Geum.ru

Політика інформаційної безпеки ат «УкрСиббанк» (зовнішня)

Вид материалаДокументы

Содержание


2. Мета Політики
3. Область застосування
4. Політика Банку в галузі інформаційної безпеки 4.1. Класифікація активів
4.2. Класифікація критеріїв безпеки
4.3. Управління доступом
5. Ролі та відповідальності
6. Реагування на інциденти безпеки
Подобный материал:




Політика інформаційної безпеки АТ «УкрСиббанк» (зовнішня)

















    18. Київ – 2009


Зміст


1. Вступ 3

2. Мета Політики 3

3. Область застосування 3

4. Політика Банку в галузі інформаційної безпеки 3

4.1. Класифікація активів 3

4.2. Класифікація критеріїв безпеки 4

4.3. Управління доступом 4

5. Ролі та відповідальності 4

6. Реагування на інциденти безпеки 5

7. Перегляд Політики 5

1. Вступ



Політика інформаційної безпеки (далі Політика) – це пакет документів, який описує і регламентує систему управління інформаційною безпекою АТ «УкрСиббанк» (далі Банк), відповідає вимогам законодавства України та міжнародних угод, базується на Політиці інформаційної безпеки BNP Paribas Group, а також на рекомендаціях міжнародних стандартів ISO/IEC 27001:2005, ISO/IEC 17799/2005 та PCI DSS.

2. Мета Політики



Метою Політики є впровадження та ефективне управління системою забезпечення інформаційної безпеки, спрямованої на захист інформаційних активів Банку, забезпечення безперервної діяльності Банку, мінімізації ризиків інформаційної безпеки, створення позитивної репутації Банку та довірчих відносин з клієнтами.

Основним завданням інформаційної безпеки є захист інформаційних активів Банку від зовнішніх та внутрішніх навмисних та ненавмисних загроз.

3. Область застосування



Політика розповсюджується на всі аспекти життєдіяльності Банку та застосовується до всіх активів Банку, які можуть справляти матеріальний ефект на кінцевий продукт своєю відсутністю чи псуванням.

4. Політика Банку в галузі інформаційної безпеки




4.1. Класифікація активів



Як основні об’єкти області діяльності інформаційної безпеки, розглядаються наступні види активів:
  • інформаційні активи: інформація та дані у будь-якому вигляді, що отримуються, зберігаються, обробляються, передаються, оголошуються, у т.ч. знання співробітників, партнерів Банку, бази даних та файли, документація, посібники користувача, навчальні матеріали, описи процедур, заархівована інформація і т.п.;
  • програмне забезпечення: прикладне програмне забезпечення, системне програмне забезпечення, сервісне програмне забезпечення та будь-яке інше програмне забезпечення, незалежно від форми отримання (придбання, власної розробки, таке, що вільно розповсюджується), яке використовується у Банку співробітниками та системами для роботи та взаємодії з клієнтами та іншими внутрішніми та зовнішніми системами і т.п.;
  • фізичні активи: співробітники, апаратні засоби IT (сервери, робочі станції, міжмережеві екрани, принтери, копіювальні апарати, телекомунікаційне обладнання, обладнання зв’язку, маршрутизатори, АТС, факси, модеми і т.п.), носії даних (стрічки, диски і т.п.), меблі, приміщення, виробниче обладнання, інші технічні засоби і т.п.;
  • сервісні активи: обчислювальні та комунікаційні сервіси (Інтернет, електронна пошта, канали зв’язку і т.п.), інші технічні сервіси (опалення, освітлення, енергозбереження, кондиціювання повітря, системи сигналізацій та моніторингу), усі послуги, пов’язані з отриманням, наданням, використанням, передачею та знищенням активів, усі юридичні та фізичні особи, організації, установи та підприємства (а також їх співробітники), послугами яких користується Банк для отримання, використання, передачі та знищення активів.

Для кожного активу визначаються можливі ризики та шляхи їх мінімізації, тобто Банк використовує ризик-орієнтований підхід.

