Постановление Правления Национального Банка Кыргызской Республики № 2021-П-20/72-8 от 22.12.2021

8. В целях обеспечения информационной безопасности в банке должны быть разработаны три уровня документации:

9. Общие политики должны отражать подходы руководства банка по обеспечению информационной безопасности банка, описывать общие принципы и цели обеспечения безопасности, систему мер, методов для достижения цели по обеспечению информационной безопасности. В банке должно быть назначено уполномоченное лицо, ответственное за реализацию политики по информационной безопасности.   

10. Частные политики, регламентирующие практику обеспечения безопасности (частные политики), должны отражать поддержку целей, установленных руководством, и дальнейшую детализацию общих принципов, определяющих подробные меры, необходимые для выполнения требований политики информационной безопасности.   

- требования к персоналу; 

- назначение, распределение ролей и регистрация в информационной системе;   

- выявление, оценка и мониторинг рисков информационной безопасности;  

- обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных систем;   

- защита от несанкционированного и нерегламентированного доступа, управление доступом и регистрацией всех действий в автоматизированных системах, в телекоммуникационном оборудовании, автоматических телефонных станциях и т.д.;  

- антивирусная защита;   

- использование ресурсов сети интернет;   

- использование криптографических средств защиты;   

- защита банковских платежных и информационных технологических процессов;   

- обеспечение непрерывности деятельности;   

- резервное копирование и восстановление;   

- физическая защита;   

- управление инцидентами информационной безопасности и т.д. 

12. Документы по операционным процедурам для обеспечения безопасности должны содержать описание практических приемов на техническом уровне, обеспечивающие внедрение необходимых практик. Процедуры должны соответствовать политикам банка. 

13. Банк должен обеспечить наличие и сохранность документов, которые содержат свидетельства выполненной деятельности и действий по обеспечению информационной безопасности (отчеты, акты, журналы) и отражать достигнутые результаты (промежуточные и окончательные) при реализации требований документов, относящихся к обеспечению информационной безопасности банка.   

14. Персонал банка должен включать как минимум следующие категории сотрудников:   

15. В банке должны быть разработаны процедуры приема на работу, включающие:   

16. Все сотрудники банка должны быть письменно ознакомлены с требованиями по обеспечению информационной безопасности и о соблюдении конфиденциальности и приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов.  

17. Подразделение банка, ответственное за реализацию информационной безопасности, должно на систематической основе актуализировать информацию об угрозах в сфере информационной безопасности с учетом глобальных трендов, своевременно информировать руководство и сотрудников банка об угрозах, а также проводить мероприятия, направленные на повышение общего уровня осведомленности персонала в целях противодействия данным угрозам.  

18. Обязанности и ответственность персонала по выполнению требований по обеспечению информационной безопасности должны быть включены в их должностные инструкции.   

19. Неисполнение или ненадлежащее исполнение сотрудниками банка требований по обеспечению информационной безопасности приравнивается к невыполнению должностных обязанностей.  

20. В банке должен быть разработан и принят документ, который содержит роли сотрудников, включая роли по обеспечению информационной безопасности.   

21. В автоматизированной системе должны быть определены роли, обеспечивающие четкое разграничение полномочий сотрудников.  

22. При предоставлении доступа сотрудникам к автоматизированной системе должны быть выполнены процедуры санкционирования, идентификации, аутентификации и авторизации пользователей. Перед выдачей идентификатора пользователю должна осуществляться проверка подтверждения личности пользователя. Система должна фиксировать исполнителя, выдавшего идентификатор пользователю.  

23. Работа всех пользователей автоматизированной системы должна осуществляться под уникальными учетными записями.  

