Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

– наличию порядка (рекомендаций) действий пользователей СЭБ при возникновении инцидентов (сбоев);

– наличию в службе автоматизации лиц, ответственных за устранение последствий инцидентов (сбоев);

– наличию порядка регистрации случаев инцидентов (сбоев) в процессе эксплуатации аппаратно-программных средств, а также выбору корректирующих мер по недопущению в дальнейшем потенциальных сбоев в СЭБ;

– учету результатов анализа произошедших инцидентов (сбоев) при составлении планов развития СЭБ.

В части качества организации процедур информационной безопасности целесообразно уделять внимание:

– наличию в высшем руководстве кредитной организации собственного куратора СИБ (рекомендуется, чтобы служба автоматизации и СИБ не имели общего куратора);

– назначению лица, ответственного за защиту основных информационных ресурсов СЭБ (администратора информационной безопасности СЭБ);

– регламентации деятельности администраторов информационной безопасности СЭБ нормативно-методическими документами, разработанными в кредитной организации;

– обеспечению своевременности и периодичности проведения специалистами СИБ или администраторами информационной безопасности СЭБ проверок обеспечения режима информационной безопасности в функциональных подразделениях кредитной организации, задействованных в организации функционирования СЭБ;

– обеспечению своевременности и регулярности повышения квалификации представителей СИБ по направлению технологий ЭБ;

– исключению совмещения в одном лице функций администратора СЭБ и администратора информационной безопасности СЭБ;

– обеспечению распределения обязанностей между администраторами СЭБ и администраторами информационной безопасности СЭБ таким образом, чтобы исключить возможность обладания теми или другими всей полнотой полномочий для бесконтрольного создания, уничтожения и изменения платежной информации, а также проведения операций по изменению состояния банковских счетов;

– оснащению средств вычислительной техники (на которой осуществляются операции в рамках СЭБ) сертифицированными средствами защиты от несанкционированного доступа и средствами криптографической защиты информации;

– утверждению руководством кредитной организации перечня информации (в части ЭБ), содержащей сведения ограниченного распространения и подлежащей защите в соответствии с законодательством;

– ведению в СЭБ журналов регистрации действий, выполняемых пользователями;

– включению в трудовые договоры (соглашения, контракты), а также в должностные инструкции всех сотрудников кредитной организации, задействованных в организации функционирования СЭБ, обязанностей и ответственности за обеспечение информационной безопасности;

– наличию в кредитной организации действующих инструкций по антивирусной защите и порядка принятия мер при обнаружении компьютерного вируса, учитывающих особенности СЭБ;

– установлению в кредитной организации запрета на присутствие и использование в СЭБ несанкционированных программных средств и данных, не связанных с выполнением конкретных функций в банковских технологических процессах;

– наличию в кредитной организации организационно-распорядительных документов, устанавливающих порядок резервного копирования и хранения критически важных данных и программных средств СЭБ;

– обеспечению своевременности и регулярности резервного копирования критически важных данных СЭБ.

В рамках этапа эксплуатации СЭБ в кредитной организации должны быть также предусмотрены процедуры вывода СЭБ из эксплуатации в случаях, когда изменяется стратегия кредитной организации в части направлений деятельности или вводится в эксплуатацию новая СЭБ, значительно отличающаяся от первоначальной.

Качественная организация таких процедур предусматривает:

– наличие соответствующих распорядительных документов;

– наличие методологии осуществления вывода из эксплуатации;

– порядок действий отдельных подразделений кредитной организации;

– фиксацию данных мероприятий в учетной документации на электронные ресурсы и оборудование, задействованное в информационном контуре СЭБ, и т. д.

Рассмотренный подход может быть принят за основу при разработке конкретных методик и процедур внутреннего аудита и внутреннего контроля, так как направлен на достижение основных целей внутреннего контроля посредством сквозного применения его процедур и предполагает возможность учета специфики деятельности и организационной структуры кредитной организации, а также является одним из аспектов безопасного применения технологий ДБО.