WWW.DOC.KNIGI-X.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Различные документы
 

«Утверждено Правление АКБ «Легион» (ЗАО) Протокол № 113/2010 от «09 »ноября 2010г. ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АКБ «ЛЕГИОН» (ЗАО) (На основе Стандарта Банка России СТО БР ...»

Утверждено

Правление АКБ «Легион» (ЗАО)

Протокол № 113/2010

от «09 »ноября 2010г.

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АКБ «ЛЕГИОН» (ЗАО)

(На основе Стандарта Банка России СТО БР ИББС – 1.0-2010)

Москва, 2010

СОДЕРЖАНИЕ

1 Термины и определения

2 Состав и назначение

3 Общие требования по обеспечению информационной безопасности

3.1 Требования по обеспечению информационной безопасности

3.2 Требования по обеспечению безопасности при работе в корпоративной сети Банка

3.3 Требования по обеспечению информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу

3.4 Требования по обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла

3.5 Требования по обеспечению парольной аутентификации в информационных системах

3.6 Требования по обеспечению информационной безопасности средствами антивирусной защиты

3.7 Требования по обеспечению информационной безопасности при использовании ресурсов сети Интернет

3.8 Требования по обеспечению резервного копирования и восстановлению данных

3.9 Требования по обеспечению информационной безопасности при использовании средств криптографической защиты информации

3.10 Требования по обеспечению информационной безопасности банковских платежных технологических процессов

3.11 Общие требования по обработке персональных данных

3.12 Требования по реагированию и ликвидации последствий нарушения режима информационной безопасности, порядок работ по восстановлению процессов обработки информации в случае нарушения работоспособности ИС

3.13 Требования по обеспечению физической безопасности информационных ресурсов Банка

3.14 Требования к системе менеджмента информационной безопасности Банка

3.15 Требования к определению области действия системы обеспечения информационной безопасности и проведению оценки рисков нарушения информационной безопасности

3.16 Соответствие требованиям 4 Оповещение о нарушениях безопасности 5 Ответственность 1 Термины и определения Аутентификация - подтверждение подлинности и достоверности.

Доступность - свойство системы (средств и технологий обработки, инфраструктуры в которой циркулирует информация), которое характеризует способность обеспечивать своевременный доступ субъектов к интересующей их информации и соответствующим автоматизированным службам.

Информационная безопасность (ИБ) - обеспечение конфиденциальности, целостности и доступности информационных ресурсов (активов) Банка, а также аутентичности данных и отказоустойчивости.

Информационные ресурсы (активы) - информационные ресурсы (активы) Банка включают в себя информацию, напечатанную или записанную на бумаге, пересылаемую по почте или демонстрируемую в видеозаписях, передаваемую устно, хранимую в электронном виде на серверах, web сайтах, мобильных устройствах, магнитных и оптических носителях и т.п., а также обрабатываемую в корпоративных информационных системах и передаваемую по каналам связи. Информационные ресурсы Банка также включают в себя программное обеспечение: операционные системы, приложения, утилиты, программную документацию и т.п.

Конфиденциальность - доступность информации только для авторизованных пользователей.

Нарушение безопасности - любые действия, которые влекут за собой (или могут повлечь) нарушение доступности, конфиденциальности или целостности информационных ресурсов Банка, а также аутентичности или отказоустойчивости.

Обеспечение информационной безопасности - защита информации от широкого спектра угроз (в отношении конфиденциальности, целостности, доступности, аутентичности и отказоустойчивости) с целью обеспечения непрерывности бизнеса, минимизации бизнес рисков, максимизации прибыли на инвестированный капитал и получения дополнительных возможностей для бизнеса.

Отказоустойчивость - способность сетевого устройства, его модулей предотвращать ошибки или восстанавливаться после сбоев.

Служба информационной безопасности (СИБ) - часть общей системы управления Банка, основанной на оценке бизнес рисков и построенная в соответствии со спецификацией, приведенной в ГОСТ Р ИСО/МЭК 27001-2006, которая создает, реализует, эксплуатирует, осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности в Банке. СИБ включает в себя организационную структуру, политики, планы, должностные обязанности, практики, процедуры, процессы, ресурсы, механизмы контроля, а также все организационно-распорядительные документы Банка в области информационной безопасности.

Целостность - достоверность и полнота информации и методов ее обработки, а также отсутствие несанкционированных изменений информации.

2 Состав и назначение

Целью настоящей Политики является защита информационных ресурсов, в том числе относящихся к персональным данным, АКБ «Легион» (ЗАО) (далее по тексту – Банк) от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, обеспечение непрерывности бизнеса и минимизация ущерба, наносимого бизнесу в результате осуществления инцидентов информационной безопасности, максимизация прибыли на инвестированный капитал и получение дополнительных возможностей для бизнеса.

Концептуальный подход к информационной безопасности заключается в противодействии злоумышленными и непреднамеренными действиям нарушителей, направленных на получение контроля над информационными активами. Для определения круга нарушителей и значимых угроз информационным активам необходим регулярный пересмотр актуальности документа «Модель угроз информационным активам АКБ «Легион» (ЗАО)» и «Модель нарушителя информационной безопасности АКБ «Легион» (ЗАО)», который направлен на понижение риска до определенного остаточного уровня.

Для поддержания системы защиты на должном уровне в качестве оперативной меры должен применяться мониторинг событий и инцидентов, что позволит избежать деградации и обеспечить требуемый уровень безопасности активов.

Для оценки состояния ИБ защищаемого актива и выявления признаков деградации используемых защитных мер должна проводиться оценка (самооценка) в соответствии с правилами, описанными в документе «Положение о проведении в АКБ «Легион» (ЗАО) самооценки соответствия требованиям информационной безопасности».

Планы обеспечения непрерывности бизнеса, процедуры восстановления работоспособности информационных систем Банка после аварии, процедуры резервного копирования и восстановления данных, процедуры защиты от вредоносного программного обеспечения (ПО) и сетевых атак, контроль доступа, управление инцидентами безопасности и оповещение об инцидентах, процедуры управления изменениями являются фундаментальными для настоящей Политики.

Документ является основой для:

проведения единой политики в области обеспечения безопасности информации в Банке;

требования политики обязательны на всех стадиях процесса менеджмента информационной безопасностью (планирование, реализация, проверки, совершенствование) принятия управленческих решений и разработки, практических мер по воплощению политики информационной безопасности и выработки комплекса, согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;

координации деятельности структурных подразделений Банка при проведении работ по созданию, развитию и эксплуатации автоматизированных систем с соблюдением требований обеспечения безопасности информации;

разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности информации.

Вся внутренняя нормативно-распорядительная документации в области информационной безопасности должна иметь иерархичную структуру, в соответствии с требованиями СТО БР ИББС

2.0. Таким образом, настоящая Политика информационной безопасности описывает общие подходы в защите, принятые к выполнению в АКБ «Легион» (ЗАО).

Руководство Банка привержено обеспечению информационной безопасности Банка с целью обеспечения конкурентоспособности Банка, свободного движения денежной наличности, рентабельности бизнеса, соответствия требованиям законодательства и нормативной базы, выполнения контрактных обязательств, формирования позитивной репутации и имиджа Банка.

Установление единых требований по обеспечению информационной безопасности Банка, повышение эффективности мероприятий по обеспечению и поддержанию информационной безопасности – задачи настоящей Политики информационной безопасности.

Основной задачей сотрудников Банка, в части информационной безопасности, является своевременное информирование обо всех фактах подозрительного поведения информационных систем и обо всех фактах нарушений информационной безопасности со стороны других сотрудников Банка и третьих лиц.

Не выполнение этой задачи должно рассматриваться как «преступное» бездействие (халатность) сотрудника и (или) пособничество нарушителям информационной безопасности и выявляться при расследованиях всех инцидентов и фактов нарушений информационной безопасности.

Требования настоящего документа распространяются на все структурные подразделения, в которых осуществляется обработка информации, подлежащая защите, а также подразделения, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования автоматизированных систем. Основные положения документа могут быть распространены также на подразделения других организаций и учреждений, взаимодействующие в качестве поставщиков и потребителей (пользователей) информации Банка.

При разработке Политики информационной безопасности Банка учитывались требования, положения и рекомендации основных законодательных актов Российской Федерации и нормативнометодических документов ФСТЭК России в области защиты информации, основных существующих международных стандартов в области безопасности информационных технологий, а также требования и распоряжения Центрального Банка России.

Реализация описанных в настоящей Политике требований к обеспечению информации, позволяет обеспечить должный уровень защиты данных ограниченного пользования, в том числе персональных данных, обрабатываемых в информационных системах Банка.

Пересмотр Политики производится не реже 1 раза в год после проведения анализа информационной безопасности, целью которого является проверка достаточности определенных мер реальным условиям применения и существующим требованиям.

Политика информационной безопасности также должна пересматриваться по мере выявления новых методов и технологий осуществления атак на информационные ресурсы. Подобный пересмотр также должен производиться по мере развития информационных систем (ИС).

Настоящая Политика является действующей до момента внесения изменений или отмены.

3 Общие требования по обеспечению информационной безопасности

3.1 Требования по обеспечению информационной безопасности Экономический эффект от внедрения Политики ИБ должен проявляться в снижении величины возможного материального, морального, имиджевого и иных видов ущерба, за счет мер, направленных на формирование и поддержание режима ИБ. Эти меры призваны обеспечить:

конфиденциальность информации (защита от несанкционированного ознакомления);

целостность информации (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

доступность информации (возможность за приемлемое время получить требуемую информационную услугу);

аутентичность (подтверждение подлинности и достоверности электронных документов).

отказоустойчивость (невозможность отрицания совершенных действий).

Все нарушения требований данной Политики и Положений, в которых описаны механизмы реализации защитных мер, относятся к операционными рисками, и, следовательно, к ним, применяются требования, регламентируемые «Положением об управлении операционным риском в АКБ «Легион» (ЗАО) введенным в действие Протоколом № 90/2008 от 17.09.2008г.

