систем за счет добавления новых модулей-подсистем и обеспечением взаимодействия между ними;
• привлечение сторонних разработчиков – обеспечение оперативности внесения изменений в ПО АБС для удовлетворения потоку нормативных изменений правил выполнения банковских операций и формирования отчетности.

Методологический подход:

• формализация правил и алгоритмов ПО АБС – эффективность функционирования, доработки и разработки новых модулей программного обеспечения АБС напрямую зависит от проработанности и описания технологических процессов в подразделении;
• организация взаимодействия с автономными программными комплексами – обеспечение расширения функциональности и независимости от разработчика программного обеспечения АБС.

Организация защиты информации в АБС осуществляется путем:

• выработки и соблюдения правил по защите информации, а также контроля за выполнением мероприятий, направленных на защиту информации, обрабатываемой в АБС;
• использования сертифицированных технических средств и средств защиты информации в АБС;
• организации защиты информации в АБС;
• координации деятельности по сбору и использованию методов обработки информации в АБС.

Обязанности субъектов системы информационной безопасности в АБС:

• при создании новой учетной записи в АБС пользователь оформляет стандартную заявку на подключение к корпоративной сети в части касающейся АБС (имя учетной записи, необходимые модули АБС и необходимые функции);
• при изменении прав доступа к АБС пользователь оформляет дополнительную заявку;
• пользователь работает в АБС только под своим бюджетом, категорически запрещается передавать другому пользователю или использовать бюджет и пароль другого пользователя;
• при необходимости выполнения типовых операций в подразделении пользователи должны обращаться в УИТ для создания специальных групп пользователей или групп операций в АБС;
• пользователь должен менять свой пароль для доступа в АБС не реже одного раза в 90 дней;
• в случае возникновения сбоев и некорректного завершения бизнес-значимых операций в АБС пользователь обязан немедленно уведомить об этом сотрудников УИТ;
• в случае возникновения сбоев и некорректного завершения системно-значимых операций в АБС пользователь обязан немедленно уведомить об этом сотрудников УИТ.

• при подключении нового пользователя к АБС сотрудник УИТ, в соответствии со стандартной заявкой, создает новую учетную запись в АБС и задает права доступа (бюджет нового пользователя создается с временным паролем, который должен быть сменен при первом входе в АБС);
• при изменении прав доступа к АБС сотрудник УИТ, в соответствии со стандартной заявкой, блокирует учетную запись пользователя (заблокированная учетная запись не уничтожается);
• сотрудники УИТ ведут общий список объектов, групп объектов и операций АБС;
• сотрудники УИТ обеспечивают конфиденциальность данных информационной безопасности в АБС (списки бюджетов, прав и паролей пользователей должны быть обеспечены дополнительными средствами защиты);
• сотрудники УИТ должны обеспечить непрерывность и целостность функционирования серверных и наиболее важных пользовательских рабочих станций работающих в АБС от скачков и временной потери электрического питания;
• сотрудники УИТ должны обеспечить резервное копирование ПО АБС серверной части, данных и предусмотреть наличие резервных серверов АБС;
• сотрудники УИТ обязаны разработать регламенты резервного копирования ПО АБС серверной части, данных и перехода на резервные сервера АБС;
• сотрудники УИТ обязаны проводить тестирование регламентов резервного копирования ПО АБС серверной части, данных и перехода на резервные сервера АБС;
• сотрудники УИТ должны обеспечить ведение и хранение журналов бизнес-значимых и системно-значимых операций в АБС.

• при создании новой учетной записи в АБС сотрудник ОИБ заверяет стандартную заявку на подключение к корпоративной сети;
• сотрудники ОИБ осуществляют контроль за созданием и блокировкой учетных записей в АБС;
• сотрудники ОИБ осуществляют контроль за ведением общего списка объектов, групп объектов и операций АБС;
• сотрудники ОИБ осуществляют контроль за разграничением прав использования овердрафта в АБС;
• сотрудники ОИБ осуществляют контроль за обеспечением конфиденциальности данных информационной безопасности в АБС;
• сотрудники ОИБ осуществляют контроль за регламентами резервного копирования ПО АБС серверной части, данных и перехода на резервные сервера АБС;
• сотрудники ОИБ обязаны принимать участие в тестировании регламентов резервного копирования ПО АБС серверной части, данных и перехода на резервные сервера АБС;
• сотрудники ОИБ должны проводить расследование инцидентов, связанных с нарушениями информационной безопасности в АБС, с привлечением пользователей, сотрудников Управления экономической безопасности и Управления информационных технологий.

Для обеспечения технологического подхода при минимизации операционного риска в АБС руководителям и сотрудникам подразделений Банка необходимо обеспечить следующие условия:

• контроль за корректностью и актуальностью настроечных параметров, справочников-классификаторов с НСИ, а также шаблонов операций и документов;
• обязательное проведение операций, документов, договоров и банковских продуктов через функциональные модули АБС (исключение «ручных проводок и операций»);
• контроль за выгруженными документами для получения/передачи во внешние системы;
• контроль и акцепт выполняемых пользователем АБС операций вышестоящим лицом;
• применение дополнительных процедур контроля результатов расчета, которые особенно широко используются при формировании банковской отчетности (поверочные тесты, расшифровки сводных и агрегированных данных и т.п.).

