Политика информационной безопасности АО

Политика информационной безопасности
АО "УкрСиббанк"
(внешняя)
Киев - 2013
Содержание
Введение ......................................................................................................................................................... 3
1. Цель Политики ....................................................................................................................................... 3
2. Область применения .............................................................................................................................. 3
3. Политика Банка в области информационной безопасности .............................................................. 3
3.1. Классификация активов ....................................................................................................................... 3
3.2. Классификация критериев безопасности ........................................................................................... 3
3.3. Решаемые задачи .................................................................................................................................. 4
4. Роли и ответственности ......................................................................................................................... 4
5. Реагирование на инциденты безопасности ......................................................................................... 5
6. Пересмотр Политики ............................................................................................................................. 5
2
Введение
Политика информационной безопасности (далее Политика) – это пакет документов, который
описывает и регламентирует систему управления информационной безопасностью АО «УкрСиббанк» (далее
Банк), отвечает требованиям законодательства Украины, СОУ Н НБУ65.1 СУИБ и иных нормативных актов
НБУ, основывается на Политике информационной безопасности BNP Paribas Group, а так же на
рекомендациях международных стандартов ISO/IEC 27001:2005, ISO/IEC 17799/2005 и PCI DSS.
1.
Цель Политики
Целью Политики является внедрение и эффективное управление системой обеспечения
информационной безопасности, направленной на защиту информационных активов Банка, обеспечение
непрерывности деятельности Банка, минимизации рисков информационной безопасности, создания
положительной репутации Банка и доверительных отношений с клиентами.
Основной задачей информационной безопасности является защита информационных активов Банка от
внешних и внутренних, умышленных и неумышленных угроз.
2.
Область применения
Политика распространяется на все аспекты жизнедеятельности Банка и применяется ко всем активам
Банка, которые могут негативно воздействовать на результаты деятельности Банка своим отсутствием или
функционированием с ошибками.
3.
Политика Банка в области информационной безопасности
3.1. Классификация активов
Как основные объекты области деятельности информационной безопасности, рассматриваются
следующие виды активов:
информационные активы: информация и данные в любом виде, получаемые, хранимые,
обрабатываемые, передаваемые, оглашаемые, в т.ч. знания сотрудников, партнеров Банка, базы
данных и файлы, документация, руководства пользователя, учебные материалы, описания
процедур, заархивированная информация и т.п.;
программное обеспечение: прикладное программное обеспечение, системное программное
обеспечение, сервисное программное обеспечение и любое иное программное обеспечение,
независимо от формы получения (приобретенное, собственной разработки, свободно
распространяемое), используемое в Банке сотрудниками и системами для работы и
взаимодействия с клиентами и иными внутренними и внешними системами и т.п.;
физические активы: сотрудники, аппаратные средства IT (сервера, рабочие станции,
межсетевые экраны, принтеры, копировальные аппараты, телекоммуникационное оборудование,
оборудование связи, маршрутизаторы, АТС, факсы, модемы и т.п.), носители данных (ленты,
диски и т.п.), мебель, помещения, производственное оборудование, другие технические средства
и т.п.;
сервисные активы: вычислительные и коммуникационные сервисы (Интернет, электронная
почта, каналы связи и т.п.), другие технические сервисы (отопление, освещение,
энергоснабжение, кондиционирование воздуха, системы сигнализаций и мониторинга), все
услуги, связанные с получением, предоставлением, использованием, передачей и уничтожением
активов, все юридические и физические лица, организации, учреждения и предприятия (а также
их сотрудники), услугами которых пользуется Банк для получения, использования, передачи и
уничтожения активов.
Для каждого актива определяются возможные риски и пути их минимизации, т.е. Банком
используется риск-ориентированный подход.
3.2. Классификация критериев безопасности
Оценка возможных рисков активов ведется по четырем основным критериям безопасности:
3
Доступность – обеспечение непрерывного доступа к информационным и сопутствующим
активам и сервисам Банка согласно предоставленным пользователям полномочиям и правам в
минимально необходимом объеме. Должны быть составлены планы бесперебойной работы
Банка на случай различных критических ситуаций.
Целостность – защита точности/корректности и полноты активов и методов обработки
информации.
Конфиденциальность – обеспечение доступности информации, активов только для официально
авторизованных лиц и пользователей в минимально необходимом объеме.
Наблюдательность – обеспечение возможности определения - кто, что и когда делал с тем или
иным информационным активом Банка. Обеспечение принципа невозможности отказа от
совершенных действий.
Субъекты – все и всѐ, что прямо или косвенно влияет и/или может влиять на объекты.
-
3.3. Решаемые задачи
Политика регламентирует:
управление доступами и паролями,
четкое распределение ролей и обязанностей,
определение требований безопасности для каждого актива,
внедрение Политики в информационные системы,
поддержание уровня безопасности на надлежащем уровне,
обучение сотрудников информационной безопасности,
проведение контроля безопасности информационных систем, у
правление инцидентами,
классификацию и обеспечение конфиденциальности информации,
антивирусную защиту,
резервное копирование,
лицензионную чистоту,
входной/выходной контроль компьютерной техники,
обеспечение физической безопасности,
контроль выполнения требований Политики
и других аспектов информационной безопасности.
4.
Роли и ответственности
Руководство Банка и ТОП-менеджмент четко осознает, что информационная безопасность Банка
является основой его жизнедеятельности, в связи с чем, в Банке создан и постоянно действует Комитет по
информационной безопасности, решения которого являются обязательными для выполнения всеми
сотрудниками Банка.
Политики разрабатываются подразделением безопасности информационных систем. Постоянный
контроль внедрения, выполнения, усовершенствования и поддержания Политики в актуальном состоянии
также лежит на данном подразделении.
Руководство Банка и ТОП-менеджмент оказывают содействие в создании, внедрении, контроле и
поддержании Политики.
Решения и рекомендации Департамента безопасности информационных систем в области защиты
информационных активов являются бесспорными и обязательными для всех сотрудников Банка.
Стратегия развития информационных технологий Банка и все проекты, связанные с
информационными активами, согласовываются с Политикой информационной безопасности.
Каждый сотрудник Банка участвует в поддержании соответствующего уровня информационной
безопасности Банка. В рамках своих обязанностей и полномочий сотрудники обязаны выполнять и отвечать
за соблюдение требований Политики, законодательных и международных норм, внутрибанковских
требований, а также несут ответственность за их нарушения в рамках, установленных законодательством
Украины и внутрибанковскими нормативными документами.
Документы Политики доступны сотрудникам внутри Банка в пределах их полномочий и призваны
помогать в ее внедрении и выполнении.
4
Для уменьшения рисков возникновения инцидентов информационной безопасности по причине
неосведомленности пользователей, Банк систематически, доступными методами обучает сотрудников
нормам информационной безопасности, а при возможности, и своих клиентов.
В банке составляются, действуют, систематически тестируются и обновляются планы обеспечения
бесперебойной работы на случай различных непредвиденных критических ситуаций.
5.
Реагирование на инциденты безопасности
О каждом инциденте информационной безопасности сотрудники обязаны немедленно сообщать
своему непосредственному руководителю и в подразделение контроля информационной безопасности
Банка. Процесс реагирования на инциденты информационной безопасности проводится в соответствии с
утвержденной в Банке "Политикой управления инцидентами АО "УкрСиббанк"".
6.
Пересмотр Политики
Политика пересматривается по мере необходимости, при появлении и/или изменении активов Банка
и/или новых технологий, а также в случае изменения законодательных и иных норм и требований, но не
реже одного раза в 36 месяцев.
5