Политика информационной безопасности банка

.

Комплексность реализуется совокупностью правовых, организационных и инженерно-технических мероприятий.

 

Своевременность. Своевременность предполагает разработку и постановку задач по информационной безопасности на ранних стадиях разработки ИС Банка на основе анализа угроз информационной безопасности Банка, а также разработку эффективных мер предупреждения посягательств на его законные интересы.

Непрерывность - считается, что злоумышленники только и ищут возможность, как бы обойти защитные меры, прибегая для этого к легальным и нелегальным методам получения информации и нанесения ущерба Банку.

Активность. Защищать информационные ресурсы Банка необходимо с достаточной степенью настойчивости, широко используя маневр силами и средствами и нестандартные меры защиты.

Законность. Предполагает разработку системы безопасности на основе федерального законодательства в области банковской деятельности, информатизации и защиты информации и других нормативных актов по безопасности, утвержденных органами государственного управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения нарушений.

Обоснованность. Используемые средства защиты информации должны быть реализованы на современном уровне развития науки и техники, обоснованы с точки зрения заданного уровня безопасности и соответствовать установленным требованиям.

Экономическая целесообразность и сопоставимость возможного ущерба и затрат на обеспечение безопасности информации (критерий "эффективность - стоимость"). Во всех случаях стоимость системы защиты информации должна быть меньше размера возможного ущерба от любых видов риска.

Специализация. Предполагается привлечение к разработке и внедрению мер и средств защиты специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению защиты информации, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Эксплуатация программно-технических средств и реализация мер безопасности должны осуществляться профессионально подготовленными специалистами Банка, его функциональных и обслуживающих подразделений.

Взаимодействие и координация. Означает осуществление мер обеспечения безопасности на основе четкой взаимосвязи соответствующих подразделений и служб, сторонних специализированных организаций в этой области, координации их усилий для достижения поставленных целей.

Совершенствование. Предусматривает совершенствование  мер и средств защиты на основе собственного опыта, появления новых  программно-технических средств  с учетом изменений в методах и средствах промышленного шпионажа. Своевременно совершенствовать систему защиты информации при изменении банковских технологий и банковских систем.

Централизация управления. Предполагает самостоятельное функционирование системы защиты информации по единым правовым, организационным, функциональным и методологическим принципам и централизованным управлением функционирования этой системы.

 

2. Многоуровневая организация системы защиты информации
1. Защита рабочих станций.

• Каждая рабочая станция должна быть закреплена за пользователем
• При работе на рабочей станции должна быть обеспечена идентификация пользователя и контроль доступа к рабочей станции
• Для  каждой рабочей станции заводится Формуляр рабочей станции, в котором должны быть указаны установленные технические средства (с пономерным учетом носителей информации и средств телекоммуникаций), перечень разрешенных к использованию программных средств и установленные средства защиты информации и управления доступом, также разрешенные места размещения данной рабочей станции
• Каждая рабочая станция должна быть принудительно обеспечена антивирусными средствами
• Каждая рабочая станция должна быть обеспечена средствами контроля целостности установленных технических средств и исключать несанкционированное подключение любых других технических средств, не включенных в формуляр
• На всех рабочих станциях запрещается устанавливать средства копирования информации на отчуждаемые носители, если это не предусмотрено производственной необходимостью и на это не оформлено специальное разрешение

2. Защита локальной сети Банка

• Все пользователи локальной сети должны иметь средства аутентификации при работе в сети
• Пароли пользователей должны быть известны только самим пользователям
• Предоставление прав пользователям должно происходить в минимально-необходимом для работы объеме
• В локальной сети должен быть обеспечен аудит исполнения прав и действий пользователей
• Бюджеты пользователей, временно отсутствующих на рабочем месте более 3 дней (отпуск, болезнь, командировка) должны быть заблокированы на период отсутствия
• Бюджеты пользователей, уволенных из Банка, должны быть заблокированы
• Должны быть предусмотрены процедуры по дискредитации паролей пользователей, в том числе и администраторов сети
• Пароли пользователей должны менять не реже 1 раза в год
• Сетевая система управления доступа должна позволять централизовано управлять правами доступа пользователей
• У администратора сети должна быть карта сети с поэтажными планами размещения технических средств сети, прокладки кабелей и размещения рабочих станций
• Помещения для размещения специального сетевого оборудования (сервера, хабы, концентраторы, маршрутизаторы, шлюзы, модемные пулы и др.) должны быть оборудованы средствами контроля доступа в помещения
• Сетевое оборудование должно быть обеспечено средствами резервирования и бесперебойного гарантированного питания
• Локальная сеть должна иметь централизованную систему управления антивирусными средствами
3. Защита автоматизированной банковской системы (АБС)
• Все пользователи АБС должны иметь средства аутентификации
• Для управления доступом должна быть система предоставления, корректировки и блокирования (в том числе и временного) прав пользователей, а также периодическая смена паролей доступа не реже 1 раза в год
• Для организации управления доступом пользователей к информации в АБС и функциям (наборам прав) должна быть предусмотрена система разделения доступа исполнителей отдельно к информации и отдельно к выполняемым функциям
• АБС должна обеспечивать протоколирование действий пользователей в системе
• В АБС должна быть предусмотрена система копирования данных по принципу "сегодня сохраняю, вчера храню, позавчера храню в архиве" для обеспечения минимального отката системы при сбоях
• Архив носителей должен хранится не менее чем в 2 экземплярах на территориально-разнесенных площадках в специально-оборудованных хранилищах
• Все транзакции в банковской системе должны проходить через сервер транзакций (сервер безопасности), информация между рабочими станциями и сервером транзакций должна передаваться в закодированном (зашифрованном) виде 

