Законодательная база Российской Федерации

ПРИКАЗ ЦБ РФ от 03.03.97 N 02-144 "О ВВЕДЕНИИ В ДЕЙСТВИЕ ВРЕМЕННЫХ ТРЕБОВАНИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ТЕХНОЛОГИЙ ОБРАБОТКИ ЭЛЕКТРОННЫХ ПЛАТЕЖНЫХ ДОКУМЕНТОВ В СИСТЕМЕ ЦЕНТРАЛЬНОГО БАНКА РОССИЙСКОЙ ФЕДЕРАЦИИ"

1.1. Настоящее Положение определяет задачи, функции, обязанности, права и ответственность администратора информационной безопасности участника электронных платежей (кроме расчетно - кассовых центров).

1.2. Примерное Положение предназначено для разработки Положений об администраторе информационной безопасности участников электронных платежей с учетом конкретных данных об обрабатываемой, передаваемой и хранимой в автоматизированной системе информации, о полномочиях пользователей, технологии обработки информации и применяемых средствах и системах защиты информации.

1.3. Администратор информационной безопасности назначается приказом руководителя участника электронных платежей по согласованному представлению руководителя подразделения, эксплуатирующего автоматизированную систему, и руководителя подразделения безопасности и защиты информации.

1.4. Администратор информационной безопасности в пределах своих функциональных обязанностей обеспечивает безопасность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники в автоматизированных системах Банка России.

1.5. Администратор информационной безопасности непосредственно подчиняется начальнику подразделения, в штате которого он состоит.

1.6. Администратор информационной безопасности руководствуется положениями федеральных законов, нормативных и иных актов Банка России, Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ).

1.7. Методическое руководство деятельностью администратора информационной безопасности осуществляется Главным управлением безопасности и защиты информации Банка России или Управлением (отделом) безопасности и защиты информации территориального учреждения Банка России.

2.1. Основными задачами администратора информационной безопасности являются:

- организация эксплуатации технических и программных средств защиты информации;

- текущий контроль работы средств и систем защиты информации;

- контроль за работой пользователей автоматизированных систем, выявление и регистрация попыток НСД к автоматизированным системам и защищаемым информационным ресурсам.

2.2. Основными функциями администратора информационной безопасности являются:

- обеспечение функционирования средств и систем защиты информации в пределах возложенных на него обязанностей;

- обучение персонала и пользователей вычислительной техники правилам работы со средствами защиты информации;

- поддержание функционирования ключевых систем, применяемых средств и систем криптографической защиты информации;

- формирование и распределение реквизитов полномочий пользователей, определяемых эксплуатационной документацией на средства и системы защиты информации;

- организация антивирусного контроля магнитных носителей информации, поступающих из других подразделений и сторонних организаций;

- участие по согласованию с Главным управлением безопасности и защиты информации Банка России или Управлением (отделом) безопасности и защиты информации территориального учреждения Банка России в проведении служебных расследований фактов нарушения или угрозы нарушения безопасности защищаемой информации;

- организация учета и хранения магнитных носителей информации с грифом "Для служебного пользования", используемых в технологии обработки защищаемой информации;

- текущий контроль технологического процесса обработки защищаемой информации.

3.1. Обеспечивать функционирование и поддерживать работоспособность средств и систем защиты информации в пределах возложенных на него обязанностей.

3.2. Докладывать непосредственному руководителю о выявленных нарушениях и несанкционированных действиях пользователей и персонала, принимать необходимые меры по устранению нарушений.

3.3. Совместно со специалистами подразделения технической защиты информации принимать меры по восстановлению работоспособности средств и систем защиты информации.

3.4. Оказывать содействие сотрудникам подразделения безопасности и защиты информации в проведении работ по анализу защищенности автоматизированных систем.

3.5. Проводить инструктаж обслуживающего персонала и пользователей средств вычислительной техники по правилам работы с используемыми средствами и системами защиты информации.

4.1. Обращаться к руководителю участника электронных платежей с требованием о прекращении обработки информации в случаях нарушения установленной технологии обработки защищаемой информации или нарушения функционирования средств и систем защиты информации.

4.2. Обращаться в ГУ безопасности и защиты информации Банка России или Управление (отдел) безопасности и защиты информации территориального учреждения Банка России с просьбой об оказании технической и методической помощи в работе по обеспечению технической защиты информации.

5.1. На администратора информационной безопасности возлагается персональная ответственность за программно - технические и криптографические средства защиты информации, средства вычислительной техники, информационно - вычислительные комплексы, сети и автоматизированные системы обработки банковской информации, закрепленные за ним приказом руководителя участника электронных платежей и за качество проводимых им работ по обеспечению защиты информации в соответствии с функциональными обязанностями, определенными Положением об администраторе информационной безопасности конкретного участника электронных платежей.

5.3. Администратор информационной безопасности несет ответственность по действующему законодательству за разглашение сведений, составляющих государственную тайну, и сведений ограниченного распространения, ставших известными ему в соответствии с родом работы.

Начальник ГУ безопасности
и защиты информации
Банка России
А.И.ЛАХТИКОВ

Приложение 2