Защита от несанкционированного доступа в информационной системе Организации строится на основе комплексного применения организационных, инженерно-технических и программно-технических мер и средств защиты.
Контроль доступа к информационным активам Организации должен быть организован с учетом видов обрабатываемой информации:
- внутренняя банковская информация;
- информация ограниченного доступа;
- персональные данные;
- информация сторонних организаций;
- информация глобальных общедоступных сетей (например, сети Internet).
Должен обеспечиваться физический контроль доступа к информационным активам в виде следующих мер:
- ограничение доступа к местам хранения эталонного программного обеспечения, информационных архивов;
- ограничение доступа в помещения, где располагается серверное оборудование, осуществляющее хранение и обработку информационных активов;
- ограничение доступа в помещения, где осуществляется обработка информации ограниченного доступа;
- порядок доступа в указанные помещения должен быть регламентирован.
|
|
Логический контроль доступа к АС Организации должен обеспечиваться:
- в информационных сегментах, где происходит обработка информации ограниченного доступа, - средствами операционных систем и сертифицированными средствами защиты от несанкционированного доступа;
- в информационных сегментах, где происходит обработка персональных данных, - средствами операционных систем и сертифицированными средствами защиты от несанкционированного доступа;
- в других информационных сегментах - средствами операционных систем и средствами контроля доступа специализированных приложений.
Контроль доступа к серверам, в том числе на уровне файлов, обеспечивается средствами операционных систем, средствами сетевого мониторинга и аудита. Контроль доступа к сетевым базам данных, архивам и хранилищам данных обеспечивается средствами специализированных приложений.
Предоставление доступа сотрудникам к любому информационному активу, базе данных, АС должно документироваться.
Перечень технических средств, на которых производится обработка информации ограниченного доступа и список сотрудников, допущенных к ее обработке, должен быть актуален. Предоставление доступа сотрудников к АРМ, обрабатывающим информацию ограниченного доступа, осуществляется на основании заявок пользователей за подписью руководителя подразделения. Указанные заявки хранятся у АИБ, который контролирует и, при наличии полномочий, предоставляет права доступа.
В случае прекращения полномочий сотрудника, допущенного к АС или автономному АРМ обработки, передачи и хранения информации ограниченного доступа, своевременно корректируются права доступа на всех средствах вычислительной техники в соответствии с изменившимися полномочиями сотрудника. Для защиты от НСД к информационным активам Организации должны применяться сертифицированные средства защиты, согласованные с Организацией.
|
|
Для информационных активов должна использоваться система парольной защиты в соответствии с установленными в Организации требованиями. Каждому пользователю АС должен быть присвоен уникальный персональный идентификатор.
Административные и пользовательские пароли формируются самостоятельно сотрудниками Организации, и каждый сотрудник несет ответственность за правильность формирования и хранения своего пароля. Свой пароль сотрудник не имеет права сообщать никому.
Внеплановая смена или удаление операторских и пользовательских паролей сотрудника в случае прекращения его полномочий по доступу к информационным ресурсам (увольнение либо переход на другую работу внутри подразделений Организации и другие обстоятельства) должна производиться немедленно после последнего сеанса работы данного пользователя с системой. Смена паролей производится для всех объектов ЛВС, доступ к которым был предоставлен сотруднику.