7.8. "Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения" СТО БР ИББС-1.0-2014" (принят и введен в действие Распоряжением Банка России от 17.05.2014 N Р-399)

7.8.1. СИБ банковского платежного технологического процесса должна соответствовать требованиям пунктов 7.2 - 7.7, 7.8 настоящего стандарта.

7.8.2. Банковский платежный технологический процесс должен быть регламентирован (описан) в организации БС РФ.

7.8.3. Порядок обмена платежной информацией должен быть зафиксирован в договорах между участниками, осуществляющими обмен платежной информацией.

7.8.4. Работники организации БС РФ, в том числе администраторы автоматизированных систем и средств защиты информации, не должны обладать полномочиями для бесконтрольного создания, авторизации, уничтожения и изменения платежной информации, а также проведения несанкционированных операций по изменению состояния банковских счетов.

7.8.5. Результаты технологических операций по обработке платежной информации должны контролироваться (проверяться) и удостоверяться лицами/автоматизированными процессами.

Рекомендуется, чтобы обработку платежной информации и контроль (проверку) результатов обработки осуществляли разные работники/автоматизированные процессы.

7.8.6. Комплекс защитных мер банковского платежного технологического процесса должен предусматривать, в том числе:

- защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации электронных платежных сообщений;

- доступ работника организации БС РФ только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения должностных обязанностей или реализации прав, предусмотренных технологией обработки платежной информации;

- контроль (мониторинг) исполнения установленной технологии подготовки, обработки, передачи и хранения платежной информации;

- аутентификацию входящих электронных платежных сообщений;

- двустороннюю аутентификацию автоматизированных рабочих мест (рабочих станций и серверов), участников обмена электронными платежными сообщениями;

- возможность ввода платежной информации в АБС только для авторизованных пользователей;

- контроль, направленный на исключение возможности совершения злоумышленных действий, в частности двойной ввод, сверка, установление ограничений в зависимости от суммы совершаемых операций;

- восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники;

- сверку выходных электронных платежных сообщений с соответствующими входными и обработанными электронными платежными сообщениями при осуществлении межбанковских расчетов;

- возможность блокирования приема к исполнению распоряжений клиентов;

- доставку электронных платежных сообщений участникам обмена.

Кроме того, в организации БС РФ рекомендуется организовать авторизованный ввод платежной информации в АБС двумя работниками с последующей программной сверкой результатов ввода на совпадение (принцип "двойного управления").

7.8.7. Для систем дистанционного банковского обслуживания должны применяться защитные механизмы, реализующие:

- снижение вероятности выполнения непреднамеренных или случайных операций или транзакций авторизованными клиентами;

- доведение информации о возможных рисках, связанных с выполнением операций или транзакций до клиентов.

Клиенты систем дистанционного банковского обслуживания должны быть обеспечены детальными инструкциями, описывающими процедуры выполнения операций или транзакций.

7.8.8. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры обслуживания средств вычислительной техники, используемых в банковском платежном технологическом процессе, включая замену их программных и (или) аппаратных частей.

7.8.9. Должны быть определены, выполняться и регистрироваться процедуры периодического контроля всех реализованных защитными мерами функций (требований) по обеспечению ИБ платежной информации.

7.8.10. Должны быть определены, выполняться и регистрироваться процедуры контроля отсутствия размещения на устройствах, задействованных в осуществлении банковского платежного технологического процесса, находящихся в общедоступных местах вне зоны постоянного контроля организации БС РФ, в том числе банкоматов и платежных терминалов, специализированных средств, используемых для несанкционированного съема информации.

7.8.11. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры восстановления всех реализованных программно-техническими средствами функций по обеспечению ИБ платежной информации.