Роли служащего Банка России и требования по информационной безопасности при выполнении ролей Москва, октябрь 2012 г.
Содержание Стандарт Банка России СТО БР ИББС-1. 0 -2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» Нормативные документы Банка России
Содержание Стандарт Банка России СТО БР ИББС-1. 0 -2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» Раздел 7. 2 Общие требования по обеспечению ИБ при назначении и распределении ролей и обеспечении доверия к персоналу
Определение Роль: Заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом. Примечания. 1. К субъектам относятся лица из числа руководителей организации банковской системы Российской Федерации, ее персонала, клиентов или инициируемые от их имени процессы по выполнению действий над объектами. 2. Объектами могут быть аппаратное средство, программно-аппаратное средство, информационный ресурс, услуга, процесс, система, над которыми выполняются действия.
Общие требования по обеспечению ИБ при назначении и распределении ролей и обеспечении доверия к персоналу 7. 2. 1. В организации БС РФ должны быть выделены и документально определены роли ее работников. Положение Банка России от 25 июля 2003 г. № 235 -П «О служащих Банка России» : п. 3. 5. Должностные инструкции служащих Банка России разрабатываются на каждую должность служащего на основе Типовых квалификационных характеристик. Разрабатываются непосредственным руководителем и утверждаются в порядке, установленном в Банке России.
Общие требования по обеспечению ИБ при назначении и распределении ролей и обеспечении доверия к персоналу 7. 2. 1. В организации БС РФ должны быть выделены и документально определены роли ее работников. Телеграмма от 03 марта 2005 г. № 594/К «О разделении полномочий между подразделениями безопасности и защиты информации и информатизации» : В обязанности подразделений безопасности территориальных учреждений (ТУ), организаций Банка России входит: n участие совместно с представителями заинтересованных подразделений Банка России в мероприятиях по вводу в действие АС (в части, касающейся обеспечения информационной безопасности); n определение требований по обеспечению безопасности информационных ресурсов, использующихся в подразделениях Банка России, а также контроль за их соблюдением и использованием ресурсов только для заявленных целей; n согласование параметров настройки механизмов и средств защиты информации (СЗИ), конфигурации подсистем информационной безопасности, а также участие в реализации настройки этих параметров; n разработка и доведение до исполнителей в подразделениях ТУ, организации Банка России инструктивно - методических и организационных документов по вопросам обеспечения безопасности и защиты информации; n контроль выполнения сотрудниками ТУ, организации Банка России требований нормативных и инструктивно-методических документов по защите информации; n …
Общие требования по обеспечению ИБ при назначении и распределении ролей и обеспечении доверия к персоналу 7. 2. 1. В организации БС РФ должны быть выделены и документально определены роли ее работников. Положение Банка России от 17 февраля 2010 г. № 355 -П «Об организации доступа к коммуникационным портам и встроенным устройствам ввода-вывода информации на технических средствах подразделений Банка России» : 3. 2. 2. Администраторы информационной безопасности совместно с пользователями технических средств формируют перечни используемых устройств. Перечни используемых портов и устройств хранятся у пользователей технических средств. 3. 2. 3. Администраторы информационной безопасности осуществляют блокировку и открытие доступа к коммуникационным портам и встроенным устройствам ввода-вывода информации в соответствии с требованиями технической документации, а также проводят опечатывание корпуса технических средств и ведут учет расходования специальных защитных знаков. 3. 2. 4. Администраторы информационной безопасности осуществляют проверку всех технических средств на наличие специальных защитных знаков на их корпусах раз в полгода.
Общие требования по обеспечению ИБ при назначении и распределении ролей и обеспечении доверия к персоналу 7. 2. 2. Роли следует персонифицировать с установлением ответственности за их выполнение. Ответственность должна быть документально зафиксирована в должностных инструкциях. Положение Банка России от 26 мая 2006 г. № 287 -П «Об обеспечении сохранности информации ограниченного доступа в Банке России» : 4. 1. Обязанности по обеспечению сохранности информации ограниченного доступа отражаются в положениях о структурных подразделениях ТУ, организации Банка России, а также в должностных инструкциях служащих ТУ, организации Банка России. В указанных документах отражается ответственность руководителей подразделений за обеспечение сохранности информации ограниченного доступа в подразделениях, а также за выполнение полного комплекта мероприятий по реализации мер, направленных на защиту информации ограниченного доступа.