С целью снижения рисков нарушения информационной безопасности и управления ими в АКБ «Легион» (ЗАО) должна функционировать на постоянной основе Служба информационной безопасности, которая организует создание и эксплуатацию системы обеспечения информационной безопасности (СОИБ), организует эксплуатацию АБС, в соответствии с правилами и требованиями, задаваемыми СОИБ, выявляет следы активности нарушителей, ведет непрерывный мониторинг и контроль защитных мер с документальным фиксированием исполнения своих обязанностей.

Область деятельности Службы информационной безопасности должна быть описана в отдельном документе, в котором описаны процессы:

мониторинга и контроля, защитных мер;

самооценки ИБ;

–  –  –

3.2 Требования по обеспечению безопасности при работе в корпоративной сети Банка При предоставлении доступа к информационным ресурсам Банка необходимо руководствоваться следующими принципами:

принципом «минимум предоставляемой информации» (принцип безопасности, который связан с предоставлением информации и ресурсов по обработке информации только тем, кому это требуется для выполнения служебных обязанностей, и только в необходимом объеме);

принцип «минимум полномочий доступа» (принцип безопасности, который подразумевает, что каждый легальный субъект доступа должен иметь настолько мало полномочий доступа, насколько ему необходимо для работы в соответствии со своими функциональными обязанностями);

принципом «знать своего служащего» (принцип, демонстрирующий озабоченность Банка по поводу отношения служащих к своим обязанностям и возможных проблем, таким как злоупотребление имуществом, аферы или финансовые трудности, которые могут приводить к проблемам безопасности).

Контроль полномочий доступа пользователей и действий пользователей должен осуществляться от момента создания новой учетной записи пользователя до аннулирования прав доступа пользователей, которым больше не требуется доступ к информационным ресурсам.

Информация и связанные с ней ресурсы должны быть доступны для авторизованных пользователей тогда, когда они им необходимы. Должно осуществляться своевременное обнаружение и реагирование на угрозы, которые могут повлечь недоступность информационных ресурсов и систем.

Порядок и правила обеспечения доступа к корпоративной сети Банка изложены в руководящем документе «Положение об управлении доступом к ресурсам корпоративной сети», утвержденным Протоколом Правления № 98/2009 от «05» ноября 2009г.

В некоторых случаях с учетом служебной необходимостью пользователи должны иметь возможность работы в режиме удаленного доступа. Пользователи обязаны соблюдать правила работы в корпоративной сети и требования «Положения об управлении доступом к ресурсам корпоративной сети». Прочие Положения безопасности, действующие в Банке, распространяются также и на удаленных пользователей.

Удаленный доступ к ресурсам корпоративной сети предоставляется сотрудникам Банка на основании заявки с обоснованием необходимости.

Правила обеспечения удаленного доступа к ресурсам корпоративной сети, Банка изложены в руководящем документе «Положение об обеспечении безопасности удаленного доступа к ресурсам корпоративной сети», утвержденным Протоколом Правления № 98/2009 от «05» ноября 2009г.

О принятых в Банке правилах работы в корпоративной сети все зарегистрированные пользователи в обязательном порядке должны ознакомиться под роспись с «Инструкцией пользователю корпоративной сети АКБ «Легион» (ЗАО) в части информационной безопасности», утвержденным Протоколом Правления № 98/2009 от «05» ноября 2009г.

3.3 Требования по обеспечению информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу Весь персонал Банка должен давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов. При этом условие о соблюдении конфиденциальности должно распространяться на всю защищаемую информацию, доверенную сотруднику или ставшую ему известной в процессе выполнения им своих служебных обязанностей. Невыполнение работниками Банка требований по обеспечению ИБ должно приравниваться к невыполнению должностных обязанностей и приводить как минимум к дисциплинарной ответственности.

Для внешних организаций требования по ИБ регламентируются положениями, включаемыми в договоры (соглашения).

Сотрудники, включенные в утвержденный список допущенных к обработке персональных данных, несут дополнительную ответственность, в соответствии с федеральным законом «О персональных данных» № 152-ФЗ от 08.07.2006г.

Персонал Банка должен быть компетентным для выполнения своих функций в области обеспечения ИБ. Компетентность персонала следует обеспечивать с помощью процессов обучения в области ИБ, осведомленности персонала и периодической проверки уровня компетентности.

В должностных обязанностях сотрудников должна быть определена ответственность за нарушения по обеспечению информационной безопасности.

При приеме на работу необходимо проводить:

проверку рекомендаций;

проверку данных из резюме;

подтверждение ученых степеней и образования;

идентификацию личности.

Кандидаты на такие должности как системный или сетевой администратор, сотрудник Службы информационной безопасности (СИБ) должны пройти тщательный контроль перед тем, как им будут даны их полномочия. Доступ для них должен предоставляться последовательно. Новый сотрудник, назначенный на должность администратора, не должен получать всех полномочий в информационной системе, если его работа не требует этого. Если его обязанности увеличиваются, он может получать больше привилегий. Руководители системных и сетевых администраторов отвечают за определение круга их обязанностей таким образом, чтобы системные и сетевые привилегии администраторов оставляли возможность провести мониторинг их действий.

