Комплекс мер по обеспечению информационной безопасности банковского платежного технологического процесса предусматривает: (стандарт банка России сто БР иббс-1. 0-2008)

- защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации электронных платежных сообщений (ЭПС);

- доступ работника организации БС РФ только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения должностных обязанностей;

- контроль (мониторинг) исполнения установленной технологии подготовки, обработки, передачи и хранения платежной информации;

- аутентификацию входящих ЭПС;

- двустороннюю аутентификацию автоматизированных рабочих мест (рабочих станций и серверов), участников обмена ЭПС;

- возможность ввода платежной информации в АБС только для авторизованных пользователей;

- исключение возможности совершения злоумышленных действий (двойной ввод, сверка, установление ограничений в зависимости от суммы совершаемых операций и т.д.);

- восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники;

- сверку выходных ЭПС с соответствующими входными и обработанными электронными платежными сообщениями при осуществлении межбанковских расчетов;

- доставку ЭПС участникам обмена.

 

117. Дополнительные требования к инженерно-технической укрепленности помещения кассы

- один вход;

- специальное окно с дверцей для выдачи денег;

- сейф (или металлический шкаф) для хранения денежной наличности и других ценностей.

 

118. Основные вопросы при организации защиты информации

1. Физическая безопасность.

2. Выявление неавторизованной деятельности.

3. Отслеживание использования систем.

4. Ведение регистрационных журналов.

5. Программы отслеживания.

6. Изменение расписания мониторинга.

7. Процедуры доклада о проблемах.

8. Процедуры сохранения и восстановления.

11. Конфиденциальность.

12. Шифрование.

13. Аутентификация.

14. Целостность информации.

 

Условия, без которых лояльность либо не возникает, либо нет

1. Справедливое вознаграждение.

2. Личностная самореализация.

3. Честные взаимоотношения в коллективе.

4. Благоприятная экологическая обстановка на рабочем месте.

5. Удовлетворенность руководством.

6. Способность конструктивно критиковать и выразить благодарность.

7. Наличие таких факторов как: отдых со скидкой, бесплатный проезд, сотовый телефон, личный автомобиль.

 

Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации (Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»)

1. Нарушение требований Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность.

2. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. 3. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством РФ требования о защите информации.

 

Формы допуска, в соответствии со степенями секретности сведений, составляющих государственную тайну (Закон Российской Федерации «О государственной тайне» от 21.06.1993 № 5485-I (с изменениями и дополнениями))

- первая форма - для граждан, допускаемых к сведениям особой важности;

- вторая форма - для граждан, допускаемых к совершенно секретным сведениям;

- третья форма - для граждан, допускаемых к секретным сведениям.

 

122. Общие требования по обеспечению информационной безопасности банковских информационных технологических процессов (Стандарт Банка России СТО БР ИББС-1.0-2008)

1. Рекомендуется провести классификацию неплатежной информации.

2. Обязанности по администрированию средств защиты неплатежной информации рекомендуется возлагать приказом или распоряжением на администраторов ИБ.

3. Для каждой АБС должен быть документально определен порядок контроля ее функционирования со стороны лиц, отвечающих за ИБ.

4. Должна быть регламентирована и осуществляться процедура восстановления всех реализованных программно-техническими средствами и организационными мерами функций по обеспечению ИБ неплатежной информации.

5. Должны быть документально определены перечни программного обеспечения.

6. Должна быть регламентирована и осуществляться процедура контроля функций (требований) по обеспечению ИБ неплатежной информации.

 

123. Комплекс мер по обеспечению информационной безопасности АС БЭСП обеспечивает:

- безопасность технологии обработки информации;

- защиту обрабатываемой информации от НСД;

- контроль выполнения регламентов и корректности совершения технологических операций;

- контроль функционирования программно-технических комплексов и персонала;

- криптографическую защиту ЭС;

- антивирусную защиту информации;

- управление и мониторинг информационной безопасности;

- охрану и контроль доступа на объекты системы БЭСП.

 

Основные пути, направленные на максимальное снижение влияния инсайдеров на состояние информационной безопасности организации

- неукоснительное следование принципам «знай своего клиента» и «знай своего служащего»;

- строгая регламентация и контроль деятельности персонала, а также — закрепленная в контрактах и трудовых договорах ответственность за возможные нарушения;

- работа с персоналом и повышение корпоративной культуры.

 

Ответственность в области массовой информации (Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»)

1) ответственность за распространение запрещенной рекламы.

2) ответственность за иные нарушения законодательства о средствах массовой информации.

 

126. В каких случаях производится переоформление допуска по первой или второй форме независимо от сроков действия? (Закон Российской Федерации «О государственной тайне» от 21.06.1993 № 5485-I (с изменениями и дополнениями))

а) перевода или приема гражданина на работу (назначения на должность) в подразделение по защите государственной тайны, шифровальные или мобилизационные органы;

б) вступления гражданина в брак, кроме случаев, когда вступают в брак граждане, работающие в одной организации и имеющие допуск по первой или второй форме;

в) возвращения из длительных (свыше 6 месяцев) заграничных командировок;

г) выезда близких родственников гражданина за границу на ПМЖ;

д) возникновения иных обстоятельств, влияющих на принятие решения о допуске.

 

В каких случаях не проводятся идентификация клиента - физического лица, установление и идентификация выгодоприобретателя (Федеральный закон Российской Федерации от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»)

При осуществлении физическим лицом операции по покупке или продаже наличной иностранной валюты на сумму, не превышающую 15 000 рублей либо не превышающую сумму в иностранной валюте, эквивалентную 15 000 рублей, за исключением случая, когда у работников организации, осуществляющей операции с денежными средствами или иным имуществом, возникают подозрения, что данная операция осуществляется в целях легализации (отмывания) доходов, полученных преступным путем, или финансирования терроризма.

 

128. Для успешного функционирования СМИБ в организации БС РФ следует выполнить следующие группы требований: (Стандарт Банка России СТО БР ИББС-1.0-2008)

- требования к организации и функционированию службы ИБ организации БС РФ;

- требования к определению/коррекции области действия СОИБ;

- требования к выбору/коррекции подхода к оценке рисков нарушения ИБ и проведению оценки рисков нарушения ИБ;

- требования к разработке планов обработки рисков нарушения ИБ;

- требования к разработке/коррекции внутренних документов, регламентирующих деятельность в области обеспечения ИБ;

- требования к принятию руководством организации БС РФ решений о реализации и эксплуатации СОИБ;

- требования к организации реализации планов обработки рисков нарушения ИБ;

- требования к разработке и реализации программ по обучению и повышению осведомленности в области ИБ;

- требования к организации обнаружения и реагирования на инциденты безопасности;

- требования к организации обеспечения непрерывности бизнеса и его восстановления после прерываний;

- требования к мониторингу и контролю защитных мер;

- требования к проведению самооценки ИБ;

- требования к проведению аудита ИБ;

- требования к анализу функционирования СОИБ;

- требования к анализу СОИБ со стороны руководства организации БС РФ;

- требования к принятию решений по тактическим улучшениям СОИБ;

- требования к принятию решений по стратегическим улучшениям СОИБ.