Научно-практические рекомендации по совершенствованию безопасности банковской системы — страница 11

  • Просмотров 8034
  • Скачиваний 379
  • Размер файла 60
    Кб

пользователями.   Следует иметь ввиду, что на стадии тестирования должны обеспечиваться анонимность данных и проверка адекватности разграничения доступа, а на стадии эксплуатации должны быть документально определены и выполняться процедуры контроля работоспособности (функционирования, эффективности) реализованных защитных мер. Результаты выполнения контроля должны документироваться. В составе автоматизированной

банковской системы должны применяться встроенные защитные меры, а также рекомендуются к использованию сертифицированные или разрешенные руководством организации к применению средства защиты информации от несанкционированного доступа и средства криптографической защиты информации. Необходимым требование являются документально определенные и утвержденные руководством, выполняемые и контролируемые процедуры

идентификации, аутентификации, авторизации; управления доступом; контроля целостности; регистрации событий и действий. Необходимо документально определить процедуры мониторинга и анализа данных регистрации, действий и операций, позволяющие выявлять неправомерные или подозрительные операции и транзакции. Для проведения процедур мониторинга и анализа данных регистрации, действий и операций рекомендуется использовать

специализированные программные и(или) технические средства. Процедуры мониторинга и анализа должны использовать документально определенные критерии выявления неправомерных или подозрительных действий и операций. Указанные процедуры мониторинга и анализа должны применяться на регулярной основе, например, ежедневно, ко всем выполненным операциям и транзакциям. Порядок доступа работников в помещения, в которых размещаются

объекты среды информационных активов, должен быть регламентирован во внутренних документах организации, а его выполнение должно контролироваться. Используемые в организации автоматизированные банковские системы, в том числе системы дистанционного банковского обслуживания, должны обеспечивать среди прочего возможность регистрации: · операций с данными о клиентских счетах, включая операции открытия, модификации и

закрытия клиентских счетов; · проводимых транзакций, имеющих финансовые последствия; · операций, связанных с назначением и распределением прав пользователей.   Системы дистанционного банковского обслуживания должны реализовывать защитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций, например, электронная цифровая подпись. Протоколам операций, выполняемых