В соответствии с должностными инструкциями сотрудники наделяются необходимыми и достаточными для выполнения своих служебных обязанностей правами, которые ограничивают их доступ к информационным ресурсам, что снижает риск преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных. Также, в соответствии с должностными обязанностями комплектуется программная и аппаратная составляющая рабочей станции, которая будет эксплуатироваться сотрудником в дальнейшем.

На рабочих станциях должны быть отключены на программном, либо аппаратном уровне средства записи на внешние носители информации, если работа с этими средствами не предусмотрена производственной необходимостью. Исключение составляют рабочие станции руководителей подразделений и Руководства Банка. В других случаях подключение таких устройств производиться только на основании особого письменного распоряжения, подписанного руководителем структурного подразделения. На рабочих станциях имеющих доступ к внешним устройствам, должно быть установлено специализированное программное обеспечение, позволяющее вести учет и контроль передаваемой на эти устройства информации.

Необходимо, чтобы выполнение следующих функций не было поручено одним и тем же сотрудникам:

разработка и сопровождение системы/ПО разработка и эксплуатация системы/ПО сопровождения и эксплуатации системы/ПО администратор системы и администратор ИБ выполнение операций в системе и контроля их выполнения.

Процедура и механизм обеспечения требований по обеспечению информационной безопасности при назначении и распределении ролей описаны в «Положении об управлении доступом к ресурсам корпоративной сети».

В Банке должен быть документально определен и выполняться контроль деятельности работников, обладающих совокупностью полномочий (ролями), позволяющих получить контроль над защищаемым информационным активом Банка.

Руководство Банка, все постоянные и временные работники, подрядчики, консультанты и любые внешние стороны должны быть осведомлены о своей ответственности (которая определена в их должностных инструкциях или в контрактах) за обеспечение информационной безопасности.

3.4 Требования по обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла Требования по обеспечению информационной безопасности автоматизированных банковских систем к обеспечению ИБ необходимы к применению на следующие стадиях модели жизненных циклов автоматизированной банковской системы (АБС):

приемка и ввод в действие;

эксплуатация;

сопровождение и модернизация;

снятие с эксплуатации.

Ввод в действие, эксплуатация и сопровождение (модернизация), снятие с эксплуатации АБС должны осуществляться под контролем подразделения (лиц) Банка, ответственного за обеспечение ИБ.

Привлекаемые для разработки и (или) производства средств и систем защиты АБС на договорной основе специализированные организации должны иметь лицензии на данный вид деятельности в соответствии с законодательством РФ.

Документация на разрабатываемые АБС или приобретаемые готовые АБС и их компоненты должна содержать описание реализованных защитных мер, предпринятых разработчиком относительно безопасности разработки и безопасности поставки.

В договор (контракт) о разработке АБС или поставке готовых АБС и их компонентов должны включаться положения по сопровождению поставляемых изделий на весь срок их службы.

На стадии тестирования должны обеспечиваться анонимность данных и проверка адекватности разграничения доступа.

На стадии эксплуатации АБС должны быть документально определены и выполняться процедуры контроля работоспособности (функционирования, эффективности) реализованных в АБС защитных мер. Результаты выполнения контроля должны документироваться.

На стадии сопровождения (модернизации) должны быть документально определены и выполняться процедуры контроля, обеспечивающие защиту от:

умышленного несанкционированного раскрытия, модификации или уничтожения информации;

неумышленной модификации, раскрытия или уничтожения информации;

отказа в обслуживании или ухудшения обслуживания.

Результаты выполнения контроля должны документироваться.

На стадии сопровождения (модернизации) при любом внесении изменения в АБС должны проводиться процедуры проверки функциональности, результаты которой должны документально фиксироваться.

На стадии снятия с эксплуатации должны быть документально определены и выполняться процедуры, обеспечивающие удаление информации, несанкционированное использование которой может нанести ущерб бизнес - деятельности Банка, и информации, используемой средствами обеспечения ИБ, из постоянной памяти АБС и с внешних носителей, за исключением архивов электронных документов и протоколов электронного взаимодействия, ведение и сохранность которых в течение определенного срока предусмотрены соответствующими нормативными и (или) договорными документами. Результаты выполнения процедур должны документироваться.

3.5 Требования по обеспечению парольной аутентификации в информационных системах Несоблюдение правил выбора, хранения и использования паролей может привести к нарушению конфиденциальности, целостности либо доступности информационных ресурсов и повлечь причинение финансового и других видов ущерба интересам Банка. Поэтому все сотрудники, которым предоставляются пароли для доступа к информационным системам Банка (далее – пользователи), обязаны выполнять требования, относящиеся к их защите.

Требования к порядку выбора, хранения, использования, периодичности смены и другим вопросам, связанным с применением механизмов парольной аутентификации в информационных системах Банка установлены в документе «Положение об управлении паролями в информационных системах», утвержденным Протоколом Правления № 98/2009 от «05» ноября 2009г.,требования которого распространяются на всех сотрудников Банка (штатных, временных, работающих по контракту и т.п.), а также всех прочих лиц (подрядчики, аудиторы и т.п.), зарегистрированных в корпоративной сети Банка в установленном порядке и получивших право на доступ к ресурсам корпоративной сети в соответствии с функциональными обязанностями.

