В случае обнаружения уязвимостей систем пользователи не должны их проверять (тестировать) для оценки возможностей их использования.
!
Подрядчики и клиенты должны быть
осведомлены о процедурах оповещения
о событиях/инцидентах информационной
безопасности, обнаруженных в системах,
к которым они допущены.
В сообщении о событии или инциденте
информационной безопасности должны
быть следующие компоненты:
объект, на котором произошло нарушение
или обнаружена уязвимость (информационная
система, компьютер, оборудование,
помещение и т.п.), с указанием
идентифицирующих признаков – название
системы, имя компьютера, ФИО сотрудника,
номер помещения и т.п.;
краткое описание события или инцидента
информационной безопасности;
дата, время.
Форма сообщения о событии или инциденте информационной безопасности
Нарушение
требований «Порядка управления
инцидентами информационной безопасности»
влечет административную, гражданско-правовую,
уголовную и иную ответственность,
предусмотренную законодательством
Российской Федерации, внутренними
документами Банка и Трудовым договором.