Методические указания об организации защиты информации между банками Республики Узбекистан по системе электронных платежей Утверждены ЦБ 12.01.1996 г. N 183)

Функция недоступна

ЦЕНТРАЛЬНЫЙ БАНК

РЕСПУБЛИКИ УЗБЕКИСТАН

12.01.1996 г.

N 183

МЕТОДИЧЕСКИЕ УКАЗАНИЯ

об организации защиты информации

между банками Республики Узбекистан

по системе электронных платежей

РАЗДЕЛ 1. ВВЕДЕНИЕ

1.1. Данные методические указания являются составной частью ”Положения о ведении расчетов между банками Республики Узбекистан по системе электронных платежей (протокол N 22 ЦБ РУз от 19 августа 1995 года), используемой в системе банков Республики Узбекистан. Она предназначена для обеспечения защиты информации при решении банковских задач.

1.2. Методические указания устанавливают основные направления и порядок внедрения защиты информации по банковской системе.

1.3. Данные Методические указания являются обязательными для всех учреждений банков в части, касающейся внедрения защиты информации по банковской системе в условиях организации обработки документации средствами вычислительной техники (СВТ).

1.4. Общее руководство внедрения защиты информации в учреждениях банков РУз осуществляет Департамент безопасности и защиты информации ЦБ РУз.

1.5. Данные Методические указания по мере внедрения защиты информации в банковской системе будут уточняться и дополняться.

РАЗДЕЛ 2. ДОСТУП К ПЕРЕДАЧЕ (ПРИЕМУ)

ИНФОРМАЦИИ

2.1. Доступ к принятой и переданной информации по системе электронных платежей в учреждениях банка имеют следующие лица:

- оператор, имеющий доступ к информации, оформленной в установленном порядке;

- главный бухгалтер (зам. главбухгалтера, при отсутствии главного бухгалтера);

- руководитель (зам. руководителя, при отсутствии руководителя).

РАЗДЕЛ 3. ОБЕСПЕЧЕНИЕ ЗАЩИТЫ КОММЕРЧЕСКОЙ

ТАЙНЫ ОТ УТЕЧКИ И НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

ПРИ ИСПОЛЬЗОВАНИИ СВТ ДЛЯ ОБРАБОТКИ

БАНКОВСКОЙ ИНФОРМАЦИИ

ОБЩИЕ ПОЛОЖЕНИЯ

Настоящий раздел устанавливает основные требования по обеспечению защиты информации, составляющей банковскую коммерческую тайну, от утечки по радиотехническим каналам, несанкционированного доступа и злоупотреблений обслуживающего персонала при использовании СВТ в виде отдельных устройств или комплексов, предназначенных для сбора, обработки и хранения информации, а также осуществления электронных платежей в подразделениях и компьютерных сетях ЦБ РУз.

ТРЕБОВАНИЯ К ПОМЕЩЕНИЯМ

ДЛЯ РАЗМЕЩЕНИЯ СВТ

СВТ размещаются в отдельных звукоизолированных, защищенных от обозрения посторонними лицами, надежно охраняемых помещениях.

Эти помещения должны отвечать требованиям пожарной безопасности и иметь: капитальные стены и надежные перекрытия; прочные двери, оборудованные шифрозамками или другими надежными запорами; средствами защиты окон от возможного проникновения через них в помещение, а также шторы на окнах, защищающие от визуального наблюдения и, при необходимости, - сигнализацию, связанную с подразделением охраны.

В помещениях, где установлены СВТ, не рекомендуется установка и эксплуатация радиоточек, электрических часов, телефонных аппаратов и другого слаботочного оборудования, не защищенного соответствующим образом от утечки информации. В тех помещениях, где может обрабатываться наиболее ценная и важная конфиденциальная информация, целесообразна установка генераторов зашумления.

Помещения, в которых размещаются СВТ, должны располагаться с учетом необходимой изоляции отдельных технологических участков и надежной защиты информации. Доступ в них посторонних лиц должен быть максимально ограничен. В каждом помещении должны работать только те лица, которые имеют право входа в него. Каждое помещение должно быть оснащено металлическими шкафами или сейфами для хранения внешних магнитных носителей с конфиденциальными данными, прикладным и прочим программным обеспечением.

ОРГАНИЗАЦИОННО-ПРАВОВЫЕ МЕРЫ ЗАЩИТЫ

И ОБЯЗАННОСТИ ДОЛЖНОСТНЫХ ЛИЦ,

ИМЕЮЩИХ ДЕЛО С СВТ

Лица, занятые эксплуатацией и обслуживанием СВТ, а также пользователи допускаются к работе только после изучения и проверки знаний ими настоящей Инструкции, инструкций по эксплуатации технических средств, а также других документов по вопросам обеспечения режима защиты информации.

Руководителям, в ведении которых находятся СВТ, совместно с соответствующими специалистами и юридическими службами необходимо:

- определить перечень сведений, составляющих коммерческую тайну соответствующего банка или его подразделения;

- разработать и ввести в действие ”Положение о коммерческой тайне” и ”Инструкцию по работе с документацией, содержащей конфиденциальные сведения”, с доведением под расписку до каждого сотрудника, имеющего доступ к данным сведениям;

- разработать типовой ”Договор-обязательство о сохранении коммерческой тайны и другой служебной информации” для подписания его каждым сотрудником, владеющим указанной информацией для обеспечения возможности, в случае необходимости, применения норм гражданского законодательства о возмещении нанесенного ущерба;

- в соответствии с рекомендациями разрабатывать и осуществлять мероприятия по обеспечению режима защиты при сборе и обработке информации, а также по недопущению несанкционированного доступа, заключающегося в получении из СВТ пользователями, обслуживающим персоналом или посторонними лицами, информации, к которой они не имеют права доступа;

- принимать меры к предотвращению утечки конфиденциальной информации из СВТ, разглашения этих сведений, утрат или хищений машинных носителей информации, устранению побочных излучений и наводок;

- принимать меры по исключению случаев порчи ценной информации в СВТ в результате непреднамеренного или преднамеренного изменения, искажения или ее разрушения работниками, а также в результате неисправностей технических средств или ошибок программного обеспечения СВТ;

- принимать меры к ограничению числа лиц, эксплуатирующих и обслуживающих СВТ, осуществлять контроль за соблюдением установленного порядка разграничения доступа к конфиденциальной информации, а также за движением и сохранностью всех документов, поступающих на обработку СВТ;

- в соответствии с Законом РУз ”О правовой охране программ для ЭВМ и баз данных” от 06.05.94 г. исключить из практики использование нелицензионного или ”пиратски” установленного системного и прикладного программного обеспечения. Разработать и ввести в эксплуатацию только согласованные оптимальные варианты конфигурации СВТ в соответствии с решаемыми задачами и квалификацией конкретных пользователей;

- назначать своими распоряжениями системных администраторов или ответственных лиц из наиболее подготовленных сотрудников того или иного подразделения банка для обеспечения квалифицированной и грамотной эксплуатации СВТ, соблюдения требований и рекомендаций по использованию прикладного программного обеспечения и вариантов конфигурации соответствующих категорий СВТ;

- в целях защиты СВТ от вирусных атак пресекать самовольное несанкционированное изменение конфигурации компьютеров и установку не прошедших экспертной оценки и рекомендованных к использованию программных продуктов, в том числе различных компьютерных игр и т.п.;

- для повышения эффективности защиты банковской коммерческой тайны, затруднения несанкционированного доступа к конфиденциальной информации кроме применения организационно-правовых мер четко соблюдать и контролировать правильное использование на СВТ аппаратно-программного обеспечения такой защиты в соответствии с инструкциями и рекомендациями ЦБ;

- систематически проводить работу по повышению профессиональной квалификации сотрудников;

- разрабатывать и осуществлять контрольно-пропускные мероприятия по обеспечению надежной охраны помещений, в которых размещены  СВТ, и установлению режима в них.

ОБЯЗАННОСТИ РАБОТНИКОВ, ЭКСПЛУАТИРУЮЩИХ

И ОБСЛУЖИВАЮЩИХ СВТ

Лица, эксплуатирующие и обслуживающие СВТ, обязаны:

- твердо знать и неукоснительно выполнять установленные требования по обеспечению режима защиты информации при использовании СВТ;

- соблюдать установленный порядок учета проводимых на СВТ работ, включая подготовку данных, их ввод, обработку и выдачу результатов обработки, проведение ремонтно-профилактических работ;

- обеспечивать надежное хранение машинных носителей информации и машинных документов;

- соблюдать установленный режим разграничения доступа к конфиденциальной информации.

Обо всех фактах попыток несанкционированного доступа, утечки или порчи информации немедленно информировать соответствующих лиц и принимать меры по локализации ущерба, который может быть нанесен в результате этих происшествий.