Пароли для доступа к корпоративной сети Банка предоставляются сотрудникам Банка администратором при регистрации этих сотрудников в качестве пользователей корпоративной сети.

В дальнейшем пользователь должен осуществлять смену своих паролей самостоятельно в соответствии с требованиями документа «Положение об управлении паролями в информационных системах».

3.6 Требования по обеспечению информационной безопасности средствами антивирусной защиты Структуру и компоненты комплексной системы антивирусной защиты корпоративной сети, распределение административных ролей по управлению системой антивирусной защиты и соответствующие полномочия администраторов определяет «Положение об антивирусной защите информационных ресурсов», утвержденное Протоколом Правления № 98/2009 от «05» ноября 2009г., область действия которого включает в себя все технические средства, подключенные к корпоративной сети, независимо от типа установленной на них операционной системы.

Антивирусное сканирование серверов и рабочих станций производиться по расписанию утвержденному в Регламенте администрирования средств антивирусной защиты. Все события, связанные с обнаружением и устранением вирусов, изменением состояния антивирусных средств, установкой и распространением обновлений должны протоколироваться на антивирусном сервере.

3.7 Требования по обеспечению информационной безопасности при использовании ресурсов сети Интернет Целью использования ресурсов сети Интернет является предоставление возможности ведения информационно-аналитической работы в интересах Банка, а также обмен почтовыми сообщениями с внешними по отношению к Банку организациями. Иное использование ресурсов сети Интернет должно быть запрещено. Порядок подключения и использования ресурсов сети Интернет в Банке должен контролироваться.

Подключение корпоративной сети Банка к сети Интернет должно осуществляться только через средства разграничения доступа в виде межсетевых экранов (МЭ).

Не допускаются любые подключения корпоративной сети к сети Интернет в обход МЭ.

Любые изменения в конфигурации МЭ и внешних маршрутизаторов корпоративной сети должны производиться уполномоченными сотрудниками службы информационной безопасности с информированием уполномоченного сотрудника Управления информационных технологий.

Требования по обеспечению информационной безопасности при использовании ресурсов сети Интернет, изложенные в «Положении об обеспечении безопасности при осуществлении взаимодействии с сетью Интернет», утвержденном Протоколом Правления № 98/2009 от «05»

ноября 2009г. Положение определяет:

ответственность уполномоченных подразделений Банка за обеспечение ИБ при подключении различных участков корпоративной сети к сети Интернет;

требования к конфигурации средств защиты, включая маршрутизаторы и МЭ;

требования к программным системам и оборудованию, размещаемым в демилитаризованной зоне корпоративной сети;

порядок осуществления контроля защищенности внешнего периметра корпоративной сети.

3.8 Требования по обеспечению резервного копирования и восстановлению данных

Резервное копирование информационных ресурсов Банка является основным механизмом защиты жизненно важных данных от утраты либо искажения в результате осуществления угроз информационной безопасности.

Грамотно организованные и контролируемые процедуры резервного копирования предоставляют гарантии обеспечения доступности информационных сервисов для всех бизнес подразделений Банка и целостности критичной информации.

Общие требования, основные принципы и процедуры осуществления резервного копирования информационных ресурсов Банка представлены в «Положении о резервном копировании и восстановлении данных» утвержденном, Протоколом Правления № 98/2009 от «05» ноября 2009г.

Положение устанавливает ответственность должностных лиц за выполнение и контроль этих процедур.

3.9 Требования по обеспечению информационной безопасности при использовании средств криптографической защиты информации

В Банке должна быть реализована надежная система, предусматривающая возможность:

использования систем шифрования с открытыми и закрытыми ключами для обеспечения конфиденциальности электронных документов;

использования средств электронной подписи для подтверждения авторства и контроля целостности электронных документов.

СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2.

Для повышения уровня безопасности при эксплуатации СКЗИ и их ключевых систем должны быть реализованы процедуры мониторинга, регистрирующего все значимые события, состоявшиеся в процессе обмена криптографически защищенными данными, и все инциденты ИБ.

СКЗИ установленные в соответствии с договорными обязательствами должны эксплуатироваться и соответствовать требованиям ИБ перечисленным в договоре (если таковые имеются).

3.10 Требования по обеспечению информационной безопасности банковских платежных технологических процессов Система информационной безопасности банковского платежного технологического процесса, а также банковского информационного технологического процесса должна соответствовать требованиям настоящей Политики. Банковский платежный технологический процесс должен быть документирован.

Должны быть документально определены перечни программного обеспечения, устанавливаемого и (или) используемого в ЭВМ и АБС и необходимого для выполнения конкретных банковских платежных технологических процессов. Состав установленного и используемого в ЭВМ и АБС программного обеспечения должен соответствовать утвержденному перечню допустимого к установке в АКБ «Легион» (ЗАО).

