Морского акционерного банка
Вид материала | Закон |
- Совета Акционерного Коммерческого банка «авангард» открытого акционерного общества, 286.28kb.
- Положение о Ревизионной комиссии Акционерного коммерческого банка «Инвестбанк», 288.26kb.
- 1 Ккомпетенции Правления Банка относятся следующие вопросы: 1 обеспечение выполнения, 302.56kb.
- Решением внеочередного общего собрания акционеров, 345.44kb.
- Устав акционерного коммерческого банка, 690.74kb.
- Запись о регистрации, 534kb.
- Морской Университет Мьянмы был учрежден в 2002 году. Стого момента, как члены Корейского, 605.19kb.
- График лекций по транспортному праву российской федерации, 43.5kb.
- Утвержден Годовым Общим Собранием Акционеров морского банка (оао) Протокол № 3 /09, 1218.79kb.
- Министерство транспорта российской федерации федеральное агенство морского и речного, 1418.36kb.
К О Н Ц Е П Ц И Я
информационной безопасности
МОРСКОГО АКЦИОНЕРНОГО БАНКА
(Открытое Акционерное Общество)
Настоящая Концепция разработана в соответствии с требованиями законодательства Российской Федерации и Стандарта Банка России СТО БР ИББС-1.0-2006. Концепция представляет собой систему взглядов на проблемы информационной безопасности МОРСКОГО БАНКА (ОАО) и пути их решения в виде систематизированного изложения целей, задач, принципов и способов достижения информационной безопасности. Концепция является методологической основой практических мер по обеспечению информационной безопасности МОРСКОГО БАНКА (ОАО).
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. В настоящей Концепции используются следующие основные понятия:
-информационная безопасность - это защищенность информации и поддерживающей инфраструктуры от способных нанести ущерб ее владельцам и пользователям неблагоприятных и несанкционированных воздействий случайного или преднамеренного характера, естественного или искусственного происхождения. Информационная безопасность предполагает обеспечение целостности, доступности и конфиденциальности информации;
-конфиденциальность - свойство информации, указывающее на необходимость введения ограничений на круг лиц, имеющих доступ к данной информации, и обеспечиваемое способностью системы сохранять указанную информацию в тайне от лиц, не имеющих полномочий на право доступа к ней;
-целостность - свойство информации, указывающее, что информация не подверглась несанкционированной модификации или несанкционированному уничтожению;
-доступность- свойство информации, обеспечивающее беспрепятственный доступ к ней определенного круга лиц для проведения санкционированных операций по ознакомлению, документированию, модификации и уничтожению;
-коммерческая тайна - информация, имеющая действительную или потенциальную коммерческую ценность в силу ее неизвестности третьим лицам, к ней нет свободного доступа на законном основании и Банк, как обладатель такой информации, принимает меры к охране ее конфиденциальности. Соблюдение всех перечисленных условий позволяет Банку потребовать возмещения убытков, понесенных от разглашения коммерческой тайны. Примечание: Сведения, составляющие банковскую тайну, являются элементом коммерческой тайны;
- носители информации, обладающие коммерческой тайной:
- автоматизированные системы и телекоммуникационные сети различного назначения, в которых информация обрабатывается, хранится и передается;
- материальные носители (бумажные, магнитные, оптические носители, чипы), в которых сведения, составляющие коммерческую тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов;
- сотрудники, допущенные к сведениям, составляющим коммерческую тайну;
- документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;
- допуск к коммерческой тайне - процедура оформления доступа сотрудников к сведениям, составляющим коммерческую тайну;
- доступ к сведениям, составляющим коммерческую тайну - санкционированное полномочным должностным лицом ознакомление сотрудников со сведениями, составляющими коммерческую тайну;
- гриф конфиденциальности - реквизит, свидетельствующий о степени конфиденциальности сведений, содержащихся на их носителе, проставляемый на самом носителе и (или) в сопроводительной документации к нему;
- перечень сведений, составляющих коммерческую тайну - совокупность категорий сведений, в соответствии с которыми сведения относятся к коммерческой тайне Банка и охраняются на основаниях и в порядке, установленных федеральным законодательством;
- утечка (компрометация) информации - результат несанкционированного ознакомления с нею неопределенного круга лиц;
- разглашение коммерческой тайны — предание огласке сведений лицом, которому эти сведений были доверены по службе, работе или стали известны иным путем, в результате чего они стали достоянием посторонних лиц;
- утрата документов или материальных носителей, содержащих сведения, относящиеся к коммерческой тайне - выход (в том числе и временный) документов или материальных носителей из владения ответственного за их сохранность лица, которому они были доверены по службе или работе, являющийся результатом нарушения установленных правил обращения с ними, вследствие чего эти документы или материальные носители стали, либо могли стать достоянием посторонних лиц;
- идентификация — присвоение пользователю и объекту доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;
- аутентификация — проверка принадлежности пользователя предъявленным им идентификаторам, подтверждение подлинности.
