управления Начальник отдела 2.2.7. Подразделения, занимающиеся правовой работой Начальник управления Заместитель начальника управления Начальник отдела Заместитель начальника отдела Заведующий сектором Главный специалист Ведущий специалист 2.2.8. Подразделения безопасности, осуществляющие поддержку принятия надзорных решений Банка России (в том числе сектор хранения юридических дел кредитных организаций) Начальник управления Заместитель начальника управления Начальник отдела Заместитель начальника отдела Заведующий сектором Руководитель направления Консультант Главный эксперт Ведущий эксперт Эксперт 1 категории Главный инженер Ведущий инженер Инженер 1 категории 2.2.9. Подразделения информационной безопасности , выполняющие функции по контролю за соблюдением поднадзорными Банку России организациями нормативных актов Банка России по обеспечению информационной безопасности и применения информационных технологий (в том числе участие в проверках поднадзорных лиц) Начальник отдела Руководитель направления Главный эксперт Главный инженер Ведущий эксперт Ведущий инженер 2.2.10. Подразделения, осуществляющие функции по противодействию нелегальной деятельности 2.2.10.1. Отдел противодействия нелегальной деятельности Начальник отдела Консультант ------------------------------------------------------------------
в заявку сведений; администратор информационной системы - за своевременность подключения (отключения) пользователя к информационной системе (разделу информационной системы) и соответствие предоставляемых пользователю прав правам, указанным в заявке. 24. Контроль за организацией доступа внешних и внутренних пользователей к информационным системам (разделам информационных систем) и обеспечением информационной безопасности при осуществлении электронного обмена возлагается на департамент безопасности, отдел безопасности информационных ресурсов Главного вычислительного центра, а в зоне ответственности информационно-вычислительных центров на соответствующие региональные центры безопасности и подразделения информационной безопасности информационно-вычислительных центров. III. Предоставление доступа к информационным системам в зоне ответственности Главного вычислительного центра 25. Предоставление работникам ОАО "РЖД", подключаемым через Главный вычислительный центр, доступа к информационным системам в зоне ответственности Главного вычислительного центра осуществляется в следующем порядке: а) заявки с прилагаемыми материалами по автоматизированной системе обработки заявок (либо оформленные в соответствии с приложением N 1 к настоящему Порядку, с сопроводительным письмом, подписанным руководителем подразделения аппарата управления ОАО "РЖД" - пользователя информационной системы)
2.15.10 "active" (поле данных) наличие доступа в личный кабинет участника информационного обмена Выбирается один код из ограниченного множества возможных значений: - [ACT] - доступ в личный кабинет участника информационного обмена активирован; - [DIS] - доступ в личный кабинет участника информационного обмена не активирован [O] [2] 2.15.11 "category" (поле данных) категория структурного подразделения ответственного лица участника информационного обмена Выбирается один код из ограниченного множества возможных значений: - [MANAGEMENT] - высшее руководство; - [SECURITY] - подразделения информационной безопасности ; - [IT] - подразделения информатизации; - [RISKS] - подразделения по управлению рисками; - [PAYMENT] - операционные подразделения; - [OTHER] - иные структурные подразделения [O] [1], [2] 2.16 "ID_CII" (поле данных) идентификатор объекта КИИ текстовое поле (textarea) [N] [1], [2] 2.17 "orgType" (поле данных) тип участника информационного обмена Выбирается один код из ограниченного множества возможных значений: - [PSP] - участник информационного обмена, осуществляющий деятельность оператора по переводу денежных средств; - [SOPI] - участник
3 ст. 7). Истребовать у плательщика подтверждение о подаче плательщиком заявления в правоохранительные органы и получить его копию в течение не более 2 рабочих дней со дня получения обращения плательщика в банк о факте хищения денежных средств. 3.7. Подготовить документы, указанные в приложениях N 11 (в отношении юридического лица, индивидуального предпринимателя, физического лица, занимающегося в установленном законодательством порядке частной практикой) и/или N 12 (в отношении физического лица) к настоящим Рекомендациям. 3.8. Осуществить силами подразделения информационной безопасности банка, иных уполномоченных сотрудников либо с привлечением организаций, предоставляющих квалифицированные услуги по расследованию инцидентов информационной безопасности, по меньшей мере, следующие действия: 3.8.1. Провести мероприятия, определенные договорными отношениями с клиентом, в отношении проверки легитимности электронной подписи оспоренного платежного документа. При необходимости - провести мероприятия по факту компрометации ключей электронной подписи. 3.8.2. Получить от ответственных сотрудников банка, обслуживающих системы ДБО, администраторов сети, систем криптографической защиты и т.д. экспертные заключения в рамках их компетенции по корректности