Комплекс мер по обеспечению ИБ банковского платежного технологического процесса должен предусматривать в том числе:

защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации электронных платежных сообщений;

доступ сотрудника только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения должностных обязанностей или реализации прав, предусмотренных технологией обработки платежной информации;

контроль (мониторинг) исполнения установленной технологии подготовки, обработки, передачи и хранения платежной информации;

аутентификацию входящих электронных платежных сообщений;

двустороннюю аутентификацию автоматизированных рабочих мест (рабочих станций и серверов), участников обмена электронными платежными сообщениями;

возможность ввода платежной информации в АБС только для авторизованных пользователей;

контроль, направленный на исключение возможности совершения злоумышленных действий (двойной ввод, сверка, установление ограничений в зависимости от суммы совершаемых операций и т.д.);

восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники;

сверку выходных электронных платежных сообщений с соответствующими входными и обработанными электронными платежными сообщениями при осуществлении межбанковских расчетов;

доставку электронных платежных сообщений участникам обмена.

При проектировании, разработке и эксплуатации систем дистанционного банковского обслуживания должны быть документально определены и выполняться процедуры, реализующие в том числе механизмы:

снижения вероятности выполнения непреднамеренных или случайных операций или транзакций авторизованными клиентами;

доведения информации о возможных рисках, связанных с выполнением операций или транзакций до клиентов.

Должны быть документально определены процедуры обслуживания средств вычислительной техники, используемых в банковском платежном технологическом процессе, включая замену их программных и (или) аппаратных частей.

3.11 Общие требования по обработке персональных данных

В АКБ «Легион» (ЗАО) должны быть определены, документально зафиксированы и утверждены цели обработки персональных данных и определена необходимость уведомления Уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных.

Для каждой из цели обработки персональных данных должен быть определен объем и содержание персональных данных, сроки обработки, сроки хранения, необходимость получения согласия субъектов персональных данных.

Банк должен прекратить обработку персональных данных и уничтожить собранные персональные данные, если иное не установлено законодательством РФ, в следующих случаях и в сроки, установленные законодательством РФ:

по достижении целей обработки или при утрате необходимости в их достижении;

по требованию субъекта персональных данных или Уполномоченного органа по защите, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

при отзыве субъектом персональных данных согласия на обработку своих персональных данных, если такое согласие требуется в соответствии с законодательством РФ;

при невозможности устранения оператором допущенных нарушений при обработке персональных данных.

В АКБ Легион (ЗАО) должен быть определен и документально зафиксирован: порядок уничтожения персональных данных (в том числе и материальных носителей персональных данных), порядок обработки обращений субъектов персональных данных (или их законных представителей) по вопросам обработки их персональных данных, порядок действий в случае запросов Уполномоченного органа по защите прав субъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в области персональных данных, подход к отнесению АБС к информационным системам персональных данных (ИСПДн), перечень ИСПДн, перечень (список) работников, осуществляющих обработку персональных данных в ИСПДн либо имеющих доступ к персональным данным, порядок доступа работников и иных лиц в помещения, в которых ведется обработка персональных данных, порядок хранения материальных носителей персональных данных.

Доступ работников к персональным данным и обработка персональных данных работниками должны осуществляться только для выполнения их должностных обязанностей.

Для каждой ИСПДн должны быть определены и документально зафиксированы:

цель обработки персональных данных;

объем и содержание обрабатываемых персональных данных;

перечень действий с персональными данными и способы их обработки.

Банковские информационные технологические процессы, в рамках которых обрабатываются персональные данные в ИСПДн, должны быть документированы. При этом необходимо исключать фиксацию на одном материальном носителе и персональных данных, и иных видов информационных активов, а также персональных данных, цели, обработки которых заведомо несовместимы.

3.12 Требования по реагированию и ликвидации последствий нарушения режима информационной безопасности, порядок работ по восстановлению процессов обработки информации в случае нарушения работоспособности ИС Информационные системы подвергаются различным операционным рискам, начиная с потери данных в результате ошибок пользователей и заканчивая стихийными бедствиями. В Банке должен быть разработан управляемый и документированный процесс обеспечения непрерывности бизнеса, учитывающий требования информационной безопасности, и служащий для того, чтобы препятствовать прерываниям хозяйственной деятельности и защищать критические важные бизнес процессы от влияния крупных сбоев или аварий и обеспечивать их своевременное восстановление.

Общий порядок действий персонала в случае возникновения аварийной ситуации описан в документе «Положение об обеспечении непрерывной работы», утвержденном Протоколом Правления № 98/2009 от «05» ноября 2009г. Основное назначение Положения - это защита информационных ресурсов Банка, обеспечение безопасности жизненно важной для организации информации и предоставление гарантий непрерывности оказания наиболее важных сервисных услуг. Оно должно использоваться всеми работниками Банка, как руководство к действию при восстановлении после аварии. Положение об обеспечении непрерывности бизнеса определяет общую систему мер, ответственность, необходимые требования и условия для предотвращения прерываний критически важных бизнес процессов, обеспечения доступности информационных ресурсов, сервисов и инфраструктуры, а также восстановления после аварии.

