Постановление Правления Национального Банка Республики Казахстан № 48 от 27.03.2018

63. Процесс создания матрицы доступа к информационной системе осуществляется в порядке, определяемом банком, организацией, и состоит из следующих этапов:

     1) бизнес-владелец информационной системы обеспечивает формирование и актуальность матрицы доступа к информационной системе банка, организации;

     2) владелец бизнес-процесса совместно с ИТ-менеджером информационной системы обеспечивают формирование и актуальность ролей в информационной системе в объеме, определяемом функциональными обязанностями работников;

     3) сформированные роли согласовываются с бизнес-владельцем информационной системы;

     4) банк, организация обеспечивает исключение в ролях конфликтующих прав доступа, позволяющих обойти существующие автоматизированные контроли;

     5) ИТ-менеджер информационной системы реализует роли в информационной системе;

     6) бизнес-владелец информационной системы или подсистемы и владелец бизнес-процесса тестируют созданные роли;

     7) ИТ-менеджер информационной системы внедряет роли в информационной системе.

64. Внесение изменений и дополнений в матрицу доступа к информационной системе осуществляется в порядке, установленном пунктом 63 Требований.

65. Механизм управления доступом информационной системы банка, организации обеспечивает:

     1) возможность регистрации нового пользователя на уровне приложения;

     2) назначение пользователям прав на доступ к информационным системам только через роли;

     3) предоставление пользователям отдельных прав в дополнение к имеющейся роли в информационной системе по согласованию с бизнес-владельцем информационной системы или подсистемы и с уведомлением подразделения по информационной безопасности; 4) сопровождение ролей пользователей (создание, изменение, удаление);

     5) возможность блокирования одновременного доступа под одними учетными данными с различных аппаратных средств (компьютеров) для транзакционных систем;

     6) ведение аудиторского следа.

66. Механизм управления доступом к данным информационной системы банка, организации включает:

     1) обеспечение доступа к данным информационной системы через приложение;

     2) предоставление доступа к данным информационной системы напрямую, минуя приложение, осуществляется по согласованию с подразделением по информационной безопасности;

     3) формирование и актуализацию подразделением по информационным технологиям перечня пользователей, которым предоставлен доступ к данным напрямую, минуя приложение.

67. При изменении функциональных обязанностей работника отключаются все имеющиеся права доступа и присваиваются новые права доступа, соответствующие его новым функциональным обязанностям. При увольнении работника не более, чем через сутки с даты увольнения отключаются все его учетные записи.

68. Подразделением по информационной безопасности производится проверка корректности прав доступа к информационным системам в соответствии с матрицей доступа, а также контроль отключения прав доступа уволенным работникам.

69. Пересмотр ролей и прав доступа к информационным системам производится не реже одного раза в год бизнес-владельцами информационных систем или подсистем с привлечением заинтересованных подразделений банка, организации.

70. При отсутствии технической возможности реализации одного или нескольких требований настоящего параграфа в банке, организации применяются компенсирующие меры в виде дополнительных технических и организационных мер по частичному или полному исключению влияния рисков информационной безопасности.

71. В информационных системах банка, организации применяются следующие параметры функции по управлению паролями и блокировками учетных записей пользователей:

     1) минимальная длина пароля - значение данного параметра составляет не менее 8 символов. Проверка пароля на соответствие данному параметру производится при каждой смене пароля, в случае несоответствия - выдается уведомление пользователю;

     2) сложность пароля - возможность проверки наличия в пароле как минимум трех групп символов: строчных букв, заглавных букв, цифровых значений, специальных символов. Проверка пароля на соответствие данному параметру производится при каждой смене пароля, в случае несоответствия - выдается уведомление пользователю;

     3) история пароля -- новый пароль не повторяет как минимум семь предыдущих паролей. Проверка пароля на соответствие данному параметру производится при каждой смене пароля, в случае несоответствия выдается уведомление пользователю;

     4) минимальный срок действия пароля - 1 (один) рабочий день;

     5) максимальный срок действия пароля - не более 60 (шестидесяти) календарных дней. Проверка пароля на соответствие данному параметру производится при каждом входе в информационную систему и смене пароля. В случае, если до истечения максимального срока действия остается 7 (семь) и менее календарных дней, пользователю выдается соответствующее уведомление. По истечении максимального срока действия пароля информационная система блокирует доступ и требует обязательную смену пароля;

     6) при первом входе в информационную систему либо после смены пароля администратором информационная система запрашивает у пользователя смену пароля с невозможностью отклонить данную процедуру. Данное правило превалирует над правилом о сроке действия пароля;

     7) в случае отсутствия активности пользователя в информационной системе более 30 (тридцати) календарных дней его учетная запись автоматически блокируется;

     8) при последовательном пятикратном вводе неправильного пароля учетная запись пользователя временно блокируется;

     9) при неактивности пользователя более 30 (тридцати) минут информационная система автоматически завершает сеанс работы пользователя либо блокирует рабочую станцию или ноутбук с возможностью разблокировки только при вводе аутентификационных данных пользователя.

72. Требования пункта 71 Требований не применяются в случаях, когда:
     1) информационная система интегрирована в части аутентификации с информационной системой, соответствующей требованиям пункта 71 Требований;
     2) функции одной информационной системы минимизируют риск неавторизованного доступа в другой информационной системе.

73. Процесс управления паролями и учетными записями определяется банком, организацией и включает:

     1) управление администраторами информационных систем учетными записями пользователей информационных систем и сменой их паролей;

     2) подачу и рассмотрение заявок на создание учетных записей, а также изменения пароля при возникновении нештатной ситуации;

     3) подачу заявок на изменение или удаление учетных записей;

     4) идентификацию лиц, подающих заявки на создание, изменение или удаление учетных записей, а также изменение пароля;

     5) недопущение неправомерной передачи паролей третьим лицам, а также администраторам информационных систем и иным работникам банка, организации;

     6) недопущение работы в информационных системах под чужими учетными записями, за исключением предоставления доступа к чужой учетной записи в целях обеспечения непрерывности деятельности по согласованию с подразделением по информационной безопасности в указанный промежуток времени при обеспечении точной идентификации пользователя.

74. Процесс защиты информации при использовании Интернета и электронной почты определяется банком, организацией и включает любой из следующих методов, но не ограничиваясь ими:

     1) организационный: обеспечение осведомленности персонала, ограничение количества работников, имеющих доступ к Интернету, службам мгновенных сообщений, облачным сервисам, IP-телефонии и внешней электронной почте;

     2) программно-технический: ограничение количества пользователей и их доступа к интернет-ресурсам, контроль информации, передаваемой в Интернет, в том числе по службам мгновенных сообщений, IP-телефонии и внешней электронной почте, предоставление доступа в Интернет через терминальный сервер, разделение сегментов сети, ведение архива внешней электронной почты (срок хранения определяется банком, организацией, ограничение доступа на изменение или удаление информации в данном архиве), использование систем противодействия атакам, направленным на периметр защиты информационной инфраструктуры банка, организации, шифрование передаваемой информации.

75. Для защиты информации при использовании внешних носителей электронной информации применяются любой из следующих методов, включая, но не ограничиваясь ими:

     1) организационный: обеспечение осведомленности персонала, ограничение количества работников, имеющих доступ к записи на внешние носители информации;

     2) программно-технический: использование программно-технических средств, обеспечивающих ограничение, контроль и шифрование записи информации на внешние носители, отключение неиспользуемых портов ввода-вывода и устройств записи внешних носителей на рабочих станциях персонала банка, организации и серверах.

76. Для защиты информации при использовании бумажных носителей применяются любой из следующих методов, включая, но не ограничиваясь ими:

     1) организационный: ограничения, определяемые банком, организацией, обеспечение осведомленности персонала, ограничение количества работников, имеющих доступ к работе с документами, содержащими защищаемую информацию;

     2) программно-технический: использование программно-технических средств, обеспечивающих контроль вывода информации на бумажные носители.

77. Для защиты информации в случае утраты штатных носителей информации применяются любой из следующих методов, включая, но не ограничиваясь ими:

     1) организационный: ограничения, определяемые банком, организацией, обеспечение физической безопасности периметра банка, организации, обеспечение осведомленности персонала, нормы утилизации носителей информации;

     2) программно-технический: использование средств, контролирующих вскрытие системных блоков, шифрование информации на рабочих станциях, серверах, шифрование или токенизация (замена оригинальных данных на суррогат с использованием набора случайных данных (токена) информации в системах управления базами данных.

78. Уничтожение защищаемой информации производится методами, исключающими ее восстановление, с использованием любого из следующих методов уничтожения информации в зависимости от типа носителя:

     1) физическое уничтожение носителя информации;

     2) электромагнитное воздействие на носитель информации (для магнитных носителей);

     3) программное уничтожение электронной информации специализированными программными средствами.

79. Банком, организацией определяются периметр защиты информационно-коммуникационной инфраструктуры (далее - периметр защиты). Подразделением по информационным технологиям утверждаются и поддерживаются в актуальном состоянии схема периметра защиты и перечень администраторов средств обеспечения безопасности периметра защиты.

80. Телекоммуникационные соединения, за исключением соединений с городской телефонной сетью, выходящие за периметр защиты банка, организации, подлежат шифрованию.

81. Шифрование телекоммуникационных соединений производится методами, согласованными с подразделением по информационной безопасности.

82. Наравне с шифрованием телекоммуникационных соединений, указанных в пунктах 80 и 81 Требований, используется шифрование передаваемой информации.

83. Для ограничения доступа к информационной инфраструктуре на периметре защиты устанавливаются межсетевые экраны.

84. Правила доступа, установленные на межсетевых экранах, настраиваются на блокирование соединений, неиспользуемых для функционирования информационных активов банка, организации. Указанные правила согласовываются с подразделением по информационной безопасности. Для выявления и отражения атак на периметр защиты используются средства обнаружения и предотвращения вторжений.

85. Банк, организация обеспечивают применение мер предотвращения атак типа «отказ в обслуживании». При реализации указанных мер используются штатные механизмы систем обеспечения безопасности периметра защиты и (или) дополнительные способы обеспечения безопасности периметра защиты.

86. Доступ пользователей к информационным активам банка, организации, находящимся внутри периметра защиты, из-за пределов периметра защиты предоставляется только по зашифрованному каналу с аутентификацией пользователя на периметре защиты. Доступ пользователей к информационным системам из-за пределов периметра защиты предоставляется только с использованием методов двухфакторной аутентификации (использованием двух из трех факторов: «что я знаю», «что я имею», «что я есть сам»).

87. Для обеспечения безопасности доступа пользователей к ресурсам Интернета, а также использования внешней электронной почты устанавливаются соответствующие шлюзы, обеспечивающие:

     1) очистку трафика от вредоносного кода;

     2) блокировку ресурсов Интернета, содержащих деструктивные функции;

     3) очистку почтового трафика от спама;

     4) аутентификацию доменного имени отправителя входящей электронной почты и возможность аутентификации доменного имени исходящей электронной почты с использованием криптографических алгоритмов.

88. Конфигурация средств обеспечения безопасности периметра защиты выполняется с учетом рекомендаций производителей и пересматривается с периодичностью, определяемой банком, организацией. В обязательном порядке изменяются пароли на предустановленные учетные записи. Неиспользуемые предустановленные учетные записи блокируются или удаляются.

89. С периодичностью, определяемой банком, организацией, проводится тестирование на проникновение в информационную инфраструктуру независимыми внешними экспертами в данной области. В рамках данного тестирования, кроме поиска и попыток эксплуатации уязвимостей системного и прикладного программного обеспечения, проводятся нагрузочные тесты, включая имитацию атак «отказ в обслуживании», а также тесты по социальной инженерии.

90. ИТ-менеджер информационной системы обеспечивает синхронизацию системного времени информационного актива с централизованным источником эталонного времени.

91. Подразделение по информационным технологиям обеспечивает разделение внутренней сетевой инфраструктуры как минимум на следующие сегменты:

     1) клиентский (пользовательский);

     2) серверный (инфраструктурный);

     3) разработки (при наличии);

     4) тестовый.

92. Между сегментами сетевой инфраструктуры настраиваются правила доступа на блокирование соединений, неиспользуемых для функционирования информационных активов банка, организации.

93. Банк, организация в целях защиты информационной инфраструктуры используют методы или системы, позволяющие выявлять непредвиденную (аномальную) активность в информационной инфраструктуре банка, организации.

94. Банком, организацией используются организационные и (или) технические меры по созданию и применению групповых политик безопасности с использованием возможностей операционных систем, сетевой архитектуры или программного обеспечения, позволяющие устанавливать на конечных устройствах информационной инфраструктуры настройки безопасности.

Исключение конечных устройств информационной инфраструктуры из групповых политик безопасности согласуется с подразделением по информационной безопасности.

95. При размещении на одном сервере или гипервизоре нескольких информационных активов банка, организации, обеспечивается защита на уровне, соответствующем максимально критичному информационному активу, размещенному на данном сервере или гипервизоре.

96. Разработка и доработка информационных систем не осуществляется в среде промышленной эксплуатации.