неизменность ПО обмена ЭС; - осуществлять хранение копий всех полученных и переданных ЭС, вместе с кодом аутентификации (КА) в течение срока, установленного соответствующими законами и нормативными актами для хранения бумажных документов; - организовать внутренний режим функционирования рабочих мест с установленным ПО обмена ЭС таким образом, чтобы исключить возможность физического доступа или использования ПО обмена ЭС лицами, не допущенными к работе с СОЭС; - производить модификацию ПО обмена ЭС только после подтверждения от сотрудника подразделения информационной безопасности СОЭС (СПИБ СОЭС) о правомочности подобных действий; - при разрешении конфликтных ситуаций, связанных с установлением подлинности и/или авторства спорного ЭС, предоставлять экспертной комиссии всю запрашиваемую информацию; - оказывать полное содействие организатору СОЭС при проведении изменений в ПО обмена ЭС (в том числе и при плановой смене КК); - для работы СОЭС использовать исправное и проверенное на отсутствие компьютерных вирусов оборудование. В силу пункта 3.6 Регламента по обращению с криптографическими средствами клиент несет ответственность
по установлению способа определения поставщика (подрядчика, исполнителя) путем проведения открытого конкурса в электронной форме; по не установлению в конкурсной документации требования о наличии у участника закупки лицензии, выданной подразделением Федеральной службы безопасности России, на право осуществления следующих видов деятельности: монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации; монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем; монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем; монтаж, установка (инсталляция), наладка средств изготовления ключевых документов; передача шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации; передача защищенных с использованием шифровальных (криптографических) средств информационных систем; передача защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем; предоставление услуг по шифрованию информации, не содержащей сведения,
средств, используемых организатором распространения информации в сети «Интернет» в эксплуатируемых им информационных системах, для проведения органами, осуществляющими оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, мероприятий в целях реализации возложенных на них задач; организации круглосуточного удаленного доступа уполномоченного подразделения для организации взаимодействия к информационной системе Общества; обеспечения в возможно короткий срок технической готовности к предоставлению в уполномоченное подразделение для организации взаимодействия информации, необходимой для кодирования электронных сообщений пользователей интернет-сервисов Организации. Необходимую информацию было предложено уточнить по указанному в уведомлении номеру телефона. Общество посчитало, что в уведомлении от 05.07.2021 Управление в нарушение пунктов 4, 5 Правил взаимодействия организаторов распространения информации в информационно-телекоммуникационной сети «Интернет» с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, утвержденных Постановлением Правительства Российской Федерации от 31.07.2014 № 743 (далее – Правила № 743) не указало конкретное подразделение органа федеральной службы безопасности, определенного руководителем органа федеральной службы безопасности в качестве уполномоченного на взаимодействие с Обществом;
второй экземпляр - у уполномоченного подразделения органа федеральной службы безопасности, третий экземпляр представляется организатором распространения информации в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций. На основании пункта 6 Правил взаимодействия № 743 организатор распространения информации обязан осуществить меры, согласованные с подразделением, указанным в пункте 4 настоящих Правил, по недопущению раскрытия организационных и технических приемов проведения оперативно-розыскных мероприятий. Организатор распространения информации при взаимодействии с уполномоченными органами обеспечивает в соответствии с законодательством Российской Федерации неразглашение любой информации о конкретных фактах и содержании такого взаимодействия третьим лицам. Частью 4.1 Закона № 149-ФЗ также установлено, что организатор распространения информации в сети «Интернет» обязан при использовании для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети «Интернет» дополнительного кодирования электронных сообщений и (или) при предоставлении пользователям сети «Интернет» возможности дополнительного кодирования электронных сообщений представлять в федеральный орган исполнительной власти в области обеспечения безопасности информацию, необходимую для декодирования принимаемых,
