Концепция информационной безопасности ОАО Банк

реклама
УТВЕРЖДАЮ
Председатель Совета директоров
Открытого акционерного общества
«Росгосстрах Банк»
___________ С.Э.Хачатуров
(Протокол заседания Совета директоров
Открытого акционерного общества
«Росгосстрах Банк» №11.06/2013-1
от «14» июня 2013 г.)
КОНЦЕПЦИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Открытого акционерного общества «Росгосстрах Банк»
(редакция 1)
г. Москва, 2013
ОГЛАВЛЕНИЕ
1.
ОБЩИЕ ПОЛОЖЕНИЯ ........................................................................................................3
2.
СПИСОК ТЕРМИНОВ И ОПРЕДЕЛЕНИЙ .......................................................................3
3.
ЦЕЛИ И ЗАДАЧИ БАНКА В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ .4
4.
ПОЗИЦИЯ
РУКОВОДСТВА
БАНКА
В
ОБЛАСТИ
ОБЕСПЕЧЕНИЯ
ИМНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ............................................................................5
5.
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ ................................................................................5
2
1.
ОБЩИЕ ПОЛОЖЕНИЯ
1.1.
Концепция информационной безопасности Открытого акционерного общества
«Росгосстрах Банк» (далее - Концепция) разработана в соответствии со
Стратегией развития Открытого акционерного общества «Росгосстрах Банк»
(далее - Банк) и представляет собой официально принятую Руководством Банка
систему взглядов на проблему обеспечения информационной безопасности Банка.
1.2.
Настоящая Концепция распространяет свое действие на всех работников Банка, а
также на физических и юридических лиц и их представителей, представителей
контролирующих и надзорных органов или иных органов, организаций,
учреждений, с которыми Банк взаимодействует для осуществления своей
деятельности.
1.3.
Настоящая Концепция утверждается Председателем Совета директоров Банка.
Концепция может быть изменена и признана утратившим силу на основании
решения Совета директоров Банка.
2.
2.1.
СПИСОК ТЕРМИНОВ И ОПРЕДЕЛЕНИЙ
Актив - все, что имеет ценность для Банка и находится в его распоряжении.
К активам Банка относятся:
- работники (персонал);
- финансовые (денежные) средства, средства вычислительной техники,
телекоммуникационные средства и пр.;
- различные виды банковской информации - платежная, финансовоаналитическая, служебная, управляющая, персональные данные и пр.;
- банковские процессы (банковские платежные технологические процессы,
банковские информационные технологические процессы);
- банковские продукты и услуги, предоставляемые клиентам.
2.2.
Банк – Открытое акционерное общество «Росгосстрах Банк».
2.3.
Информационная безопасность – состояние и режим эксплуатации средств
хранения, доставки и автоматизированной обработки, при котором
обеспечивается уровень защиты информационных активов, достаточный для
минимизации ущерба, вызванного возможными нарушениями безопасности.
2.4.
Информационный актив – различные виды банковской информации (платежной,
финансово-аналитической, служебной, управляющей, справочной и пр.) на всех
этапах ее жизненного цикла, обеспечивающей основную деятельность Банка и
представляющей ценность с точки зрения достижения поставленных бизнесцелей.
2.5.
Риск – мера, учитывающая вероятность реализации угрозы и величину потерь
(ущерба) от реализации этой угрозы.
2.5.1.
Риск технологий и систем (ИТ-риск) – риск потерь, обусловленных
несовершенством используемых Банком технологий: недостаточной емкостью
систем, их неадекватностью проводимым операциям, грубости методов обработки
данных, включая, отказы оборудования, программные ошибки, простои систем,
низкое качество или неадекватность используемых данных и т.д.
2.5.2.
Риск информационной безопасности – риск, являющийся составной частью ИТриска, возникающий вследствие наличия угроз безопасности информационным
активам Банка.
3
2.6.
Руководство Банка – Члены Совета директоров, Председатель Совета
директоров, Члены Правления, Председатель Правления, Заместители
Председателя Правления.
2.7.
Система обеспечения информационной безопасности – часть общей системы
менеджмента Банка, основывающаяся на подходе бизнес-риска, предназначенная
для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и
повышения информационной безопасности Банка. Включает структуру,
политики, совокупность мероприятий, методов и средств, обеспечивающих
требуемый уровень безопасности информационных активов участниками
соответствующих процессов.
3.
ЦЕЛИ И ЗАДАЧИ БАНКА В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
3.1.
Банк стремится обеспечить свою собственную безопасность - безопасность своего
бизнеса, а также безопасность своих клиентов и работников.
3.2.
Стратегия Банка в части противодействия угрозам в информационной сфере
заключается в сбалансированном применении защитных мер: от мер на уровне
бизнеса Банка, до специализированных мер информационной безопасности,
основанных на оценке рисков информационной безопасности.
3.3.
Целью обеспечения информационной безопасности Банка является достижение,
контроль и совершенствование защищенности интересов Банка при воздействии
угроз в информационной сфере в контексте развития бизнеса Банка, в том числе и
с использованием новейших технологий оказания банковских услуг.
3.4.
Задачами Банка в области информационной безопасности являются:
3.5.
− защита репутации Банка;
− сокращение издержек, предупреждение и снижение операционных потерь;
− достижение уровня информационной безопасности Банка, обеспечивающего
полноценную защиту информации в пределах Банка и отвечающего
требованиям законодательства Российской Федерации по защите банковской
тайны, персональных данных и других норм, а также норм финансовых
регуляторов в части информационной безопасности кредитных организаций и
мер контроля защищенности;
− формирование и реализация в соответствии с потребностями и возможностями
Банка требований по режиму защиты внутрибанковской информации;
− обеспечение защищенности операций клиентов Банка, обеспечение
информационной безопасности при взаимодействии с контрагентами,
поставщиками продуктов и услуг, информирование клиентов о факторах
рисков информационной безопасности банковских операций и возможных
мерах противодействия;
− достижение адекватности мер защиты от актуальных угроз информационной
безопасности;
− инициирование/согласование/принятие
соответствующих
внутренних
документов по информационной безопасности, реализация программ по
осведомленности и обучению персонала Банка;
− обеспечение непрерывности бизнеса.
Успешность достижения целей и задач, определенных настоящей Концепцией
зависит от ряда факторов, ключевыми из которых являются:
− поддержка руководства Банка при создании и развитии системы обеспечения
информационной безопасности;
4
− наличие подразделения по информационной безопасности, в полномочия
которого входит рассмотрение стратегии развития системы обеспечения
информационной безопасности;
− конкретная и обоснованная программа мероприятий, в рамках системы
обеспечения информационной безопасности, актуализируемая на регулярной
основе;
− наличие ресурсов для системы обеспечения информационной безопасности.
4.
ПОЗИЦИЯ
РУКОВОДСТВА
БАНКА
ИМНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В
ОБЛАСТИ
ОБЕСПЕЧЕНИЯ
4.1.
Руководство Банка осознает важность и необходимость внимания к задаче
развития и совершенствования мер и средств обеспечения информационной
безопасности Банка в контексте развития законодательства и норм регулирования
банковской деятельности, а также развития реализуемых банковских технологий
и ожиданий клиентов Банка и других заинтересованных сторон.
4.2.
Руководство Банка рассматривает вопрос обеспечения информационной
безопасности Банка, как системный и высокотехнологичный производственный
процесс, имеющий стратегическое значение для развития бизнеса Банка в целом.
4.3.
С точки зрения Руководства Банка, информация, обрабатываемая в Банке,
является одним из главных активов и нуждается в защите. Это обусловлено:
− государственным регулированием кредитно-финансовой сферы в области
защиты информации;
− наличием у Банка сведений, составляющих тайну клиента, в случае
разглашения которой клиент, чьи права нарушены, имеет право потребовать от
Банка возмещения причиненных убытков;
− статусом Банка, как социально-значимой организации, устойчивость
функционирования которой связана с жизненными интересами значительного
числа его клиентов.
4.4.
Руководство Банка считает, что конкурентоспособность и устойчивость Банка
обеспечивается
целостностью,
конфиденциальностью
и
доступностью
информационных активов Банка, которые нуждаются в соответствующей защите.
4.5.
Руководство Банка считает обеспечение информационной безопасности одной из
важнейших задач для всех работников Банка.
4.6.
Руководство Банка полагает, что состояние информационной безопасности в
Банке в значительной мере определяется безупречной исполнительской
дисциплиной работников, их культурой обращения с документами и со
служебной информацией. Эти качества работников Руководство Банка ценит
столь же высоко, как и их высокий профессионализм и ожидает от всех
работников должного понимания и выполнения требований в области
обеспечения информационной безопасности.
5.
5.1.
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
В своей деятельности по обеспечению информационной безопасности, Банк,
наряду с требованиями законодательства РФ и норм национального банковского
регулирования, руководствуется передовым отечественным и зарубежным
5
опытом и соответствующими стандартами обеспечения информационной
безопасности, включая требованиями стандартов Банка России по
информационной безопасности из комплекса стандартов СТО БР ИББС, в том
числе принципами, сформулированными в Стандарте Банка России СТО БР
ИББС-1.0 «Обеспечение информационной безопасности организаций банковской
системы Российской Федерации. Общие положения», а именно:
− Своевременность обнаружения проблем в информационной сфере Банка,
потенциально способных повлиять на бизнес-цели Банка;
− Прогнозируемость развития проблем, выявление причинно-следственных
связей возможных проблем и построения на этой основе точного прогноза их
развития;
− Контролируемость защитных мер, применение только тех защитных мер,
правильность работы которых может быть проверена, и регулярной оценки
адекватности защитных мер и эффективности их реализации с учетом влияния
защитных мер на бизнес-цели Банка;
− Использование опыта при принятии и реализации решений, накопление,
обобщение и использование, как своего опыта, так и опыта других организаций
в обеспечении информационной безопасности на всех уровнях принятия
решений и их исполнения;
− Определенность целей, определение во внутренних документах Банка
функциональных целей и целей обеспечения информационной безопасности
Банка;
− Персонификация и адекватное разделение полномочий и ответственности,
персонификация ответственности должностных лиц Банка за решения,
связанные с его активами.
5.2.
Реализация положений настоящей Концепции осуществляется в соответствии с
требованиями
«Политики
информационной
безопасности
Открытого
акционерного общества «Росгосстрах Банк»» в действующей редакции и
развивающими ее внутренними документами по обеспечению информационной
безопасности Банка в рамках Системы обеспечения информационной
безопасности Банка.
6
Скачать