16 июня, среда 16:27
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Служба IT и Служба ИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Служба IT и Служба ИБ

    Здравствуйте, коллеги!

    на учебе по Внедрению СТО БР недавно прозвучало от преподавателей со ссылкой на требования: 1) ПП-313, 2) 382-П, 3) СТО БР ИББС 2014

    "отдельно служба IT и отдельно служба ИБ -
    в каждом минимально по 2 человека должно быть, в т.ч. по причине на взаимозаменяемость в отделе на время отпуска."

    ищу в этих нормативных актах основания для служебки обосновать эти пункты чтобы выбить кадры (так как у нас очень маленькая организация)

    но там явно в пунктах не звучит.

    I. 382-П
    2.4. В состав требований к обеспечению защиты информации при осуществлении переводов денежных средств, применяемых для защиты информации при назначении и распределении ролей лиц, связанных с осуществлением переводов денежных средств, включаются следующие требования.
    2.4.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию лиц, обладающих правами:
    - по осуществлению доступа к защищаемой информации;
    - по управлению криптографическими ключами;
    - по воздействию на объекты информационной инфраструктуры, которое может привести к нарушению предоставления услуг по осуществлению переводов денежных средств, за исключением банкоматов, платежных терминалов и электронных средств платежа.
    Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию своих работников, обладающих правами по формированию электронных сообщений, содержащих распоряжения об осуществлении переводов денежных средств (далее - электронные сообщения).
    2.4.2. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают реализацию запрета выполнения одним лицом в один момент времени следующих ролей:
    - ролей, связанных с созданием (модернизацией) объекта информационной инфраструктуры и эксплуатацией объекта информационной инфраструктуры;
    - ролей, связанных с эксплуатацией объекта информационной инфраструктуры в части его использования по назначению и эксплуатацией объекта информационной инфраструктуры в части его технического обслуживания и ремонта.

    II. СТО БР ИББС-1.0-2014 «Общие положения»
    7.2. Общие требования по обеспечению информационной безопасности
    при назначении и распределении ролей и обеспечении доверия к персоналу
    7.2.1. В организации БС РФ должны быть выделены роли ее работников.
    Формирование ролей, связанных с выполнением деятельности по обеспечению ИБ, среди прочего, следует осуществлять на основании требований 7 и 8 разделов настоящего стандарта. Формирование и назначение ролей работников организации БС РФ следует осуществлять с учетом соблюдения принципа предоставления минимальных прав и полномочий, необходимых для выполнения служебных обязанностей.
    7.2.2. Роли следует персонифицировать с установлением ответственности за их выполнение. Ответственность должна быть зафиксирована, например, в должностных инструкциях или организационно-распорядительных документах организации БС РФ.
    7.2.3. С целью предупреждения возникновения и снижения рисков нарушения ИБ не допускается совмещения в рамках одной роли следующих функций: разработки и сопровождения АБС/ПО, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора ИБ, выполнения операций в АБС и контроля их выполнения.


    Может кто подскажет какие есть еще пункты из законов, на основе чего можно твердо обосновать необходимость кадров получается как минимум 4е человека (то есть двое на IT и двое на ИБ)?

  • #2
    Спешу предположить, что вы не найдете нигде в требованиях чтобы в службе ИБ было два человека.

    Комментарий


    • #3
      СТО БР ИББС-1.0-2014

      8.2. Требования к организации и функционированию службы информационной
      безопасности организации банковской системы Российской Федерации

      8.2.1. Для реализации, эксплуатации, контроля и поддержания на должном уровне СОИБ
      руководству следует сформировать службу ИБ в составе не менее двух человек (назначить
      уполномоченных лиц), а также утвердить цели и задачи ее деятельности.
      Служба ИБ должна иметь утвержденные руководством полномочия и ресурсы, необходимые для выполнения установленных целей и задач, а также назначенного из числа руководства куратора. При этом служба ИБ и служба информатизации (автоматизации) не должны иметь общего куратора.
      Рекомендуется наделить службу ИБ собственным бюджетом.

      Комментарий


      • #4
        Это рекомендации. А не требования.

        Комментарий


        • #5
          Есть СТО принят, то в обязательный

          Комментарий


          • #6
            Сообщение от Esin Посмотреть сообщение
            СТО БР ИББС-1.0-2014

            8.2.1. сформировать службу ИБ в составе не менее двух человек[/B] (назначить
            уполномоченных лиц), а также утвердить цели и задачи ее деятельности.
            При этом служба ИБ и служба информатизации (автоматизации) не должны иметь общего куратора.
            спасибо

            при этом из пунктов из СТО БР
            как понимаю так схематично:

            Должны быть предусмотрены роли не допускающие совмещение, которые требуется разделить и персонифицировать:
            1) Роль «Разработка АБС/ПО» <> Роль «Сопровождение АБС/ПО»
            2) Роль «Сопровождение АБС/ПО» <> Роль «Эксплуатация АБС/ПО»
            3) Роль «Администратор системы» <> Роль «Администратор информационной безопасности»
            4) Роль «Ответственный АРМ КБР» <> Роль «Ответственный АРМ ПУР»
            5) Роль «Выполнение операций АБС» <> Роль «Контроль выполнения операций в АБС»

            как думаете, как подразумевает в таком упрощенном схематичном п. из 382-П, который в любом случае обязателен к выполнению?

            "2.4.2. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают реализацию запрета выполнения одним лицом в один момент времени следующих ролей:
            - ролей, связанных с созданием (модернизацией) объекта информационной инфраструктуры и эксплуатацией объекта информационной инфраструктуры;
            - ролей, связанных с эксплуатацией объекта информационной инфраструктуры в части его использования по назначению и эксплуатацией объекта информационной инфраструктуры в части его технического обслуживания и ремонта."

            Комментарий


            • #7
              Посмотрите ПП 313 в части Вас касающейся, из требований из ПП можно что то состряпать

              Комментарий


              • #8
                По мне так, давно уже ввели СТО БР ИББС-1.0-2014 как обязательный для всех банков, да прописали требование к созданию отдела ИБ, а не уполномоченных лиц.

                Комментарий

                Обработка...
                X