2. ЦЕЛИ И ЗАДАЧИ
2.1 Главной целью информационной безопасности является обеспечение устойчивого функционирования Банка и защита информационных ресурсов, принадлежащих Банку, его акционерам, инвесторам и клиентам от случайных (ошибочных) и направленных противоправных посягательств, разглашения, утраты, утечки, искажения, модификации и уничтожения охраняемых сведений.
2.2 Целями Концепции являются:
- формирование целостного представления об информационной безопасности и взаимосвязь ее с другими элементами системы безопасности Банка;
- определение путей реализации мероприятий, обеспечивающих необходимый уровень информационной безопасности.
2.3 Задачами информационной безопасности Банка являются:
- обеспечение конституционных прав граждан по сохранению личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
- прогнозирование, своевременное выявление и устранение угроз объектам информационной безопасности на основе правовых, организационных и инженерно-технических мер и средств обеспечения защиты;
- минимизация ущерба и быстрейшее восстановление программных и аппаратных средств, информации, пострадавших в результате кризисных ситуаций, расследование причин возникновения таких ситуаций и принятие соответствующих мер по их предотвращению.
3. ПРИНЦИПЫ ОРГАНИЗАЦИИ И ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
3.1 Организация и функционирование системы информационной безопасности должны соответствовать следующим принципам:
- Обоснованность. Используемые возможности и средства защиты информационных ресурсов должны быть реализованы на современном уровне развития науки и техники, обоснованы с точки зрения заданного уровня безопасности.
- Комплексность. Предполагает обеспечение защиты информационных ресурсов от возможных угроз всеми доступными законными средствами, методами и мероприятиями, обеспечение согласованности организационных мер и мероприятий, инженерно-технических и программно-аппаратных средств, обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки и использования, во всех режимах функционирования.
- Непрерывность. Означает постоянное поддержание всей системы защиты в актуальном состоянии и совершенствование ее в соответствии с изменяющимися условиями функционирования Банка.
- Законность. Предполагает разработку системы информационной безопасности Банка на основе Федерального законодательства в области банковской деятельности, информатизации и защиты информации и других нормативных актов по безопасности, утвержденных органами государственного управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений.
- Специализация. Эксплуатация технических средств и реализация системы мер по обеспечению информационной безопасности должны осуществляться профессионально подготовленными специалистами.
- Взаимодействие и координация. Означает осуществление мер обеспечения информационной безопасности на основе четкой взаимосвязи соответствующих подразделений и служб, координации их усилий для достижения поставленных целей.
- Совершенствование. Предусматривает развитие мер и средств обеспечения информационной безопасности на основе собственного опыта, появления новых технических средств.
- Централизация управления. Означает управление информационной безопасностью по единым организационным, функциональным и методологическим принципам.
4. ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
4.1 Правовая форма защиты информации - защита информации, базирующаяся на применении Гражданского и Уголовного кодексов, Федеральных законов и других нормативно-правовых актов, регулирующих деятельность в области информатики, информационных отношений и защиты информации.