97. Среды разработки, тестирования и промышленной эксплуатации отделяются друг от друга таким образом, чтобы изменения, внесенные в любую из этих сред, не оказывали влияния на информационную систему, расположенную в другой среде.

98. В случае использования в среде разработки и тестирования защищаемой информации, предпринимаются соответствующие меры по их защите.

99. Работники подразделения по информационным технологиям банка, организации и сторонних организаций, осуществляющие разработку, не имеют полномочий на перенос изменений информационной системы в промышленную среду, а также административный доступ к информационным системам в промышленной среде.

100. Перед вводом в промышленную эксплуатацию информационной системы в ней изменяются настройки безопасности, установленные по умолчанию, на настройки, соответствующие требованиям к информационной безопасности, установленным в банке, организации. Указанные настройки включают замену паролей, используемых при тестировании, а также удаление всех тестовых учетных записей.

101. Контроль использования привилегированных учетных записей обеспечивается путем:

     1) составления и утверждения перечня администраторов информационных систем (операционная система, система управления базами данных, приложение);

     2) введения двойного контроля при исполнении функций администрирования информационных систем и (или) внедрения специальных комплексов контроля использования привилегированных учетных записей.

102. Информационные системы банка, организации обеспечиваются технической поддержкой, в состав которой входят услуги по предоставлению обновлений соответствующей информационной системы, в том числе обновлений безопасности.

103. При приеме на работу новый работник банка, организации подписывает обязательство о неразглашении защищаемой информации. Обязательство приобщается к личному делу работника.

104. При приеме на работу нового работника, не позднее 5 (пяти) рабочих дней с момента приема на работу, он ознакамливается под подпись с основными требованиями к обеспечению информационной безопасности (вводный инструктаж). Результат ознакомления фиксируется в соответствующем журнале инструктажа или ином документе, подтверждающем прохождение инструктажа. Отдельный документ, подтверждающий прохождение инструктажа, приобщается к личному делу работника.

105. До ознакомления работника с требованиями к информационной безопасности ему предоставляется доступ только к некритичным информационным активам.

106. Трудовой договор, заключаемый с работником банка, организации, содержит обязательство о соблюдении требований по обеспечению информационной безопасности.

107. Банком, организацией разрабатывается программа повышения осведомленности работников в вопросах обеспечения информационной безопасности. При этом применяются следующие методы повышения осведомленности работников:

     1) ознакомление с внутренними документами банка, организации, а также с внесенными в них изменениями и дополнениями;

     2) проведение тестирования работников на знание требований внутренних документов банка, организации по информационной безопасности в соответствии с планом проведения тестирования работников банка, организации, утверждаемым исполнительным органом банка, организации;

     3) методы, определенные банком, организацией.

108. При инструктаже, а также и при дальнейших мероприятиях по повышению осведомленности освещаются:

     1) методы противодействия «социальной инженерии»;

     2) запрет на распространение информации, запрещенной банковским законодательством Республики Казахстан;

     3) положения о полномочиях банка, организации осуществлять мониторинг любой информации, создаваемой, хранимой и обрабатываемой в информационных системах банка, организации;

     4) условия об ответственности, предусмотренной за нарушение внутренних документов банка, организации, устанавливающих требования к обеспечению информационной безопасности.

109. Банк, организация обеспечивают повышение квалификации работников подразделений по информационной безопасности, по управлению рисками информационной безопасности и внутреннего аудита путем проведения:

     1) внутренних мероприятий (лекции, семинары);

     2) внешнего обучения (посещение курсов, семинаров - не реже одного раза в три года для каждого работника).

110. При увольнении работника в целях обеспечения информационной безопасности осуществляются мероприятия по:

     1) приему - передаче документов и информационных активов банка, организации;

     2) сдаче удостоверений, пропусков и разрешительных документов;

     3) проведению инструктажа с увольняющимся работником по неразглашению конфиденциальной информации;

     4) блокировке или удалению учетных записей в информационных системах.

111. ИТ-менеджер информационной системы обеспечивает ведение и неизменность аудиторского следа, как на организационном, так и на техническом уровне.

112. В информационных активах банка, организации используется функция ведения аудиторского следа, которая отражает следующее:

     1) события установления соединений, идентификации, аутентификации и авторизации в информационном активе (успешные и неуспешные);

     2) события модификации настроек безопасности;

     3) события модификации групп пользователей и их полномочий;

     4) события модификации учетных записей пользователей и их полномочий;

     5) события, отражающие установку обновлений и (или) изменений в информационной системе;

     6) события изменения параметров аудита;

     7) события изменений системных параметров.

