Законодательная база Российской Федерации

ПРИКАЗ ЦБ РФ от 03.03.97 N 02-144 "О ВВЕДЕНИИ В ДЕЙСТВИЕ ВРЕМЕННЫХ ТРЕБОВАНИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ТЕХНОЛОГИЙ ОБРАБОТКИ ЭЛЕКТРОННЫХ ПЛАТЕЖНЫХ ДОКУМЕНТОВ В СИСТЕМЕ ЦЕНТРАЛЬНОГО БАНКА РОССИЙСКОЙ ФЕДЕРАЦИИ"

Приложение 1

1.1. Настоящее Положение определяет задачи, функции, обязанности, права и ответственность администратора информационной безопасности участника электронных платежей (кроме расчетно - кассовых центров).

1.2. Примерное Положение предназначено для разработки Положений об администраторе информационной безопасности участников электронных платежей с учетом конкретных данных об обрабатываемой, передаваемой и хранимой в автоматизированной системе информации, о полномочиях пользователей, технологии обработки информации и применяемых средствах и системах защиты информации.

1.3. Администратор информационной безопасности назначается приказом руководителя участника электронных платежей по согласованному представлению руководителя подразделения, эксплуатирующего автоматизированную систему, и руководителя подразделения безопасности и защиты информации.

1.4. Администратор информационной безопасности в пределах своих функциональных обязанностей обеспечивает безопасность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники в автоматизированных системах Банка России.

1.5. Администратор информационной безопасности непосредственно подчиняется начальнику подразделения, в штате которого он состоит.

1.6. Администратор информационной безопасности руководствуется положениями федеральных законов, нормативных и иных актов Банка России, Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ).

1.7. Методическое руководство деятельностью администратора информационной безопасности осуществляется Главным управлением безопасности и защиты информации Банка России или Управлением (отделом) безопасности и защиты информации территориального учреждения Банка России.

2.1. Основными задачами администратора информационной безопасности являются:

- организация эксплуатации технических и программных средств защиты информации;

- текущий контроль работы средств и систем защиты информации;

- контроль за работой пользователей автоматизированных систем, выявление и регистрация попыток НСД к автоматизированным системам и защищаемым информационным ресурсам.

2.2. Основными функциями администратора информационной безопасности являются:

- обеспечение функционирования средств и систем защиты информации в пределах возложенных на него обязанностей;

- обучение персонала и пользователей вычислительной техники правилам работы со средствами защиты информации;

- поддержание функционирования ключевых систем, применяемых средств и систем криптографической защиты информации;

- формирование и распределение реквизитов полномочий пользователей, определяемых эксплуатационной документацией на средства и системы защиты информации;

- организация антивирусного контроля магнитных носителей информации, поступающих из других подразделений и сторонних организаций;

- участие по согласованию с Главным управлением безопасности и защиты информации Банка России или Управлением (отделом) безопасности и защиты информации территориального учреждения Банка России в проведении служебных расследований фактов нарушения или угрозы нарушения безопасности защищаемой информации;

- организация учета и хранения магнитных носителей информации с грифом "Для служебного пользования", используемых в технологии обработки защищаемой информации;

- текущий контроль технологического процесса обработки защищаемой информации.

3.1. Обеспечивать функционирование и поддерживать работоспособность средств и систем защиты информации в пределах возложенных на него обязанностей.

3.2. Докладывать непосредственному руководителю о выявленных нарушениях и несанкционированных действиях пользователей и персонала, принимать необходимые меры по устранению нарушений.

3.3. Совместно со специалистами подразделения технической защиты информации принимать меры по восстановлению работоспособности средств и систем защиты информации.

3.4. Оказывать содействие сотрудникам подразделения безопасности и защиты информации в проведении работ по анализу защищенности автоматизированных систем.

3.5. Проводить инструктаж обслуживающего персонала и пользователей средств вычислительной техники по правилам работы с используемыми средствами и системами защиты информации.

4.1. Обращаться к руководителю участника электронных платежей с требованием о прекращении обработки информации в случаях нарушения установленной технологии обработки защищаемой информации или нарушения функционирования средств и систем защиты информации.

4.2. Обращаться в ГУ безопасности и защиты информации Банка России или Управление (отдел) безопасности и защиты информации территориального учреждения Банка России с просьбой об оказании технической и методической помощи в работе по обеспечению технической защиты информации.

5.1. На администратора информационной безопасности возлагается персональная ответственность за программно - технические и криптографические средства защиты информации, средства вычислительной техники, информационно - вычислительные комплексы, сети и автоматизированные системы обработки банковской информации, закрепленные за ним приказом руководителя участника электронных платежей и за качество проводимых им работ по обеспечению защиты информации в соответствии с функциональными обязанностями, определенными Положением об администраторе информационной безопасности конкретного участника электронных платежей.

5.3. Администратор информационной безопасности несет ответственность по действующему законодательству за разглашение сведений, составляющих государственную тайну, и сведений ограниченного распространения, ставших известными ему в соответствии с родом работы.

