28 февраля, воскресенье 04:20
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ИБ к разработчикам при внедрении в Банке новой АБС.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Вопросы по ИБ к разработчикам при внедрении в Банке новой АБС.

    Решил посоветоваться с коллегами по поводу перечня вопросов, которые актуальны для службы информационной безопасности при внедрении в банке новой АБС.
    Традиционные вопросы:
    1. Наличие ведущегося в АБС журнала логирования и действий пользователей;
    2. Каким образом осуществляется организация и распределение доступа пользователям;
    3. Что в АБС реализовано для реализации требований по 152-ФЗ,
    уже были заданы разработчикам (службе внедрения), но наверняка есть еще, что я упустил.
    Вот что же именно?

  • #2
    4. Наличие логирования изменения прав доступа.
    5. Возможность ограничить доступ администраторам к электронному журналу аудита
    6. Возможность обезличивания данных (уже имеющимся механизмом, имеющимся скриптом и пр., неважно)
    7. Возможность удаления или обезличивания данных физ лиц не затрагивая документы

    Комментарий


    • #3
      посмотрите СТО БР ИББС 1.0-2010
      можно взять все из
      7.3. Общие требования по обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла-
      затем из других требований:
      7.4.2. В составе АБС должны применяться встроенные защитные меры, а также рекомендуются к использованию сертифицированные или разрешенные руководством организации БС РФ к применению средства защиты информации от НСД и НРД.
      Процедуры управления доступом должны исключать возможность "самосанкционирования".
      7.4.6. Используемые в организации БС РФ АБС, в том числе системы дистанционного банковского обслуживания, должны обеспечивать среди прочего возможность регистрации:
      - операций с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов;
      - проводимых транзакций, имеющих финансовые последствия;
      - операций, связанных с назначением и распределением прав пользователей.
      7.4.12. Работа всех пользователей АБС должна осуществляться под уникальными учетными записями.

      ну и дальше еще много чего можно наковырять из СТО БР ИББС
      Мы продолжаем делать то, что мы уже много наделали

      Комментарий


      • #4
        http://www.osp.ru/cio/2002/04/172123/
        Пишем, пишем, пишем, пишем документы.

        Комментарий


        • #5
          Спасибо всем. :-) А статью по последней ссылке ранее мучительно вспоминал, искал, но так и не нашел.

          Комментарий

          Обработка...
          X