Политика информационной безопасности ПАО АГРОИНКОМБАНК

реклама
Согласовано
Правлением
ПАО АГРОИНКОМБАНК
Протокол № 12 от 31.03.2015г.
Утверждено
Советом директоров
ПАО АГРОИНКОМБАНК
Протокол № 25 от 03.04.2015 г.
Председатель Правления
М.С. Кужакова
Председатель Совета директоров
А.А. Блинов
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПАО АГРОИНКОМБАНК
г. Астрахань, 2015
ПАО АГРОИНКОМБАНК
1.
Содержание
Общие положения ..................................................................................................................3
2.
Определения ...........................................................................................................................3
3.
Область обеспечения информационной безопасности .......................................................4
4.
Основные защищаемые информационные активы ............................................................. 4
5.
Угрозы информационной безопасности ..............................................................................7
6.
Модель нарушителя информационной безопасности ........................................................7
7.
Руководящие принципы в области информационной безопасности ................................ 8
8.
Основные требования по обеспечению информационной безопасности .........................9
9. Принципы противодействия угрозам информационной безопасности по отношению к
основным типам информационных активов .............................................................................11
10. Основные принципы повышения уровня осознания и осведомленности в области
информационной безопасности .................................................................................................11
11. Принципы реализации и контроля выполнения требований Политики ........................12
12. Заключительные положения............................................................................................... 12
2
Политика информационной безопасности
ПАО АГРОИНКОМБАНК
1. Общие положения
1.1. Настоящая Политика информационной безопасности (далее Политика) описывает
системную и официально принятую руководством ПАО АГРОИНКОМБАНК (далее Банк)
позицию в отношении вопросов обеспечения информационной безопасности.
1.2. Банк признает неразрывную связь осуществляемых бизнес-процессов с
необходимостью обеспечения достаточного уровня информационной безопасности,
гарантирующего обеспечение конфиденциальности, целостности и доступности
вовлеченных активов (в том числе информационных).
1.3. Осознание необходимости обеспечения информационной безопасности проявляется в
использовании бизнес-преимуществ обеспечения информационной безопасности,
способствующих формированию условий для дальнейшего развития Банка с
допустимыми рисками.
1.4. Банк осуществляет обработку разнородной информации, вид и степень
конфиденциальности которой определяется действующим законодательством с учетом
законных интересов собственников информации.
1.5. Настоящая Политика призвана определять соответствие реализации, эксплуатации и
совершенствования системы обеспечения информационной безопасности Банка
высокоуровневым целям, содержанию и основным направлениям деятельности по
обеспечению информационной безопасности.
1.6. При обеспечении информационной безопасности Банк применяет взаимоувязанную
совокупность документов в области стандартизации Банка России “Обеспечение
информационной безопасности организаций банковской системы Российской Федерации”
(Комплекс БР ИББС).
1.7. Основной целью настоящей Политики является долгосрочное определение стратегии
Банка в отношении обеспечения собственной информационной безопасности,
гарантирующей защищенность интересов Банка в информационной сфере.
1.8. Настоящая Политика призвана решать следующие задачи:
описать основные руководящие принципы информационной безопасности Банка;
определить область обеспечения информационной безопасности Банка;
определить основные защищаемые активы Банка;
описать основные ожидаемые угрозы информационной безопасности Банка;
описать потенциального нарушителя режима информационной безопасности
Банка;
выделить основные требования по обеспечению информационной безопасности;
определить принципы противодействия угрозам информационным активам;
определить принципы повышения уровня осознания и осведомленности в области
информационной безопасности Банка;
закрепить принципы реализации и контроля выполнения требований Политики.
2. Определения
2.1. Информация – сведения (сообщения, данные) независимо от формы их
представления. Информация, обладателем которой является Банк, рассматривается как
информационный актив Банка.
2.2. Актив – всё, что имеет ценность для Банка и находится в его распоряжении.
2.3. Информационный актив – информация с реквизитами, позволяющими ее
идентифицировать; имеющая ценность для Банка; находящаяся в распоряжении Банка и
представленная на любом материальном носителе в пригодной для ее обработки, хранения
или передаче форме.
