Ответственность за нарушения установленного порядка пользования ресурсами информационной системы Банка. Расследование нарушений

Подразделение обеспечения информационной безопасности

Для непосредственной организации и эффективного функционирования системы обеспечения информационной безопасности, исключающей возможные конфликты интересов, в Банке целесообразно создать единое подразделение обеспечения информационной безопасности. На это подразделение возложить решение следующих основных задач:

• проведение в жизнь политики обеспечения безопасности информации, определение требований к системе защиты информации;
• анализ текущего состояния обеспечения безопасности информации;
• организация мероприятий и координация работ всех подразделений Банка по комплексной защите информации;
• контроль и оценка эффективности принятых мер и применяемых средств защиты информации.

Основные функции подразделения обеспечения информационной безопасности заключаются в следующем:

• формирование требований к системам защиты в процессе создания и дальнейшего развития существующих компонентов информационной системы Банка;
• подготовка решений по обеспечению конфиденциальности, доступности, целостности данных, в том числе решений по обеспечению надежной защиты от мошенничества при использовании пластиковых карт;
• участие в проектировании систем защиты, их испытаниях и приемке в эксплуатацию;
• обеспечение функционирования установленных систем защиты информации, включая управление криптографическими системами;
• генерация и распределение между пользователями необходимых атрибутов доступа к ресурсам информационной системы Банка;
• наблюдение за функционированием системы защиты и ее элементов;
• проверка надежности функционирования системы защиты;
• разработка мер нейтрализации моделей возможных атак;
• обучение пользователей и обслуживающего персонала правилам безопасной обработки информации;
• оказание методической помощи сотрудникам банка в вопросах обеспечения информационной безопасности;
• контроль за действиями администраторов баз данных, серверов и сетевых устройств;
• контроль за соблюдением пользователями и обслуживающим персоналом
• установленных правил обращения с информацией;
• организация по указанию руководства служебного расследования по фактам нарушения правил обращения с информацией и оборудованием;
• принятие мер при попытках несанкционированного доступа к информационным ресурсам и компонентам системы или при нарушениях правил функционирования системы защиты.
• cбор, накопление, систематизация и обработка информации по вопросам информационной безопасности.

Организационно - правовой статус подразделения обеспечения информационной безопасности Банка должен определяться следующим образом:

• численность подразделения должна быть достаточной для выполнения всех перечисленных выше функций;
• сотрудники, занимающиеся обеспечением информационной безопасности Банка не должны иметь других обязанностей, связанных с обеспечением функционирования технических компонентов информационной системы Банка;
• сотрудники подразделения обеспечения информационной безопасности должны иметь право доступа во все помещения, где, установлены технические средства информационной системы Банка, и право прекращать обработку информации при наличии непосредственной угрозы для нее;
• руководителю подразделения должно быть предоставлено право запрещать включение новых компонентов информационной системы Банка в число действующих, если они не отвечают требованиям защиты информации и это может привести к серьезным последствиям в случае реализации значимых угроз безопасности информации;
• подразделению обеспечения информационной безопасности должны обеспечиваться все условия, необходимые для выполнения своих функций.

Для решения задач, возложенных на подразделение обеспечения информационной безопасности, его сотрудники должны иметь следующие права:

• определять необходимость и разрабатывать нормативные документы, касающиеся вопросов обеспечения безопасности информации, включая документы, регламентирующие деятельность пользователей информационной системы Банка в указанной области;
• получать информацию от пользователей информационной системы Банка по любым аспектам применения информационных технологий в Банке;
• участвовать в проработке технических решений по вопросам обеспечения безопасности информации при проектировании и разработке новых информационных технологий;
• участвовать в испытаниях разработанных информационных технологий по вопросам оценки качества реализации требований по обеспечению безопасности информации;
• контролировать деятельность пользователей информационной системы Банка по вопросам обеспечения информационной безопасности.

В состав подразделения обеспечения информационной безопасности должны входить следующие специалисты:

• ответственные за управление средствами защиты информации (выбор, установка, настройка, снятие средств защиты, просмотр журналов регистрации событий, оперативный контроль, за работой пользователей, и реагирование на события защиты и т.п.);
• ответственные за управление криптографическими средствами защиты (установка, настройка, снятие СКЗИ, генерация и распределение ключей и т.д.);
• ответственные за решение вопросов защиты информации в разрабатываемых и внедряемых в Банке информационных технологиях (участие в разработке технических заданий по вопросам защиты информации, выбор средств и методов защиты, участие в испытаниях новых технологий и программ с целью проверки выполнения требований по защите информации и т.д.);
• специалисты по защите от утечки информации по техническим каналам.

Любое грубое нарушение порядка и правил пользования информационными ресурсами Банка должно расследоваться. К виновным должны применяться адекватные меры воздействия. Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной работы с информацией, должна определяться нанесенным ущербом, наличием злого умысла и другими факторами по усмотрению руководства Банка.

Для реализации принципа персональной ответственности пользователей за свои действия необходимы: