УТВЕРЖДАЮ Председатель Совета директоров Открытого акционерного общества «Росгосстрах Банк» ___________ С.Э.Хачатуров (Протокол заседания Совета директоров Открытого акционерного общества «Росгосстрах Банк» №11.06/2013-1 от «14» июня 2013 г.) КОНЦЕПЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Открытого акционерного общества «Росгосстрах Банк» (редакция 1) г. Москва, 2013 ОГЛАВЛЕНИЕ 1. ОБЩИЕ ПОЛОЖЕНИЯ ........................................................................................................3 2. СПИСОК ТЕРМИНОВ И ОПРЕДЕЛЕНИЙ .......................................................................3 3. ЦЕЛИ И ЗАДАЧИ БАНКА В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ .4 4. ПОЗИЦИЯ РУКОВОДСТВА БАНКА В ОБЛАСТИ ОБЕСПЕЧЕНИЯ ИМНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ............................................................................5 5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ ................................................................................5 2 1. ОБЩИЕ ПОЛОЖЕНИЯ 1.1. Концепция информационной безопасности Открытого акционерного общества «Росгосстрах Банк» (далее - Концепция) разработана в соответствии со Стратегией развития Открытого акционерного общества «Росгосстрах Банк» (далее - Банк) и представляет собой официально принятую Руководством Банка систему взглядов на проблему обеспечения информационной безопасности Банка. 1.2. Настоящая Концепция распространяет свое действие на всех работников Банка, а также на физических и юридических лиц и их представителей, представителей контролирующих и надзорных органов или иных органов, организаций, учреждений, с которыми Банк взаимодействует для осуществления своей деятельности. 1.3. Настоящая Концепция утверждается Председателем Совета директоров Банка. Концепция может быть изменена и признана утратившим силу на основании решения Совета директоров Банка. 2. 2.1. СПИСОК ТЕРМИНОВ И ОПРЕДЕЛЕНИЙ Актив - все, что имеет ценность для Банка и находится в его распоряжении. К активам Банка относятся: - работники (персонал); - финансовые (денежные) средства, средства вычислительной техники, телекоммуникационные средства и пр.; - различные виды банковской информации - платежная, финансовоаналитическая, служебная, управляющая, персональные данные и пр.; - банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы); - банковские продукты и услуги, предоставляемые клиентам. 2.2. Банк – Открытое акционерное общество «Росгосстрах Банк». 2.3. Информационная безопасность – состояние и режим эксплуатации средств хранения, доставки и автоматизированной обработки, при котором обеспечивается уровень защиты информационных активов, достаточный для минимизации ущерба, вызванного возможными нарушениями безопасности. 2.4. Информационный актив – различные виды банковской информации (платежной, финансово-аналитической, служебной, управляющей, справочной и пр.) на всех этапах ее жизненного цикла, обеспечивающей основную деятельность Банка и представляющей ценность с точки зрения достижения поставленных бизнесцелей. 2.5. Риск – мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы. 2.5.1. Риск технологий и систем (ИТ-риск) – риск потерь, обусловленных несовершенством используемых Банком технологий: недостаточной емкостью систем, их неадекватностью проводимым операциям, грубости методов обработки данных, включая, отказы оборудования, программные ошибки, простои систем, низкое качество или неадекватность используемых данных и т.д. 2.5.2. Риск информационной безопасности – риск, являющийся составной частью ИТриска, возникающий вследствие наличия угроз безопасности информационным активам Банка. 3 2.6. Руководство Банка – Члены Совета директоров, Председатель Совета директоров, Члены Правления, Председатель Правления, Заместители Председателя Правления. 2.7. Система обеспечения информационной безопасности – часть общей системы менеджмента Банка, основывающаяся на подходе бизнес-риска, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения информационной безопасности Банка. Включает структуру, политики, совокупность мероприятий, методов и средств, обеспечивающих требуемый уровень безопасности информационных активов участниками соответствующих процессов. 3. ЦЕЛИ И ЗАДАЧИ БАНКА В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 3.1. Банк стремится обеспечить свою собственную безопасность - безопасность своего бизнеса, а также безопасность своих клиентов и работников. 3.2. Стратегия Банка в части противодействия угрозам в информационной сфере заключается в сбалансированном применении защитных мер: от мер на уровне бизнеса Банка, до специализированных мер информационной безопасности, основанных на оценке рисков информационной безопасности. 3.3. Целью обеспечения информационной безопасности Банка является достижение, контроль и совершенствование защищенности интересов Банка при воздействии угроз в информационной сфере в контексте развития бизнеса Банка, в том числе и с использованием новейших технологий оказания банковских услуг. 3.4. Задачами Банка в области информационной безопасности являются: 3.5. − защита репутации Банка; − сокращение издержек, предупреждение и снижение операционных потерь; − достижение уровня информационной безопасности Банка, обеспечивающего полноценную защиту информации в пределах Банка и отвечающего требованиям законодательства Российской Федерации по защите банковской тайны, персональных данных и других норм, а также норм финансовых регуляторов в части информационной безопасности кредитных организаций и мер контроля защищенности; − формирование и реализация в соответствии с потребностями и возможностями Банка требований по режиму защиты внутрибанковской информации; − обеспечение защищенности операций клиентов Банка, обеспечение информационной безопасности при взаимодействии с контрагентами, поставщиками продуктов и услуг, информирование клиентов о факторах рисков информационной безопасности банковских операций и возможных мерах противодействия; − достижение адекватности мер защиты от актуальных угроз информационной безопасности; − инициирование/согласование/принятие соответствующих внутренних документов по информационной безопасности, реализация программ по осведомленности и обучению персонала Банка; − обеспечение непрерывности бизнеса. Успешность достижения целей и задач, определенных настоящей Концепцией зависит от ряда факторов, ключевыми из которых являются: − поддержка руководства Банка при создании и развитии системы обеспечения информационной безопасности; 4 − наличие подразделения по информационной безопасности, в полномочия которого входит рассмотрение стратегии развития системы обеспечения информационной безопасности; − конкретная и обоснованная программа мероприятий, в рамках системы обеспечения информационной безопасности, актуализируемая на регулярной основе; − наличие ресурсов для системы обеспечения информационной безопасности. 4. ПОЗИЦИЯ РУКОВОДСТВА БАНКА ИМНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ 4.1. Руководство Банка осознает важность и необходимость внимания к задаче развития и совершенствования мер и средств обеспечения информационной безопасности Банка в контексте развития законодательства и норм регулирования банковской деятельности, а также развития реализуемых банковских технологий и ожиданий клиентов Банка и других заинтересованных сторон. 4.2. Руководство Банка рассматривает вопрос обеспечения информационной безопасности Банка, как системный и высокотехнологичный производственный процесс, имеющий стратегическое значение для развития бизнеса Банка в целом. 4.3. С точки зрения Руководства Банка, информация, обрабатываемая в Банке, является одним из главных активов и нуждается в защите. Это обусловлено: − государственным регулированием кредитно-финансовой сферы в области защиты информации; − наличием у Банка сведений, составляющих тайну клиента, в случае разглашения которой клиент, чьи права нарушены, имеет право потребовать от Банка возмещения причиненных убытков; − статусом Банка, как социально-значимой организации, устойчивость функционирования которой связана с жизненными интересами значительного числа его клиентов. 4.4. Руководство Банка считает, что конкурентоспособность и устойчивость Банка обеспечивается целостностью, конфиденциальностью и доступностью информационных активов Банка, которые нуждаются в соответствующей защите. 4.5. Руководство Банка считает обеспечение информационной безопасности одной из важнейших задач для всех работников Банка. 4.6. Руководство Банка полагает, что состояние информационной безопасности в Банке в значительной мере определяется безупречной исполнительской дисциплиной работников, их культурой обращения с документами и со служебной информацией. Эти качества работников Руководство Банка ценит столь же высоко, как и их высокий профессионализм и ожидает от всех работников должного понимания и выполнения требований в области обеспечения информационной безопасности. 5. 5.1. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ В своей деятельности по обеспечению информационной безопасности, Банк, наряду с требованиями законодательства РФ и норм национального банковского регулирования, руководствуется передовым отечественным и зарубежным 5 опытом и соответствующими стандартами обеспечения информационной безопасности, включая требованиями стандартов Банка России по информационной безопасности из комплекса стандартов СТО БР ИББС, в том числе принципами, сформулированными в Стандарте Банка России СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», а именно: − Своевременность обнаружения проблем в информационной сфере Банка, потенциально способных повлиять на бизнес-цели Банка; − Прогнозируемость развития проблем, выявление причинно-следственных связей возможных проблем и построения на этой основе точного прогноза их развития; − Контролируемость защитных мер, применение только тех защитных мер, правильность работы которых может быть проверена, и регулярной оценки адекватности защитных мер и эффективности их реализации с учетом влияния защитных мер на бизнес-цели Банка; − Использование опыта при принятии и реализации решений, накопление, обобщение и использование, как своего опыта, так и опыта других организаций в обеспечении информационной безопасности на всех уровнях принятия решений и их исполнения; − Определенность целей, определение во внутренних документах Банка функциональных целей и целей обеспечения информационной безопасности Банка; − Персонификация и адекватное разделение полномочий и ответственности, персонификация ответственности должностных лиц Банка за решения, связанные с его активами. 5.2. Реализация положений настоящей Концепции осуществляется в соответствии с требованиями «Политики информационной безопасности Открытого акционерного общества «Росгосстрах Банк»» в действующей редакции и развивающими ее внутренними документами по обеспечению информационной безопасности Банка в рамках Системы обеспечения информационной безопасности Банка. 6