Методические указания об организации защиты информации между банками Республики Узбекистан по системе электронных платежей Утверждены ЦБ 12.01.1996 г. N 183)
ЦЕНТРАЛЬНЫЙ БАНК
РЕСПУБЛИКИ УЗБЕКИСТАН
12.01.1996 г.
N 183
МЕТОДИЧЕСКИЕ УКАЗАНИЯ
об организации защиты информации
между банками Республики Узбекистан
по системе электронных платежей
1.1. Данные методические указания являются составной частью ”Положения о ведении расчетов между банками Республики Узбекистан по системе электронных платежей (протокол N 22 ЦБ РУз от 19 августа 1995 года), используемой в системе банков Республики Узбекистан. Она предназначена для обеспечения защиты информации при решении банковских задач.
1.2. Методические указания устанавливают основные направления и порядок внедрения защиты информации по банковской системе.
1.3. Данные Методические указания являются обязательными для всех учреждений банков в части, касающейся внедрения защиты информации по банковской системе в условиях организации обработки документации средствами вычислительной техники (СВТ).
1.4. Общее руководство внедрения защиты информации в учреждениях банков РУз осуществляет Департамент безопасности и защиты информации ЦБ РУз.
1.5. Данные Методические указания по мере внедрения защиты информации в банковской системе будут уточняться и дополняться.
РАЗДЕЛ 2. ДОСТУП К ПЕРЕДАЧЕ (ПРИЕМУ)
ИНФОРМАЦИИ
2.1. Доступ к принятой и переданной информации по системе электронных платежей в учреждениях банка имеют следующие лица:
- оператор, имеющий доступ к информации, оформленной в установленном порядке;
- главный бухгалтер (зам. главбухгалтера, при отсутствии главного бухгалтера);
- руководитель (зам. руководителя, при отсутствии руководителя).
РАЗДЕЛ 3. ОБЕСПЕЧЕНИЕ ЗАЩИТЫ КОММЕРЧЕСКОЙ
ТАЙНЫ ОТ УТЕЧКИ И НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
ПРИ ИСПОЛЬЗОВАНИИ СВТ ДЛЯ ОБРАБОТКИ
БАНКОВСКОЙ ИНФОРМАЦИИ
Настоящий раздел устанавливает основные требования по обеспечению защиты информации, составляющей банковскую коммерческую тайну, от утечки по радиотехническим каналам, несанкционированного доступа и злоупотреблений обслуживающего персонала при использовании СВТ в виде отдельных устройств или комплексов, предназначенных для сбора, обработки и хранения информации, а также осуществления электронных платежей в подразделениях и компьютерных сетях ЦБ РУз.
ДЛЯ РАЗМЕЩЕНИЯ СВТ
СВТ размещаются в отдельных звукоизолированных, защищенных от обозрения посторонними лицами, надежно охраняемых помещениях.
Эти помещения должны отвечать требованиям пожарной безопасности и иметь: капитальные стены и надежные перекрытия; прочные двери, оборудованные шифрозамками или другими надежными запорами; средствами защиты окон от возможного проникновения через них в помещение, а также шторы на окнах, защищающие от визуального наблюдения и, при необходимости, - сигнализацию, связанную с подразделением охраны.
В помещениях, где установлены СВТ, не рекомендуется установка и эксплуатация радиоточек, электрических часов, телефонных аппаратов и другого слаботочного оборудования, не защищенного соответствующим образом от утечки информации. В тех помещениях, где может обрабатываться наиболее ценная и важная конфиденциальная информация, целесообразна установка генераторов зашумления.
Помещения, в которых размещаются СВТ, должны располагаться с учетом необходимой изоляции отдельных технологических участков и надежной защиты информации. Доступ в них посторонних лиц должен быть максимально ограничен. В каждом помещении должны работать только те лица, которые имеют право входа в него. Каждое помещение должно быть оснащено металлическими шкафами или сейфами для хранения внешних магнитных носителей с конфиденциальными данными, прикладным и прочим программным обеспечением.
ОРГАНИЗАЦИОННО-ПРАВОВЫЕ МЕРЫ ЗАЩИТЫ
И ОБЯЗАННОСТИ ДОЛЖНОСТНЫХ ЛИЦ,
ИМЕЮЩИХ ДЕЛО С СВТ
Лица, занятые эксплуатацией и обслуживанием СВТ, а также пользователи допускаются к работе только после изучения и проверки знаний ими настоящей Инструкции, инструкций по эксплуатации технических средств, а также других документов по вопросам обеспечения режима защиты информации.