3
Политика информационной безопасности
ПАО АГРОИНКОМБАНК
2.4. Объект среды информационного актива – материальный объект среды
использования и (или) эксплуатации информационного актива (объект хранения,
передачи, обработки, уничтожения и т.д.).
2.5. Безопасность – состояние защищенности интересов (целей) организации Банка в
условиях угроз.
2.6. Информационная безопасность – безопасность, связанная с угрозами в
информационной сфере.
2.7. Риск - мера, учитывающая вероятность реализации угрозы и величину потерь
(ущерба) от реализации этой угрозы.
2.8. Информационные технологии – процессы, методы поиска, сбора, хранения,
обработки, предоставления, распространения информации и способы осуществления
таких процессов и методов.
2.9. Информационная система – совокупность содержащейся в базах данных
информации и обеспечивающих ее обработку информационных технологий и
технических средств.
2.10. Информационно-телекоммуникационная сеть – технологическая система,
предназначенная для передачи по линиям связи информации, доступ к которой
осуществляется с использованием средств вычислительной техники.
2.11. Автоматизированная система – система, состоящая из персонала и комплекса
средств автоматизации его деятельности, реализующая информационную технологию
выполнения установленных функций.
2.12. Информационная инфраструктура – система организационных структур,
обеспечивающих функционирование и развитие информационного пространства и
средств информационного взаимодействия. Включает совокупность информационных
центров, банков данных и знаний, систем связи; обеспечивает доступ потребителей к
информационным ресурсам.
2.13. Автоматизированная банковская система – автоматизированная система,
реализующая банковский технологический процесс.
2.14. Обладатель информации – лицо, самостоятельно создавшее информацию либо
получившее на основании закона или договора право разрешать или ограничивать доступ
к информации.
3. Область обеспечения информационной безопасности
3.1. Обеспечение информационной безопасности необходимо с момента возникновения
информационных отношений, одной из сторон которых выступает Банк.
3.2. Информационная безопасность является составляющей всех этапов жизненного
цикла и использования информационных технологий, информационных систем,
автоматизированных систем, средств вычислительной техники, информационнотелекоммуникационных сетей.
3.3. Режим информационной безопасности, в том числе его обеспечение, является
результатом координированных действий персонала Банка, в том числе при назначении,
распределении и использовании ролей, управлении доступом и регистрацией при
реализации банковских технологических процессов.
4. Основные защищаемые информационные активы
4.1. Сведения, являющие собой основу защищаемых информационных активов Банка:
информация, обеспечивающая основные платежные бизнес-процессы Банка;
информация, используемая и хранящаяся в целях осуществления кадровой работы
Банка в соответствии с Трудовым Кодексом РФ;
информация, хранящаяся и используемая в целях бухгалтерского сопровождения
Банка;
4
Политика информационной безопасности
ПАО АГРОИНКОМБАНК
информация, обеспечивающая и используемая при эксплуатации и поддержке
нормального функционирования информационной инфраструктуры Банка;
закрытая
ключевая
информация,
обеспечивающая
целостность,
конфиденциальность и неотказуемость от авторства при передаче данных по
информационно-телекоммуникационным сетям;
информация, представляющая собой отчетные сведения Банка, не подлежащие
обязательному раскрытию.
4.2. Информационные
активы
Банка
рассматриваются
в
совокупности
с
соответствующими им объектами среды. При этом обеспечение свойств информационной
безопасности для информационных активов выражается в создании необходимой защиты
соответствующих им объектов среды.
