4. Информационные ресурсы Банка - Альфа-Банк

ЗАО «Альфа-Банк»
ПОЛИТИКА
предоставления доступа третьим лицам к информационным
ресурсам
ЗАО «Альфа-Банк»
Версия 1.0
Киев – 2007
Политика предоставления доступа третьим лицам к информационным ресурсам
Информация о документе: «Политика предоставления доступа третьим лицам к
информационным ресурсам ЗАО «Альфа-Банк»
1. Основные положения
Данное положение предназначено для сотрудников ЗАО «Альфа-Банк» и
определяет порядок инициации, согласования и предоставления (отзыва) доступа
третьим лицам ко всем информационным ресурсам Банка и устанавливает основные
требования к работе с ресурсами информационной системы Банка.
Целью определения порядка предоставления доступа третьих лиц к
информационным ресурсам Банка является изложение процедуры предоставления и
осуществления доступа с учётом максимального обеспечения безопасности
конфиденциальной информации Банка и недопущения возможности её утечки.
Все иные операции третьих лиц, не описанные в настоящем положении, а также
использование либо попытки доступа к информационным ресурсам вне предоставленных
им прав доступа запрещаются.
Требования настоящей Политики обязательны к выполнению всеми третьими
лицами,
осуществляющими
сотрудничество
с
Банком
и
использующими
информационные ресурсы Банка. Контроль за выполнением требований настоящей
Политики третьими лицами осуществляют сотрудники Банка, являющиеся инициаторами
сотрудничества.
Все права доступа третьих лиц к информационным ресурсам Банка
предоставляются временно и должны быть отозваны. Условия предоставления прав
изложены в п.6.
2. Нормативные ссылки
При разработке данного документа использованы нормативные ссылки документа
«Политика информационной безопасности ЗАО «Альфа-Банк», «Политика предоставления
доступа к ресурсам информационной системы ЗАО «Альфа-Банк».
3. Термины и определения
Банк – Закрытое Акционерное Общество «Альфа-Банк», включая отделения и
представительства.
УИБ – Управление информационной безопасности Банка.
ОКД – Отдел контроля доступа Управления информационной безопасности.
Корпоративная информационная система (КИС) – автоматизированная система
обработки информации Банка.
Информационные ресурсы – документы и массивы документов в разных формах и
видах, содержащие информацию по всем направлениям жизнедеятельности.
Информационные ресурсы Банка складываются из исходной банковской информации и
результатов ее обработки, системного, сетевого, операционного и инструментального
программного обеспечения (ПО), нормативной и сопроводительной документации.
Критичные ресурсы – информационные ресурсы охватывающие сведения в
области деятельности Банка, разглашение, утрата либо выведение из строя которых
может принести определённый ущерб Банку. К критичным ресурсам относится как
ЗАО «Альфа-Банк»
Страница 2 из 9
Политика предоставления доступа третьим лицам к информационным ресурсам
электронная конфиденциальная информация Банка, так и аппаратно-программные
продукты, без которых циркуляция потоков информационных ресурсов станет
невозможной.
Инициатор сотрудничества с третьими лицами – сотрудник Банка наделённый
определёнными правами, которому в процессе выполнения возложенных на него
функциональных обязанностей необходимо сотрудничать с лицами, не являющимися
сотрудниками Банка, с целью улучшения трудового процесса, повышения
производительности либо предоставление иных благ, прямо или косвенно приносящих
прибыль Банку.
Третье лицо (сторона) – юридическое лицо, с которым достигнуто соглашение
(заключён договор) об определённом виде сотрудничества, а также в письменном виде
оговорены условия конфиденциальности.
Доступ к системе – авторизованный доступ либо доступ не требующий
авторизации к КИС Банка через операционную систему находящегося в домене Банка
компьютера.
4. Информационные ресурсы Банка
4.1
Информационные ресурсы Банка формируются в результате
деятельности Банка путем внедрения новых ресурсов, изменения или
отказа от использования существующих.
4.2
Ресурсы ИС Банка разделяются на следующие группы:

программные комплексы по учету банковских финансовых операций;

прочие программные комплексы;

почтовая система и базы данных Lotus Notes;

сервисы глобальной сети Internet;

интранет-приложения;

файловые ресурсы.
4.2.1 К программным комплексам по учету банковских финансовых операций относятся:

автоматизированная банковская система "Б-2";

программный комплекс по выпуску и обслуживанию пластиковых карточек
международной платежной системы Visa Int. "BCZ-Card" и "BCZ-PINprint";

программный комплекс по учету операций с ценными бумагами "Front OfficeBack Office" (в отделениях отсутствует).
4.2.2 К прочим программным комплексам относится ПО, использование которого
обусловлено выполнением должностных обязанностей пользователей или
выполнением определенной роли. Например, для выполнения должностных
обязанностей кассира необходимо ПО "Western Union"; для дилеров Казначейства
необходим Reuters, АРМ подтверждения соглашений на межбанковском валютном
рынке Украины; для роли "администратор АРМ НБУ" необходим доступ к ПО АРМ
НБУ и т.п.
4.2.3 К базам данных Lotus Notes относятся специализированные данные, хранимые в
LN, используемые структурными подразделениями Банка, которые этими данными
распоряжаются.
4.2.4 К интранет-приложениям относятся Информационно-справочная система (ИСС)
Банка, Информационно-аналитический портал (ИАП) и Информационносправочная система (ИСС) ОАО "Альфа-Банк".
ЗАО «Альфа-Банк»
Страница 3 из 9
Политика предоставления доступа третьим лицам к информационным ресурсам
4.2.5 Под файловыми ресурсами понимаются наборы файлов, объединенных в
директории (папки) и являющимися сетевыми ресурсами доменной структуры.
5. Категории третьих лиц, имеющих доступ к
информационным ресурсам Банка
5.1



Третьи лица, имеющие доступ к информационным ресурсам Банка
разделяются на 3 категории по уровню доступа:
третьи лица, которым предоставлен доступ к Internet через КИС Банка, однако
исключён непосредственный доступ ко всем остальным информационным
ресурсам Банка, в том числе и критичным;
третьи лица, имеющие доступ к оборудованию, коммуникациям, каналам связи,
а также их установке, без возможности непосредственного доступа к системе и
КИС Банка;
третьи лица, которым разрешён обоснованный доступ к КИС Банка и как
следствие: вероятная возможность воздействия на критичные ресурсы Банка, а
также те третьи лица, которым явно разрешён доступ к критичным ресурсам
Банка.
5.2
Решение о том, что третьему лицу, осуществляющему сотрудничество с
Банком, необходим доступ к информационным ресурсам Банка,
принимает сотрудник Банка - инициатор сотрудничества со стороны
Банка по согласованию с начальником структурного подразделения.
Документом, подтверждающим данный факт, является подписанный
обеими сторонами договор (о предоставлении услуг, аренде и т.п.).
5.3
Доступ сотрудников третьей стороны к информационным ресурсам
Банка возможен только при условии наличия подписанного договора о
конфиденциальности между Банком и третьей стороной или наличия
раздела о конфиденциальности в договоре на предоставление услуг
(сотрудничестве, аренде и т.п.). В случае отсутствия договора о
конфиденциальности или раздела о конфиденциальности в договоре о
предоставлении услуг каждый из сотрудников третьей стороны,
которому требуется доступ к информационным ресурсам Банка, в
обязательном порядке подписывает обязательство о неразглашении
конфиденциальных сведений Банка третьими лицами (Приложение 1).
6. Порядок предоставления доступа третьим лицам к
информационным ресурсам Банка
6.1
На основании подписанного договора с оговоренными условиями
конфиденциальности, а также изложенным объемом работ в пределах
информационных ресурсов Банка определяется список лиц третьей
стороны, которые будут осуществлять доступ к информационным
ресурсам Банка и подробная информация о них и действиях
выполняемых каждым, направляется в виде служебной записки через
электронную почту Lotus Notes в адрес начальника ОКД либо
ЗАО «Альфа-Банк»
Страница 4 из 9
Политика предоставления доступа третьим лицам к информационным ресурсам
начальника УИБ (Приложение 2). В обязательном порядке требуют
согласования с указанием веских обоснований:
6.1.1
6.1.2
Схемы подключения к КИС Банка.
Перечень ресурсов, которые будут использоваться третьими лицами, с какой
целью, в каком объеме, на протяжении какого промежутка времени и в какое
время суток.
Места физического и удаленного доступа третьих лиц, а также места
установки нового оборудования.
Точные сроки осуществления доступа к информационным ресурсам Банка:
6.1.3
6.1.4

Временно – выполнение работ продолжительностью до одного месяца.

Долгосрочно – выполнение работ свыше одного месяца должно быть
оговорено в договорах (аренды помещений Банка, предоставление услуг
Банку либо Банком, поставки, установки и/или отладки оборудования,
программных продуктов и т.д.) как сроки выполнения работ.
6.2
В ОКД фиксируется запрос на предоставление доступа к
информационным ресурсам Банка третьей стороне в электронном
Журнале учёта доступа третьих лиц к информационным ресурсам Банка,
изучается полнота предоставленных данных на соответствие п. 6.1 и
проверяется удовлетворение условиям п. 5.3. В случае необходимости
ОКД инициирует подписание обязательств о неразглашении
конфиденциальных сведений Банка третьими лицами (Приложение 1).
6.3
После положительного завершения процедуры оформления запроса на
доступ третьих лиц и его согласования доступ исполняется, в случае
необходимости авторизуется и в Журнале учёта доступа третьих лиц к
информационным ресурсам Банка проставляются сроки, а также
условия
предоставления доступа, о чём сообщается инициатору
сотрудничества. В случае отказа сотруднику Банка – инициатору
сотрудничества с третьей стороной указывается мотивация отказа и
возможные условия предоставления доступа.
6.4
Доступ,
осуществляемый
третьими
лицами,
должен
быть
подконтрольным, авторизованным и фиксированным, более подробный
формат контроля изложен в заключение согласованного запроса и
зависит от характера выполняемых работ.
6.5
Сроки предоставления доступа отслеживаются сотрудниками ОКД
ежедневным просмотром Журнала учёта доступа третьих лиц к
информационным ресурсам Банка и заблаговременным уведомлением
инициатора сотрудничества с третьими лицами об окончании срока
предоставления доступа или необходимости продления доступа. По
окончании действительного отзыва доступа у сотрудников третьей
стороны в Журнале доступа третьих лиц к информационным ресурсам
Банка осуществляется отметка об окончании предоставления доступа.
ЗАО «Альфа-Банк»
Страница 5 из 9
Политика предоставления доступа третьим лицам к информационным ресурсам
7. Изменение прав доступа
7.1
Изменение прав доступа возможно после подписания дополнительного
соглашения с указанием веского обоснования необходимости
изменения прав доступа в случаях:
7.1.1
7.1.2
7.1.3
7.2
Расширения/изменения функциональности предоставляемого доступа.
Увеличения срока, изменении времени и режимов предоставляемого
доступа.
Замена либо увеличение количества третьих лиц осуществляющих доступ к
информационным ресурсам Банка.
Все изменения прав доступа проходят дополнительное согласование
изложенное в п. 6.
8. Отзыв прав доступа
8.1


Отзыв прав доступа может быть инициирован:
сотрудником Банка – инициатором сотрудничества с третьими лицами;
начальником УИБ (в случае если действия третьих лиц представляют угрозу
безопасности Банка либо превышают предоставленные права доступа) или
начальником ОКД.
8.2
В случае инициации отзыва начальником УИБ или начальником ОКД все
предоставленные права временно блокируются, а критичные
отзываются до выяснения обстоятельств и устранения причин угрозы.
8.3
По завершении срока предоставления прав все права отзываются по
письменному
обращению
сотрудника
Банка
–
инициатора
сотрудничества с третьими лицами.
9. Полномочия третьих лиц и ответственность
9.1
При работе с информационными ресурсами Банка третьи лица обязаны:

осуществлять только авторизованный
информационным ресурсам Банка;

неукоснительно соблюдать условия договора, правила и режим доступа к
информационным ресурсам Банка;

