Необходимым требование являются документально определенные и утвержденные руководством, выполняемые и контролируемые процедуры идентификации, аутентификации, авторизации; управления доступом; контроля целостности; регистрации событий и действий.

Необходимо документально определить процедуры мониторинга и анализа данных регистрации, действий и операций, позволяющие выявлять неправомерные или подозрительные операции и транзакции. Для проведения процедур мониторинга и анализа данных регистрации, действий и операций рекомендуется использовать специализированные программные и(или) технические средства.

Процедуры мониторинга и анализа должны использовать документально определенные критерии выявления неправомерных или подозрительных действий и операций. Указанные процедуры мониторинга и анализа должны применяться на регулярной основе, например, ежедневно, ко всем выполненным операциям и транзакциям.

Порядок доступа работников в помещения, в которых размещаются объекты среды информационных активов, должен быть регламентирован во внутренних документах организации, а его выполнение должно контролироваться.

Используемые в организации автоматизированные банковские системы, в том числе системы дистанционного банковского обслуживания, должны обеспечивать среди прочего возможность регистрации:

· операций с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов;

· проводимых транзакций, имеющих финансовые последствия;

· операций, связанных с назначением и распределением прав пользователей.

Системы дистанционного банковского обслуживания должны реализовывать защитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций, например, электронная цифровая подпись.

Протоколам операций, выполняемых посредством систем дистанционного банковского обслуживания, рекомендуется придать свойство юридической значимости, например, путем внесения соответствующих положений в договоры на дистанционное банковское обслуживание.

При заключении договоров со сторонними организациями рекомендуется юридическое оформление договоренностей, предусматривающих необходимый уровень взаимодействия в случае выхода инцидента за рамки отдельной организации банковской системы. Примером такого взаимодействия может служить приостановка выполнения распределенной между несколькими организациями транзакции в случае, если имеющиеся данные мониторинга и анализа протоколов операций позволяют предположить, что выполнение данной транзакции является частью замысла злоумышленников.

Проверка и оценка информационной безопасности проводится путем выполнения следующих процессов:

· мониторинга и контроля защитных мер;

· самооценки информационной безопасности.

· аудита информационной безопасности;

· анализа функционирования системы обеспечения информационной безопасности (в том числе со стороны руководства).

Основными целями мониторинга и контроля защитных мер являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели. Такими целями анализа могут быть:

· контроль за реализацией положений внутренних документов по обеспечению информационной безопасности;

· выявление автоматизированной банковской системе;

· выявление инцидентов информационной безопасности.

Мониторинг и контроль защитных мер проводятся уполномоченным персоналом.

Аудит проводится внешними, независимыми проверяющими организациями как для собственных целей самой организации банковской системы, так и с целью повышения доверия к ней со стороны других организаций. При подготовке к аудиту рекомендуется проведение самооценки информационной безопасности. Она проводится собственными силами и по инициативе руководства организации.

Анализ функционирования система обеспечения информационной безопасности проводится персоналом организации, ответственным за ее обеспечение, а также руководством, в том числе на основании подготовленных для руководства документов (данных).

Основными целями проведения анализа функционирования системы обеспечения информационной безопасности являются: