· создание и поддержание базы технических средств, обеспечивающей бесперебойную деятельность банка в чрезвычайной ситуации;

· создание и поддержание в надлежащем состоянии резервных помещений. 7. Организационное обеспечение, состав и функции следующих групп, обеспечивающих бесперебойную деятельность в случае бедствия:

· группы оценки чрезвычайной ситуации;

· группы управления в кризисной ситуации;

· группы для работ в чрезвычайной ситуации;

· группы восстановления;

· группы обеспечения работы в резервном производственном помещении;

· группы административной поддержки.

Совершенствование информационной безопасности организации банковских систем следует проводить с учетом рекомендаций в области стандартизации процедур безопасности, установленных Банком России. В этом случае должны быть сформированы следующие требования:

· назначения и распределения ролей и обеспечения доверия к персоналу;

· обеспечения информационной безопасности на стадиях жизненного цикла автоматизированной банковской системы;

· защиты от несанкционированного доступа и нерегламентированных действий в рамках предоставленных полномочий, управления доступом и регистрацией всех действий в автоматизированной банковской системе, в телекоммуникационном оборудовании, автоматических телефонных станциях и т.д.;

· антивирусной защиты;

· использования ресурсов Интернета;

· использования средств криптографической защиты информации;

· защиты банковских платежных и информационных технологических процессов.

Для обеспечения информационной безопасности и контроля за качеством ее обеспечения в КБ должны быть определены роли, связанные с деятельностью по ее обеспечению. Руководство банка должно осуществлять координацию своевременности и качества выполнения ролей, связанных с обеспечением информационной безопасности.

При принятии руководством банка решений об использовании сети Интернет, при формировании документов, регламентирующих порядок использования сети Интернет, а также иных документов, связанных с обеспечением информационной безопасности при использовании сети Интернет, необходимо учитывать следующие положения:

· сеть Интернет не имеет единого органа управления (за исключением службы управления пространством имен и адресов) и не является юридическим лицом, с которым можно было бы заключить договор (соглашение). Провайдеры (посредники) сети Интернет могут обеспечить только те услуги, которые реализуются непосредственно ими;

· существует вероятность несанкционированного доступа, потери и искажения информации, передаваемой посредством сети Интернет;

· существует вероятность атаки злоумышленников на оборудование, программное обеспечение и информационные ресурсы, подключенные/доступные из сети Интернет;

· гарантии по обеспечению безопасности при использовании сети Интернет никаким органом/учреждением/организацией не предоставляются.

В рамках банковских платежных технологических процессов в качестве активов, защищаемых в первую очередь, следует рассматривать:

· банковский платежный технологический процесс;

· платежную информацию.

В организации системы безопасности должны быть выделены и документально определены роли ее работников. Роли следует персонифицировать с установлением ответственности за их выполнение. Ответственность должна быть документально зафиксирована в должностных инструкциях.

С целью снижения рисков нарушения информационной безопасности не рекомендуется, чтобы в рамках одной роли совмещались следующие функции: разработки и сопровождения системы/ПО, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора информационной безопасности, выполнения операций в системе и контроля их выполнения.

Также, должны быть документально определены и выполняться процедуры контроля деятельности работников, обладающих совокупностью полномочий (ролями), позволяющих получить контроль над защищаемым информационным активом организации.

Процедуры приема на работу, влияющую на обеспечение информационной безопасности, включают: