Научно-практические рекомендации по совершенствованию безопасности банковской системы — страница 9

  • Просмотров 7971
  • Скачиваний 379
  • Размер файла 60
    Кб

· существует вероятность несанкционированного доступа, потери и искажения информации, передаваемой посредством сети Интернет; · существует вероятность атаки злоумышленников на оборудование, программное обеспечение и информационные ресурсы, подключенные/доступные из сети Интернет; · гарантии по обеспечению безопасности при использовании сети Интернет никаким органом/учреждением/организацией не

предоставляются.   В рамках банковских платежных технологических процессов в качестве активов, защищаемых в первую очередь, следует рассматривать: · банковский платежный технологический процесс; · платежную информацию.   В организации системы безопасности должны быть выделены и документально определены роли ее работников. Роли следует персонифицировать с установлением ответственности за их выполнение.

Ответственность должна быть документально зафиксирована в должностных инструкциях. С целью снижения рисков нарушения информационной безопасности не рекомендуется, чтобы в рамках одной роли совмещались следующие функции: разработки и сопровождения системы/ПО, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора информационной безопасности, выполнения операций в системе и

контроля их выполнения. Также, должны быть документально определены и выполняться процедуры контроля деятельности работников, обладающих совокупностью полномочий (ролями), позволяющих получить контроль над защищаемым информационным активом организации. Процедуры приема на работу, влияющую на обеспечение информационной безопасности, включают: · проверку подлинности предоставленных документов, заявляемой квалификации,

точности и полноты биографических фактов; · проверку в части профессиональных навыков и оценку профессиональной пригодности.   Указанные процедуры должны предусматривать документальную фиксацию результатов проводимых проверок. Рекомендуется документально определить процедуры регулярной проверки (с документальной фиксацией результатов) в части профессиональных навыков и оценки профессиональной пригодности

работников, а также внеплановой проверки (с документальной фиксацией результатов) — при выявлении фактов их нештатного поведения, участия в инцидентах или подозрений в таком поведении или участии. Все работники организации должны давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов. При взаимодействии с