4.2.4   Защита систем связи

• Все пользователи могут иметь право выходить в любые внешние системы только при производственной необходимости, все такие случаи определяются отделом защиты информации по ходатайству соответствующих начальников подразделений
• Все пользователи, использующие такие системы должны иметь средства аутентификации
• Вся информация, имеющая ограничения, должна передаваться только в закодированном (зашифрованном) виде
• Доступ к внешним информационным системам должен осуществляться только через соответствующие сетевые экраны
• Все точки входа в сеть из внешних систем связи должны иметь антивирусные средства, объединенные в единую систему антивирусной защиты

 

3. Категорирование информации

По степени секретности информации она может быть отнесена к категориям

• «строго конфиденциально»
• «конфиденциально»
• «для служебного пользования»

К категориям конфиденциальных относятся сведения, удовлетворяющие  следующим критериям:

• они не являются общеизвестными или общедоступными на законных основаниях;
• монопольное обладание этими сведениями даёт Банку коммерческие преимущества, экономическую и иную выгоду и разглашение или открытое использование, которых может привести к нанесению ущерба (материального, морального, физического) Банку (его акционерам, учредителям, сотрудникам), его клиентам или корреспондентам (коммерческая тайна);
• в отношении которых Банк обязан обеспечить реализацию необходимых мер защиты (банковская тайна, персональные данные);
• эти сведения не защищены действующим законодательством (авторским, патентным правом и т.п.).

.

Список сведений, составляющих банковскую тайну определяется в  соответствии с Законом РФ «О банках и банковских деятельности».

Список сведений, составляющих коммерческую тайну Банка, содержащих персональные и иные данные, неправильное обращение с которыми может нанести ущерб их собственнику, владельцу или иному лицу, определяется руководством Банка на основании предоставленных действующим законодательством прав.

Указанные списки оформляются в  виде “Перечня сведений, подлежащих защите”.

Кроме конфиденциальной информации в  данный «Перечень ...» может включаться информация, подлежащая защите в силу того, что нарушение ее целостности (искажение, фальсификация) или доступности (уничтожение, блокирование) может привести к нанесению ощутимого ущерба Банку, его клиентам или корреспондентам.

  Банк, как собственник (владелец) информации, составляющей коммерческую тайну Банка, имеет право передавать и продавать ее другим юридическим и физическим лицам в качестве товара при условии, что данная сделка не противоречит обязательствам Банка, не ущемляет права и не наносит вред самому Банку, его акционерам (учредителям), сотрудникам, клиентам или корреспондентам.

Раскрытие юридическим  или физическим лицам коммерческой тайны Банка возможно в случае привлечения их к совместной хозяйственной, финансовой и иной деятельности, требующей передачи конфиденциальных сведений, и только в том объеме, который необходим для реализации целей и задач Банка, а также при условии принятия ими на себя обязательств по неразглашению и исключению неправомерного использования полученных сведений.

Право принятия решения на передачу (предоставление) конфиденциальных сведений третьим лицам предоставлено только Президенту Банка.

Конфиденциальные сведения других юридических или физических лиц, переданные Банку для выполнения работ или осуществления иной совместной деятельности, и в отношении которых Банк взял на себя обязательство о неразглашении и исключении неправомерного их использования, подлежат защите наравне с другими сведениями, составляющими коммерческую тайну Банка.

Вся информация, предоставляемая раскрывающей стороной получающей стороне, остается исключительной собственностью раскрывающей стороны.

Информация не считается  коммерческой тайной, а получающая ее сторона не будет иметь никаких обязательств в отношении данной информации, если она:

• стала известна получающей стороне в результате неправильного обращения или хранения раскрывающей стороной;
• стала известна получающей стороне от третьих лиц;
• независимо разработана получающей стороной, при условии, что лицо или лица, разработавшие ее, не имели доступа к конфиденциальной информации раскрывающей стороны.

Передача сведений, составляющих банковскую тайну, осуществляется в  строгом соответствии с действующим законодательством.

Каждый сотрудник Банка обязан сохранять банковскую и коммерческую тайну и соблюдать требования обращения с защищаемой информацией, ставшей ему известной (или доступной  для манипулирования) в процессе работы. Свои обязательства по сохранению коммерческой тайны Банка он подтверждает при заключении трудового договора (контракта), подписывая “Соглашение (обязательство) о соблюдении требований обращения с защищаемой информацией”.

Каждый сотрудник обязан знать и выполнять требования настоящего документа и принимать меры по предотвращению несанкционированной утечки (разглашения), искажения, блокирования или уничтожения используемой им в работе информации, подлежащей защите в соответствии с “Перечнем ...”.

Определение грифа конфиденциальности («строго конфиденциально», «конфиденциально», «для служебного пользования») конкретных документов (сведений, данных) производится исполнителем (разработчиком) и/или лицом, подписывающим (утверждающим) документ на основании  “Перечня ...”. Проставление грифа конфиденциальности на документах не является обязательным, если это не оговаривается особо.

В случае отсутствия, по мнению исполнителя, в “Перечне...”  тех или иных подлежащих защите сведений, он обязан в кратчайший срок через  руководителя своего структурного подразделения представить в отдел защиты информации свои предложения о внесении в “Перечень...” необходимых дополнений (изменений).

- -