УТВЕРЖДЕНО Решением Совета директоров ЗАО «Кубаньторгбанк» (протокол № 55-2014 от 23.10.2014 г.) ПОЛИТИКА информационной безопасности ЗАО «Кубаньторгбанк» Составлено: Руководитель службы информационной безопасности ЗАО «Кубаньторгбанк» Цыкалов В.А. Согласовано: Начальник управления автоматизации бизнеса ЗАО «Кубаньторгбанк» Шайдуров А.О. Руководитель службы внутреннего аудита ЗАО «Кубаньторгбанк» Александрова М.В. г. Краснодар 2014 Политика информационной безопасности Содержание 1. Общие положения .....................................................................................................3 2. Список терминов и определений .............................................................................3 3. Перечень сокращений ...............................................................................................5 4. Цели и задачи системы обеспечения информационной безопасности ................5 5. Основные принципы обеспечения информационной безопасности ....................6 6. Общие требования по обеспечению информационной безопасности .................7 8. Организация системы обеспечения информационной безопасности ................17 Перечень используемых документов ............................................................................19 2 Политика информационной безопасности 1. Общие положения 1.1. Настоящий документ разработан в соответствии с положениями документов Банка России, иных нормативно - правовых актов Российской федерации по защите информации, а также с учетом накопленного опыта в сфере обеспечения безопасности информационных технологий. 1.2. Документ закрепляет риск–ориентированный подход к функционированию и совершенствованию системы обеспечения информационной безопасности в ЗАО «Кубаньторгбанк» (далее – Банк) и определяет: цели и задачи системы обеспечения информационной безопасности; основные принципы и общие требования по обеспечению информационной безопасности; организацию системы обеспечения информационной безопасности. 2. Список терминов и определений 2.1. Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. 2.2. Автоматизированная банковская система – автоматизированная система, реализующая банковский технологический процесс. 2.3. Авторизация – предоставление прав доступа. 2.4. Администратор информационной безопасности (ИБ) — работник Банка, на которого возложены обязанности по мониторингу ИБ и контролю защитных мер в АБС, аудиту прав и контролю действий пользователей и эксплуатирующего персонала АБС. 2.5. Аудит информационной безопасности (аудит ИБ) – независимая оценка соответствия ИБ, выполняемая работниками организации, являющейся внешней по отношению к Банку, допускающая возможность формирования профессионального аудиторского суждения о состоянии ИБ Банка. 2.6. Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора (подтверждение подлинности). 2.7. Банковский технологический процесс – технологический процесс, реализующий операции по изменению и (или) определению состояния активов Банка, используемых при функционировании или необходимых для реализации банковских услуг. 2.8. Банковский платежный технологический процесс – часть банковского технологического процесса, реализующая действия с информацией, связанные с осуществлением переводов денежных средств, платежного клиринга и расчета, и действия с архивами указанной информации. 2.9. Банковский информационный технологический процесс – часть банковского технологического процесса, реализующая действия с информацией, необходимые для выполнения Банком своих функций, и не являющаяся банковским платежным технологическим процессом. 2.10. Доступность информационных активов – свойство ИБ Банка, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимых пользователю, и в то время, когда они ему необходимы. 2.11. Идентификация – процесс присвоения идентификатора (уникального имени); сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов. 2.12. Информационный актив – информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для Банка; 3 Политика информационной безопасности находящаяся в распоряжении Банка и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме. 2.13. Информационная безопасность (ИБ) – безопасность, связанная с угрозами в информационной сфере. 2.14. Инцидент информационной безопасности – событие ИБ или их комбинация, указывающие на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ, результатом которой являются: — нарушение в СОИБ Банка, включая нарушение работы средств защиты информации; — нарушение требований законодательства Российской Федерации, нормативных актов и предписаний регулирующих и надзорных органов, внутренних документов Банка в области обеспечения ИБ, нарушение в выполнении процессов СМИБ Банка; — нарушение в выполнении банковских технологических процессов Банка; — нанесение ущерба Банку и (или) ее клиентам. 2.15. Классификация информационных активов – разделение существующих информационных активов Банка по типам, выполняемое в соответствии со степенью тяжести последствий от потери их значимых свойств ИБ. 2.16. Конфиденциальность информационных активов – свойство ИБ Банка, состоящее в том, что обработка, хранение и передача информационных активов осуществляется таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам. 2.17. Модель нарушителя информационной безопасности (модель нарушителя ИБ) – описание и классификация нарушителей ИБ, включая описание их опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, возможной мотивации их действий, а также способы реализации угроз ИБ со стороны указанных нарушителей. 2.18. Модель угроз информационной безопасности (модель угроз ИБ) – описание актуальных для Банка источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба. 2.19. Нарушитель информационной безопасности (нарушитель ИБ) – субъект, реализующий угрозы ИБ Банка, нарушая предоставленные ему полномочия по доступу к активам Банка или по распоряжению ими. 2.20. Неплатежная информация – информация, необходимая для функционирования Банка, не являющаяся платежной информацией, которая может включать в себя, например, данные статистической отчетности и внутрихозяйственной деятельности, аналитическую, финансовую, справочную информацию. 2.21. Оценка риска нарушения информационной безопасности – систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков нарушения ИБ, связанных с использованием информационных активов Банка на всех стадиях их жизненного цикла. 2.22. Оценка соответствия информационной безопасности (оценка соответствия ИБ) – систематический и документируемый процесс получения свидетельств деятельности Банка по реализации требований ИБ и установлению степени выполнения в Банке критериев оценки (аудита) ИБ. 2.23. Платежная информация – информация, на основании которой совершаются операции, связанные с осуществлением переводов денежных средств. 4 Политика информационной безопасности 2.24. Риск – мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы. 2.25. Риск нарушения информационной безопасности (риск нарушения ИБ) – риск, связанный с угрозой ИБ. 2.26. Самооценка информационной безопасности (самооценка ИБ) – оценка соответствия информационной безопасности, выполняемая работниками Банка. 2.27. Свидетельства оценки соответствия (аудита) информационной безопасности установленным критериям (свидетельства оценки соответствия (аудита) ИБ) – записи, изложение фактов или другая информация, которые имеют отношение к критериям оценки соответствия (самооценки соответствия, аудита) ИБ и могут быть проверены. 2.28. Событие ИБ — изменение состояния объекта или области мониторинга ИБ, действия работников Банка и (или) иных лиц, которые указывают на возможный инцидент ИБ. 2.29. Система информационной безопасности (СИБ) – совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение. 2.30. Система менеджмента информационной безопасности (СМИБ) – часть менеджмента Банка, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования системы обеспечения ИБ. 2.31. Система обеспечения информационной безопасности (СОИБ) – совокупность СИБ и СМИБ Банка. 2.32. Угроза информационной безопасности – угроза нарушения свойств ИБ — доступности, целостности или конфиденциальности информационных активов Банка. 2.33. Уязвимость информационной безопасности (уязвимость ИБ) – слабое место в инфраструктуре Банка, включая СОИБ, которое может быть использовано для реализации или способствовать реализации угрозы ИБ. 2.34. Целостность информационных активов – свойство ИБ Банка сохранять неизменность или исправлять обнаруженные изменения в своих информационных активах. 3. Перечень сокращений АБС ГМД ИТ (IT) ЛВС ПО СОИБ ЦБ РФ СУБД ЭП ИБ - Автоматизированная банковская система Гибкий магнитный диск Информационные технологии Локальная вычислительная сеть Программное обеспечение Система обеспечения информационной безопасности Центральный банк Российской Федерации Система управления базами данных Электронная подпись Информационная безопасность 4. Цели и задачи системы обеспечения информационной безопасности 4.1. Цель системы обеспечения информационной безопасности – создание и постоянное соблюдение в Банке условий, при которых риски, связанные с нарушением безопасности информационных активов Банка, постоянно контролируются и исключаются, либо находятся на допустимом (приемлемом) уровне остаточного риска. 5 Политика информационной безопасности Процессы обеспечения информационной безопасности Банка являются составной и неотъемлемой частью процессов управления информационными технологиями и сопутствующими операционными рисками и осуществляются на основе циклической модели: “планирование - реализация - проверка совершенствование - планирование - …”. 4.2. Безопасность информационных активов Банка обеспечивается по каждому из следующих аспектов: доступность, целостность, конфиденциальность. Банком проводится контроль эффективности принимаемых защитных мер критерием, при этом учитываются вероятность, размер и последствия нанесения Банку любого вида ущерба (невыполнение имеющихся перед государством, клиентами и партнерами обязательств, финансовые потери, потеря репутации и пр.). 4.3. Состояние информационной безопасности оказывает непосредственное влияние на операционные риски деятельности Банка, в связи с чем, любой факт (инцидент) нарушения информационной безопасности рассматривается как существенное событие. 4.4. Задачами системы обеспечения информационной безопасности являются: снижение операционных рисков Банка, связанных с использованием информационных технологий; создание условий для максимальной автоматизации выполнения банковских операций и исключения ручных операций; своевременное выявление новых угроз; контроль состояния информационной безопасности на всех этапах жизненного цикла автоматизированных банковских систем; минимизация потерь Банка при реализации угроз информационной безопасности; обеспечение жизнедеятельности Банка и безопасности его информационных активов в условиях неблагоприятных событий (экономические и политические кризисы, природные и техногенные катастрофы, террористические угрозы и пр.); оптимизация затрат на обеспечение информационной безопасности. 