Общие требования по обеспечению ИБ при назначении и распределении ролей и обеспечении доверия к персоналу 7. 2. 2. Роли следует персонифицировать с установлением ответственности за их выполнение. Ответственность должна быть документально зафиксирована в должностных инструкциях. Положение Банка России от 11 января 2008 г. № 316 -П «Об обеспечении информационной безопасности автоматизированных систем Банка России, предназначенных для обработки, хранения и(или) передачи информации ограниченного доступа» : 1. 13. Руководители эксплуатирующих и обслуживающих подразделений Банка России обеспечивают безопасность информации ограниченного доступа в процессе эксплуатации автоматизированных систем Банка России. Сотрудники, осуществляющие обработку, хранение и (или) передачу информации ограниченного доступа должны соблюдать требования нормативных и иных актов в области информационной безопасности.
Общие требования по обеспечению ИБ при назначении и распределении ролей и обеспечении доверия к персоналу 7. 2. 3. С целью снижения рисков нарушения ИБ не рекомендуется, чтобы в рамках одной роли совмещались следующие функции: n разработки и сопровождения системы или ПО, n администратора системы и администратора ИБ, n выполнения операций в системе и контроля их выполнения. «Временная инструкция по организации логического и физического контроля доступа в локальных вычислительных сетях Банка России» от 10 марта 2000 г. № ВН-23 -3/305 3. 7. 1. При проведении работ по внедрению, сопровождению и эксплуатации АС должны быть предусмотрены меры и средства, обеспечивающие разделение полномочий между пользователями и сотрудниками служб сопровождения (эксплуатации), а также безопасности и защиты информации. Организационная структура служб разработки, сопровождения, эксплуатации, а также безопасности и защиты информации должна обеспечивать недопустимость выполнения одними и теми же сотрудниками как работ по эксплуатации действующих автоматизированных систем, так и работ по созданию, модификации, внедрению и сопровождению указанных систем.
Общие требования по обеспечению ИБ при назначении и распределении ролей и обеспечении доверия к персоналу 7. 2. 3. С целью снижения рисков нарушения ИБ не рекомендуется, чтобы в рамках одной роли совмещались следующие функции: n разработки и сопровождения системы или ПО, n администратора системы и администратора ИБ, n выполнения операций в системе и контроля их выполнения. «Временная инструкция по организации логического и физического контроля доступа в локальных вычислительных сетях Банка России» от 10 марта 2000 г. № ВН-23 -3/305: п. 3. 3. 1. Совмещение в одном лице функций администратора ЛВС и администратора информационной безопасности ЛВС не допускается. Положение Банка России от 11 января 2008 г. № 316 -П «Об обеспечении информационной безопасности автоматизированных систем Банка России, предназначенных для обработки, хранения и(или) передачи информации ограниченного доступа» : п. 1. 10. Функции администратора информационной безопасности системы и администратора автоматизированной системы Банка России должны быть разделены организационными мерами и (или) техническими средствами.
Общие требования по обеспечению ИБ при назначении и распределении ролей и обеспечении доверия к персоналу 7. 2. 3. С целью снижения рисков нарушения ИБ не рекомендуется, чтобы в рамках одной роли совмещались следующие функции: n разработки и сопровождения системы или ПО, n администратора системы и администратора ИБ, n выполнения операций в системе и контроля их выполнения. Положение Банка России от 11 января 2008 г. № 316 -П «Об обеспечении информационной безопасности автоматизированных систем Банка России, предназначенных для обработки, хранения и(или) передачи информации ограниченного доступа» : п. 1. 10. 3. Администратор информационной безопасности системы имеет полномочия и технические возможности по контролю действий соответствующих администраторов систем без вмешательства в их действия и пользователей, а также полномочия, а, при возможности, и технические средства по настройке для каждого пользователя автоматизированной системы Банка России только тех параметров, которые определяют права его доступа к информации в системе.