4.2 Настоящая Концепция базируется на следующих нормативно-правовых актах:
- «Гражданский кодекс Российской Федерации» от 30.11.94 г., №151-ФЗ ч.1, ст. 139;
- «Гражданский кодекс Российской Федерации» от 21.01.96 г., №14-ФЗ ч.2, ст. 857;
- «Уголовный Кодекс Российской Федерации» от 13.06.96г., №63-ФЗ ст. 183, 272, 273, 274;
- «Трудовой кодекс Российской Федерации» от 30.12.01, №197-ФЗ ст. 85,86,87,88,89,90;
- «Кодекс Российской Федерации об административных правонарушениях» от 30.12.01, №195-ФЗ ст. 13.12, 13.13, 13.14;
- Федеральный Закон Российской Федерации «О банках и банковской деятельности» от 02.12.90г. №395-1, ст.26;
- Федеральный Закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006г. № 149-ФЗ;
- Федеральный закон «О лицензировании отдельных видов деятельности» от 08.08.2001 №128-ФЗ (в ред. от 21.03.2002 № 31-ФЗ);
- Указ Президента РФ от 06.03.97г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
- Постановление Правительства РФ от 15.08.06. №504 «О лицензировании деятельности по технической защите конфиденциальной информации»;
- Приказ ФАПСИ от 13.06.01г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
4.3 Гражданский кодекс РФ и Закон «Об информации, информационных технологиях и о защите информации» позволяют рассматривать информацию как специфический объект права. Закон выделяет три категории информации:
- информация, составляющая государственную тайну;
- персональные данные;
- информация, составляющая коммерческую тайну.
Предметом рассмотрения данной Концепции является информация второй и третьей категорий. Банк в процессе осуществления своей деятельности выступает не только собственником, но и пользователем информации, доверенной ему клиентами, контрагентами или сотрудниками. Банк вправе распоряжаться такой информацией, а следовательно и выбирать степень её защиты.
4.4 Решение задач правового обеспечения информационной безопасности Банка достигается формированием системы внутренних инструкций, положений, планов, правил.
5. ОБЪЕКТЫ ЗАЩИТЫ
5.1 К объектам информационной безопасности, подлежащим защите, относятся:
- информационные ресурсы с ограниченным доступом, составляющие коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, а также акустическая (речевая) информация;
- сведения, ставшие известными сотрудникам банка в процессе исполнения ими своих должностных обязанностей;
- средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телефонной, факсимильной, радиосвязи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);
- служебные помещения, в которых хранится и обрабатывается информация ограниченного доступа;
- технические средства и системы защиты информационных ресурсов.
6. ОСНОВНЫЕ ВИДЫ УГРОЗ ОБЪЕКТАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
6.1 Определение и прогнозирование возможных угроз и степени их опасности необходимы для обоснования, выбора и реализации защитных мероприятий. Комплексный подход к проблеме защиты информации необходимо проводить с учётом двух факторов: предполагаемой вероятности возникновения угрозы и возможного ущерба от её осуществления. Объективность оценки достигается проведением детального аудита функционирования Банка. Аудит проводится собственными силами или с привлечением сторонних организаций.
6.2 Угрозы можно разделить на внешние и внутренние. При этом последние могут представлять особую опасность. Угрозы объектам информационной безопасности проявляются в виде:
- разглашения конфиденциальной информации;
- утечки конфиденциальной информации через технические средства различного назначения;
- несанкционированного доступа к охраняемым информационным ресурсам;
- несанкционированного уничтожения и модификации информационных ресурсов;
- нарушения работы автоматизированных систем и сетей.
6.3 Источниками угроз могут быть:
- некомпетентность или халатность пользователей или персонала;
- злой умысел, независимо от того, внешним или внутренним относительно систем является источник угрозы;
- умышленное проникновение сторонних лиц в помещения, к аппаратуре и оборудованию;
- случайные события и стихийные бедствия.
6.4 Ситуация, возникающая в результате воздействия какой-либо угрозы, называется кризисной. Кризисные ситуации могу быть преднамеренными и непреднамеренными и иметь различную степень тяжести в зависимости от вызвавших их факторов риска, степени их воздействия, уязвимого места, категории информации. Кризисные ситуации могут иметь следующие степени тяжести:
угрожающая - воздействие на объект информационной безопасности, которое может привести к полному выходу его из строя, а также уничтожение, модификацию или компрометацию (утечку) наиболее важной для Банка информации. Для устранения угрожающей ситуации требуется, как правило, полная или частичная замена оборудования, программ и данных.
серьезная - воздействие на объект информационной безопасности, которое может привести к выходу из строя отдельных компонентов, потере производительности, а также осуществлению несанкционированного доступа (НСД) к программам и данным. В этом случае система сохраняет работоспособность. Для устранения серьезной ситуации требуется, как правило, частичная замена (восстановление) оборудования, программ и данных, корректировка параметров системы, проведение организационно-технических мероприятий.
обычная - попытка воздействия на объект информационной безопасности, не наносящая ощутимого ущерба, но требующая реакции и расследования. Для устранения обычной ситуации, как правило, требуется корректировка параметров защиты.
7. ПОРЯДОК ПРОВЕДЕНИЯ РАБОТ ПО ОБЕСПЕЧЕНИЮ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
7.1 Работа по обеспечению информационной безопасности в Банке включает следующие этапы:
- определение информации, содержащей коммерческую тайну, и сроков ее действия;
- категорирование помещений по степени важности обрабатываемой в них информации;
- определение категории информации, обрабатываемой каждой отдельной системой;
- описание системы, определение факторов риска, определение уязвимых мест систем;
- выбор средств и мер защиты для предотвращения воздействия факторов риска и их минимизации;
- выбор средств и мер контроля и управления для своевременной локализации и минимизации воздействия факторов риска.
7.2 Отнесение информации к коммерческой тайне - установление ограничений на распространение информации, требующей защиты. Среди сведений, относимых к категории коммерческой тайны, применительно к Банку можно выделить: деловую информацию о деятельности Банка, финансовую документацию, различные сведения о клиентах, партнерах, сметы, отчёты, перспективные планы развития, аналитические материалы, исследования и т.п.
Отнесение информации к коммерческой тайне осуществляется в соответствии с принципами законности, обоснованности и своевременности. Обоснованность отнесения информации к коммерческой тайне заключается в установлении путем экспертной оценки целесообразности защиты конкретных сведений исходя из жизненно - важных интересов Банка, вероятных финансовых и иных последствий нарушения режима соблюдения коммерческой тайны. Своевременность отнесения сведений к коммерческой тайне заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно.
Чтобы отнесение информации к категории коммерческой тайны приобрело законную силу, оно должно быть оформлено в виде специального «Перечня сведений, составляющих коммерческую тайну МОРСКОГО АКЦИОНЕРНОГО БАНКА (Открытое Акционерное общество) (далее Перечень), который разрабатывается (уточняется не реже одного раза в год) постоянно действующей Комиссией Банка по защите коммерческой тайны, назначаемой приказом Председателя Правления Банка.
Перечень разрабатывается путем экспертных оценок на основании предложений подразделений Банка и с учетом действующего законодательства. В Перечне указываются категории сведений, их степень конфиденциальности, срок действия ограничений на доступ к ним. Перечень утверждается Председателем Правления Банка.
Степень конфиденциальности информации, составляющей коммерческую тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Банка вследствие её распространения. В соответствии с этим среди информации, относимой к коммерческой тайне, выделяются две группы: информация общего характера и информация, доступ к которой должен носить исключительный характер. Такой информации отдельно присваивается гриф «Конфиденциально». Присвоение грифа «Конфиденциально» или его отмена принадлежит Председателю Правления Банка.
7.3 Категорирование помещений производится по степени важности обрабатываемой в них информации. В зависимости от категории обрабатываемой информации принимаются соответствующие меры по защите помещений.
7.4 Для каждой информационно-вычислительной системы Банка, а в отдельных случаях для персональных компьютеров (ПК), определяется категория обрабатываемой в ней информации с учетом «Перечня сведений, составляющих коммерческую тайну Банка». В зависимости от категории обрабатываемой информации принимаются соответствующие меры по ее защите в системе.
7.5 Основная задача этапа описания систем - описание защищаемого периметра, т.е. определение средств и непосредственных данных, подлежащих защите. В описание системы включаются:
- цели и задачи системы;
- пользователи и обслуживающий персонал;
- способы взаимодействия с другими системами как внутри Банка, так и с внешними объектами;
- физическую топологию сети в зданиях Банка;
- логическую топологию сети Банка, ее основные характеристики;
- перечень используемого оборудования, включая коммуникационное, периферийное, серверы, ПК, оборудование, их основные характеристики;
- перечень используемого программного обеспечения (системное, прикладное, коммуникационное) и их характеристики.
Описание системы должно проводиться с учетом организационной структуры подразделений, которые будут ее эксплуатировать.
7.6 Факторы риска — возможные ситуации, возникновение которых может расцениваться как угроза, и способные нанести ущерб материального или нематериального характера. Фактор риска оказывает воздействие на определенные участки объектов информационной безопасности и может учитываться или не учитываться в зависимости от степени воздействия на жизнедеятельность Банка. Основными факторами риска являются:
- стихийные бедствия или чрезвычайные ситуации, приводящие к полному или частичному выходу из строя технических средств систем;
- несанкционированный доступ к серверам, элементам аппаратуры и оборудованию в серверных комнатах;
- неисправности и нарушения в функционировании программных и технических средств, отказ в санкционировании доступа к оборудованию, программам и данным, вызванные случайными сбоями или отказами;
- несанкционированные проникновения в информационно-вычислительную систему, в том числе по внешним каналам связи;
- мошенничество или умысел, а также некомпетентность или халатность, которые приводят к нарушению целостности или доступности информации;
- нарушение конфиденциальности отдельных данных;
- несанкционированный доступ к системным и прикладным данным и программам, а также ресурсам систем;
- повторное использование внешних и внутренних носителей информации для съема информации;
- нарушение конфиденциальности массивов данных.
Перечень факторов риска может уточняться.
7.7 Уязвимые места - элементы технических средств, программ и данных, которые могут быть подвергнуты воздействию факторов риска. Уязвимые места необходимо защищать и контролировать. К уязвимым местам объектов информационной безопасности относятся:
- все технические средства – необходимо защищать от стихийных бедствий, диверсий, несанкционированного доступа (НСД), сбоев и отказов;
- все автоматизированные рабочие места (АРМ) и терминалы - необходимо защищать от НСД;
- все системное программное обеспечение и системные ресурсы, обеспечивающие функционирование автоматизированных систем и сетей Банка - необходимо защищать от НСД, приводящего к нарушению целостности и доступности;
- опорная сеть Банка и передаваемые по ней данные – необходимо защищать от нарушения целостности или доступности и НСД;
- конфиденциальная и строго конфиденциальная информация - необходимо защищать от нарушения конфиденциальности;
- ресурсы и приложения систем, внутренние и внешние носители информации в системах, обрабатывающих конфиденциальную информацию - необходимо защищать от повторного использования («сборки мусора»);
- помещения, слаботочное оборудование, вычислительная техника подсистем, на которых обрабатывается конфиденциальная информация - необходимо защищать от перехвата информации по каналам электромагнитного излучения и закладных устройств.
Перечень уязвимых мест системы Банка может уточняться. Для каждого конкретного объекта информационной безопасности осуществляется выбор конкретных средств и методов защиты, контроля и управления с учетом уязвимых мест и факторов риска.