- «знать своего клиента» (Know your Customer) – принцип, используемый регулирующими органами для выражения отношения к финансовым организациям с точки зрения знания деятельности их клиентов;   

- «знать своего служащего» (Know your Employee) – принцип, демонстрирующий озабоченность банка по поводу отношения сотрудников банка к таким своим обязанностям и возможным проблемам, как злоупотребление имуществом, финансовые трудности, которые могут приводить к проблемам с безопасностью;  

- «необходимо знать» (Need to Know) – принцип, ограничивающий полномочия по доступу сотрудников банка и клиентов банка к информации и ресурсам по обработке информации на уровне, минимально необходимом для выполнения определенных обязанностей;   

- «наименьших привилегий» – принцип, означающий, что для выполнения определенной операции пользователь должен получать или предоставлять минимально необходимые привилегии;   

- «двойного контроля» для операций по платежным системам и при назначении ролей в автоматизированной системе (Dual Control – принцип четырех глаз) – принцип сохранения целостности процесса и борьбы с искажением функций системы, требующий, чтобы два уполномоченных сотрудника банка, независимо друг от друга, предпринимали некое действие до завершения определенных транзакций.  

25. В банке должен быть документально определен перечень информационных активов (автоматизированной системы и их типов) и права доступа сотрудников и клиентов к данным активам. 

26. Формирование ролей должно осуществляться на основании существующих бизнес-процессов банка и проводиться с целью исключения концентрации полномочий и снижения риска инцидентов информационной безопасности, связанных с потерей информационными активами свойств доступности, целостности или конфиденциальности.  

27. В банке должен осуществляться контроль за «привилегированным доступом», а именно: учетными записями с повышенным правом доступа к автоматизированным системам (учетные записи с правом администратора) в целях минимизации рисков и обеспечения безопасности критически важных автоматизированных систем.  

28. Для каждой роли должны быть назначены лица, ответственные за их выполнение. Ответственность сотрудников должна быть зафиксирована в их должностных инструкциях.  

29. Аутентификация пользователей в системе должна соответствовать критичности получаемой информации и осуществляться на основе одного или нескольких механизмов аутентификации:  

Двухфакторная аутентификация включает в себя любые два из этих трех механизмов: человек «что-то знает» и «что-то имеет» или «кем-то является».  

30. События по регистрации и изменению прав доступа пользователей должны фиксироваться в журнале событий системы.   

31. В банке должны применяться защитные меры, направленные на обеспечение защиты от несанкционированного доступа, неразрешенных действий, нарушения целостности информации, необходимой для регистрации, идентификации, аутентификации и (или) авторизации клиентов и сотрудников банка. Все попытки неразрешенных действий и несанкционированного доступа к такой информации должны регистрироваться в журнале событий.  

32. Банк при предоставлении сотрудникам удаленного доступа к автоматизированной системе и корпоративным сервисам должен внедрить технологию многофакторной аутентификации.  

33. При увольнении сотрудников или изменении должностных обязанностей сотрудников банка, имеющих доступ к информации автоматизированной системы, их права доступа к автоматизированной системе должны быть заблокированы или изменены.  

34. В банке должна быть разработана и внедрена политика паролей. Политика паролей должна включать в себя как минимум такие основные правила и компоненты, как:  

35. Сотрудники банка должны быть ознакомлены с политикой паролей и строго соблюдать ее требования в процессе работы.  

36. Банк должен разработать рекомендации по соблюдению требований политики информационной безопасности для пользователей и клиентов систем дистанционного банковского обслуживания, мобильного банкинга, электронных кошельков и проводить работу по информированию пользователей о соблюдении данных требований в процессе работы с банковскими продуктами.   

37. В банке должна быть разработана политика по управлению рисками информационной безопасности, интегрированная с общей политикой управления рисками банка. 

38. Банк должен определить ценность активов, выявить уязвимости, угрозы и риски. Выявленные риски должны быть количественно или качественно оценены. Банк должен определить соответствующие меры и средства контроля для обработки рисков.  

39. Организация процесса оценки рисков может быть основана на международном стандарте ISO 27005 или аналогичных стандартах. 

- политика непрерывности деятельности, которая должна содержать необходимые руководящие принципы для обеспечения непрерывности деятельности и необходимые ролям полномочия для выполнения возложенных на них задач;  

- план действий в случаях наступления чрезвычайных ситуаций, где необходимо описать процедуры, а также руководство, которое обеспечит продолжение функционирования банка в аварийном состоянии;   

- план восстановления деятельности, где необходимо описать процедуры, обеспечивающие оперативное восстановление работоспособности критичных систем и функций. 