Общие требования по обеспечению ИБ при назначении и распределении ролей и обеспечении доверия к персоналу 7. 2. 4. В организации БС РФ должны быть документально определены и выполняться процедуры контроля деятельности работников, обладающих совокупностью полномочий (ролями), позволяющими получить контроль над защищаемым информационным активом организации БС РФ. Положение Банка России от 17 февраля 2010 г. № 355 -П «Об организации доступа к коммуникационным портам и встроенным устройствам ввода-вывода информации на технических средствах подразделений Банка России» : п. 4. 10. Санкционированное вскрытие и использование технических средств, защищенных специальными защитными знаками, и их элементов должно производится администраторами информационной безопасности совместно с пользователями технических средств. Руководителей или заместителей руководителей структурных подразделений уведомляют об операциях по вскрытию и использованию технических средств и их элементов, защищенных специальными защитными знаками.
Общие требования по обеспечению ИБ при назначении и распределении ролей и обеспечении доверия к персоналу 7. 2. 5. В организации БС РФ должны быть документально определены процедуры приема на работу, влияющую на обеспечение ИБ, включающие: n проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов; n проверку в части профессиональных навыков и оценку профессиональной пригодности. Указанные процедуры должны предусматривать документальную фиксацию результатов проводимых проверок. Положение Банка России от 25 июля 2003 г. № 235 -П «О служащих Банка России» : п. 4. 2. В период работы в Банке России служащие подлежат периодической аттестации и другим видам оценок
Общие требования по обеспечению ИБ при назначении и распределении ролей и обеспечении доверия к персоналу 7. 2. 6. Рекомендуется документально определить процедуры регулярной проверки (с документальной фиксацией результатов) в части профессиональных навыков и оценки профессиональной пригодности работников, а также внеплановой проверки (с документальной фиксацией результатов) - при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии. Положение Банка России от 25 июля 2003 г. № 235 -П «О служащих Банка России» : п. 4. 2. В период работы в Банке России служащие подлежат периодической аттестации и другим видам оценок Положение Банка России от 11 января 2008 г. № 316 -П «Об обеспечении информационной безопасности автоматизированных систем Банка России, предназначенных для обработки, хранения и(или) передачи информации ограниченного доступа» : п. 3. 5. В эксплуатационной документации на АС Банка России, относящихся ко второму типу АС Банка России, должны быть определены требования к квалификации администраторов информационной безопасности подразделений Банка России, администраторов информационной безопасности систем и персонала, а также актуальный перечень защищаемых объектов?
Общие требования по обеспечению ИБ при назначении и распределении ролей и обеспечении доверия к персоналу 7. 2. 7. Все работники организации БС РФ должны давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов. Положение Банка России от 25 июля 2003 г. № 235 -П «О служащих Банка России» : п. 4. 3. При подписании трудового договора служащие Банка России знакомятся под расписку с Положением № 235 -П. п. 5. 1. Служащий Банка России не вправе: – использовать сведения ограниченного доступа, ставших известными в период работы в Банке России в личных целях; – разглашать служебную информацию, полученную в период работы в Банке России, в том числе в публичных выступлениях; – передавать средствам массовой информации любые сведения, затрагивающих деятельность Банка России и его работников, включая вопросы, связанные с выполнение своих служебных обязанностей, без разрешения, которое может быть получено в порядке, установленном нормативными актами Банка России. п. 5. 5. Служащие Банка России не имеют права разглашать служебную информацию о деятельности Банка России без разрешения Совета директоров Банка России. п. 6. 1. В процессе работы служащий Банка России должен обеспечивать сохранения конфиденциальности информации, к которой имеет доступ по службе.
Общие требования по обеспечению ИБ при назначении и распределении ролей и обеспечении доверия к персоналу 7. 2. 7. Все работники организации БС РФ должны давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов. Положение Банка России от 26 мая 2006 г. № 287 -П «Об обеспечении сохранности информации ограниченного доступа в Банке России» : п. 3. 1. При приеме на работу служащий учреждения Банка России должен быть ознакомлен в структурном подразделении под роспись с настоящим Положением и Перечнем сведений. Лист ознакомления хранится в каждом структурном подразделении учреждения Банка России у лица, ответственного за делопроизводство (секретаря). После заключения трудового договора с Банком России и ознакомления с указанными документами служащий учреждения Банка России считается допущенным к работе с конфиденциальными сведениями.