Действия персонала по предотвращению и ликвидации последствий в случае возникновения крупномасштабной аварий подробно представлены в документе «Аварийные процедуры по предотвращению и ликвидации последствий крупномасштабных аварий», утвержденном Протоколом Правления № 98/2009 от «05» ноября 2009г. Эти процедуры предназначены для критических ситуаций, связанных с нарушением кондиционирования воздуха, пожарами, сбоями в энерго или водоснабжении.

3.13 Требования по обеспечению физической безопасности информационных ресурсов Банка Помещения Банка, должны быть оснащены системой контроля доступа, пожарно-охранной сигнализацией, средствами пожаротушения. В Банке в течение всего рабочего дня должна находиться служба охраны.

Все сотрудники Банка должны иметь персональные идентификаторы, разграничивающие физический доступ в те или иные помещения, в зависимости от должностных обязанностей сотрудника. Перечень лиц, допущенных в помещения, где обрабатываются персональные данные, должен быть утвержден Руководством Банка.

Все сотрудники Банка обязаны ознакомиться (под роспись) и соблюдать установленные Банком правила, содержащиеся в «Инструкции по обеспечению внутрибанковского и пропускного режима АКБ «Легион» (ЗАО)» от 12 февраля 2004г.

3.14 Требования к системе менеджмента информационной безопасности Банка

Для реализации, эксплуатации, контроля и поддержания на должном уровне СОИБ (в соответствии с требованиями СТО БР ИББС – 1.0-2010) в Банке необходимо реализовать ряд процессов системы менеджмента ИБ (СМИБ), сгруппированных в виде циклической модели: “… планирование - реализация - проверка - совершенствование - планирование - …”. На базе требований стандарта к системе менеджмента информационной безопасности в АКБ «Легион»

(ЗАО) разработан документ «Положение о планировании и реализации превентивных и корректирующих мер по обеспечению информационной безопасности»

Все применяемые защитные меры должны быть адекватны моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от реализации угроз.

3.15 Требования к определению области действия системы обеспечения информационной безопасности и проведению оценки рисков нарушения информационной безопасности В АКБ «Легион» (ЗАО) должна быть документально определена/скорректирована опись структурированных по классам защищаемых информационных активов (типов информационных активов — типов информации). Классификацию информационных активов рекомендуется проводить на основании оценок ценности информационных активов для интересов (целей) Банка, например, в соответствии с тяжестью последствий потери свойств ИБ информационных активов.

Опись информационных активов (типов информационных активов) должна содержать перечень их объектов среды. Перечень объектов среды должен покрывать все уровни информационной инфраструктуры Банка.

Для всех свойств ИБ информационных активов должна проводиться оценка рисков нарушения ИБ. В Банке должен быть разработан и утвержден порядок оценки рисков нарушения ИБ, определяющий необходимые процедуры оценки рисков нарушения ИБ, а также последовательность их выполнения.

3.16 Соответствие требованиям

Требования информационной безопасности должны постоянно находиться в соответствии с бизнес целями Банка.

Должно быть обеспечено выполнение обязательств Банка в отношении информационной безопасности, включая защиту персональных данных сотрудников и клиентов Банка, коммерческой тайны внешних сторон, а также других видов информации ограниченного распространения, передаваемой на основании соглашений, заключаемых между Банком и другими организациями или гражданами.

Требования настоящего документа не должны противоречить действующим внутрибанковским документам, требованиям контролирующих органов и действующему законодательству РФ.

4 Оповещение о нарушениях безопасности

Деятельность ответственных за ИБ сотрудников должна быть также направлена на своевременное обнаружение проблем, прямо или косвенно относящиеся к ИБ, потенциально способных повлиять на бизнес-цели Банка. Необходимо выявлять причинно-следственную связь возможных проблем и строить на этой основе прогноз их развития.

Сотрудники Банка обязаны информировать о ставших им известными фактах нарушения требований информационной безопасности и инцидентах информационной безопасности своего непосредственного руководителя, который в свою очередь передает информацию о нарушении руководителю Службы информационной безопасности, Управления информационных технологий и предоставляет описание нарушения в Управление рисков.

5 Ответственность

Сотрудники Банка несут ответственность по действующему законодательству за разглашение сведений ограниченного распространения, ставших им известными в результате работы.

Любое грубое нарушение порядка и правил работы в корпоративной сети сотрудниками структурных подразделений банка должно расследоваться. К виновным должны применяться адекватные меры воздействия.

Нарушение установленных правил и требований по обеспечению информационной безопасности являются основанием для применения к сотруднику административных мер наказания, вплоть до увольнения и привлечения к уголовной ответственности.

Мера ответственности сотрудников за действия, совершенные в нарушение установленных правил обеспечения безопасной автоматизированной обработки информации, должна определяться с учетом нанесенного ущерба, наличия злого умысла и других факторов по усмотрению руководства Банка.