Руководителям, в ведении которых находятся СВТ, совместно с соответствующими специалистами и юридическими службами необходимо:
- определить перечень сведений, составляющих коммерческую тайну соответствующего банка или его подразделения;
- разработать и ввести в действие ”Положение о коммерческой тайне” и ”Инструкцию по работе с документацией, содержащей конфиденциальные сведения”, с доведением под расписку до каждого сотрудника, имеющего доступ к данным сведениям;
- разработать типовой ”Договор-обязательство о сохранении коммерческой тайны и другой служебной информации” для подписания его каждым сотрудником, владеющим указанной информацией для обеспечения возможности, в случае необходимости, применения норм гражданского законодательства о возмещении нанесенного ущерба;
- в соответствии с рекомендациями разрабатывать и осуществлять мероприятия по обеспечению режима защиты при сборе и обработке информации, а также по недопущению несанкционированного доступа, заключающегося в получении из СВТ пользователями, обслуживающим персоналом или посторонними лицами, информации, к которой они не имеют права доступа;
- принимать меры к предотвращению утечки конфиденциальной информации из СВТ, разглашения этих сведений, утрат или хищений машинных носителей информации, устранению побочных излучений и наводок;
- принимать меры по исключению случаев порчи ценной информации в СВТ в результате непреднамеренного или преднамеренного изменения, искажения или ее разрушения работниками, а также в результате неисправностей технических средств или ошибок программного обеспечения СВТ;
- принимать меры к ограничению числа лиц, эксплуатирующих и обслуживающих СВТ, осуществлять контроль за соблюдением установленного порядка разграничения доступа к конфиденциальной информации, а также за движением и сохранностью всех документов, поступающих на обработку СВТ;
- в соответствии с Законом РУз ”О правовой охране программ для ЭВМ и баз данных” от 06.05.94 г. исключить из практики использование нелицензионного или ”пиратски” установленного системного и прикладного программного обеспечения. Разработать и ввести в эксплуатацию только согласованные оптимальные варианты конфигурации СВТ в соответствии с решаемыми задачами и квалификацией конкретных пользователей;
- назначать своими распоряжениями системных администраторов или ответственных лиц из наиболее подготовленных сотрудников того или иного подразделения банка для обеспечения квалифицированной и грамотной эксплуатации СВТ, соблюдения требований и рекомендаций по использованию прикладного программного обеспечения и вариантов конфигурации соответствующих категорий СВТ;
- в целях защиты СВТ от вирусных атак пресекать самовольное несанкционированное изменение конфигурации компьютеров и установку не прошедших экспертной оценки и рекомендованных к использованию программных продуктов, в том числе различных компьютерных игр и т.п.;
- для повышения эффективности защиты банковской коммерческой тайны, затруднения несанкционированного доступа к конфиденциальной информации кроме применения организационно-правовых мер четко соблюдать и контролировать правильное использование на СВТ аппаратно-программного обеспечения такой защиты в соответствии с инструкциями и рекомендациями ЦБ;
- систематически проводить работу по повышению профессиональной квалификации сотрудников;
- разрабатывать и осуществлять контрольно-пропускные мероприятия по обеспечению надежной охраны помещений, в которых размещены СВТ, и установлению режима в них.
ОБЯЗАННОСТИ РАБОТНИКОВ, ЭКСПЛУАТИРУЮЩИХ
И ОБСЛУЖИВАЮЩИХ СВТ
Лица, эксплуатирующие и обслуживающие СВТ, обязаны:
- твердо знать и неукоснительно выполнять установленные требования по обеспечению режима защиты информации при использовании СВТ;
- соблюдать установленный порядок учета проводимых на СВТ работ, включая подготовку данных, их ввод, обработку и выдачу результатов обработки, проведение ремонтно-профилактических работ;
- обеспечивать надежное хранение машинных носителей информации и машинных документов;
- соблюдать установленный режим разграничения доступа к конфиденциальной информации.
Обо всех фактах попыток несанкционированного доступа, утечки или порчи информации немедленно информировать соответствующих лиц и принимать меры по локализации ущерба, который может быть нанесен в результате этих происшествий.