Общие требования по обеспечению ИБ при назначении и распределении ролей и обеспечении доверия к персоналу 7. 2. 7. При взаимодействии с внешними организациями и клиентами требования по обеспечению ИБ должны регламентироваться положениями, включаемыми в договоры (соглашения) с ними. Положение Банка России от 26 мая 2006 г. № 287 -П «Об обеспечении сохранности информации ограниченного доступа в Банке России» : п. 2. 5. Ограничение на доступ к конфиденциальным сведениям, возникающим в процессе выполнения Банком России договорных отношений со сторонними организациями, контрагентами и клиентами, должно быть оговорено в соответствующем договоре (соглашении). «Основные направления политики информационной безопасности Банка России» : п. 3. 6. Вопросы организации обмена платежной информацией между учреждением Банка России и кредитной организацией (клиентом), а также способы урегулирования конфликтных ситуаций, возникающих при данном обмене, являются предметом гражданско-правовых отношений и должны быть зафиксированы в договоре между Банком России и кредитной организацией (клиентом).
Общие требования по обеспечению ИБ при назначении и распределении ролей и обеспечении доверия к персоналу 7. 2. 8. Обязанности персонала по выполнению требований ИБ должны включаться в трудовые контракты (соглашения, договора) и(или) должностные инструкции. Невыполнение работниками организации БС РФ требований ИБ должно приравниваться к невыполнению должностных обязанностей и приводить как минимум к дисциплинарной ответственности. «Временная инструкция по организации логического и физического контроля доступа в локальных вычислительных сетях Банка России» от 10 марта 2000 г. № ВН-23 -3/305: п. 3. 3. 3. В подразделениях Банка России соответствующим Распоряжением на одного из сотрудников должны быть возложены обязанности администратора ИБ подразделения с соответствующим изменением его должностной инструкции. Допускается назначение одного администратора ИБ на несколько подразделений, а также совмещение выполнения указанных функций с другими обязанностями. В случае если администратор ИБ подразделения не назначается, соответствующие функции возлагаются на руководителя данного подразделения. п. 3. 4. 6. Администратор ИБ подразделения в части организации и ведения системы парольной защиты: - отвечает за организацию и ведение системы парольной защиты в подразделении Банка России; - несет персональную ответственность за неразглашение сведений о паролях; - несет персональную ответственность за качество проводимых им работ в рамках организации и ведения системы парольной защиты. 3. 4. 7. Каждый сотрудник несет ответственность за правильность формирования и хранения своего пароля (в том случае, если пароли формируются самостоятельно сотрудниками подразделения Банка России)
Права и обязанности служащего Банка России Положение Банка России от 26. 05. 2006 № 287 -П «Об обеспечении сохранности информации ограниченного доступа в Банке России» Служащие учреждений Банка России обязаны: n знать и выполнять требования настоящего Положения; n руководствоваться Перечнем сведений в части, относящейся к своей компетенции; n не разглашать известную им ИОД, информировать руководителя своего структурного подразделения и подразделение безопасности и защиты информации учреждения БР о фактах нарушения порядка работы с ИОД, о попытках несанкционированного доступа к такой информации и ее носителям; n строго соблюдать правила пользования носителями ИОД, порядок их учета и хранения, обеспечивать в процессе работы сохранность содержащихся в них сведений; n знакомиться только с той ИОД, к которой получен доступ в силу исполнения служебных обязанностей; n представлять письменные объяснения по требованию руководителя подразделения учреждения БР всех допущенных нарушениях установленного порядка работы, учета и хранения носителей ИОД, а также об иных фактах нарушения порядка работы с такой информации.
Ответственность служащего Банка России Положение Банка России от 25 июля 2003 г. № 235 -П «О служащих Банка России» : Служба в Банке России основана на принципах: 1. Обязательности выполнения служащими Банка России указаний и решений вышестоящих в порядке подчиненности органов и должностных лиц, принятых в пределах их компетенции в соответствии с законодательством РФ и локальными нормативными актами Банка России; 2. Ответственности служащих Банка России за подготавливаемые документы и принимаемые решения, за исполнение своих должностных обязанностей Ответственность служащих Банка России: n За неисполнение или ненадлежащее исполнение служащими Банка России своих обязанностей к ним могут применяться дисциплинарные взыскания в порядке и на условиях, предусмотренных действующим трудовым законодательством и Правилами внутреннего трудового распорядка Банка России. n Дисциплинарные взыскания к служащим Банка России применяются руководителями, обладающими правом приема на работу и увольнения с работы соответствующих служащих Банка России.
Благодарю за внимание! Москва, октябрь 2012 г.
Скачать презентацию Роли служащего Банка России и требования по информационной
Роли-АИТ.ppt