175198 (768413), страница 2
Текст из файла (страница 2)
В основу методологии "Планирование бесперебойной деятельности" положен прагматический подход, предусматривающий поддержание критически важных процессов. Защита всех аспектов деятельности организации от пагубных последствий в случае бедствий либо нереальна, либо связана с чрезмерными затратами.
Целями проекта по составлению плана, обеспечивающего бесперебойность и восстановление деятельности банка в случае бедствий, являются:
Создание методики оценки бизнес-процессов, которая обеспечит разработку плана с помощью хорошо структурированной и всеобъемлющей методологии.
Разработка прагматичного, экономичного и работоспособного плана, который обеспечит бесперебойность критически важных процессов в случае серьёзного нарушения деятельности организации.
Минимизация последствий любого бедствия.
Эффективный план обеспечения бесперебойной деятельности является относительно недорогой формой страхования банка от последствий возможных бедствий, и затраты на него должны рассматриваться как составляющая необходимых издержек на поддержание нормальной деятельности.
Непременным условием быстрого и успешного восстановления деятельности банка после бедствия является предварительная разработка и регулярное обновление постоянно действующего плана обеспечения бесперебойной деятельности.
План включает следующие основные разделы:
1. Основные положения плана;
2. Оценка чрезвычайных ситуаций:
выявление уязвимых мест;
классификация возможных опасных событий и оценка вероятности их возникновения;
сценарии чрезвычайных ситуаций;
потенциальные источники отрицательных последствий каждой чрезвычайной ситуации и оценка величины ущерба;
набор критериев, на основании которых объявляется чрезвычайная ситуация.
3. Деятельность банка в чрезвычайной ситуации:
первоначальное реагирование на чрезвычайную ситуацию (оценка опасного события, объявление чрезвычайной ситуации, оповещение необходимого круга лиц, ввод в действие чрезвычайного плана);
мероприятия, обеспечивающие бесперебойность деятельности банка в чрезвычайной ситуации и восстановление ее нормального функционирования.
4. Поддержание готовности к возникновению чрезвычайной ситуации:
контроль правильности и корректировка содержания плана;
составление списка адресов и процедуры рассылки плана;
разработка программы повышения квалификации и ознакомления персонала с действиями, необходимыми для восстановления деятельности банка после бедствия;
подготовка к опасным событиям, обеспечение безопасности и предотвращение бедствий;
регулярное проведение частичных и комплексных проверок (типа пожарных учений) готовности банка к действиям в чрезвычайной ситуации и способности восстановить нормальную деятельность;
регулярное создание резервных копий данных, документации, бланков входных и выходных документов и основного программного обеспечения, их хранение в безопасном месте.
5. Информационное обеспечение:
приоритетные функции, выполняемые банком;
списки внутренних и внешних ресурсов — технических средств, программного обеспечения, средств связи, документов, офисного оборудования и персонала;
учётная информация о техническом, программном и другом обеспечении, необходимом для восстановления деятельности банка в случае чрезвычайной ситуации;
список лиц, которых необходимо оповестить о чрезвычайной ситуации с указанием адресов и телефонов;
вспомогательная информация — планы и схемы, маршруты перевозок, адреса и т.п.;
описание детальных пошаговых процедур, обеспечивающих чёткое выполнение всех предусмотренных мер;
функции и обязанности сотрудников в случае возникновения непредвиденных обстоятельств;
сроки восстановления деятельности в зависимости от типа возникшей чрезвычайной ситуации;
смета расходов, источники финансирования.
6. Техническое обеспечение:
создание и поддержание базы технических средств, обеспечивающей бесперебойную деятельность банка в чрезвычайной ситуации;
создание и поддержание в надлежащем состоянии резервных помещений.
7. Организационное обеспечение, состав и функции следующих групп, обеспечивающих бесперебойную деятельность в случае бедствия:
группы оценки чрезвычайной ситуации;
группы управления в кризисной ситуации;
группы для работ в чрезвычайной ситуации;
группы восстановления;
группы обеспечения работы в резервном производственном помещении;
группы административной поддержки.
Совершенствование информационной безопасности организации банковских систем следует проводить с учетом рекомендаций в области стандартизации процедур безопасности, установленных Банком России. В этом случае должны быть сформированы следующие требования:
назначения и распределения ролей и обеспечения доверия к персоналу;
обеспечения информационной безопасности на стадиях жизненного цикла автоматизированной банковской системы;
защиты от несанкционированного доступа и нерегламентированных действий в рамках предоставленных полномочий, управления доступом и регистрацией всех действий в автоматизированной банковской системе, в телекоммуникационном оборудовании, автоматических телефонных станциях и т.д.;
антивирусной защиты;
использования ресурсов Интернета;
использования средств криптографической защиты информации;
защиты банковских платежных и информационных технологических процессов.
Для обеспечения информационной безопасности и контроля за качеством ее обеспечения в КБ должны быть определены роли, связанные с деятельностью по ее обеспечению. Руководство банка должно осуществлять координацию своевременности и качества выполнения ролей, связанных с обеспечением информационной безопасности.
При принятии руководством банка решений об использовании сети Интернет, при формировании документов, регламентирующих порядок использования сети Интернет, а также иных документов, связанных с обеспечением информационной безопасности при использовании сети Интернет, необходимо учитывать следующие положения:
сеть Интернет не имеет единого органа управления (за исключением службы управления пространством имен и адресов) и не является юридическим лицом, с которым можно было бы заключить договор (соглашение). Провайдеры (посредники) сети Интернет могут обеспечить только те услуги, которые реализуются непосредственно ими;
существует вероятность несанкционированного доступа, потери и искажения информации, передаваемой посредством сети Интернет;
существует вероятность атаки злоумышленников на оборудование, программное обеспечение и информационные ресурсы, подключенные/доступные из сети Интернет;
гарантии по обеспечению безопасности при использовании сети Интернет никаким органом/учреждением/организацией не предоставляются.
