Решение об использовании сети Интернет для производственной и (или) собствен- ной хозяйственной деятельности должно приниматься руководством организации БС РФ. При этом цели использования сети Интернет должны быть явно перечислены и зафиксированы, на- пример, сеть Интернет в организации БС РФ может использоваться для: — ведения дистанционного банковского обслуживания; — получения и распространения информации, связанной с банковской деятельностью (на- пример, путем создания информационных web-сайтов организации БС РФ); — информационно-аналитической работы в интересах организации; — обмена электронными сообщениями между организациями БС РФ и иными субъектами национальной платежной системы; — обмена электронными сообщениями, например почтовыми. Использование сети Интернет в неустановленных целях должно быть запрещено. С целью ограничения использования сети Интернет в неустановленных целях в органи- зации БС РФ рекомендуется провести выделение ограниченного числа пакетов, содержащих перечень сервисов и ресурсов сети Интернет, доступных для пользователей. Наделение ра- ботников организации БС РФ правами пользователя конкретного пакета должно регистриро- ваться и выполняться в соответствии с его должностными обязанностями, в частности в соот- ветствии с назначенными ему ролями.
Должны быть определены, выполняться, регистрироваться и контролироваться процедуры подключения и использования ресурсов сети Интернет.
Передача защищаемых данных с использованием сети Интернет должна осущест- вляться только при условии обеспечения их защиты от раскрытия и модификации.
В организациях БС РФ в связи с повышенными рисками нарушения ИБ при взаи- модействии с сетью Интернет должны применяться защитные меры, в том числе межсетевые экраны, антивирусные средства, средства обнаружения вторжений, средства криптографиче- ской защиты информации, обеспечивающие, среди прочего, прием и передачу информации только в установленном формате и только для конкретной технологии. 24 СТО БР ИББС-1.0-2014 Должны быть разработаны и введены в действие инструкции и рекомендации по исполь- зованию сети Интернет, учитывающие особенности банковских технологических процессов. Должны быть определены и выполняться процедуры протоколирования посещения ре- сурсов сети Интернет работниками организации БС РФ. Данные о посещенных работниками организации БС РФ ресурсов сети Интернет должны быть доступны работникам службы ИБ.
. Рекомендуется выполнить выделение и организовать физическую изоляцию от внутренних сетей тех ЭВМ, с помощью которых осуществляется непосредственное взаимо- действие с сетью Интернет.
При осуществлении дистанционного банковского обслуживания должны приме- няться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в рамках сеанса работы. Все попытки таких подмен должны регистриро- ваться регламентированным в установленном в организации БС РФ порядке.
Все операции клиентов в течение всего сеанса работы с системами дистанционно- го банковского обслуживания, в том числе операции по переводу денежных средств, должны выполняться только после выполнения процедур идентификации, аутентификации и авториза- ции. В случаях нарушения или разрыва соединения необходимо обеспечить закрытие текущей сессии и повторное выполнение процедур идентификации, аутентификации и авторизации. Для доступа пользователей к системам дистанционного банковского обслуживания ре- комендуется использовать специализированное клиентское программное обеспечение.
Должны быть определены состав и порядок применения мер защиты, применяе- мых для организации почтового обмена через сеть Интернет. Рекомендуется организовать почтовый обмен с сетью Интернет через ограниченное ко- личество точек, состоящих из внешнего (подключенного к сети Интернет) и внутреннего (под- ключенного к внутренним сетям организации) почтовых серверов с безопасной системой ре- пликации почтовых сообщений между ними (интернет-киоски).
Электронная почта должна архивироваться. Целями создания архивов электрон- ной почты являются: — контроль информационных потоков, в том числе с целью предотвращение утечек инфор- мации; — использование архивов при проведении разбирательств по фактам утечек информации. Должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры доступа к информации архива и ее изменения, предусматривающие возможность доступа работников службы ИБ к информации архива.
Рекомендуется не применять практику хранения и обработки банковской инфор- мации (в т.ч. открытой) на ЭВМ, с помощью которых осуществляется непосредственное взаи- модействие с сетью Интернет. Наличие банковской информации на таких ЭВМ должно опреде- ляться бизнес-целями организации БС РФ и санкционироваться ее руководством.
Должны быть определены состав и порядок применения мер защиты, применяе- мых при взаимодействии с сетью Интернет и позволяющих обеспечить противодействие ата- кам злоумышленников и распространению спама1 .