4.3. Основные типы защищаемых информационных активов:
автоматизированные
банковские
системы,
выделенные
в
отдельные
информационные системы и обладающие собственной базой данных, построенные
на базе программных продуктов, в том числе специализированных, использующих
собственную систему разграничения прав доступа;
системы автоматизации, используемые для обеспечения вспомогательной
деятельности, построенные на базе специализированного программного
обеспечения;
системы формирования и выгрузки отчетности, обладающие собственной системой
сохранения отчетных сведений и историей их генерации;
автоматизированные рабочие места (АРМ), представляющие собой программноаппаратный комплекс, включающий операционную систему и набор
устанавливаемого (доступного пользователю) программного обеспечения,
определяющего назначение АРМ;
информационные активы, обеспечивающие сетевое и межсетевое взаимодействие
(телекоммуникационные средства);
информационные активы, обеспечивающие выделенный доступ к сетям и иным
каналам связи структурных подразделений Банка и сторонних организаций (узлы
связи);
информационные активы, являющиеся базовыми образующими информационной
инфраструктуры банка (централизованные сервера авторизации и организации
доступа, сервера вспомогательных сервисов и служб);
файловые информационные активы, представленные в электронной форме в
соответствующих массивах данных, хранящиеся на электронных носителях
информации;
информационные активы на бумажных носителях, обрабатываемые без
использования средств автоматизации.
4.4. Сведения (информация), обрабатываемые в составе информационных активов Банка,
по наличию соответствующих признаков классифицируются на следующие виды:
информация ограниченного доступа:
банковская тайна: режим конфиденциальности информации, вводимый в
отношении сведений об операциях, счетах, вкладах клиентов и
корреспондентов, гарантирующий их тайну:
платежная информация: информация, на основании которой
совершаются операции, связанные с осуществлением
переводов денежных средств;
коммерческая
тайна:
режим
конфиденциальности
информации,
позволяющий Банку при существующих или возможных обстоятельствах
5
Политика информационной безопасности
ПАО АГРОИНКОМБАНК
увеличить доходы, избежать неоправданных расходов, сохранить
положение на рынке товаров, работ, услуг или получить иную
коммерческую выгоду;
персональные данные: любая информация, относящаяся к прямо или
косвенно определенному или определяемому физическому лицу (субъекту
персональных данных), в том числе его фамилия, имя, отчество, год, месяц,
дата и место рождения, адрес, семейное, социальное, имущественное
положение, образование, профессия, доходы и иная информация;
инсайдерская информация: точная и конкретная информация, которая не
была распространена или предоставлена, распространение или
предоставление которой может оказать существенное влияние на цены
финансовых инструментов, иностранной валюты и (или) товаров и которая
относится к информации, включенной в соответствующий перечень
инсайдерской информации;
управляющая
информация
платежных,
информационных
и
телекоммуникационных
систем:
информация,
используемая
для
технической настройки программно-аппаратных комплексов обработки,
хранения и передачи информации;
для внутреннего пользования: режим конфиденциальности информации,
применяемый в отношении нормативных документов Банка, приказов по
Банку, внутренних телефонных справочников и т.п. в случае если данные
документы не отнесены к какому-либо другому типу информационных
активов. По умолчанию все документы, для которых не определен тип
информационного актива (путем нанесения информации о типе на
материальный носитель/файл, либо приказом/распоряжением по Банку)
считаются относящимся к документам для внутреннего пользования (ДВП);
для служебного пользования: режим конфиденциальности информации,
применяемый в отношении информации приходящей из других учреждений
с пометкой «ДСП» либо «Для служебного пользования». В отношении
данных документов применяется режим конфиденциальности информации
аналогичный режиму для внутреннего пользования;
общедоступная информация.
4.4. Информационный актив может являться составным, то есть содержать
информацию, относящуюся одновременно к нескольким типам информационных
активов, в таком случае тип информационного актива может определяться согласно
следующим примерам приведения, исходя из критичности и преобладающего типа
информационного актива:
банковская тайна (включает платежную информацию и персональные данные)
└ платежная информация
└ персональные данные
коммерческая тайна (может включать в себя тип информационных активов –
для внутреннего пользования и персональные данные)
└ для внутреннего пользования (может включать в себя тип
информационного актива – персональные данные)
└ персональные данные
инсайдерская информация (может включать в себя типы информационных
активов, представляющие коммерческую, служебную или иную тайну)
└ коммерческая тайна
└ для внутреннего пользования
6
Политика информационной безопасности
ПАО АГРОИНКОМБАНК
5. Угрозы информационной безопасности
5.1. Сущность бизнеса Банка заключается в вовлечении актива, принадлежащего Банку в
бизнес-процесс. Эта деятельность всегда подвержена рискам, так как и на сам актив, и на
бизнес-процесс могут воздействовать различного рода угрозы.
5.2. Угрозы реализуются через их источники и имеют соответствующую вероятность
реализации, выражаемую через риск.
5.3. По характеру источника угроз выделяются угрозы природного, техногенного и
антропогенного характера (угрозы антропогенного характера могут быть как
злоумышленные, так и незлоумышленные).
5.4. При оценке рисков нарушения информационной безопасности Банка полное
множество источников угроз разделяется на следующие классы:
источники
угроз
информационной
безопасности,
связанные
с
неблагоприятными событиями природного, техногенного и социального
характера (природные катастрофы, чрезвычайные ситуации, стихийные
бедствия и т.п.);
источники угроз информационной безопасности, связанные с деятельностью
террористов и лиц, совершающих преступления и правонарушения
(промышленный шпионаж посредством хищения, социальный инжиниринг с
целью мошенничества и т.п.);
источники угроз информационной безопасности, связанные с деятельностью
поставщиков, провайдеров и партнеров (нарушение договорных обязательств
третьими лицами, партнерами и т.п.);
источники угроз информационной безопасности, связанные со сбоями,
отказами, разрушениями, повреждениями программных и технических средств
(сбои и отказы программных средств, превышение допустимой нагрузки на
вычислительные и сетевые ресурсы и т.п.);
источники угроз информационной безопасности, связанные с деятельностью
внутренних нарушителей режима информационной безопасности (нарушение
персоналом организационных мер по обеспечению информационной
безопасности и т.п.);
источники угроз информационной безопасности, связанные с деятельностью
внешних нарушителей режима информационной безопасности (ложное
сообщение об угрозе, действия неавторизованного субъекта и т.п.);
источники угроз информационной безопасности, связанные с несоответствием
требованиям надзорных и регулирующих органов, действующему
законодательству.
6. Модель нарушителя информационной безопасности
6.1. В основе исходной концептуальной схемы информационной безопасности Банка
лежит противоборство собственника (в лице Банка) и злоумышленника с целью
получения контроля над информационными активами. Если злоумышленнику удается
установить такой контроль, то, как Банку, так и клиентам, доверившим свои активы,
наносится ущерб.
6.2. Банк признает персонал в качестве вероятного нарушителя с наибольшими
возможностями для нанесения ущерба.
6.3. Незлоумышленные действия собственных работников создают либо уязвимости
информационной безопасности, либо инциденты, влияющие на свойства доступности,
целостности и конфиденциальности информационного актива или параметры системы,
которая этот актив поддерживает.
6.4. Преднамеренная деятельность злоумышленника из числа работников заключается в
прямом нецелевом использовании предоставленного ему в порядке выполнения
7
Политика информационной безопасности
ПАО АГРОИНКОМБАНК
служебных обязанностей контроля над активами либо нерегламентированная
деятельность для получения контроля над активами.
6.5. Внешний злоумышленник заинтересован в наличии информатора, сообщника или
иного лица из числа сотрудников (внутри Банка), содействующего в поиске наиболее
эффективного способа нападения и получении контроля над активом.
6.6. Злоумышленник изучает объект нападения, как правило, не только теоретически,
никак не проявляя себя, но и практически, путем выявления уязвимостей
информационной безопасности (поиск или создания уязвимостей информационной
безопасности). Злоумышленник всегда стремится к сокрытию следов своей деятельности.
6.7. В качестве потенциальных внутренних нарушителей Банком рассматриваются:
зарегистрированные пользователи информационных активов Банка;
сотрудники Банка, не являющиеся зарегистрированными пользователями и не
допущенные к ресурсам информационных активов Банка, но имеющие доступ в
здания и помещения;
персонал, обслуживающий технические средства информационных активов Банка;
сотрудники самостоятельных структурных подразделений Банка, задействованные
в разработке и сопровождении программного обеспечения;
сотрудники самостоятельных структурных подразделений, обеспечивающие
безопасность Банка;
руководители различных уровней.
6.8. В качестве потенциальных внешних нарушителей Банком рассматриваются:
клиенты Банка;
посетители зданий и помещений Банка;
конкурирующие с Банком кредитные организации;
представители организаций, взаимодействующих по вопросам технического
обеспечения Банка;
бывшие сотрудники Банка;
члены преступных организаций, сотрудники спецслужб или лица, действующие по
их заданию;
лица, случайно или умышленно проникшие в корпоративную информационную
систему Банка из внешних телекоммуникационных сетей (хакеры).
7. Руководящие принципы в области информационной безопасности
7.1. Руководство Банка осознает необходимость определения и защиты всех
информационных активов (ресурсов), реализация угроз которым может нанести ущерб
Банку.
7.2. Совокупность защитных мер, реализующих обеспечение информационной
безопасности Банка и процессов их эксплуатации, включая ресурсное и административное
(организационное) обеспечение, составляет систему информационной безопасности
Банка.
7.3. Банк осуществляет деятельность путем реализации следующих групп процессов:
основные процессы, обеспечивающие достижение целей и задач Банка;
вспомогательные процессы, обеспечивающие качество, в том числе обеспечение
информационной безопасности Банка;
процессы менеджмента (управления), обеспечивающие поддержку параметров
основных и вспомогательных процессов в заданных пределах и их корректировку в
случае изменения внешних и внутренних условий.
7.4. Совокупность процессов менеджмента информационной безопасности, включая
ресурсное и административное (организационное) обеспечение этих процессов,
составляет систему менеджмента информационной безопасности Банка.
8
Политика информационной безопасности
ПАО АГРОИНКОМБАНК
7.5. Совокупность системы информационной безопасности и системы менеджмента
информационной безопасности образуют систему обеспечения информационной
безопасности.
7.6. Банковской деятельности свойственен риск, снижение которого возможно лишь до
определенного остаточного уровня. Остаточный риск должен быть признан приемлемым
(и принятым), либо отклонен. Признается возможность уклонения от риска (например,
намеренное изменение условий деятельности), либо перевод ответственности за риск (в
том числе возможного ущерба) на стороннее лицо (например, произвести страхование).
7.7. Уровень защищенности интересов (целей) Банка определяется:
величиной принятых остаточных рисков;
эффективностью работ по поддержанию принятых рисков на допустимом низком
(остаточном) уровне.
7.8. Идентификация, анализ и оценка рисков информационной безопасности должно
основываться на идентификации активов Банка, на их ценности для целей и задач Банка,
на моделях угроз и нарушителей информационной безопасности Банка.
7.9. С целью управления рисками нарушения информационной безопасности в Банке
создается уполномоченный орган – Служба информационной безопасности
(подразделение Банка, ответственное за обеспечение информационной безопасности).
7.10. Организуется создание и эксплуатация системы обеспечения информационной
безопасности Банка, а также организуется эксплуатация автоматизированной банковской
системы, в соответствии с правилами и требованиями, задаваемыми системой
обеспечения информационной безопасности.
7.11. Основная стратегия обеспечения информационной безопасности Банка, заключается
как в эффективном использовании по имеющемуся плану заранее разработанных мер по
обеспечению информационной безопасности, противостоящих атакам злоумышленников,
так и в регулярном пересмотре моделей и политик информационной безопасности, а
также корректировке системы обеспечения информационной безопасности.
7.12. Основой для построения системы обеспечения информационной безопасности
Банка являются требования законодательства РФ, нормативные акты Банка России,
контрактные требования Банка, а также условия ведения бизнеса, выраженные на основе
идентификации активов Банка, построения модели нарушителей и угроз.
8. Основные требования по обеспечению информационной безопасности
8.1. Для системы обеспечения информационной безопасности должны быть
регламентированы и реализованы следующие процессы:
планирование системы обеспечения информационной безопасности в Банке;
реализация системы обеспечения информационной безопасности в Банке;
мониторинг и анализ системы обеспечения информационной безопасности в Банке;
поддержка и улучшение системы обеспечения информационной безопасности в
Банке.
8.2. Для оценки рисков нарушения информационной безопасности должны быть
выполнены следующие процедуры:
определен перечень типов информационных активов, для которых выполняются
процедуры оценки рисков нарушения информационной безопасности (область
оценки рисков нарушения информационной);
определен перечень типов объектов среды, соответствующих каждому из типов
информационных активов области оценки рисков нарушения информационной
безопасности;
определен источник угроз для каждого из типов объектов среды;
9
Политика информационной безопасности
ПАО АГРОИНКОМБАНК
определена степень вероятности реализации угроз информационной безопасности
применительно к типам объектов среды;
определена степень тяжести последствий нарушения информационной
безопасности для типов информационных активов области оценки рисков
нарушения информационной безопасности;
проведена оценка рисков нарушения информационной безопасности в
качественном выражении.
8.3. Требования к системе информационной безопасности Банка предъявляются, в том
числе, для следующих областей:
назначения и распределения ролей и обеспечения доверия к персоналу;
обеспечения информационной безопасности на стадиях жизненного цикла
автоматизированных банковских систем;
защиты от несанкционированных действий и нерегламентированных действий в
рамках предоставленных полномочий, управления доступом и регистрацией
всех
действий
в
автоматизированной
банковской
системе,
в
телекоммуникационном оборудовании, автоматических телефонных станциях и
т.д.;
антивирусной защиты;
использования ресурсов сети Интернет;
использования средств криптографической защиты информации;
защиты банковских платежных и информационных технологических процессов,
в том числе банковских технологических процессов, в рамках которых
обрабатываются персональные данные.
8.4. Формирование ролей должно осуществляться на основании существующих бизнеспроцессов Банка и проводиться с целью исключения концентрации полномочий и
снижения риска инцидентов информационной безопасности, связанных с потерей
информационными активами свойств доступности, целостности или конфиденциальности.
8.5. Информационная безопасность автоматизированных банковских систем должна
обеспечиваться на всех стадиях жизненного цикла автоматизированных банковских
систем, автоматизирующих банковские технологические процессы, с учетом интересов
всех сторон, вовлеченных в процессы жизненного цикла (разработчиков, заказчиков,
поставщиков продуктов и услуг, эксплуатирующих, поддерживающих и надзорных
подразделений Банка).
8.6. При принятии руководством Банка решений об использовании сети Интернет, при
формировании документов, регламентирующих порядок использования сети Интернет, а
также иных документов, связанных с обеспечением информационной безопасности при
использовании сети Интернет, учитываются следующие положения:
сеть Интернет не имеет единого органа управления (за исключением службы
управления пространством имен и адресов) и не является юридическим лицом, с
которым можно было бы заключить договор (соглашение). Провайдеры
(посредники) сети Интернет могут обеспечить только те услуги, которые
реализуются непосредственно ими;
существует вероятность несанкционированного доступа, потери и искажения
информации, передаваемой посредством сети Интернет;
существует вероятность атаки злоумышленников на оборудование, программное
обеспечение и информационные ресурсы, подключенные/доступные из сети
Интернет;
гарантии по обеспечению информационной безопасности при использовании сети
Интернет никаким органом/учреждением/организацией не предоставляются.
10
Политика информационной безопасности
ПАО АГРОИНКОМБАНК
8.7. В рамках банковских платежных технологических процессов в качестве активов,
защищаемых в первую очередь, следует рассматривать:
банковский платежный технологический процесс;
платежную информацию;
информацию, отнесенную к защищаемой информации в соответствии с
Положением Банка России от 09.06.2012 №382-П «О требованиях к обеспечению
защиты информации при осуществлении переводов денежных средств и о порядке
осуществления Банком России контроля за соблюдением требований к
обеспечению защиты информации при осуществлении переводов денежных
средств».
9. Принципы противодействия угрозам информационной безопасности по
отношению к основным типам информационных активов
9.1. Защита информационных активов, отнесённых к коммерческой тайне, осуществляется
исходя и в полном соответствии согласно положениям Федерального закона «О
коммерческой тайне» от 29.07.2004 №98-ФЗ.
9.2. Защита информационных активов, составляющих банковскую тайну, осуществляется
в соответствии с Федеральным законом «О банках и банковской деятельности» от
02.02.1990 №395-1-ФЗ; при этом защита платежной информации, в том числе
информации, при осуществлении переводов денежных средств, осуществляется в
соответствии с Положением Банка России от 09.06.2012 №382-П «О требованиях к
обеспечению защиты информации при осуществлении переводов денежных средств и о
порядке осуществления Банком России контроля за соблюдением требований к
обеспечению защиты информации при осуществлении переводов денежных средств».
