Политика информационной безопасности "РЕГНУМ БАНК" (ООО

реклама
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Политика информационной безопасности "РЕГНУМ БАНК" (ООО) (далее – Банк)
представляет собой официально принятую руководством Банка систему взглядов
на проблему обеспечения информационной безопасности Банка.
Банк стремится обеспечить свою собственную безопасность - безопасность своего бизнеса,
а также безопасность своих клиентов.
В связи с тотальным применением электронной обработки информации возрастает
опасность нарушения безопасности информации являющейся коммерческой и банковской
тайной, персональными данными работников и клиентов Банка и т. д.
Обеспечение информационной безопасности Банка затрагивает всех работников Банка,
а также представителей внешних сторон, с которыми Банк взаимодействует для
осуществления своей деятельности.
Руководство Банка осознает важность и необходимость внимания к задаче развития
и совершенствования мер и средств обеспечения информационной безопасности Банка
в контексте развития законодательства и норм регулирования банковской деятельности,
а также развития реализуемых банковских технологий и ожиданий клиентов Банка и других
заинтересованных сторон.
Стратегия Банка в части противодействия угрозам в информационной сфере заключается
в сбалансированном применении защитных мер различной природы: от мер на уровне
бизнеса Банка, до специализированных мер информационной безопасности, основанных
на оценке рисков информационной безопасности.
В своей практической деятельности по обеспечению информационной безопасности, Банк,
наряду с требованиями законодательства и норм национального банковского
регулирования, руководствуется передовым отечественным и зарубежным опытом
и соответствующими стандартами обеспечения информационной безопасности. Стратегия
Банка наряду с прочим включает следование в практической деятельности требованиям
стандартов Банка России по информационной безопасности из комплекса стандартов СТО
БР ИББС, в том числе и требованиям стандарта СТО БР ИББС-1.0 «Обеспечение
информационной безопасности организаций банковской системы Российской Федерации.
Общие положения».
Целью обеспечения информационной безопасности Банка является достижение, контроль
и совершенствование защищенности интересов Банка при воздействии угроз
в информационной сфере в контексте развития бизнеса Банка, в том числе
и с использованием новейших технологий оказания банковских услуг.
Обеспечение информационной безопасности Банка достигается реализацией комплекса
необходимых мер, поддерживаемых каждым работником Банка на своем рабочем месте
в необходимой и определенной для него мере в соответствии с положениями внутренних
документов по обеспечению информационной безопасности Банка.
Задачами обеспечения информационной безопасности Банка являются:









реализация требований законодательства Российской Федерации по защите
персональных данных и банковской тайны и других норм, а также норм финансовых
регуляторов в части информационной безопасности кредитных организаций и мер
контроля защищенности;
формирование и реализация в соответствии с потребностями и возможностями
Банка требований по режиму коммерческой тайны, защите внутрибанковской
информации;
содействие в обеспечении защищенности реализуемых Банком банковских
технологических процессов и предоставляемых банковских продуктов и услуг через
привлечение
Службы
безопасности
Банка
к
процедурам
оценки
ценности/значимости
информационных
активов
Банка,
выбора
мер
противодействия угрозам в информационной сфере Банка и использования средств
контроля (защитных мер) в банковских технологических процессах;
содействие в обеспечении защищенности операций клиентов Банка, обеспечения
информационной безопасности при взаимодействии с контрагентами,
поставщиками продуктов и услуг;
планирование, реализация и контроль использования защитных мер
информационной безопасности, прогнозирование развития событий на основе
мониторинга и менеджмента инцидентов информационной безопасности;
координация всех видов деятельности Банка в целях обеспечения информационной
безопасности, в том числе и через инициирование/согласование/принятие
соответствующих внутренних документов информационной безопасности Банка,
реализацию программ по осведомленности и обучению персонала Банка,
информированию своих клиентов о факторах рисков информационной безопасности
банковских операций и возможным мерам противодействия;
содействие минимизации ущерба и быстрейшему восстановлению видов
деятельности Банка, пострадавших в результате кризисных ситуаций, участие
в расследовании причин возникновения таких ситуаций и принятии
соответствующих мер по их предотвращению;
своевременное информирование руководства Банка по состоянию информационной
безопасности Банка;
согласование с руководством Банка планов и стратегий развития
и совершенствования обеспечения информационной безопасности Банка в контексте
планов развития бизнеса Банка.
В своей деятельности по обеспечению информационной безопасности Банк
руководствуется принципами, сформулированными в стандарте Банка России СТО
БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской
системы Российской Федерации. Общие положения», включая следующие:






Своевременность
обнаружения
проблем,
определяющий
потребность
своевременного обнаружения проблем в информационной сфере Банка,
потенциально способных повлиять на бизнес-цели Банка.
Прогнозируемость развития проблем, определяющий потребность выявления
причинно-следственных связей возможных проблем и построения на этой основе
точного прогноза их развития.
Контролируемость защитных мер, определяющий потребность применения только
тех защитных мер, правильность работы которых может быть проверена,
и регулярной оценки адекватности защитных мер и эффективности их реализации
с учетом влияния защитных мер на бизнес-цели Банка.
Использование опыта при принятии и реализации решений, определяющий
потребность накопления, обобщения и использования, как своего опыта, так и опыта
других организаций в обеспечении информационной безопасности на всех уровнях
принятия решений и их исполнения.
Определенность целей, определяющий потребность явного определения
во внутренних документах Банка функциональных целей и целей обеспечения
информационной безопасности Банка. Их неопределенность может привести
к «расплывчатости» организационной структуры, ролей персонала, политик
информационной безопасности и невозможности оценки адекватности принятых
защитных мер.
Персонификация и адекватное разделение ролей и ответственности, определяющий
потребность персонификации ответственности должностных лиц Банка за решения,
связанные с его активами. Персонификация ответственности должна
осуществляться преимущественно в форме поручительства, и она должна быть
адекватной степени влияния решений на цели Банка, фиксироваться в политиках,
контролироваться и совершенствоваться.
Реализация положений настоящего документа осуществляется в соответствии
с требованиями «Политики информационной безопасности "РЕГНУМ БАНК" (ООО)»
и развивающими ее внутренними документами по обеспечению информационной
безопасности Банка в рамках системы обеспечения информационной безопасности.
Скачать