Политика информационной безопасности АО

Порядок
Политика информационной безопасности
АО "УкрСиббанк" (внешняя)
Оглавление
Термины и сокращения ........................................................................................................................................... 1
1. Введение .............................................................................................................................................................. 1
2. Цель Политики ................................................................................................................................................... 1
3. Область применения .......................................................................................................................................... 1
4. Политика Банка в области информационной безопасности .......................................................................... 2
4.1. Классификация активов ..................................................................................................................... 2
4.2. Классификация критериев информационной безопасности ........................................................... 2
4.3. Решаемые задачи................................................................................................................................. 2
5. Роли и ответственности ..................................................................................................................................... 3
6. Реагирование на инциденты безопасности ...................................................................................................... 3
7. Пересмотр Политики ......................................................................................................................................... 3
Резюме: данный документ описывает Концепцию обеспечения информационной безопасности
АО "УкрСиббанк" (далее – Банк), защиту информационных активов Банка, обеспечение непрерывности
деятельности Банка, минимизацию рисков информационной безопасности, создание положительной
репутации Банка и доверительных отношений с клиентами.
Термины и сокращения
Конфиденциальность – обеспечение доступности информации, активов только для официально
авторизованных лиц и пользователей в минимально необходимом объеме.
Целостность – защита точности/корректности и полноты активов и методов обработки информации.
Доступность – обеспечение непрерывного доступа к информационным и сопутствующим активам и
сервисам Банка, согласно предоставленным пользователям полномочиям и правам в минимально
необходимом объеме. Должны быть составлены планы обеспечения беспрерывной деятельности Банка на
случай чрезвычайных ситуаций.
Наблюдательность – обеспечение возможности определения - кто, что и когда делал с тем или иным
информационным активом Банка. Обеспечение принципа невозможности отказа от совершенных действий.
Субъекты – все и всѐ, что прямо или косвенно влияет и/или может влиять на объекты.
1.
Введение
Политика информационной безопасности (далее Политика) – это пакет документов, который
описывает и регламентирует систему управления информационной безопасностью АО «УкрСиббанк» (далее
Банк), отвечает требованиям законодательства Украины, СОУ Н НБУ 65.1 СУИБ и иных нормативных актов
НБУ, основывается на Политике информационной безопасности BNP Paribas Group, а так же на
рекомендациях международных стандартов ISO/IEC 27001:2005, ISO/IEC 17799/2005 и PCI DSS.
2.
Цель Политики
Целью Политики является внедрение и эффективное управление системой обеспечения
информационной безопасности, направленной на защиту информационных активов Банка, обеспечение
непрерывности деятельности Банка, минимизации рисков информационной безопасности, создания
положительной репутации Банка и доверительных отношений с клиентами.
Основной задачей информационной безопасности является защита информационных активов Банка от
внешних и внутренних, умышленных и неумышленных угроз.
3.
Область применения
Политика распространяется на все аспекты жизнедеятельности Банка и применяется ко всем активам
Банка, которые могут негативно воздействовать на результаты деятельности Банка своим отсутствием или
функционированием с ошибками.
4.
Политика Банка в области информационной безопасности
4.1.
Классификация активов
Как основные объекты области деятельности информационной безопасности, рассматриваются
следующие виды активов:
информационные активы: информация и данные в любом виде, получаемые, хранимые,
обрабатываемые, передаваемые, оглашаемые, в т.ч. знания сотрудников, партнеров Банка, базы
данных и файлы, документация, руководства пользователя, учебные материалы, описания
процедур, заархивированная информация и т.п.;
программное обеспечение: прикладное программное обеспечение, системное программное
обеспечение, сервисное программное обеспечение и любое иное программное обеспечение,
независимо от формы получения (приобретенное, собственной разработки, свободно
распространяемое), используемое в Банке сотрудниками и системами для работы и
взаимодействия с клиентами и иными внутренними и внешними системами и т.п.;
физические активы: сотрудники, аппаратные средства IT (сервера, рабочие станции, межсетевые
экраны, принтеры, копировальные аппараты, телекоммуникационное оборудование,
оборудование связи, маршрутизаторы, АТС, факсы, модемы и т.п.), носители данных (ленты,
диски и т.п.), мебель, помещения, производственное оборудование, другие технические средства
и т.п.;
сервисные активы: вычислительные и коммуникационные сервисы (Интернет, электронная
почта, каналы связи и т.п.), другие технические сервисы (отопление, освещение,
энергоснабжение, кондиционирование воздуха, системы сигнализаций и мониторинга), все
услуги, связанные с получением, предоставлением, использованием, передачей и уничтожением
активов, все юридические и физические лица, организации, учреждения и предприятия (а также
их сотрудники), услугами которых пользуется Банк для получения, использования, передачи и
уничтожения активов.
Для каждого актива определяются возможные риски и пути их минимизации, т.е. Банком используется
риск-ориентированный подход.
4.2. Классификация критериев информационной безопасности
Оценка возможных рисков информационной безопасности активов ведется по четырем основным
критериям безопасности – Конфиденциальность, Целостность, Доступность и Наблюдаемость (см. Термины
и сокращения).
4.3.
Решаемые задачи
Политика регламентирует:
управление доступами;
управление правами и полномочиями;
управление способов авторизации;
четкое распределение ролей и обязанностей;
определение требований информационной безопасности для каждого актива;
внедрение Политики в информационные системы;
поддержку уровня безопасности на высоком уровне;
обучение сотрудников информационной безопасности и уведомление клиентов Банка о рисках
информационной безопасности
проведение контроля безопасности информационных систем;
управление инцидентами;
классификацию активов и обеспечение конфиденциальности информации;
защиту от вредоносного программного обеспечения;
резервное копирование и восстановление информации;
лицензионную чистоту;
входной/выходной контроль средств вычислительной техники;
обеспечение физической безопасности;
контроль выполнения требований Политики и других аспектов информационной безопасности.
2
5.
Роли и ответственности
В соответствии с международным стандартом в области информационной безопасности ISO/IEC
27001, международным стандартом платежных карт PCI DSS, отраслевым стандартом информационной
безопасности СОУ Н НБУ 65.1 СУИБ в Банке по инициативе BNP Paribas Group, высшего руководства Банка
и подразделения контроля информационной безопасности создан и регулярно проводится Комитет по
информационной безопасности. Решения Комитета по информационной безопасности являются
обязательными для выполнения всеми сотрудниками Банка и контрагентами в рамках договорных
отношений.
Высшее руководство и руководители структурных подразделений Банка оказывают содействие в
создании, внедрении, контроле и сопровождении Политики.
Разработка, поддержка в актуальном состоянии или инициирование пересмотра Политик
информационной безопасности входит в зону ответственности подразделения контроля информационной
безопасности Банка.
Решения и рекомендации подразделения контроля информационной безопасности в рамках
обеспечения безопасности информационных активов являются бесспорными и обязательными для всех
сотрудников Банка.
Стратегия развития информационных технологий Банка и все проекты, связанные с
информационными активами не должны противоречить данной Политике.
Каждый сотрудник Банка или сотрудник контрагента (в рамках договорных обязательств) участвует в
поддержке высокого уровня информационной безопасности Банка. В рамках своих должностных
обязанностей и полномочий, сотрудники Банка или контрагентов обязаны соблюдать требования Политики,
законодательных и международных норм, международных стандартов в области информационной
безопасности, требований информационной безопасности BNP Paribas Group и Банка, а также несут
ответственность за их нарушения в рамках, установленных законодательством Украины, криминальным
кодексом Украины, внутрибанковскими нормативными документами и договоров (для сотрудников
контрагентов).
Документы Политики доступны сотрудникам Банка. Сотрудники Банка и призваны оказывать
содействие во внедрении Политики и ее документов и выполнять указанные в них требования.
Для уменьшения рисков возникновения инцидентов информационной безопасности по причине
неосведомленности пользователей, Банк систематически, доступными методами уведомляет о рисках
информационной безопасности сотрудников, контрагентов и клиентов Банка, обучает сотрудников Банка и
контрагентов нормам информационной безопасности,.
На случай различных непредвиденных критических ситуаций и чрезвычайных происшествий, в Банке
составляются, действуют, систематически тестируются и обновляются Планы обеспечения беспрерывной
деятельности Банка.
6.
Реагирование на инциденты безопасности
Процесс реагирования на инциденты информационной безопасности проводится в соответствии с
утвержденной в Банке "Политикой управления инцидентами АО "УкрСиббанк"".
О каждом инциденте информационной безопасности сотрудники Банка обязаны немедленно
сообщать:
непосредственному руководителю;
подразделение контроля информационной безопасности Банка.
О каждом инциденте информационной безопасности сотрудники контрагентов Банка обязаны
немедленно сообщать:
непосредственному руководителю;
ответственному за взаимодействие руководству Банка.
7.
Пересмотр Политики
Политика пересматривается по мере необходимости или на регулярной основе не реже одного раза в
12 месяцев.
3