41. Анализ воздействия чрезвычайных ситуаций на деятельность банка является важным инструментом обеспечения непрерывности деятельности банка, которое неразрывно связано с идентификацией критичных функций и систем. Для этих целей в банке должны быть идентифицированы критичные функции и системы и их категоризация на основе степени их критичности.   

42. При выявлении угроз банк обязан выбрать и внедрить защитные меры для снижения уровня рисков банка, которые могут привести к чрезвычайным ситуациям.  

43. В целях надлежащей подготовки персонала к выполнению задач на случай чрезвычайной ситуации банк должен на периодичной основе тестировать план, проводить тренинги, обучения и учения для сотрудников банка.  

44. Банк должен обеспечить комплексную защиту автоматизированных систем на всех стадиях жизненного цикла автоматизированной системы (проектирование, реализация, тестирование, приемка, эксплуатация, сопровождение, модернизация, снятие с эксплуатации должны быть документированы и утверждены высшим руководством). При этом тестирование необходимо проводить в тестовой среде, идентичной с промышленной средой. 

45. Банк должен использовать только лицензионное программное обеспечение, допускается программное обеспечение с открытым исходным кодом либо собственной разработки при наличии полного комплекта документации, утверждённого высшим руководством (техническое задание, программа и методика испытаний, акт и журнал испытаний, акт ввода в промышленную эксплуатацию).   

46. В банке должно быть обеспечено ведение журнала регистрации событий (логирование) осуществленной деятельности в автоматизированной системе, персональном компьютере, серверном и сетевом оборудовании, баз данных как средство для проведения аудита информационной безопасности и восстановления хода событий и ведения подотчетности. Журнал регистрации событий должен включать в себя действия всех пользователей, в том числе высокопривилегированных учетных записей (root, administrator, sysdba, dba).  

47. Мониторинг и анализ информации журнала регистрации событий должен проводиться ежедневно администраторами автоматизированной системы (персонал технической поддержки), в том числе с применением автоматизированных систем, и все нестандартные ситуации, связанные с безопасностью, должны расследоваться.   

48. Информация журнала регистрации событий должна храниться в электронном виде в течение периода времени, равного сроку хранения обрабатываемых данных соответствующей автоматизированной системы, но не менее 2 (двух) лет.   

49. Информация журналов регистрации событий должна быть защищена от случайного или преднамеренного удаления, модификации или фальсификации. Отключение журналирования, удаление, модификация или фальсификация информации журналов регистрации должно рассматриваться как инцидент. 

- обработка, учет и хранение платежной информации в автоматизированной системе на территории Кыргызской Республики;  

- защита платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации электронных платежных сообщений;   

- доступ сотрудника банка к ресурсам автоматизированной системы, которая обеспечивает проведение платежей и расчетов, только для исполнения должностных обязанностей; 

- контроль (мониторинг) исполнения процессов подготовки, обработки, передачи и хранения платежной информации;   

- аутентификация входящих электронных платежных сообщений;   

- двусторонняя аутентификация автоматизированных рабочих мест (рабочих станций и серверов), участников обмена электронными платежными сообщениями (как для филиалов и отделений банков, так и для клиентов); 

- возможность ввода платежной информации в автоматизированной банковской системе только для авторизованных пользователей; 

- соблюдение в автоматизированной банковской системе принципа сквозной обработки платежей (обеспечение непрерывной обработки всего информационного потока поступающей финансовой информации без ручного вмешательства на протяжении всей технологической цепочки (от попадания информации в автоматизированную систему до завершения ее обработки) с целью достижения максимальной скорости проведения операций, и исключения ошибок); 

- контроль, направленный на исключение возможности совершения злоумышленных действий (двойной ввод, сверка, авторизация транзакций, установление ограничений в зависимости от суммы совершаемых операций и т.д.) (как со стороны уполномоченных сотрудников, так и со стороны клиентов); 

- восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники; 

- сверка выходных электронных платежных сообщений с соответствующими входными и обработанными электронными платежными сообщениями при осуществлении межбанковских расчетов; 

- доставка электронных платежных сообщений участникам информационного обмена. 

51. Сотрудники банка, в том числе администраторы автоматизированных систем, не должны обладать полномочиями для бесконтрольного создания, авторизации, уничтожения и изменения платежной информации, а также проведения несанкционированных операций по изменению состояния банковских счетов. 

52. Обработку платежной информации и контроль (проверку) результатов обработки должны осуществлять разные сотрудники. 

53. Для систем, обеспечивающих проведение платежей и расчетов, должен быть предусмотрен основной и дублирующий состав персонала. В случае отсутствия какого-либо специалиста основного состава его функции должен выполнять специалист из дублирующего состава. 

54. Техническая инфраструктура систем, обеспечивающих проведение платежей и расчетов, должна включать основную и резервную автоматизированную системы (аппаратно-программные комплексы), включая основные и резервные каналы связи. 

55. В банке должны быть предусмотрены процедуры по переходу (переключению) системы с основной на резервную автоматизированную систему, включающие получение санкции руководства на данный переход.  

56. В банке должны быть определены владельцы автоматизированной системы (должностные лица банка) и их ответственность, в том числе ответственность главного бухгалтера банка.  

57. Банк должен обеспечить единую централизованную обработку, учет и хранение данных по бухгалтерскому учету в автоматизированной банковской системе.   

58. Автоматизированные банковские системы, используемые в банке, в том числе системы дистанционного банковского обслуживания, должны обеспечивать возможность регистрации:  

59. Системы дистанционного банковского обслуживания должны реализовывать защитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций.   

60. В банке должны быть разработаны и доведены до сведения сотрудников и клиентов процедуры, определяющие их действия в случае компрометации информации, необходимой для их идентификации, аутентификации и (или) авторизации.   

61. В системах дистанционного банковского обслуживания должны быть реализованы механизмы информирования (регулярного, непрерывного или по требованию) клиентов обо всех операциях, совершаемых от их имени.   

- снижения вероятности выполнения непреднамеренных или случайных операций, или транзакций авторизованными клиентами;   

- доведения информации о возможных рисках, связанных с выполнением операций или транзакций до клиентов.   

63. Клиенты систем дистанционного банковского обслуживания должны быть обеспечены детальными инструкциями, описывающими процедуры выполнения операций или транзакций. 

64. При выпуске и обслуживании банковских платежных карт (далее - платежных карт) банк должен обеспечить выполнение требований настоящего Положения.   

- определение и соблюдение мер по поддержанию защищенной сети для создания и обработки данных держателей платежных карт;   

- отслеживание и контроль любого доступа к сетевым ресурсам и данным платежных карт; 

- запрет использования настроек безопасности и паролей, установленных производителем «по умолчанию» для программного обеспечения и оборудования;   

- обеспечение защиты данных держателей платежных карт при хранении;   

- обеспечение шифрования данных платежных карт, передаваемых по сетям общего пользования; 

- использование и регулярное обновление антивирусного программного обеспечения; 

- обеспечение безопасности при разработке и поддержке систем и приложений;   

- ограничение доступа к данным платежных карт в соответствии со служебной необходимостью; 

- назначение уникального идентификатора каждому лицу, имеющему доступ к вычислительным ресурсам;   

- ограничение физического доступа к данным держателей банковских платежных карт и предоставление доступа только уполномоченным сотрудникам;   

- регулярное тестирование систем и процессов обеспечения безопасности;   

- актуальность политики информационной безопасности, регламентирующей деятельность сотрудников и контрагентов.   

- персонализация карт должна быть физически отделена от функций выпуска PIN-конвертов и должны быть назначены разные ответственные сотрудники для выполнения указанных операций;   

- при печати PIN-конвертов верхний бланк должен быть уничтожен в присутствии двух уполномоченных сотрудников, ответственных за печать PIN-конвертов или PIN- код платежной карты может быть доставлен до клиента иными инструментами, применяемыми Банком, обеспечивающих информационную безопасность;   

- персонализация карт должна проводиться в присутствии двух уполномоченных сотрудников, ответственных за персонализацию;  

- должны быть предусмотрены меры по защите банкоматов, автоматизированных терминалов самообслуживания и POS-терминалов от вандализма и злоумышленных действий; 

- число попыток ввода PIN-кода карты должно быть ограничено (не более трех), после чего карта должна быть заблокирована, изъята и возвращена ее владельцу персонально; 

- должно быть установлено ограничение числа операций и суммы денежных средств в течение одного дня для одного счета (установка лимитов).   

68. Для каждой автоматизированной системы соответствующим распоряжением должны быть назначены администраторы, которые должны соблюдать политику информационной безопасности банка при настройке и работе с автоматизированной системой. Сотрудники подразделения по информационной безопасности должны проверять автоматизированную систему на соответствие политике информационной безопасности банка, в том числе в рамках оценки рисков.  

69. В банке должны быть определены процедуры и персонал обслуживания автоматизированной системы, виды техники, используемые в банковском технологическом процессе, включая замену их программных и/или аппаратных частей.  

70. В банке должны применяться меры по сегментации и межсетевому экранированию внутренних вычислительных сетей, а также по защите внутренних вычислительных сетей при взаимодействии с сетью интернет.  

71. Банк обязан применять меры по регистрации изменений параметров настроек средств и систем защиты информации, межсетевого экранирования и защиты вычислительных сетей банка.  

72. В банке должны быть определены и утверждены руководством банка цели использования сети интернет. Использование сети интернет в неустановленных целях должно быть запрещено. 

73. Банку необходимо определить порядок подключения и использования ресурсов сети интернет, включающий в том числе контроль со стороны подразделения, ответственного за обеспечение информационной безопасности.   

74. В банке, осуществляющем дистанционное банковское обслуживание клиентов, в связи с повышенными рисками нарушения информационной безопасности при взаимодействии с сетью интернет должны применяться средства защиты информации, обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии.   

75. При осуществлении дистанционного банковского обслуживания должны применяться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в течение сеанса работы.   

76. Все операции клиентов в течение всего сеанса работы с системами дистанционного банковского обслуживания должны выполняться только после выполнения процедур идентификации, аутентификации и авторизации. В случаях истечения времени сеанса работы (нарушения или разрыва соединения) необходимо обеспечить повторное выполнение указанных процедур.   

77. Почтовый обмен через сеть интернет должен осуществляться с использованием защитных мер и противодействия распространению спама.   

78. При взаимодействии с сетью интернет должны использоваться защитные меры противодействия атакам злоумышленников.   

79. На всех автоматизированных рабочих местах и серверах автоматизированной системы в банке должны применяться средства антивирусной защиты, если иное не предусмотрено технологическим процессом.   

80. В банке должны применяться только официально приобретенные (лицензионные) средства антивирусной защиты. Установка и регулярное обновление средств антивирусной защиты на автоматизированных рабочих местах и серверах автоматизированной системы должны осуществляться ответственными администраторами. 

81. При обеспечении антивирусной защиты в банке должны быть разработаны и введены в действие инструкции по антивирусной защите, учитывающие особенности банковских информационных процессов. Ответственность за выполнение требований процедур по антивирусной защите должна быть возложена на каждого сотрудника банка, имеющего доступ к персональному компьютеру и/или автоматизированной системе. 

82. В банке должна осуществляться антивирусная фильтрация трафика электронного почтового обмена. 

83. Устанавливаемое или изменяемое программное обеспечение должно быть предварительно проверено на отсутствие вирусов. При обнаружении компьютерного вируса должны быть приняты меры по его обезвреживанию и восстановлению работоспособности рабочих мест.   

84. Отключение или необновление антивирусных средств не допускается. Установка и обновление средств антивирусной защиты должны контролироваться ответственными сотрудниками. 

85. В банке должна быть обеспечена безопасность использования криптографических средств защиты информации.   

