План включает следующие основные разделы: 1. Основные положения плана;

2. Оценка чрезвычайных ситуаций:

· выявление уязвимых мест;

· классификация возможных опасных событий и оценка вероятности их возникновения;

· сценарии чрезвычайных ситуаций;

· потенциальные источники отрицательных последствий каждой чрезвычайной ситуации и оценка величины ущерба;

· набор критериев, на основании которых объявляется чрезвычайная ситуация. 3. Деятельность банка в чрезвычайной ситуации:

· первоначальное реагирование на чрезвычайную ситуацию (оценка опасного события, объявление чрезвычайной ситуации, оповещение необходимого круга лиц, ввод в действие чрезвычайного плана);

· мероприятия, обеспечивающие бесперебойность деятельности банка в чрезвычайной ситуации и восстановление ее нормального функционирования.

4. Поддержание готовности к возникновению чрезвычайной ситуации:

· контроль правильности и корректировка содержания плана;

· составление списка адресов и процедуры рассылки плана;

· разработка программы повышения квалификации и ознакомления персонала с действиями, необходимыми для восстановления деятельности банка после бедствия;

· подготовка к опасным событиям, обеспечение безопасности и предотвращение бедствий;

· регулярное проведение частичных и комплексных проверок (типа пожарных учений) готовности банка к действиям в чрезвычайной ситуации и способности восстановить нормальную деятельность;

· регулярное создание резервных копий данных, документации, бланков входных и выходных документов и основного программного обеспечения, их хранение в безопасном месте. 5. Информационное обеспечение:

· приоритетные функции, выполняемые банком;

· списки внутренних и внешних ресурсов — технических средств, программного обеспечения, средств связи, документов, офисного оборудования и персонала;

· учётная информация о техническом, программном и другом обеспечении, необходимом для восстановления деятельности банка в случае чрезвычайной ситуации;

· список лиц, которых необходимо оповестить о чрезвычайной ситуации с указанием адресов и телефонов;

· вспомогательная информация — планы и схемы, маршруты перевозок, адреса и т.п.;

· описание детальных пошаговых процедур, обеспечивающих чёткое выполнение всех предусмотренных мер;

· функции и обязанности сотрудников в случае возникновения непредвиденных обстоятельств;

· сроки восстановления деятельности в зависимости от типа возникшей чрезвычайной ситуации;

· смета расходов, источники финансирования. 6. Техническое обеспечение:

· создание и поддержание базы технических средств, обеспечивающей бесперебойную деятельность банка в чрезвычайной ситуации;

· создание и поддержание в надлежащем состоянии резервных помещений. 7. Организационное обеспечение, состав и функции следующих групп, обеспечивающих бесперебойную деятельность в случае бедствия:

· группы оценки чрезвычайной ситуации;

· группы управления в кризисной ситуации;

· группы для работ в чрезвычайной ситуации;

· группы восстановления;

· группы обеспечения работы в резервном производственном помещении;

· группы административной поддержки.

Совершенствование информационной безопасности организации банковских систем следует проводить с учетом рекомендаций в области стандартизации процедур безопасности, установленных Банком России. В этом случае должны быть сформированы следующие требования:

· назначения и распределения ролей и обеспечения доверия к персоналу;

· обеспечения информационной безопасности на стадиях жизненного цикла автоматизированной банковской системы;

· защиты от несанкционированного доступа и нерегламентированных действий в рамках предоставленных полномочий, управления доступом и регистрацией всех действий в автоматизированной банковской системе, в телекоммуникационном оборудовании, автоматических телефонных станциях и т.д.;

· антивирусной защиты;

· использования ресурсов Интернета;

· использования средств криптографической защиты информации;

· защиты банковских платежных и информационных технологических процессов.

Для обеспечения информационной безопасности и контроля за качеством ее обеспечения в КБ должны быть определены роли, связанные с деятельностью по ее обеспечению. Руководство банка должно осуществлять координацию своевременности и качества выполнения ролей, связанных с обеспечением информационной безопасности.

При принятии руководством банка решений об использовании сети Интернет, при формировании документов, регламентирующих порядок использования сети Интернет, а также иных документов, связанных с обеспечением информационной безопасности при использовании сети Интернет, необходимо учитывать следующие положения:

· сеть Интернет не имеет единого органа управления (за исключением службы управления пространством имен и адресов) и не является юридическим лицом, с которым можно было бы заключить договор (соглашение). Провайдеры (посредники) сети Интернет могут обеспечить только те услуги, которые реализуются непосредственно ими;

· существует вероятность несанкционированного доступа, потери и искажения информации, передаваемой посредством сети Интернет;

· существует вероятность атаки злоумышленников на оборудование, программное обеспечение и информационные ресурсы, подключенные/доступные из сети Интернет;

· гарантии по обеспечению безопасности при использовании сети Интернет никаким органом/учреждением/организацией не предоставляются.

В рамках банковских платежных технологических процессов в качестве активов, защищаемых в первую очередь, следует рассматривать:

· банковский платежный технологический процесс;

· платежную информацию.

В организации системы безопасности должны быть выделены и документально определены роли ее работников. Роли следует персонифицировать с установлением ответственности за их выполнение. Ответственность должна быть документально зафиксирована в должностных инструкциях.

С целью снижения рисков нарушения информационной безопасности не рекомендуется, чтобы в рамках одной роли совмещались следующие функции: разработки и сопровождения системы/ПО, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора информационной безопасности, выполнения операций в системе и контроля их выполнения.

Также, должны быть документально определены и выполняться процедуры контроля деятельности работников, обладающих совокупностью полномочий (ролями), позволяющих получить контроль над защищаемым информационным активом организации.

Процедуры приема на работу, влияющую на обеспечение информационной безопасности, включают:

· проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов;

· проверку в части профессиональных навыков и оценку профессиональной пригодности.

Указанные процедуры должны предусматривать документальную фиксацию результатов проводимых проверок.

Рекомендуется документально определить процедуры регулярной проверки (с документальной фиксацией результатов) в части профессиональных навыков и оценки профессиональной пригодности работников, а также внеплановой проверки (с документальной фиксацией результатов) — при выявлении фактов их нештатного поведения, участия в инцидентах или подозрений в таком поведении или участии.