5. Основные принципы обеспечения информационной безопасности Банк определяет следующие информационной безопасности: основные принципы обеспечения непрерывный анализ всех автоматизированных систем Банка и банковского технологического процесса с целью выявления уязвимостей информационных активов Банка и актуальных угроз нарушения информационной безопасности; своевременное обнаружение дополнительных факторов, потенциально способных повлиять на уровень обеспечения ИБ Банка, корректировка моделей угроз и нарушителя; разработка и внедрение мер обеспечения информационной безопасности, необходимых и достаточных для нейтрализации выявленных угроз с учетом затрат на их реализацию, а также с учетом совместимости вновь разработанных мер с действующим банковским технологическим процессом; 6 Политика информационной безопасности разделение ролей и ответственности между сотрудниками Банка за обеспечение ИБ, исходя из принципа персональной ответственности за совершаемые операции; знание Банком своих работников; знание Банком своих клиентов. 6. Общие требования по обеспечению информационной безопасности В основе системы информационной безопасности Банка лежат следующие общие требования: 6.1. Назначение и распределение ролей и обеспечение доверия к персоналу 6.1.1. “Ролевое” управление является основным механизмом управления полномочиями пользователей и администраторов в автоматизированных системах. 6.1.2. Роли должны быть персонифицированы и формироваться с учетом принципа минимальности полномочий. 6.1.3. Ни одна роль не должна позволять пользователю проводить единолично критичные операции. Не допускается совмещение следующих функции в рамках роли: разработки и сопровождения системы/ПО, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора ИБ, выполнения операций в системе и контроля их выполнения. 6.1.4. Критичные технологические процессы должны быть защищены от ошибочных и несанкционированных действий администраторов. Штатные процедуры администрирования, диагностики и восстановления должны выполняться через специальные роли в автоматизированных системах без непосредственного доступа к данным. 6.1.5. Должностные обязанности сотрудников и трудовые договоры предусматривают обязанности персонала по выполнению требований по обеспечению информационной безопасности, включая обязательства по неразглашению информации, составляющей банковскую тайну, персональные данные и коммерческую тайну Банка. 6.1.6. Приказы и распоряжения, актуальная информация по вопросам обеспечения информационной безопасности, в том числе по выявленным нарушениям, доводятся до всех сотрудников Банка под роспись. 6.1.7. Реализуются программы обучения персонала Банка и информирования в вопросах обеспечения информационной безопасности. Периодически проверяется и оценивается уровень компетентности персонала в этих вопросах. 6.1.8. При допуске к работе с критичными АБС, а также периодически, сотрудники банка проходят проверку методами, разрешенными законами Российской Федерации. 6.1.9. При приеме на работу, влияющую на обеспечение ИБ, проводятся мероприятия включающие: проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов; 7 Политика информационной безопасности проверку в части профессиональных навыков и оценку профессиональной пригодности. Не менее одного раза в год проводятся регулярные проверки в части профессиональных навыков и оценки профессиональной пригодности работников, а также внеплановой проверки — при выявлении фактов нештатных ситуаций. 6.1.10. Ролевое управление процессами обеспечения информационной безопасности в ЗАО «Кубаньторгбанк» отражено в разделе 6.10.1 настоящей Политики. 6.2. Управление жизненным циклом автоматизированных банковских систем 6.2.1. Процедуры по обеспечению информационной безопасности предусматриваются на всех стадиях жизненного цикла автоматизированных банковских систем: при разработке (приобретении), эксплуатации, модернизации, снятии с эксплуатации. Все действия с автоматизированными банковскими системами на стадиях жизненного цикла должны осуществляться под контролем администратора информационной безопасности. 6.2.2. Разработка, тестирование автоматизированных систем отделяются от эксплуатации: - Разработчики банковского программного обеспечения не допускаются к его промышленной эксплуатации; - Разработка и тестирование программного обеспечения проводятся на выделенных физически или логически средствах вычислительной техники (виртуальные серверы), не использующихся для промышленной эксплуатации автоматизированных систем. Хорошей практикой является выделение рабочих станций и серверов, предназначенных для разработки и тестирования программного обеспечения, в отдельный сегмент ЛВС, доступ из которого к промышленным системам ограничивается. 6.2.3. В контрактах со сторонними разработчиками на поставку систем предусматривается их ответственность за наличие в системах скрытых недокументированных возможностей, ведущих к финансовому ущербу Банка, а также соблюдение условий конфиденциальности. 6.2.4. Системы сторонней разработки проверяются на соответствие требованиям информационной безопасности, предъявляемым Банком. При несоответствии текущей версии системы требованиям Банка по информационной безопасности, указанные требования включаются в контракт на поставку и приобретается доработанная версия. 6.2.5. Все изменения, вносимые в автоматизированные системы, контролируются и документируются. Дистрибутивные комплекты и исходные тексты систем собственной разработки, а также дистрибутивные комплекты приобретаемых систем хранятся в Фонде программ и документации. Хорошей практикой является передача в Фонд программ и документации исходных текстов приобретаемых банковских систем. 8 Политика информационной безопасности 6.2.6. В состав документации на критичные автоматизированные системы в обязательном порядке входит документация по обеспечению ее информационной безопасности. 