В рамках банковских платежных технологических процессов в качестве активов, защищаемых в первую очередь, следует рассматривать:
банковский платежный технологический процесс;
платежную информацию.
В организации системы безопасности должны быть выделены и документально определены роли ее работников. Роли следует персонифицировать с установлением ответственности за их выполнение. Ответственность должна быть документально зафиксирована в должностных инструкциях.
С целью снижения рисков нарушения информационной безопасности не рекомендуется, чтобы в рамках одной роли совмещались следующие функции: разработки и сопровождения системы/ПО, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора информационной безопасности, выполнения операций в системе и контроля их выполнения.
Также, должны быть документально определены и выполняться процедуры контроля деятельности работников, обладающих совокупностью полномочий (ролями), позволяющих получить контроль над защищаемым информационным активом организации.
Процедуры приема на работу, влияющую на обеспечение информационной безопасности, включают:
проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов;
проверку в части профессиональных навыков и оценку профессиональной пригодности.
Указанные процедуры должны предусматривать документальную фиксацию результатов проводимых проверок.
Рекомендуется документально определить процедуры регулярной проверки (с документальной фиксацией результатов) в части профессиональных навыков и оценки профессиональной пригодности работников, а также внеплановой проверки (с документальной фиксацией результатов) — при выявлении фактов их нештатного поведения, участия в инцидентах или подозрений в таком поведении или участии.
Все работники организации должны давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов.
При взаимодействии с внешними организациями и клиентами требования по обеспечению информационной безопасности должны регламентироваться положениями, включаемыми в договоры (соглашения) с ними.
Обязанности персонала по выполнению требований по обеспечению информационной безопасности должны включаться в трудовые контракты (соглашения, договоры) и(или) должностные инструкции.
Невыполнение работниками организации требований по обеспечению информационной безопасности должно приравниваться к невыполнению должностных обязанностей и приводить как минимум к дисциплинарной ответственности.
При формировании требований по обеспечению информационной безопасности рекомендуется рассматривать следующие общие стадии модели жизненного цикла автоматизированных банковских систем:
разработка технических заданий;
проектирование;
создание и тестирование;
приемка и ввод в действие;
эксплуатация;
сопровождение и модернизация;
снятие с эксплуатации.
В случае разработки собственной автоматизированной банковской системы следует рассматривать все стадии, а в случае приобретения готовых систем рекомендуется рассматривать стадии 4-7.
Разработка технических заданий и приемка таких систем, а также, ввод в действие, эксплуатация и сопровождение (модернизация), снятие с эксплуатации, должны осуществляться по согласованию и при участии подразделения (лиц), ответственных за обеспечение информационной безопасности.
Привлекаемые для разработки и(или) производства средств и систем защиты автоматизированной банковской системы на договорной основе специализированные организации должны иметь лицензии на данный вид деятельности в соответствии с законодательством РФ. Подобные системы и их компоненты должны быть снабжены документацией, содержащей описание реализованных защитных мер, в том числе в отношении угроз безопасности(источников угроз), а также описание реализованных защитных мер, предпринятых разработчиком относительно безопасности разработки и безопасности поставки.
При разработке технических заданий на системы дистанционного банковского обслуживания должно быть учтено, что защита данных должна обеспечиваться в условиях:
попыток доступа к банковской информации анонимных, неавторизованных злоумышленников при использовании сетей общего пользования;
возможности ошибок авторизованных пользователей систем;
возможности ненамеренного или неадекватного использования конфиденциальных данных авторизованными пользователями.
Следует иметь ввиду, что на стадии тестирования должны обеспечиваться анонимность данных и проверка адекватности разграничения доступа, а на стадии эксплуатации должны быть документально определены и выполняться процедуры контроля работоспособности (функционирования, эффективности) реализованных защитных мер. Результаты выполнения контроля должны документироваться.
В составе автоматизированной банковской системы должны применяться встроенные защитные меры, а также рекомендуются к использованию сертифицированные или разрешенные руководством организации к применению средства защиты информации от несанкционированного доступа и средства криптографической защиты информации.
Необходимым требование являются документально определенные и утвержденные руководством, выполняемые и контролируемые процедуры идентификации, аутентификации, авторизации; управления доступом; контроля целостности; регистрации событий и действий.
Необходимо документально определить процедуры мониторинга и анализа данных регистрации, действий и операций, позволяющие выявлять неправомерные или подозрительные операции и транзакции. Для проведения процедур мониторинга и анализа данных регистрации, действий и операций рекомендуется использовать специализированные программные и(или) технические средства.
Процедуры мониторинга и анализа должны использовать документально определенные критерии выявления неправомерных или подозрительных действий и операций. Указанные процедуры мониторинга и анализа должны применяться на регулярной основе, например, ежедневно, ко всем выполненным операциям и транзакциям.
Порядок доступа работников в помещения, в которых размещаются объекты среды информационных активов, должен быть регламентирован во внутренних документах организации, а его выполнение должно контролироваться.
Используемые в организации автоматизированные банковские системы, в том числе системы дистанционного банковского обслуживания, должны обеспечивать среди прочего возможность регистрации:
операций с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов;
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