Для обеспечения функционального подхода при минимизации операционного риска в АБС руководителям и сотрудникам подразделений Банка необходимо обеспечить следующие условия:

• своевременную подачу заявок на доработку существующих и добавление новых модулей АБС;
• непосредственное участие в доработках и составлении технических требований/заданий при внедрении и доработке новых модулей АБС;
• своевременное уведомление об изменениях в нормативных документах и требованиях Банка России, связанных с регламентацией правил выполнения банковских операций в АБС;
• своевременное информирование о сбоях, ошибках и нарушения функциональности в АБС.

Для обеспечения методологического подхода при минимизации операционного риска в АБС руководителям и сотрудникам подразделений Банка необходимо обеспечить следующие условия:

• организацию, разработку и внедрение технологической и методологической документации, регламентов и инструкций работы пользователей;

проведение обучения новых сотрудников в соответствии с разработанными регламентами и инструкциями;

• организацию своевременной передачи дел при увольнении и переводе на другую должность сотрудников подразделения;
• проведение оценки совместимости с существующим ПО АБС при покупке программного обеспечения стороннего разработчика.

Пользователи, виновные в нарушении информационной безопасности в автоматизированной банковской системе, несут персональную ответственность в установленном порядке. Положение о персональной ответственности реализуется с помощью:

• росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах;
• индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированной банковской системе;
• проверки подлинности (аутентификации) пользователей на основе использования паролей при доступе в автоматизированную банковскую систему.

Перечень ролей в АБС

В АБС ВАША ОРГАНИЗАЦИЯ работа с различными пользователями организована на базе ролей. Роль - это условное обозначение всей совокупности прав и возможностей каждого конкретного пользователя по работе в системе.

Роли задают:

• видимость или невидимость определённых пунктов меню;
• возможность или невозможность вызова некоторых пунктов видимых меню и подменю;
• возможность и уровень доступа к определённым данным БД и возможность выполнения определённых операций с данными.

В АБС используются следующие предопределенные роли:

Настоящая Инструкция разработана на основании законодательных актов Российской Федерации, в соответствии с требованиями Положения об обеспечении информационной безопасности при работе в автоматизированной банковской системе ВАША ОРГАНИЗАЦИЯ.

При работе с АБС сотрудники обязаны:

• при создании новой учетной записи в АБС пользователь оформляет стандартную заявку на подключение к корпоративной сети в части касающейся АБС (имя учетной записи, необходимые модули АБС и необходимые функции;
• при изменении прав доступа к АБС пользователь оформляет дополнительную заявку;
• пользователь работает в АБС только под своим бюджетом, категорически запрещается передавать другому пользователю или использовать бюджет и пароль другого пользователя;
• при необходимости выполнения типовых операций в подразделении пользователи должны обращаться в УИТ для создания специальных групп пользователей или групп операций в АБС;
• пользователь должен менять свой пароль для доступа в АБС не реже одного раза в 90 дней;
• в случае возникновения сбоев и некорректного завершения бизнес-значимых операций в АБС пользователь обязан немедленно уведомить об этом сотрудников УИТ;
• в случае возникновения сбоев и некорректного завершения системно-значимых операций в АБС пользователь обязан немедленно уведомить об этом сотрудников УИТ.

Руководителям и сотрудникам подразделений Банка при работе в АБС необходимо обеспечить следующие условия:

• контроль за корректностью и актуальностью настроечных параметров, справочников-классификаторов с НСИ, а также шаблонов операций и документов;
• обязательное проведение операций, документов, договоров и банковских продуктов через функциональные модули АБС (исключение «ручных проводок и операций»);
• контроль за выгруженными документами для получения/передачи во внешние системы;
• контроль и акцепт выполняемых пользователем АБС операций вышестоящим лицом;
• применение дополнительных процедур контроля результатов расчета, которые особенно широко используются при формировании банковской отчетности (поверочные тесты, расшифровки сводных и агрегированных данных и т.п.);
• своевременную подачу заявок на доработку существующих и добавление новых модулей АБС;
• непосредственное участие в доработках и составлении технических требований/заданий при внедрении и доработке новых модулей АБС;
• своевременное уведомление об изменениях в нормативных документах и требованиях Банка России, связанных с регламентацией правил выполнения банковских операций в АБС;
• своевременное информирование о сбоях, ошибках и нарушения функциональности в АБС;
• организацию, разработку и внедрение технологической и методологической документации, регламентов и инструкций работы пользователей;
• проведение обучения новых сотрудников в соответствии с разработанными регламентами и инструкциями;
• организацию своевременной передачи дел при увольнении и переводе на другую должность сотрудников подразделения;
• проведение оценки совместимости с существующим ПО АБС при покупке программного обеспечения стороннего разработчика.