Начальник ГУ безопасности
и защиты информации
Банка России
А.И.ЛАХТИКОВ

Приложение 2

1.1. Настоящее Положение определяет задачи, функции, обязанности, права и ответственность администратора информационной безопасности расчетно - кассового центра (РКЦ) территориального учреждения Банка России.

1.2. Примерное Положение предназначено для разработки Положений об администраторе информационной безопасности в РКЦ системы Банка России с учетом конкретных данных об обрабатываемой, передаваемой и хранимой в автоматизированной системе информации, о полномочиях пользователей, технологии обработки информации и применяемых средствах и системах защиты информации.

Положение утверждается руководителем соответствующего территориального учреждения Банка России.

1.4. В РКЦ территориального учреждения Банка России, занимающихся обработкой электронных платежных документов, администраторы информационной безопасности РКЦ назначаются приказом начальника РКЦ.

1.5. При назначении администратора информационной безопасности в РКЦ территориального учреждения Банка России его кандидатура должна быть согласована с Управлением (отделом) безопасности и защиты информации территориального учреждения Банка России.

1.6. Администратор информационной безопасности РКЦ подчиняется непосредственно начальнику подразделения, в штате которого он состоит.

1.7. Администратор информационной безопасности РКЦ руководствуется положениями федеральных законов, нормативных и иных актов Банка России, Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ).

1.8. Администратор информационной безопасности РКЦ обеспечивает решение вопросов информационной безопасности дополнительно к своим непосредственным обязанностям, если это не входит в его прямые служебные обязанности.

1.9. Методическое руководство работой администратора информационной безопасности РКЦ в территориальном учреждении Банка России осуществляется Управлением (отделом) безопасности и защиты информации территориального учреждения Банка России.

2.1. Основными задачами администратора информационной безопасности РКЦ являются:

- обеспечение функционирования установленных средств и систем защиты информации;

- контроль за соблюдением требований инструкций при эксплуатации систем защиты информации в системах обработки электронных платежных документов;

- выявление и регистрация попыток несанкционированного доступа в систему обработки электронных платежных документов;

- проведение работы по выявлению возможных угроз при обработке электронных платежных документов с учетом специфики конкретного места обработки и применяемых средств защиты;

- подготовка предложений для Управления (отдела) безопасности и защиты информации территориального учреждения Банка России по совершенствованию систем защиты информации и отдельных ее компонентов.

2.2. Администратор информационной безопасности РКЦ выполняет следующие функции:

- проводит контроль технологического процесса обработки электронных платежных документов на соответствие технологическим инструкциям, с целью выявления возможных угроз при обработке электронных платежных документов;

- проводит контроль целостности эксплуатируемого на средствах вычислительной техники программного обеспечения, с целью выявления несанкционированных изменений в нем;

- поддерживает функционирование ключевой системы, применяемых средств криптографической защиты информации;

- формирует и распределяет реквизиты полномочий пользователей, определяемых эксплуатационной документацией на средства и системы защиты информации;

- проводит обучение персонала и пользователей вычислительной техники правилам работы со средствами защиты при обработке электронных платежных документов;

- контролирует работоспособность эксплуатируемых программных и технических средств защиты электронных платежей;

- участвует во внедрении технических и программных средств защиты информации на действующих системах и средствах вычислительной техники, обрабатывающих электронные платежные документы;

- осуществляет контроль документооборота по платежным документам и документам, содержащим сведения ограниченного распространения;

- контролирует соблюдение требований внутриобъектового режима.

Администратор информационной безопасности РКЦ обязан:

- выявлять попытки несанкционированного доступа в систему обработки электронных платежных документов;

- немедленно докладывать непосредственному руководителю и начальнику подразделения безопасности и защиты информации о выявленных нарушениях и несанкционированных действиях пользователей и персонала, а также принимать необходимые меры по устранению нарушений;

- оказывать содействие сотрудникам подразделений безопасности и защиты информации Банка России в проведении работ по анализу защищенности систем обработки электронных платежных документов;

- проводить занятия с сотрудниками, обрабатывающими на средствах вычислительной техники электронные платежные документы, с целью повышения их профессиональной подготовки в области защиты информации.

Администратор информационной безопасности РКЦ имеет право:

- требовать от пользователей банковских автоматизированных систем, находящихся в его ведении, безусловного соблюдения установленной технологии обработки платежных документов и выполнения инструкций по обеспечению безопасности и защиты информации при обработке платежных документов;

- обращаться к руководителю РКЦ с требованием о прекращении обработки электронных платежных документов при несоблюдении установленной технологии обработки и невыполнении требований по безопасности;

- обращаться в Управление (отдел) безопасности и защиты информации территориального учреждения Банка России для оказания необходимой технической и методологической помощи в своей работе.

5.1. На администратора информационной безопасности РКЦ возлагается персональная ответственность за качество проводимых им работ по обеспечению технической защиты информации в соответствии с функциональными обязанностями, определенными Положением об администраторе информационной безопасности конкретного РКЦ.

5.2. Администратор информационной безопасности РКЦ несет ответственность по действующему законодательству за разглашение сведений, составляющих государственную тайну, и сведений ограниченного распространения, ставших известными ему по роду работы.

Начальник ГУ безопасности
и защиты информации
Банка России
А.И.ЛАХТИКОВ

Приложение 3