113. Формат аудиторского следа включает следующую информацию:

     1) идентификатор (логин) пользователя, совершившего действие;

     2) дата и время совершения действия;

     3) наименование рабочей станции пользователя и (или) IP адрес, с которого совершено действие;

     4) название объектов, с которыми проводилось действие;

     5) тип или название совершенного действия;

     6) результат действия (успешно или не успешно).

114. Срок хранения аудиторского следа составляет не менее 3 (трех) месяцев в оперативном доступе и не менее 1 (одного) года в архивном доступе либо не менее 1 (одного) года в оперативном доступе.

115. Банк, организация используют лицензионное антивирусное программное обеспечение или системы, обеспечивающие целостность и неизменность программной среды, как на рабочих станциях, ноутбуках, мобильных устройствах, так и на серверах, банкоматах и банковских киосках.

116. Используемое банком, организацией антивирусное программное обеспечение соответствует следующим требованиям:

     1) обнаружение вирусов на основе известных сигнатур;

     2) обнаружение вирусов на основе эвристического анализа (поиска характерных для вирусов команд и поведенческого анализа);

     3) сканирование сменных носителей при подключении;

     4) запуск сканирования и обновления антивирусной базы по расписанию;

     5) наличие централизованной консоли администрирования и мониторинга;

     6) блокирование для пользователя возможности прерывания функционирования антивирусного программного обеспечения, а также процессов обновления антивирусного программного обеспечения и плановой проверки на отсутствие вирусов;

     7) для виртуальной среды - использование антивирусным программным обеспечением встроенных функций безопасности виртуальных сред, при отсутствии таких возможностей - подтверждение производителя о тестировании антивирусного программного обеспечения в виртуальных средах, используемых банком, организацией;

     8) для мобильных устройств и иных устройств, используемых вне периметра защиты банка, организации, использование антивирусного программного обеспечения со встроенной функцией межсетевого экранирования.

117. При использовании систем, обеспечивающих целостность и неизменность программной среды, минимальными требованиями являются:

     1) наличие лицензионного программного обеспечения, предусматривающего обновление и техническую поддержку;

     2) наличие централизованной консоли администрирования и мониторинга;

     3) наличие возможности блокирования для конечного пользователя возможности прерывания функционирования данной системы;

     4) наличие возможности проверки образа программной среды антивирусным программным обеспечением перед установкой на конечные устройства;

     5) наличие межсетевого экрана для мобильных устройств и иных устройств, используемых вне периметра защиты.

118. Выбор антивирусного программного обеспечения проводится подразделением по информационным технологиям при обязательном участии подразделения по информационной безопасности.

119. Антивирусное программное обеспечение максимально исключает прерывание пользователем всех служебных процессов. Обновление антивирусного программного обеспечения производится не реже одного раза в сутки, полное сканирование компьютера - не реже одного раза в неделю.

120. ИТ-менеджер информационной системы обеспечивает своевременную установку обновлений безопасности информационных активов банка, организации.

121. Обновления безопасности информационных активов, устраняющие критичные уязвимости, устанавливаются не позднее одного месяца со дня их публикации и распространения производителем, за исключением случаев, согласованных с подразделением по информационной безопасности.

122. Обновления информационных активов до установки в промышленную среду проходят испытания в тестовой среде.

123. В случае невозможности установки обновлений по согласованию с подразделением по информационной безопасности, ИТ-менеджер информационной системы реализует корректирующие меры.

124. Подразделение по информационной безопасности обеспечивает сканирование (технический анализ защищенности) информационных активов на наличие уязвимостей с использованием специализированного программного обеспечения (далее - сканирование). Сканирование информационных активов банка, организации проводится на плановой основе не реже одного раза в 6 (шесть) месяцев. Сканирование проводится работниками банка, организации и (или) внешними специализированными организациями. Результаты сканирования формируются в виде отчета о состоянии информационной безопасности с указанием рекомендаций о корректирующих мерах по устранению выявленных уязвимостей.

125. ИТ-менеджер информационной системы обеспечивает реализацию корректирующих мер по устранению выявленных уязвимостей.

По окончании работ по устранению уязвимостей ИТ-менеджер информационной системы представляет в подразделение по информационной безопасности подтверждение об устранении выявленных уязвимостей.

126. Процесс использования средств криптографической защиты информации определяется подразделением по информационным технологиям по согласованию с подразделением по информационной безопасности банка, организации, включая, но не ограничиваясь:

     1) описание средства криптографической защиты информации (наименование системы, криптоалгоритм, длина ключа);

     2) область применения средства криптографической защиты информации;

     3) описание настройки средства криптографической защиты информации;

     4) порядок управления ключевой информацией: генерации, безопасной передачи (обмена ключами, с учетом требования использования различных каналов для передачи ключа и защищаемой информации), хранения, использования и уничтожения;

     5) действия при компрометации ключевой информации;

     6) порядок использования средства криптографической защиты информации конечными пользователями;

     7) перечень лиц, допущенных к администрированию средства криптографической защиты информации и управлению ключевой информацией.

127. Центр обработки данных банка, организации оснащается следующими системами технической безопасности:

     1) системой контроля и управления доступом;

     2) охранной сигнализацией;

     3) пожарной сигнализацией;

     4) системой автоматического пожаротушения;

     5) системой поддержания заданных параметров температуры и влажности;

     6) системой видеонаблюдения.

Серверное и коммуникационное оборудование подключается к системе электропитания через источники бесперебойного питания.

В случае отсутствия в банке, организации центра обработки данных, требования настоящего пункта распространяются на помещения банка, организации, в которых размещены системы и компоненты информационной инфраструктуры банка, организации.

128. Доступ в центр обработки данных предоставляется лицам, перечень которых утверждается руководителем подразделения по информационным технологиям по согласованию с подразделением по информационной безопасности.

129. Банк, организация ведут журнал системы контроля и управления доступом в центр обработки данных, который хранится не менее 1 (одного) года.

130. Система автоматического пожаротушения центра обработки данных обеспечивает устранение возгорания по всему объему помещения и имеет резервный запас. 

131. Система видеонаблюдения центра обработки данных обеспечивает наблюдение за всеми проходами, входами в центр обработки данных. В центре обработки данных расстановка видеокамер исключает наличие зон внутри помещения центра обработки данных и перед его входом, не покрытых видеонаблюдением.

132. Запись событий системой видеонаблюдения центра обработки данных ведется непрерывно или с использованием детектора движения.

133. Архив записей системы видеонаблюдения центра обработки данных хранится не менее 3 (трех) месяцев.

134. В целях предотвращения несанкционированного физического доступа к серверам и активному сетевому оборудованию, находящемуся вне центра обработки данных, определяются и реализуются меры по обеспечению их безопасности.

135. Предоставление физического доступа к информационным активам банка, организации определяется банком, организацией.

136. В банке, организации определяются и внедряются организационные и технические меры, запрещающие пользователям проводить самостоятельно установку и настройку программного обеспечения, рабочих станций, ноутбуков и периферийного оборудования.

137. Пользователям не предоставляются права доступа локального администратора или аналогичные права доступа, за исключением случаев, когда права доступа локального администратора или права, аналогичные правам доступа локального администратора, требуются для функционирования программного обеспечения, автоматизирующего функции, исполняемые пользователем.

138. В случае невозможности исполнения пользователем его функциональных обязанностей без осуществления самостоятельной установки и настройки программного обеспечения и оборудования, такому пользователю предоставляются права локального администратора или аналогичные права.

139. Перечень пользователей, указанных в пунктах 137 и 138 Требований, формируется, актуализируется и утверждается руководителем подразделения по информационным технологиям по согласованию с подразделением по информационной безопасности. Подразделение по информационной безопасности осуществляет контроль использования прав доступа пользователей, указанных в пунктах 137 и 138 Требований. 

140. Подразделение по информационным технологиям обеспечивает учет рабочих станций, ноутбуков и мобильных устройств в корпоративной сети банка, организации, который позволяет точно идентифицировать местонахождение данной рабочей станции или принадлежность ноутбука, мобильного устройства.

141. В случае подключения мобильных устройств, ноутбуков к информационным активам банка, организации из-за пределов периметра защиты банка, организации на данных устройствах устанавливается специальное программное обеспечение, обеспечивающее защищенный доступ к информационным активам (шифрование канала связи, обеспечение двухфакторной аутентификации, дистанционное удаление данных с мобильного устройства).

142. При использовании для обработки информационных активов банка, организации личных ноутбуков и мобильных устройств работников банка, организации, на данные ноутбуки и мобильные устройства устанавливается специальное программное обеспечение, обеспечивающие разделение сред обработки личных данных и информационных активов банка, организации.

143. Вся информация банка, организации, размещенная на ноутбуках и мобильных устройствах, хранится в зашифрованном виде.