4ТРЕБОВАНИЯ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ
АГЕНТ обязан на дату заключения ДОГОВОРА БПА, а также в любой момент в течение всего срока действия ДОГОВОРА БПА обеспечивать соблюдение требований в отношении средств защиты информации, установленных и используемых на рабочих станциях АГЕНТА, участвующих в технологическом процессе обеспечения предоставления ЭСП и(или) перевода денежных средств, и приведенных в настоящем разделе.
АГЕНТ обязан по письменному требованию БАНКА в течение 15 календарных дней с момента получения указанного требования предоставить БАНКУ в письменном виде за подписью руководителя и по форме, указанной в требовании, отчет об исполнении АГЕНТОМ требований по обеспечению защиты информации, предусмотренных настоящим разделом, с приложением копий (сканкопий) подтверждающих документов (распорядительные и внутренние документы АГЕНТА, документация, предоставленная разработчиком/поставщиком средств защиты, применяемых АГЕНТОМ и др.).
Требования в отношении средств защиты информации
АГЕНТ обязан установить на рабочих станциях антивирусную программу, сигнатуры которого обновлять на постоянной основе с определенной периодичностью, и закрепить данный порядок во внутренних документах АГЕНТА.
АГЕНТ обязан использовать на почтовом сервере для проверки почтового трафика специальную антивирусную программу, а в случае отсутствия такого средства обеспечить проверку почтового трафика средствами основной антивирусной программы. Проверка всех получаемых и открываемых файлов должна производиться «на лету». Не допускается выполнение отмены проверяемых файлов без ввода администраторского пароля.
АГЕНТ обязан на рабочих станциях для каждого работника выделить и использовать персонифицированную учетную запись, доступ к которой осуществляться путем корректного ввода идентификатора (логина) и пароля, закрепить требования к безопасности пароля во внутренних документах АГЕНТА и обеспечить соблюдение данных требований на всей территории АГЕНТА.
Не допускается использование рядовыми пользователями учетных данных с администраторскими правами.
Не допускается использование на рабочей станции иных учетных данных, не имеющих отношения к информационному обмену СТОРОН.
Все незаблокированные учетные записи в Active Directory должны быть именными (с целью исключения учетных записей оборудования и серверов) и ставиться в соответствие определенному работнику АГЕНТА. Каждый работник АГЕНТА должен работать под своей учетной записью.
АГЕНТ обязан ограничить любым способом (либо используя специальные наклейки и(или) иные защитные средства на USB-порты в случае, если USB-порты не используются, либо используя специальное программное обеспечение, например, с использованием средств антивирусной программы) использование работниками АГЕНТА USB-портов, за исключением случаев, когда использование USB-носителей, содержащих ключевую информацию, предусмотрено иными соглашениями с БАНКОМ (например, USB-токен для системы «Банк-Клиент»).
АГЕНТ обязан оборудовать рабочие станции средствами защиты от несанкционированного доступа, используя специализированные программно-аппаратные комплексы и(или) выполняя организационные меры. Допускается использование голографических наклеек, опечатывания рабочих станций, средств защиты от физического вмешательства и иных достаточных мер.
АГЕНТ обязан ограничить (программными и(или) аппаратными средствами) на рабочих станциях использование подключения к сети «Интернет» строго теми адресами, доступ к которым необходим в целях исполнения должностных обязанностей и производственной необходимости. Запрещается использование неограниченного подключения к сети «Интернет».
АГЕНТ обязан организовать защиту и фильтрацию информационных потоков с использованием средств межсетевого экрана (файервола), обеспечить запрет средствами файервола любых прямых входящих/исходящих соединений, не предусмотренных информационным обменом между АГЕНТОМ и БАНКОМ, за исключением информационного обмена между рабочими станциями АГЕНТА, между АГЕНТОМ и его контрагентами при наличии соответствующего соглашения об информационном обмене, удаленного управления рабочей станцией со стороны технических специалистов БАНКА (доступ предоставляется на временной основе на основании разрешения, полученного от АГЕНТА), в случае наличия такой необходимости и в целях сопровождения (для консультативной и техподдержки). Допускается использование в антивирусной программе функций брандмауэра (файервола).