86. Используемые в банке средства криптографической защиты должны:  

87. В банке должны создаваться резервные копии для платежной и другой банковской информации, а также для системного и прикладного программного обеспечения, необходимого для обработки этой информации.   

88. В качестве носителей данных должны использоваться внешние носители информации: жесткие диски, магнитные ленты, записываемые оптические цифровые диски и др. 

89. Все резервные копии должны быть промаркированы с указанием хранимой информации, учетного номера и даты создания копии.   

90. Резервные копии (или их дубликаты) должны храниться в удаленных помещениях, обеспечивающих защиту от несанкционированного доступа, защиту от электромагнитных излучений, защиту от тепловых воздействий, защиту от механических воздействий, а также при поддержании внутренней температуры и влажности воздуха на заданном уровне.   

91. В банке должны осуществляться процедуры периодического тестирования и восстановления данных архива резервных копий, согласно внутренним документам.   

92. В банке должны быть предусмотрены меры по защите персональных данных, а также любых сведений, охраняемых законодательством Кыргызской Республики, в том числе сведений, составляющих банковскую тайну и т.д., и определен порядок обработки персональных данных в соответствии с законодательством Кыргызской Республики.   

93. Банк должен обеспечить техническую укрепленность помещений в соответствии с требованиями, предъявляемыми к банкам Кыргызской Республики, согласно инструкции «О единых требованиях по технической укрепленности финансово-кредитных учреждений и порядке их охраны в Кыргызской Республике».  

94. В банке должны быть разработаны и утверждены внутренние документы по обеспечению физической безопасности и технической укрепленности помещений, специализированных центров обработки данных, критичных и уязвимых зон, в которых размещены аппаратно-вычислительные комплексы информационных систем, от несанкционированного доступа, воздействий внешней окружающей среды и чрезвычайных случаев техногенного характера.  

95. Помещения для оборудования информационных систем должны соответствовать условиям эксплуатации данного оборудования.   

96. Порядок доступа сотрудников банка в центры обработки информации, в которых размещаются объекты информационных активов, должен быть регламентирован во внутренних документах банка, а их выполнение должно контролироваться. Физический доступ в помещения, в которых размещены объекты информационных систем, должен быть четко регламентирован и разрешен только определенной группе уполномоченных лиц ответственного подразделения, в соответствии с возложенными на них задачами и обязанностями.  

97. В случае если банк осуществляет выпуск платежных карт, то помещение, в котором банк устанавливает аппаратно-программный комплекс по персонализации платежных карт, должно:   

Помещение для выпуска PIN-конвертов должно быть оборудовано шредером для уничтожения бланков и испорченных PIN-конвертов. 

98. Управление инцидентами и уязвимостями информационной безопасности осуществляется на основе разработанных и четко используемых процессов.  

99. Банк должен идентифицировать инциденты и уязвимости, они должны быть оценены и к ним должны быть приняты меры по предотвращению возникновения подобных инцидентов информационной безопасности. Уязвимости должны быть устранены.  

100. Результаты анализа инцидентов информационной безопасности, а также рекомендации по минимизации вероятности возникновения инцидентов информационной безопасности и их возможного ущерба должны в дальнейшем использоваться для оценки рисков информационной безопасности.  

101. Банк должен проводить оценку риска при использовании аутсорсинга в своей деятельности, включая центры обработки данных, облачных технологий и сервисов. Оценка риска должна включать в себя анализ всей имеющейся информации о поставщике услуг (компании), которая доступна для банка. Оценка риска проводится с учетом требований Национального банка Кыргызской Республики. На основании запроса Национального банка Кыргызской Республики, банк должен предоставить вышеуказанную оценку рисков. 

102. Договор с поставщиком аутсорсинговых услуг должен содержать как минимум следующие разделы:  

103. План обеспечения непрерывности деятельности банка должен включать меры, обеспечивающие своевременный доступ к информации, переданной на аутсорсинг, а также возобновление предоставления услуг в случае возникновения чрезвычайных ситуаций в деятельности поставщика услуг (аутсорсинг).