ГОСТ Р 57580.4-2022. Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер
7.8 Процесс 7 "Управление риском внутреннего нарушителя"
7.8.1 Финансовая организация должна применять меры по управлению риском внутреннего нарушителя.
Примечание - В настоящем стандарте рассмотрена часть деятельности по управлению риском, связанная с принятием мер, направленных на нейтрализацию информационных угроз (снижением СВР и ограничением СТП от реализации информационных угроз), обусловленных действиями внутренним нарушителем.
7.8.2 Состав мер по управлению риском внутреннего нарушителя применительно к уровням защиты приведен в таблице 14.
Таблица 14
Условное обозначение и номер меры | Содержание мер системы обеспечения операционной надежности | Уровень защиты | ||
3 | 2 | 1 | ||
РВН.1 | Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска внутреннего нарушителя, применяемых в отношении работников финансовой организации, деятельность которых может оказать влияние на риск реализации информационных угроз: - при приеме на работу кандидатов на замещение должностей в финансовой организации; - в рамках исполнения работниками своих должностных обязанностей; - в случае прекращения трудовых отношений или изменения должностных обязанностей работников | О | О | О |
РВН.2 | Включение в состав мероприятий, предусмотренных мерой РВН.1, при приеме на работу кандидатов на замещение должностей, деятельность которых может оказать влияние на риск реализации информационных угроз: | |||
РВН.2.1 | - оценки профессиональных навыков и соответствия кандидата квалификационным требованиям, предъявляемым финансовой организацией | О | О | О |
РВН.2.2 | - выявление факторов, являющихся побудительными или стимулирующими к использованию кандидатом предоставленных полномочий для реализации информационных угроз | Н | О | О |
РВН.2.3 | - проверку подлинности предоставленных кандидатом документов, заявленного уровня квалификации, точности и полноты предоставленных данных | О | О | О |
РВН.2.4 | - рассмотрение рекомендаций предыдущих работодателей, в случае необходимости | Н | О | О |
РВН.3 | Включение в состав мероприятий, предусмотренных мерой РВН.1, в рамках исполнения работниками своих должностных обязанностей, деятельность которых может оказать влияние на риск реализации информационных угроз: | |||
РВН.3.1 | - включение в трудовые контракты (соглашения, договоры) и (или) должностные инструкции и доведение до работников финансовой организации обязанностей по соблюдению соответствующих требований, а также ответственности за их нарушение | О | О | О |
РВН.3.2 | - проведение проверок на регулярной основе с учетом полномочий работников по доступу к объектам информатизации, задействованным при выполнении бизнес- и технологических процессов | Н | О | О |
РВН.3.3 | - проведение внеплановых проверок при выявлении фактов причастности работников к реализации инцидентов | Н | О | О |
РВН.3.4 | - приравнивание фактов невыполнения работниками финансовой организации требований к обеспечению операционной надежности и защиты информации к фактам неисполнения должностных обязанностей и применение в указанных случаях соответствующих дисциплинарных взысканий согласно Трудовому кодексу Российской Федерации | О | О | О |
РВН.3.5 | - регистрация фактов применения дисциплинарных взысканий согласно Трудовому кодексу Российской Федерации в отношении работников, нарушивших требования к обеспечению операционной надежности и защите информации, с указанием причин применения таких взысканий | О | О | О |
РВН.4 | Включение в состав мероприятий, предусмотренных мерой РВН.1, в случае прекращения трудовых отношений или изменения должностных обязанностей работников, деятельность которых может оказать влияние на риск реализации информационных угроз: | |||
РВН.4.1 | - применение соответствующих мер в рамках процесса управления учетными записями и правами субъектов логического доступа, требования к которому определены в ГОСТ Р 57580.1 | О | О | О |
РВН.4.2 | - пересмотр потребности работника в доступе к отдельным объектам информатизации | Н | О | О |
РВН.4.3 | - организация и контроль возврата всех принадлежащих финансовой организации объектов информатизации, переданных соответствующему работнику в рамках исполнения им должностных обязанностей | О | О | О |
РВН.4.4 | - обеспечение возможности в течение определенного временного периода доступа к защищаемой информации <*>, использовавшейся работниками финансовой организации до прекращения с ними трудовых отношений или изменения должностных обязанностей | Н | О | Т |
РВН.5 | Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска внутреннего нарушителя, применяемых в отношении работников поставщика услуг, привлекаемого в рамках выполнения бизнес- и технологических процессов | О | О | О |
РВН.6 | Включение в состав мероприятий, предусмотренных мерой РВН.5: | |||
РВН.6.1 | - установление в рамках договорных отношений требований к соблюдению работниками поставщиков услуг установленных финансовой организацией требований к обеспечению операционной надежности и защите информации, а также их обязанностей и ответственности | О | О | О |
РВН.6.2 | - установление в рамках договорных отношений требований к поставщикам услуг по уведомлению о случаях изменения должностных обязанностей или прекращения трудовых отношений с работниками, обладающими организационными полномочиями или привилегированным доступом к объектам информатизации финансовой организации | О | О | О |
РВН.6.3 | - осуществление контроля за выполнением поставщиком требований, установленных в рамках договорных отношений | О | О | О |
РВН.7 | Реализация программ по мотивации работников финансовой организации к соблюдению установленных требований к обеспечению операционной надежности и защиты информации: | |||
РВН.7.1 | - разработка и применение способов мотивации работников к участию в процессах управления риском реализации информационных угроз | Н | О | О |
РВН.7.2 | - разработка и применение способов мотивации персонала к направлению предложений по мероприятиям, направленным на уменьшение негативного влияния риска реализации информационных угроз | Н | О | О |
РВН.7.3 | - разработка справочных материалов и инструкций для работников по вопросам противостояния реализации информационных угроз | Н | О | О |
РВН.7.4 | - разработка и применение способов мотивации работников к инициативному информированию о возможном риске реализации информационных угроз и о выявленных событиях реализации информационных угроз | Н | О | О |
<*> К защищаемой информации относится информация, перечень которой определен в [11] - [13]. | ||||
Подписаться на обновления