В соответствии с Главой 7 ст. 24 Федерального закона РФ №152 от 27 июля 2006г. «О персональных данных», лица, виновные в нарушении требований предъявляемых к порядку обработки персональных данных несут гражданскую, уголовную, административную,

Похожие работы:

«РУССКОЕ БОТАНИЧЕСКОЕ ОБЩЕСТВО ДАГЕСТАНСКОЕ ОТДЕЛЕНИЕ ГОРНЫЙ БОТАНИЧЕСКИЙ САД ДНЦ РАН ТРУДЫ ДАГЕСТАНСКОГО ОТДЕЛЕНИЯ РУССКОГО БОТАНИЧЕСКОГО ОБЩЕСТВА Выпуск 3 Махачкала – 2015 УДК 58(470.67) ББК 28.5 Т-78 Редколлегия: Муртазалиев Р.А. (отв. ред.), Гусейнова З.А.(...»

«ДОГОВОР УПРАВЛЕНИЯ МНОГОКВАРТИРНЫМ ДОМОМ г. Иваново _ 2014г. ООО "Местная жилищная компания", именуемое в дальнейшем "Управляющая организация", в лице Директора Штукаревой Елены Геннадьевны, действу...»

«Зарегистрировано “ 27 ” декабря 20 12 г. Государственный регистрационный номер 1–01–55516–Е– ФСФР России (указывается наименование регистрирующего органа) (подпись уполномоченного лица) (печать регистрирующего органа) РЕШЕНИЕ О ВЫПУСКЕ ЦЕННЫХ БУМАГ...»

«Программный продукт: Энерготрейдинг "ИНФОПРО:Энерготрейдинг" " : " является информационной аналитической системой, предназначенной для повышения эффективности работы на оптовом рынке электроэнергии и мощности России (ОР...»

«Содержание 1. Введение 1.1. Технология BIM 1.2. Предпосылки 1.3. Назначение документа 1.4. Ссылки 1.5. Термины и сокращения 2. Рекомендации по организации проекта информационного моделиров...»

«Оглавление ПРОЛОГ МЕЧИ И ОРАЛА Глава 1. КАЗАХСТАН: К БЕЗЪЯДЕРНОМУ БУДУЩЕМУ ДЕЛЕНИЕ СВЕРХДЕРЖАВЫ: четвертый ядерный потенциал ЯДЕРНОЕ ИСКУШЕНИЕ К БЕЗЪЯДЕРНОМУ БУДУЩЕМУ Глава 2. НОВАЯ РЕАЛЬНОСТЬ ТРЕТИЙ “ЯДЕРНЫЙ”...»

«ДИСКУССИИ И ОБСУЖДЕНИЯ Л. М. З е м л я н о в а СТРУКТУРАЛИЗМ И ЕГО НОВЕЙШИЕ МОДИФИКАЦИИ В СОВРЕМЕННОЙ ФОЛЬКЛОРИСТИКЕ С Ш А Одна из отличительных черт американской фольклористики 1960-х годов — повышенный интерес к теоретическим проблемам семиотики, формально-структурного анализа...»

«ISSN 2308-8079. Studia Humanitatis. 2013. № 3. www.st-hum.ru УДК 323(73) ВЛИЯНИЕ ИММИГРАЦИИ НА ПРОЦЕСС СТАНОВЛЕНИЯ АМЕРИКАНСКОЙ НАЦИОНАЛЬНОЙ ИДЕНТИЧНОСТИ Бурейко Н.Н. В статье автор анализирует влияние иммиграции на процесс становления американской идентичности, определяя роль и место иммигрантов в амер...»

«Назаров Д.А. ДВОИЧНАЯ МНОГОУРОВНЕВАЯ ДЕТАЛИЗАЦИЯ ЭЛЕМЕНТОВ СЕТОЧНОГО ПРЕДСТАВЛЕНИЯ ОБЛАСТИ РАБОТОСПОСОБНОСТИ В данной работе рассматривается подход к представлению областей работоспособности с помощью нерегулярных сеток, построение которых основано на детализации отдельных элементов регулярной сетки. Рассмат...»

«Глава 1. Непрерывное образование 1.1. Содержание понятия непрерывного образования В настоящее время в отечественной литературе используется несколько различающихся между собой понятий непрерывного образования. Для определения, описания и, по возможности, квантифицирования характеристик непрерывного образования, рассмотрим три из них....»

«Ред. 1.0 май 2014 ® Широкоформатный сканер Xerox Руководство пользователя BR9918 Содержание 1 Обзор аппарата Программное обеспечение аппарата Компоненты сканера Вид спереди Вид сзади Панель управления сканера Включение и выключение аппарата Вставление оригиналов...»

«Измеритель комплексных коэффициентов передачи и отражения "Обзор TR1300/1" Руководство по эксплуатации Второе издание РЭ 6687–083–21477812–2010 "Обзор TR1300/1". Руководство по эксплуатации СОДЕРЖАНИЕ Введение Инструкции по безопасности Защита от электростатического разряда 1 Описани...»

«ЧАСТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ "АКАДЕМИЯ СОЦИАЛЬНОГО ОБРАЗОВАНИЯ" ОДОБРЕНО УТВЕРЖДЕНО Решением Ученого совета Приказом ректора №08/07 (протокол №9 от 26 мая 2014 года) от 26 мая 2014 года ОДОБРЕНО УТВЕРЖДЕНО Решением Ученого совета Приказом...»









 
2017 www.doc.knigi-x.ru - «Бесплатная электронная библиотека - различные документы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.