контроля доступа к информации, в том числе средств обнаружения компьютерных атак, средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, - осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России, а также введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСТЭК России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям. Допрошенный в судебном заседании в качестве специалиста - специалист экспертного подразделения информационной безопасности Управления ФСБ РФ по Ростовской области Садчиков показал, что в данном случае, ФИО3 при обращении в Главную военную прокуратуру Российской Федерации, работал на ресурсах сервера этого Учреждения по защищенному каналу связи. Информация о данном обращении сохраняется исключительно на сервере этого Учреждения. При этом пояснил, что мониторинг защищенности государственных информационных систем подключенных к информационно-телекоммуникационным сетям осуществляется уполномоченным подразделением ФСБ России и в случае несоответствия Требованиям, его деятельность может быть приостановлена. Стороны подтвердили, что как
в отсутствие клиента; ФИО1 выдала банковскую карту на имя ФИО8 в отсутствие клиента третьему лицу, ФИО3, осуществила дополнительный контроль по операциям выпуска банковской карты на имя ФИО8 без проведения идентификации клиента и проверки документа, удостоверяющего личность, ФИО3 не организован и не осуществляется контроль за соблюдением сотрудниками установленного порядка совершения операций с банковскими картами установленного порядка идентификации клиентов с проверки паспорта на подлинность с использованием прибора ультрафиолетового излучения, не осуществляется контроль за выполнением сотрудниками подразделения информационной безопасности . По результатам служебного расследования было рекомендовано рассмотреть возможность увольнения ФИО2 в связи с утратой доверия, ФИО1, ФИО3 – уволить в связи с утратой доверия (л.д..). ФИО2, ФИО1, ФИО3 с актом служебного расследования ознакомлены не были, меры дисциплинарного воздействия к указанным работникам работодателем не принимались. В ходе судебного разбирательства судом изучались материалы видеозаписи от 00.00.0000 и от 00.00.0000. представленные на флешкарте (приобщена к делу), согласно которым судом установлено, что подтвердить или опровергнуть объяснения
по осуществлению мер обеспечения информационной безопасности и контролю по их выполнению на предприятии возлагается на подразделение обеспечения безопасности информации или на работников, на которых возложены функции по обеспечению информационной безопасности (пункт 6.6 приказа). Как следует из должностной инструкции истца такие функции были возложены на него. Согласно пункту 6.12 приказа контроль требуемых настроек и функционирования механизмов безопасности направлен на поддержание требуемого уровня защищенности АИС, а также соблюдение требований по информационной безопасности и осуществляется работниками подразделения информационной безопасности - в данном случае истцом в силу положения пункта 2.1 должностной инструкции. В силу положений пункта 8.3 приказа при построении систем защиты информации АИС предприятия в отношении которых реализуются мероприятия по защите информации ограниченного доступа, защите персональных данных, обеспечению безопасности информации в КСИИ, а также в целях обеспечения режима коммерческой тайны, используются сертифицированные по требованиям безопасности информации или разрешенные к применению средства защиты информации. При этом, пунктом 14.7 приказа установлено, что ответственность за
в отсутствие клиента; ФИО4 выдала банковскую карту на имя <...> в отсутствие клиента третьему лицу, ФИО6, осуществила дополнительный контроль по операциям выпуска банковской карты на имя <...> без проведения идентификации клиента и проверки документа, удостоверяющего личность, ФИО6 не организован и не осуществляется контроль за соблюдением сотрудниками установленного порядка совершения операций с банковскими картами установленного порядка идентификации клиентов с проверки паспорта на подлинность с использованием прибора ультрафиолетового излучения, не осуществляется контроль за выполнением сотрудниками подразделения информационной безопасности . По результатам служебного расследования было рекомендовано рассмотреть возможность увольнения ФИО5 в связи с утратой доверия, ФИО4, ФИО6 - уволить в связи с утратой доверия. ФИО5, ФИО4, ФИО6 с актом служебного расследования ознакомлены не были, меры дисциплинарного воздействия к указанным работникам работодателем не принимались. В ходе судебного разбирательства судом изучались материалы видеозаписи от <дата> и от <дата>, представленные на флешкарте (приобщена к делу), согласно которым судом установлено, что подтвердить или опровергнуть объяснения ФИО5