никому не сообщать ставших известными в процессе своей деятельности сведений о
ресурсах Банка, а также предоставленных Банком параметров аутентификации
(паролей доступа, ключей, алгоритмов доступа к критичным ресурсам и т.п.);

по истечении времени отведённого на выполнение работ на протяжении рабочего
дня, о своём уходе ставить в известность сотрудника Банка – инициатора
сотрудничества, который при этом удостоверяется в удовлетворительном состоянии
информационных ресурсов;

не пытаться самовольно (без согласования п.7) превысить предоставленные
полномочия при осуществлении доступа к информационным ресурсам Банка.
9.2
При использовании информационных ресурсов Банка третьим лицам
запрещается:
ЗАО «Альфа-Банк»
и/или
фиксированный
доступ
к
Страница 6 из 9
Политика предоставления доступа третьим лицам к информационным ресурсам

осуществлять бесконтрольный доступ к информационным ресурсам Банка;

использовать информационные ресурсы
противоречащих Законам Украины;
совершения
действий,

использовать информационные ресурсы Банка для совершения
нарушающих коммерческие и другие законные интересы Банка;
действий,

использовать информационные ресурсы Банка
нарушающих договорные обязательства с Банком;
действий,

осуществлять какие-либо несанкционированные действия, прямо либо косвенно,
оказывающие отрицательное влияние интересам Банка.
9.3
При использовании информационных ресурсов Банка третьими лицами
сотрудники Банка – инициаторы сотрудничества несут ответственность
за:

доведение до ведома третьей стороны условий предоставления доступа к
информационным ресурсам Банка;

предоставление возможности осуществления третьей стороной условий договора
при осуществлении доступа к информационным ресурсам Банка в рамках
согласованного доступа;

осуществление контроля доступа и действий третьих лиц к информационным
ресурсам Банка;

постоянное фиксирование доступа третьих лиц с целью дальнейшего анализа;

местонахождение всех сотрудников третьей стороны во время их пребывания на
территории Банка;

своевременное предоставление и отзыв прав доступа;

выявленные нарушения, нанесённый ущерб и выведенные из строя составные части
информационных потоков, в соответствии с действующим законодательством
Украины, а также в зависимости от убытков, причинённых Банку.
ЗАО «Альфа-Банк»
Банка
для
для
совершения
Страница 7 из 9
Политика предоставления доступа третьим лицам к информационным ресурсам
Приложение 1
ОБЯЗАТЕЛЬСТВО
о неразглашении конфиденциальных сведений ЗАО "Альфа-Банк"
третьими лицами
ЗАО «Альфа-Банк»
Страница 8 из 9
Политика предоставления доступа третьим лицам к информационным ресурсам
Приложение 2
Перечень
лиц осуществляющих доступ к информационным ресурсам
ЗАО «Альфа-Банк» на основании договора от ___.___.20__, №______
о ________________________________________________________________________________
с Компанией _____________________________________
1. Паспортные данные лиц выполняющих работы:
№
пп
ФИО
1
Петров Петр
Петрович
Серия, № паспорта
Кем и когда
выдан
Дата и место
рождения
Адрес
прописки
СН 123456
Ватутинским РУГУ
МВД Украины в
г. Киеве
01.01.07
28.02.1975
02050, г. Киев,
ул. Крещатик
8, кв. 1
2
2. Объем осуществляемого доступа с веским обоснованием:
С
целью
поставки
нового
оборудования
предназначенного
для
_________________________________________ прошу предоставить вышеперечисленным
сотрудникам Компании ______________________________ возможность установки,
включения в корпоративную сеть и настройки _____ серверов в помещение __________,
а также осуществления авторизованного доступа в систему с рабочего места
________________ для отладки и синхронизации.
Работы будут проводиться с 02.01.08 по 07.01.08 в дневное время с 12.00 до 16.00,
а отладка и включение в корпоративную сеть 08.01.08 и 09.01.07 с 00.00 до 06.00.
Прошу согласовать и предоставить доступ до 01.01.08.
По завершении работ обязуюсь в срочном порядке отозвать запрошенные права
доступа.
Начальник отдела развития каналов продаж
ЗАО «Альфа-Банк»
И. Сидоров
Страница 9 из 9