4.2. Класифікація критеріїв безпеки



Оцінка можливих ризиків активів провадиться за чотирма основними критеріями безпеки:
  • Доступність – забезпечення безперервного доступу до інформаційних та супутніх активів та сервісів Банку згідно з наданими користувачам повноваженнями та правами у мінімально необхідному обсязі. Повинні бути складені плані безперебійної роботи Банку на випадок різних критичних ситуацій.
  • Цілісність – захист точності/коректності та повноти активів і методів обробки інформації.
  • Конфіденційність – забезпечення доступності інформації, активів тільки для офіційно авторизованих осіб та користувачів у мінімально необхідному обсязі.
  • Спостережливість – забезпечення можливості визначення – хто, що і коли робив з тим чи іншим інформаційним активом Банку. Забезпечення принципу невідмови від вчинених дій.

Суб’єкти – все і всі, що безпосередньо або опосередковано впливає та/або може впливати на об’єкти.

4.3. Управління доступом



Політика регламентує управління доступами та паролями, чітке розподілення ролей та обов’язків, визначення вимог безпеки для кожного активу, впровадження Політики в інформаційні системи, підтримку рівня безпеки на належному рівні, навчання співробітників інформаційній безпеці, проведення контролю безпеки інформаційних систем, управління інцидентами, класифікацію та забезпечення конфіденційності інформації, антивірусний захист, резервне копіювання, ліцензійну чистоту, вхідний/вихідний контроль комп’ютерної техніки, забезпечення фізичної безпеки, контроль виконання вимог Політики та інших аспектів інформаційної безпеки.

5. Ролі та відповідальності



Керівництво Банку та ТОП-менеджмент чітко усвідомлює, що інформаційна безпека Банку є основою життєдіяльності Банку, у зв’язку з чим у Банку створена і постійно діє Координаційна рада з інформаційної безпеки, рішення якої є обов’язковими для виконання усіма співробітниками Банку.

Документи Політики розробляються підрозділом безпеки інформаційних технологій. Постійний контроль впровадження, виконання, вдосконалення та підтримки Політики в актуальному стані також лежить на підрозділі безпеки інформаційних технологій.

Керівництво Банку та ТОП-менеджмент сприяють створенню, впровадженню, контролю та підтримці Політики.

Рішення та рекомендації Департаменту безпеки в галузі інформаційної безпеки є безперечними та обов’язковими для всіх співробітників Банку.

Стратегія розвитку інформаційних технологій Банку та всі проекти, пов’язані з інформаційними активами, погоджуються з Політикою інформаційної безпеки.

Кожний співробітник Банку бере участь у підтримці відповідного рівня інформаційної безпеки Банку. В межах своїх обов’язків та повноважень співробітники зобов’язані виконувати та відповідати за дотримання вимог Політики, законодавчих та міжнародних норм, внутрішньобанківських вимог, а також несуть відповідальність за їх порушення в межах, встановлених законодавством України та внутрішньобанківськими нормативними документами.

Документи Політики доступні співробітникам всередині Банку в межах їх повноважень і покликані допомагати у її впровадженні та виконанні.

Для зменшення ризиків виникнення інцидентів інформаційної безпеки, пов’яханих з необізнаністю, Банк систематично, доступними методами навчає співробітників нормам інформаційної безпеки, а у міру можливостей і своїх клієнтів.

У банку складаються, діють, систематично тестуються ті оновлюються плани безперебійної роботи на випадок різних непередбачуваних критичних ситуацій.

6. Реагування на інциденти безпеки



Про кожний інцидент інформаційної безпеки співробітники зобов’язані негайно сповістити свого безпосереднього керівника і спеціальний підрозділ Банку, який займається роботою з інцидентами. Політика передбачає відповідний аналіз та реакцію на той чи інший інцидент. За результатами аналізу вживаються заходи, направлені на недопущення повторення подібних інцидентів.

7. Перегляд Політики



Ведеться робота з постійної підтримки Політики в актуальному стані. Політика переглядається в міру необхідності, але не рідше одного разу на 18 місяців при появі та/або зміні активів Банку та/або нових технологій, а також у випадку зміни законодавчих та інших норм і вимог.