льному стані.
2.2 Загальні (основні) вимоги щодо забезпечення інформаційної безпеки
Вимоги ІБ повинні бути взаємопов'язані в безперервний за завданнями, підсистемах, рівням і стадіях життєвого циклу комплекс.
Вимоги ІБ повинні визначати зміст і цілі діяльності організації в рамках процесів управління ІБ.
Ці вимоги повинні бути сформульовані як мінімум для наступних областей:
призначення і розподіл ролей і довіри до персоналу;
стадій життєвого циклу АБС (автоматизовані банківські системи);
захисту від НСД, управління доступом і реєстрацією в АБС, в телекомунікаційному обладнанні та автоматичних телефонних станціях і т.д.;
антивірусного захисту;
використання ресурсів Інтернет;
використання засобів криптографічного захисту інформації;
захисту банківських платіжних та інформаційних технологічних процесів.
Політика ІБ організації може враховувати й інші області, такі, як забезпечення безперервності, фізичний захист і т.д., що відповідають її бізнес-цілям.
При визначенні ролей для співробітників організації необхідно враховувати цілі організації, наявні ресурси, функціональні та процедурні вимоги, критерії оцінки ефективності виконання правил для цієї ролі.
Не рекомендується, щоб одна персональна роль цілком відображала мету, наприклад, включала всі правила, необхідні для реалізації бізнес-процесу. Сукупність правил, складових ролі, не повинна бути критичною для організації з погляду наслідків успішного нападу на її виконавця. Не слід поєднувати в одній особі (в будь-якій комбінації) ролі розробки, супроводу, виконання, адміністрування або контролю, наприклад, виконавця та адміністратора, адміністратора і контролера або інших комбінацій.
Ролі повинні групуватися і взаємодіяти так, щоб організаційна структура відповідала цілям організації. Роль одного з керівників організації (уповноваженого менеджера, вищого менеджера тощо) повинна включати завдання координації своєчасності та якості виконання ролей співробітників для досягнення цілей організації.
Неналежне виконання правил призначення і розподілу ролей створює уразливості.
Для контролю за якістю виконання вимог ІБ в організації повинні бути виділені і визначені ролі щодо забезпечення ІБ.
При прийомі на роботу повинні бути перевірені ідентичність особистості, заявляється кваліфікація, точність і повнота біографіческіх фактів, наявність рекомендацій. Осіб, яких передбачається прийняти на роботу, пов'язану з захищеними активами або операціями, слід піддавати перевірці в частині професійних навичок і оцінки професійної придатності. Рекомендується виконувати контрольні перевірки вже працюючих співробітників регулярно, а також позапланово при виявленні фактів їх нештатного поведінки, або участі в інцидентах ІБ, або підозр в такій поведінці або участі.
Весь персонал організації повинен давати письмове зобов'язання про дотримання конфіденційності, прихильності правилам корпоративної етики, включаючи вимоги щодо недопущення конфлікту інтересів. При цьому умова про дотримання конфіденційності повинно поширюватися на всю захищається інформацію, довірену співробітнику або стала йому відомою в процесі виконання ним своїх службових обов'язків. Для зовнішніх організацій вимоги по ІБ регламентуються положеннями, що включаються в договору (угоди). Персонал організації повинен бути компетентним для виконання своїх функцій в області забезпечення ІБ. Компетентність персоналу слід забезпечувати за допомогою процесів навчання в області ІБ, обізнаності персоналу та періодичної перевірки рівня компетентності. Обов'язки персоналу щодо виконання вимог ІБ відповідно до положень ISO TR 13569 та ISO/IEC IS 17799-2000 слід включати в трудові контракти (угоди, договору).
2.3 Загальні вимоги щодо забезпечення інформаційної безпеки автоматизованих банківських систем на стадіях життєвого цикл
ІБ АБС повинна забезпечуватися на всіх стадіях життєвого циклу (ЖЦ) АБС, автоматизують банківські технологічні процеси, з урахуванням всіх сторін, залучених в процеси ЖЦ (розробників, замовників, постачальників продуктів і послуг, що експлуатують і наглядових підрозділів організації). При замовленні АБС модель ЖЦ (стадії ЖЦ, етапи робіт і процеси ЖЦ, що виконуються на цих стадіях) рекомендується визначати відповідно до ГОСТ 34.601 і документом ISO/IEC IS 15288. Розробка технічних завдань, проектування, створення і тестування і приймання засобів і систем захисту ...
