Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
7.2. Общие требования по обеспечению
информационной безопасности при назначении и
распределении ролей и обеспечении доверия к персоналу
7.2.1. В организации БС РФ должны быть выделены и документально
определены роли ее работников.
Формирование ролей, связанных с выполнением деятельности по
обеспечению ИБ, среди прочего должно осуществляться на основании
требований 7-го и 8-го разделов настоящего стандарта.
7.2.2. Роли следует персонифицировать с установлением
ответственности за их выполнение. Ответственность должна быть
документально зафиксирована в должностных инструкциях.
7.2.3. С целью снижения рисков нарушения ИБ не рекомендуется,
чтобы в рамках одной роли совмещались следующие функции: разработки и
сопровождения системы/ПО, их разработки и эксплуатации, сопровождения
и эксплуатации, администратора системы и администратора ИБ, выполнения
операций в системе и контроля их выполнения.
7.2.4. В организации БС РФ должны быть документально определены и
выполняться процедуры контроля деятельности работников, обладающих
совокупностью полномочий (ролями), позволяющих получить контроль над
защищаемым информационным активом организации БС РФ.
7.2.5. В организации БС РФ должны быть документально определены
процедуры приема на работу, влияющую на обеспечение ИБ, включающие:
- проверку подлинности предоставленных документов, заявляемой
квалификации, точности и полноты биографических фактов;
- проверку в части профессиональных навыков и оценку
профессиональной пригодности.
Указанные процедуры должны предусматривать документальную
фиксацию результатов проводимых проверок.
7.2.6. Рекомендуется документально определить процедуры
регулярной проверки (с документальной фиксацией результатов) в части
профессиональных навыков и оценки профессиональной пригодности
работников, а также внеплановой проверки (с документальной фиксацией
результатов) - при выявлении фактов их нештатного поведения, участия в
инцидентах ИБ или подозрений в таком поведении или участии.
7.2.7. Все работники организации БС РФ должны давать письменное
обязательство о соблюдении конфиденциальности, приверженности правилам
корпоративной этики, включая требования по недопущению конфликта
интересов.
При взаимодействии с внешними организациями и клиентами
требования по обеспечению ИБ должны регламентироваться положениями,
включаемыми в договоры (соглашения) с ними.
7.2.8. Обязанности персонала по выполнению требований по
обеспечению ИБ должны включаться в трудовые контракты (соглашения,
договоры) и (или) должностные инструкции.
Невыполнение работниками организации БС РФ требований по
обеспечению ИБ должно приравниваться к невыполнению должностных
обязанностей и приводить как минимум к дисциплинарной ответственности.
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".