Кібербезпека банківських та комерційних структур

9. Склад вимог до організації та функціонування служби інформаційної безпеки

До складу вимог до організації та функціонування служби інформаційної безпеки включаються такі вимоги.

а) Учасник, Агент (Субагент), який є юридичною особою, Оператор Послуг Платіжної Інфраструктури:

• забезпечують формування служби інформаційної безпеки, а також визначають у внутрішніх документах цілі і завдання діяльності цієї служби;

• надають повноваження і виділяють ресурси, необхідні для виконання службою інформаційної безпеки встановлених цілей і завдань.

б) Учасник, Оператор Послуг Платіжної Інфраструктури призначають куратора служби інформаційної безпеки зі складу свого органу управління і визначають його повноваження. При цьому служба інформаційної безпеки і служба інформатизації (автоматизації) не повинні мати загального куратора.

в) Учасник, який має філії:

• забезпечує формування служб інформаційної безпеки в зазначених філіях, визначає для них необхідні повноваження і виділяє необхідні ресурси;

• забезпечує взаємодію та координацію робіт служб інформаційної безпеки.

• г) Служба інформаційної безпеки здійснює планування і контроль забезпечення захисту інформації при здійсненні переказів грошових коштів, для чого наділяється такими повноваженнями:

• здійснювати контроль (моніторинг) виконання порядку забезпечення захисту інформації при здійсненні переказів грошових коштів;

• визначати вимоги до технічних засобів захисту інформації та організаційним заходам захисту інформації;

• контролювати виконання працівниками вимог до забезпечення захисту інформації при здійсненні переказів грошових коштів;

• брати участь в розглядах інцидентів, пов´язаних з порушеннями вимог до забезпечення захисту інформації при здійсненні переказів грошових коштів, і пропонувати застосування дисциплінарних стягнень, а також надсилати пропозиції щодо вдосконалення захисту інформації;

• брати участь в діях, пов´язаних з виконанням вимог до забезпечення захисту інформації при здійсненні переказів грошових коштів, що застосовуються при відновленні надання послуг платіжної системи після збоїв і відмов в роботі об´єктів інформаційної інфраструктури.