6.2.7. Ввод автоматизированных банковских систем в эксплуатацию производится только после их аттестации на соответствие предъявленным требованиям по информационной безопасности. Не допускается эксплуатация автоматизированных банковских систем, не прошедших аттестации или имеющих не устраненные критичные замечания. 6.2.8. При выводе АБС из эксплуатации или замене входящего в ее состав оборудования осуществляется принудительное удаление банковской информации с соответствующих машинных носителей и из памяти компьютеров за исключением ведущихся в установленном порядке контрольных архивов электронных документов. 6.3. Управление доступом регистрация событий к информационным 6.3.1. Все информационные активы Банка классифицируются и имеют своих владельцев. активам и идентифицируются, 6.3.2. Доступ к информационным активам всем сотрудникам Банка предоставляется только на основании документально оформленных заявок, согласованных с их владельцами. По умолчанию определяется отсутствие доступа. 6.3.3. Необходимо применять различные защитные меры (встроенные, сертифицированные средства защиты информации от несанкционированного доступа и нерегламентированных действий в рамках предоставленных полномочий. 6.3.4. Учетные записи пользователей должны быть персонифицированы. 6.3.5. Доступ к информационным активам не предоставляется (прекращается) в случае отсутствия (минования) производственной необходимости, изменения функциональных и должностных обязанностей, увольнения сотрудника. 6.3.6. Проводится периодический (для наиболее критичных систем - не реже одного раза в год) контроль соответствия согласованных и реальных прав доступа к информационным активам текущему статусу пользователя. 6.3.7. Работа пользователей с базами данных осуществляется исключительно через экранные формы автоматизированных банковских систем. Прямой доступ пользователей к базам данных не предоставляется. 6.3.8. Доступ ко всем информационным активам банка осуществляется только после авторизации пользователя. 6.3.9. В АБС, в том числе системе дистанционного банковского обслуживания, должны регистрироваться: операции с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов; проводимых транзакций, имеющих финансовые последствия; операции, связанные с назначением и распределением прав пользователей. 9 Политика информационной безопасности 6.3.10. В системе дистанционного банковского обслуживания должна применятся ЭП для подтверждения авторства проводимых клиентами операций. 6.3.11. Журналы аудита действий пользователей и администраторов автоматизированных систем должны быть информативны, защищены от модификации и храниться в течение срока, потенциально необходимого для использования при расследовании возможных инцидентов, связанных с нарушением информационной безопасности (но не менее 5 месяцев). Банковские автоматизированные системы должны содержать штатные средства анализа аудит-файлов и формирования отчетов по заданным критериям. 6.4. Антивирусная защита 6.4.1. Каждый сотрудник Банка обязан выполнять правила эксплуатации антивирусного ПО и требования антивирусной безопасности в отношении внешних источников и носителей информации, а также сети Интернет, немедленно прекращать работу и информировать службы автоматизации и безопасности при подозрениях на вирусное заражение. 6.4.2. Техническая возможность подключения пользователями к рабочим станциям ЛВС внешних накопителей информации, использование ГМД, CD-/DVD-дисководов максимально ограничивается. 6.4.3. Антивирусная защита обеспечивается использованием в Банке специализированного программного обеспечения, лучшей практикой является применение сертифицированного программного обеспечения. Организовывается построение эшелонированной централизованной системы антивирусной защиты. Средства антивирусной защиты и их базы должны регулярно обновляться. 6.4.4. Для снижения влияния человеческого фактора, исключения возможности отключения или не обновления антивирусных средств, контроль и управление антивирусным программным обеспечением, а также устранение выявленных уязвимостей в системном программном обеспечении производится централизованно в автоматизированном режиме. При этом обеспечивается минимально возможный период обновления с учетом обязательного предварительного тестирования на совместимость с банковским системным и прикладным ПО. 6.5. Использование ресурсов Интернет 6.5.1. Использование ресурсов Интернет в подразделениях разрешается исключительно в производственных целях. Банка 6.5.2. При обмене почтовыми сообщениями: организуется антивирусная фильтрация всего трафика электронного почтового обмена; используются необходимые меры защиты (межсетевые экраны, организация демилитаризованной зоны); архивирование электронной почты производится централизованно в автоматизированном режиме. 6.5.3. Предоставление услуг клиентам Банка и взаимодействие с партнерами по сети Интернет осуществляется с использованием 10 Политика информационной безопасности специализированных систем и средств защиты, аттестованных на соответствие требованиям информационной безопасности. 6.5.4. Подключение к рабочим станциям ЛВС Банка мобильных телефонов, беспроводных (радио) интерфейсов, модемов и прочего оборудования, позволяющего выходить в Интернет запрещается. 6.5.5. Порядок публикации информации в сети Интернет определяется отдельными регламентами. Обсуждение сотрудниками Банка на форумах и в конференциях сети Интернет вопросов, касающихся их служебной деятельности, допускается только при наличии соответствующих указаний руководства. 6.5.6. Доступ сотрудников к ресурсам сети Интернет санкционируется руководством и согласовывается администратором информационной безопасности. 6.5.7. На узлах доступа в сеть Интернет принимаются необходимые меры для противодействия хакерским атакам и распространению спама. 6.6. Использование информации средств криптографической защиты 6.6.1. Применение средств криптографической защиты информации для обеспечения безопасности информационных активов Банка и взаимодействия с клиентами производится в соответствии с порядком, установленным государственными уполномоченными органами. 6.6.2. Использование средств ЭП обеспечивает целостность электронного документа и подтверждение авторства подписавшей его стороны и является лучшей практикой организации электронного документооборота при взаимодействии с клиентами. 6.6.3. Во внутренних системах Банка электронная подпись и/или другие механизмы криптографического контроля целостности используются в зависимости от результатов оценки рисков информационной безопасности, а также в случаях, когда необходимо строго разделить ответственность между подразделениями или сотрудниками Банка. 6.6.4. Конфиденциальность банковской информации при передаче по публичным сетям и внешним каналам связи обеспечивается обязательным применением шифрования. В обоснованных случаях информация, составляющая коммерческую тайну Банка, может также шифроваться при ее передаче в ЛВС и хранении на средствах вычислительной техники. 6.6.5. Передаваемые клиентам банка средства шифрования должны обеспечивать возможность их использования только для организации защищенного взаимодействия с Банком. 6.6.6. Риски, связанные с возможной компрометацией криптографических ключей или доступом к защищаемой информации в обход средств криптографической защиты, должны минимизироваться специальными техническими и организационными мерами. 6.6.7. Ключи электронной подписи, предназначенные для защиты финансового электронного документооборота Банка с клиентами и сторонними организациями, изготавливаются сторонами самостоятельно. 11 Политика информационной безопасности 6.7. Защита банковских технологических процессов платежных и информационных 6.7.1. Порядок обмена платежной информацией фиксируется в договорах между участниками, осуществляющими обмен платежной информацией. 6.7.2. Технологические процессы должны быть максимально автоматизированы и обеспечивать возможность выполнения массовых и потенциально опасных операций без участия персонала за счет реализации эффективных процедур контентного контроля и защиты. 6.7.3. Электронные документы, не прошедшие процедуры контентного контроля и защиты, на ручную обработку не передаются, а в подразделения или клиентам, от которых они поступили, направляются извещения о необходимости повторного ввода. 6.7.4. Проводится политика максимального перевода клиентов на обслуживание в режиме полного защищенного электронного документооборота, что стимулируется тарифной политикой и бизнеспланами Банка. 6.7.5. Выполнение критичных операций в ручном режиме осуществляется, по возможности, с соблюдением принципа “Two Persons” (п.Error! Reference source not found.), либо ограничивается системой лимитов и ограничений. Лучшей практикой является подтверждение операции самим клиентом при условии его надежной аутентификации. 6.7.6. Для защиты технологических процессов по результатам анализа рисков информационной безопасности применяются как штатные средства безопасности сетевых операционных систем, СУБД, так и дополнительные программные и программно-аппаратные комплексы и средства криптографической защиты, в совокупности обеспечивающие достаточный уровень безопасности на всех участках и этапах технологического процесса. 6.7.7. Меры безопасности, реализованные в системах дистанционного обслуживания и рекомендуемые клиентам, обеспечивают при их выполнении адекватный с Банком уровень контроля за рисками информационной безопасности при той же модели нарушителя. 6.8. Обеспечение защиты персональных данных 6.8.1. Защита персональных данных осуществляется исходя из целей обработки персональных данных. Для каждой цели должны быть утверждены руководством банка: объем и содержание персональных данных, сроки обработки и хранения персональных данных, необходимость получения согласия субъектов персональных данных. 6.8.2. Персональные данные категорируются в зависимости от тяжести последствий потери свойств безопасности персональных данных для субъекта персональных данных. 6.8.3. Персональные данные могут передаваться третьим лицам только с согласия субъекта персональных данных. Договора на передачу или обработку персональных данных третьими лицами должны включать обязательства обеспечения конфиденциальности персональных данных. 12 Политика информационной безопасности 6.8.4. При достижении целей обработки персональных данных, либо по требованию субъекта персональных данных, персональные данные подлежат уничтожению в сроки, установленные законодательством РФ. 6.8.5. Перечень информационных систем персональных данных должен включать категории систем, перечень работников, допущенных к обработке персональных данных и должен быть актуален. 6.9. Обеспечение непрерывности бизнеса и восстановления после сбоев 6.9.1. Непрерывность критичных бизнес-процессов при наступлении отказов и сбоев обеспечивается резервированием оборудования, каналов связи, резервным копированием информации, регулярной проверкой их работоспособности и адекватности. Процедуры восстановления после сбоев документируются в соответствующих регламентах и планах. 6.9.2. Жизнедеятельность Банка и безопасность его информационных активов в условиях неблагоприятных событий, техногенных и природных катастроф обеспечивается созданием территориально удаленных Резервных Комплексов. 6.10. Обеспечение физической безопасности 6.10.1. Помещения Банка категорируются в зависимости от критичности размещаемых в них информационных активов. В соответствии с категорией обеспечивается техническая укрепленность помещений, оснащение средствами видеоконтроля, контроля доступа, пожаротушения и сигнализации. 7. Управление информационной безопасностью В основе процессов управления информационной безопасностью Банка лежат следующие общие требования: 7.1. Назначение и определение обязанностей администратора ИБ Банка 7.1.1. Администратор ИБ назначается приказом руководства Банка, внутренними документами Банка утверждаются цели и задачи его деятельности. 7.1.2. В филиалах Банка выделяются соответствующие уполномоченные лиц на местах. 7.1.3. Полномочия администратора ИБ описываются в «Положении об администраторе информационной безопасности ЗАО «Кубаньторгбанк». 7.2. Определение области действия СОИБ 7.2.1. В Банке проводится классификация информационных активов на основании оценок ценности информационных активов в соответствии с тяжестью последствий потери свойств ИБ информационных активов для Банка. Процедуры классификации выполняются, регистрируются и контролируются администратором ИБ. 13 Политика информационной безопасности 7.3. Выбор подхода к оценке рисков нарушения ИБ и проведению оценки рисков нарушения ИБ 7.3.1. Банком принята методика оценки рисков нарушения ИБ, определены критерии принятия рисков нарушения ИБ и уровень допустимого риска нарушения ИБ. 7.3.2. Оценка рисков нарушения ИБ проводится для свойств ИБ всех информационных активов области действия СОИБ. 7.3.3. Результатом выполнения оценки рисков нарушения ИБ фиксируются перечнем недопустимых рисков нарушения ИБ. 7.4. Разработка планов обработки рисков нарушения ИБ 7.4.1. Планы реализаций требований по обеспечению ИБ, разрабатываемые администратором ИБ, содержат последовательность и сроки реализации и внедрения организационных, технических и иных мер защиты для каждого из рисков нарушения ИБ, который является недопустимым. 7.5. Разработка внутренних документов, деятельность в области обеспечения ИБ регламентирующих 7.5.1. Разработка/коррекция внутренних документов, регламентирующих деятельность в области обеспечения ИБ в Банке, проводится с учетом рекомендаций по стандартизации Банка России РС БР ИББС2.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0». 7.6. Принятие руководством организации реализации и эксплуатации СОИБ БС РФ решений о 7.6.1. Решения о реализации и эксплуатации СОИБ, планы внедрения СОИБ утверждаются руководством Банка. 7.6.2. В Банке фиксируются решения руководства, связанные с назначением и распределением ролей для всех структурных подразделений. 7.7. Организация реализации планов обработки рисков нарушения ИБ 7.7.1. В Банке организован постоянный контроль внедрения, эксплуатации, контроля и сопровождения эксплуатации защитных мер, предусмотренных планами реализаций требований по обеспечению ИБ. 7.8. Разработка и реализация программ по обучению и повышению осведомленности в области ИБ 7.8.1. Администратором ИБ организуется работа с персоналом, клиентами в области ИБ, разрабатываются планы, программы обучения и повышения осведомленности в области ИБ. 7.8.2. Администратор ИБ формирует свидетельства выполнения программ обучения и повышения осведомленности в области ИБ. 7.8.3. Для работника, получившего новую роль, организовано обучение или инструктаж в области ИБ, соответствующее полученной роли. 14 Политика информационной безопасности 7.9. Обнаружение и реагирование на инциденты безопасности 7.9.1. В Банке определены, выполняются, регистрируются и контролируются процедуры обработки инцидентов, а также процедуры хранения и распространения информации об инцидентах ИБ. 7.9.2. До сотрудников Банка под роспись доведены документы, описывающие порядок действий при обнаружении нетипичных событий, связанных с ИБ, и информировании о данных событиях. 7.9.3. Процедуры расследования инцидентов ИБ должны учитывают законодательство РФ, положения нормативных актов Банка России, а также внутренних документов Банка. Решения принимаются, фиксируются и выполняются по всем выявленным инцидентам ИБ. 7.10. Обеспечение непрерывности бизнеса и его восстановления после прерываний 7.10.1. В Банке утвержден и введен в действие «План обеспечения непрерывности бизнеса и его восстановления после возможного прерывания в ЗАО «Кубаньторгбанк», в котором определены требования по обеспечению ИБ, регламентирующие вопросы обеспечения непрерывности бизнеса и его восстановления после прерывания, в том числе требования к мероприятиям по восстановлению необходимой информации, программного обеспечения, технических средств, а также каналов связи 7.10.2. При разработке плана учитываются результаты оценки рисков нарушения ИБ Банка применительно к информационным активам, существенным для обеспечения непрерывности бизнеса и его восстановления после прерывания. 7.11. Мониторинг СОИБ и контроль защитных мер 7.11.1. В Банке определены, выполняются, регистрируются и контролируются процедуры мониторинга ИБ и контроля защитных мер, включая контроль параметров конфигурации и настроек средств и механизмов защиты. 7.11.2. Администратором ИБ осуществляется сбор и хранение информации о действиях работников Банка, событиях и параметрах, имеющих отношение к функционированию защитных мер. 7.11.3. Информация обо всех инцидентах, выявленных в процессе мониторинга ИБ и контроля защитных мер, учитывается в рамках выполнения процедур хранения информации об инцидентах ИБ. 7.11.4. Администратор ИБ регулярно пересматривает процедуры мониторинга при изменениях в составе и способах использования защитных мер, в составе актуальных угроз и уязвимостей ИБ, а также на основе данных об инцидентах ИБ. 7.12. Проведение самооценки ИБ 7.12.1. Самооценка ИБ проводится собственными силами и по инициативе руководства Банка в соответствии со стандартом Банка России СТО БР ИББС-1.2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной 15 Политика информационной безопасности безопасности организаций банковской системы Федерации требованиям СТО БР ИББС-1.0». Российской 7.12.2. По результатам проведения самооценок ИБ Администратор ИБ подготавливает отчеты. Результаты самооценок ИБ, а также соответствующие отчеты доводятся до руководства Банка. 7.13. Проведение аудита ИБ 7.13.1. Аудит ИБ Банка проводится в соответствии с требованиями стандартов Банка России СТО БР ИББС-1.1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» и СТО БР ИББС-1.2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0». 7.14. Анализ функционирования СОИБ 7.14.1. В Банке определены, выполняются, регистрируются и контролируются процедуры анализа функционирования СОИБ. При этом анализ функционирования СОИБ включает: — анализ соответствия комплекса внутренних документов, регламентирующих деятельность по обеспечению ИБ, требованиям законодательства РФ, требованиям стандартов Банка России, контрактным требованиям организации; — анализ соответствия внутренних документов нижних уровней иерархии, регламентирующих деятельность по обеспечению ИБ, требованиям политик ИБ организации БС РФ; — оценку рисков в области ИБ Банка; — проверку адекватности используемых мер защиты требованиям внутренних документов Банка; — анализ непрерывности в технологических процессах обеспечения ИБ, а также несогласованности в использовании мер защиты. 7.15. Анализ СОИБ со стороны руководства организации БС РФ 7.15.1. В Банке устанавливается перечень документов (данных), необходимых для формирования информации, предоставляемой руководству с целью проведения анализа СОИБ. 7.15.2. В Банке установлен план выполнения деятельности по обеспечению ИБ, включающий в себя действия по контролю и анализу СОИБ. 7.16. Принятие улучшениям СОИБ решений по тактическим и стратегическим 7.16.1. Для принятия решений, связанных с улучшениями СОИБ Банком учитываются результаты: тактическими — аудитов ИБ; — самооценок ИБ; — мониторинга ИБ и контроля защитных мер; 16 Политика информационной безопасности — анализа функционирования СОИБ; — обработки инцидентов ИБ; — выявления новых угроз и уязвимостей ИБ; — оценки рисков; — анализа перечня защитных мер, возможных для применения; — стратегических улучшений СОИБ; — анализа СОИБ со стороны руководства; — анализа успешных практик в области ИБ. 7.16.2. Для принятия решений, связанных со стратегическими улучшениями СОИБ Банком учитываются результаты:: — аудитов ИБ; — самооценок ИБ; — мониторинга ИБ и контроля защитных мер; — анализа функционирования СОИБ; — обработки инцидентов ИБ; — выявления новых информационных активов Банка или их типов; — выявления новых угроз и уязвимостей ИБ; — оценки рисков; — пересмотра основных рисков ИБ; — анализа СОИБ со стороны руководства; — анализа успешных практик в области, а также изменения: в законодательстве РФ; в нормативных актах Банка России; интересов, целей и задач бизнеса Банка; контрактных обязательств Банка. 7.16.3. Решения по тактическим и стратегическим улучшениям СОИБ фиксируются куратором по информационной безопасности. 7.16.4. Устанавливаются планы реализации тактических и стратегических улучшений СОИБ и документы, в которых фиксируются результаты выполнения указанных планов. 8. Организация системы обеспечения информационной безопасности 8.1. Общее руководство системой обеспечения информационной безопасности в Банке осуществляет Председатель Правления. 8.2. Совет директоров утверждает политику информационной безопасности Банка. 8.3. Председатель Правления: пересматривает политику информационной безопасности Банка; организует процесс управления информационной безопасностью в Банке, включая определение подразделений, ответственных за управление отдельными процессами обеспечения информационной безопасности, утверждение положений о них; 17 Политика информационной безопасности - обеспечивает условия и утверждает бюджет для эффективной реализации политики информационной безопасности; рассматривает информацию и отчеты о состоянии информационной безопасности Банка. 8.3.1. Администратор информационной безопасности - разрабатывает нормативные, инструктивные и методические документы Банка по обеспечению информационной безопасности; - разрабатывает требования по защите информационных активов в аспектах целостности и конфиденциальности на основе анализа рисков информационной безопасности; - осуществляет контроль соответствия требованиям на всех стадиях жизненного цикла автоматизированных систем, от проектирования до снятия с эксплуатации; - инициирует пересмотр внутренних организационных документов при изменении требований по защите информации, содержащихся в законодательных и нормативно-правовых актах; - обеспечивает управление ключевыми системами средств криптографической защиты; - эксплуатирует специализированные средства обеспечения безопасности информационных активов и обеспечивает соответствие характеристик данных средств необходимому подразделениям Банка уровню доступности; - обеспечивает выполнение и производит периодический контроль выполнения требований эксплуатационной документации на используемые специализированные средства обеспечения безопасности информационных активов; - организует проведение единой антивирусной политики в Банке; - проводит расследования инцидентов и фактов нарушений информационной безопасности и информирует руководство Банка о результатах проведенного расследования; - организует обучение персонала Банка по вопросам информационной безопасности; - осуществляет инструментальный контроль и мониторинг текущего состояния информационной безопасности, информирует Председателя Правления об инцидентах информационной безопасности; - регулярно (не реже одного раза в полгода) информирует руководство Банка с целью проведения анализа СОИБ о состоянии информационной безопасности в Банке, в том числе, в составе сводных отчетов, содержащих результаты мониторинга и контроля защитных мер, анализа функционирования СОИБ, самооценок ИБ; - организует проведение процедуры самооценки ИБ в Банке не реже одного раза в два года в соответствии со стандартами ЦБ РФ, в том числе процедуры формирования, сбора, хранения и распространения свидетельств самооценки ИБ; - обеспечивает взаимодействие с уполномоченными государственными органами по вопросам лицензирования и сертификации; - инструктаж сотрудников по вопросам информационной безопасности; - контроль проведения антивирусных мероприятий и соблюдения требований безопасности. 