9.3. Защита инсайдерской информации осуществляется в соответствии с Федеральным
законом «О противодействии использованию инсайдерской информации и
манипулированию рынком и о внесении изменений в отдельные законодательные акты
РФ» от 02.07.2010 №224-ФЗ и соответствующими указаниями Банка России.
9.4. Защита информационных активов, представляющих персональные данные,
осуществляется в соответствии с Федеральным законом «О персональных данных» от
27.07.2006 №152-ФЗ.
10.
Основные принципы повышения уровня осознания и осведомленности в
области информационной безопасности
10.1. Основным методом повышения уровня осознания и осведомленности в области
информационной безопасности Банка является обучение заинтересованных групп
работников или (и) клиентов.
10.2. Банк заинтересован в организации работы с персоналом и клиентами в направлении
повышения осведомленности и обучения в области информационной безопасности на
основе следующих принципов:
организованность и санкционированность;
регулярность и плановость;
проверяемость и возможность контроля полученных знаний.
10.3. Программы обучения и повышения осведомленности должны разрабатываться для
различных групп сотрудников с учетом их должностных обязанностей и выполняемых
ролей и включать информацию:
по существующим политикам информационной безопасности;
по применяемым в Банке защитным мерам;
по правильному использованию защитных мер в соответствии с внутренними
документами Банка;
11
Политика информационной безопасности
ПАО АГРОИНКОМБАНК
о значимости и важности деятельности работников для обеспечения
информационной безопасности Банка.
10.4. Для работника, получившего новые функциональные права и обязанности (роль),
организуется обучение или инструктаж в области информационной безопасности,
соответствующее полученной роли.
10.5. В случае наличия в структурных подразделениях Банка работников, ответственных
за обеспечение информационной безопасности, руководством утверждается порядок
взаимодействия (координирования работы) службы информационной безопасности с
указанными работниками.
11.
Принципы реализации и контроля выполнения требований Политики
11.1. Свидетельством реализации и контроля выполнения Политики является
соответствующее документирование указанных процессов.
11.2. Документирование процессов реализации и контроля выполнений требований
Политики осуществляется с использованием следующих документов:
документы, содержащие положения информационной безопасности, применяемые
к процедурам (порядку выполнения действий или операций) обеспечения
информационной безопасности, содержат правила и параметры, устанавливающие
способ осуществления и выполнения конкретных действий, связанных с
информационной безопасностью, в рамках технологических процессов,
используемых в Банке, либо ограничения по выполнению отдельных действий,
связанных с реализацией защитных мер, в используемых технологических
процессах (технические задания, регламенты, порядки, инструкции);
документы, содержащие свидетельства выполненной деятельности по обеспечению
информационной
безопасности,
отражают
достигнутые
результаты
(промежуточные и окончательные), относящиеся к обеспечению информационной
безопасности Банка.
11.3. Также методами контроля выполнения настоящей Политики признаются:
аудит;
самооценка;
оценка соответствия.
12.
Заключительные положения
12.1. Требования настоящей Политики могут уточняться и дополняться другими
внутренними нормативными документами Банка (например, частными политиками и
положениями).
12.2. Плановый пересмотр настоящей Политики осуществляется не реже одного раза в 24
месяца.
12.3. Внеплановый пересмотр настоящей Политики осуществляется:
по результатам анализа инцидентов информационной безопасности, актуальности,
достаточности и эффективности используемых мер обеспечения информационной
безопасности;
по результатам проведения внутренних аудитов (в том числе самооценке)
информационной безопасности и других контрольных мероприятий;
при изменении либо выходе нового Стандарта Банка России «Обеспечение
информационной безопасности организаций банковской системы Российской
Федерации» (настоящая Политика создана на базе СТО БР ИББС-1.0-2014).
12.4. Ответственным за организацию внесения изменений в настоящую Политику
является руководитель Службы информационной безопасности.
12
Политика информационной безопасности
Скачать