АГЕНТ обязан ограничить (в т.ч. применяя фильтрацию) использование электронной почты списком «доверенных адресов» (подтвержденных адресов). Обмен с использованием электронной почты внутри сети АГЕНТА между работниками АГЕНТА не ограничивается.
АГЕНТ обязан ограничить использование сетевых и информационных ресурсов на рабочих станциях путем создания определенных групп в Active Directory Windows, обеспечив функционирование рабочей станции строго в рамках того информационного обмена, который допускается настоящим Соглашением об обмене.
АГЕНТ обязан обеспечить наличие эксплуатационной документации на СКЗИ и исполнение требований эксплуатационной документации на СКЗИ в течение всего срока их эксплуатации. Эксплуатационная документация поставляется вместе с приобретаемыми лицензионными средствами, а также доступна на сайте разработчика.
АГЕНТ обязан соответствовать требованиям к обеспечению защиты информации при осуществлении переводов денежных средств в рамках Соглашения о приеме платежей, устанавливаемых Положением Банка России от 09.06.2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – Положение Банка России № 382-П).
Организационные меры обеспечения защиты информации
АГЕНТ обязан любыми доступными средствами ограничить несанкционированный доступ к рабочим станциям, серверам, в помещения, в которых хранится Конфиденциальная информация (в т.ч. Клиентские досье), в кассовые комнаты (кассовые узлы) Пунктов приема платежей и закрепить данный порядок во внутренних документах АГЕНТА.
АГЕНТ обязан организовать хранение Конфиденциальной информации (в т.ч. Клиентских досье) и ключевой информация в специально оборудованных местах (сейфах и (или) металлических шкафах, запирающихся на ключ) до момента передачи документов в БАНК. Не допускается оставлять документы, содержащие указанную информацию без присмотра. Запрещается хранить пароли доступа на рабочих столах, приклеивать на монитор или держать в непосредственной близости от рабочего места, а также в открытом виде.
АГЕНТ обязан обеспечить контроль и сопровождение со стороны технического работника АГЕНТА (при его отсутствии – любого работника АГЕНТА), а также фиксирование всех действий в процессе ремонта и(или) технического обслуживания рабочей станции, если для подобных работ привлекается сторонняя организация.
АГЕНТ обязан обеспечить уничтожение защищаемой информации способом, гарантирующим невозможность её последующего восстановления в случае, если съемные носители информации или сама рабочая станция целиком подлежит продаже или утилизации. Факт уничтожения защищаемой информация подтверждается соответствующим актом за подписью ответственных лиц. Все действия в отношении переносных носителей, содержащих защищаемую информацию, должны быть выполнены сотрудниками, специально назначенными для этих целей распорядительным документом АГЕНТА.
АГЕНТ обязан предпринять все доступные и возможные меры по незамедлительному удалению любыми способами вируса, обнаруженного в сети АГЕНТА, – вплоть до полного форматирования жесткого диска и новой установки операционной системы и необходимого программного обеспечения. Информационный обмен с БАНКОМ на это время приостанавливается. Данные нормы должны быть закреплены во внутренних документах АГЕНТА.
АГЕНТ обязан при осуществлении переводов денежных средств в рамках «Соглашения о порядке оказания АГЕНТОМ услуги физическим лицам по приему платежей в адрес Поставщиков услуг по Системе «Город», закрепить в своих внутренних документах порядок действий и реагирования в случае возникновения чрезвычайных и непредвиденных ситуаций, в результате которых может быть нарушена непрерывность информационных процессов, а также порядок действий, связанных с резервированием и восстановлением информации в случае непредвиденных сбоев.
|