8.3.2. Служба автоматизации - обеспечивает выполнение требований информационной безопасности при подключении и администрировании коммуникационного оборудования, операционных систем, СУБД и систем доставки; 18 Политика информационной безопасности - проводит обновление системного ПО, связанное с устранением критичных уязвимостей; - обеспечивает доступность информационных активов в условиях отказов и других неблагоприятных событий в части коммуникационного оборудования, операционных систем, СУБД и систем доставки; - обеспечивает выполнение требований информационной безопасности при администрировании автоматизированных банковских систем; - ведет Фонд программ и документации Банка; - осуществляет регистрацию и направление администратору информационной безопасности информации об инцидентах, имеющих отношение к информационной безопасности; - обеспечивает доступность информационных активов в условиях отказов и других неблагоприятных событий в части автоматизированных банковских систем. - обеспечивает реализацию требований информационной безопасности в разрабатываемых и находящихся на сопровождении АБС; - разрабатывает требования в области банковских технологий, участвует в формировании решений, связанных с организацией технологических процессов, разрабатывает предложения по использованию современных банковских технологий с учетом требований по обеспечению информационной безопасности; - учет информационных активов и сотрудников, имеющих к ним доступ. 8.3.3. Подразделения Банка - совместно с Администратором информационной безопасности проводят классификацию информационных активов, владельцами которых они являются, и определяют те из них, которые являются критичными; - совместно с Администратором информационной безопасности участвуют в оценке рисков реализации угроз их информационным активам; - устанавливают в пределах своей компетенции режим и порядок доступа, правила работы с информационными активами, владельцами которых они являются; - разрабатывают нормативные и инструктивные документы с учетом требований информационной безопасности; - обеспечивают выполнение требований и процедур информационной безопасности при работе сотрудников с информационными активами Банка. Перечень используемых документов Конституция Российской Федерации; Гражданский кодекс Российской Федерации; Уголовный кодекс Российской Федерации; Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; 5. Федеральный закон Российской Федерации от 08 августа 2001 № 128-ФЗ «О лицензировании отдельных видов деятельности»; 6. Федеральный закон Российской Федерации от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе»; 7. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; 8. Федеральный закон от 28.12.2010 N 390-ФЗ «О безопасности»; 9. Федеральный закон от 07.07.2003 N 126-ФЗ «О связи»; 10. Закон РФ от 07.02.1992 N 2300-1 «О защите прав потребителей»; 1. 2. 3. 4. 19 Политика информационной безопасности 11. Федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне»; 12. Федеральный закон от 02.12.1990 N 395-1 «О банках и банковской деятельности»; 13. Указ Президента РФ от 06.03.1997 N 188 «Об утверждении Перечня сведений конфиденциального характера»; 14. «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждено Постановлением Правительства Российской Федерации от 15 сентября 2008г. № 687; 15. Постановление Правительства Российской Федерации от 6 июля 2008 г № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»; 16. Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; 17. Постановление Правительства РФ от 26.06.1995 N 608 «О сертификации средств защиты информации»; 18. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»; 19. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014»; 20. Постановление Банка России от 9 июня 2012 г. № 382-П «О требованиях по обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»; 21. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 « Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; 22. РД Гостехкомиссии России. Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации, 1992 г; 23. РД Гостехкомиссии России. Защита от несанкционированного доступа к информации. Термины и определения. 1992 г.; 24. РД Гостехкомиссии России. Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей, Гостехкомиссия России, Москва, 1999 г.; 25. РД Гостехкомиссии России. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации, 1992 г; 26. Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну. Введена в 20 Политика информационной безопасности действие приказом от 13 июня 2001 года № 152 (ФАПСИ); 27. Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), введено приказом ФСБ России от 9 февраля 2005 г. № 66; 28. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г., № 149/6/6-622; 29. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена заместителем директора ФСТЭК России 15 февраля 2008 г; 30. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена заместителем директора ФСТЭК России 14 февраля 2008 г. 21