logo
koncepciya_informacionnoy_bezopasnosti_banka_1

7. Порядок проведения работ по обеспечению информационной безопасности

7.1 Работа по обеспечению информационной безопасности в Банке включает следующие этапы:

- определение информации, содержащей коммерческую тайну, и сроков ее действия;

- категорирование помещений по степени важности обрабатываемой в них информации;

- определение категории информации, обрабатываемой каждой отдельной системой;

- описание системы, определение факторов риска, определение уязвимых мест систем;

- выбор средств и мер защиты для предотвращения воздействия факторов риска и их минимизации;

- выбор средств и мер контроля и управления для своевременной локализации и минимизации воздействия факторов риска.

7.2 Отнесение информации к коммерческой тайне - установление ограничений на распространение информации, требующей защиты. Среди сведений, относимых к категории коммерческой тайны, применительно к Банку можно выделить: деловую информацию о деятельности Банка, финансовую документацию, различные сведения о клиентах, партнерах, сметы, отчёты, перспективные планы развития, аналитические материалы, исследования и т.п.

Отнесение информации к коммерческой тайне осуществляется в соответствии с принципами законности, обоснованности и своевременности. Обоснованность отнесения информации к коммерческой тайне заключается в установлении путем экспертной оценки целесообразности защиты конкретных сведений исходя из жизненно - важных интересов Банка, вероятных финансовых и иных последствий нарушения режима соблюдения коммерческой тайны. Своевременность отнесения сведений к коммерческой тайне заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно.

Чтобы отнесение информации к категории коммерческой тайны приобрело законную силу, оно должно быть оформлено в виде специального «Перечня сведений, составляющих коммерческую тайну АКЦИОНЕРНОГО БАНКА (Открытое Акционерное общество) (далее Перечень), который разрабатывается (уточняется не реже одного раза в год) постоянно действующей Комиссией Банка по защите коммерческой тайны, назначаемой приказом Председателя Правления Банка.

Перечень разрабатывается путем экспертных оценок на основании предложений подразделений Банка и с учетом действующего законодательства. В Перечне указываются категории сведений, их степень конфиденциальности, срок действия ограничений на доступ к ним. Перечень утверждается Председателем Правления Банка.

Степень конфиденциальности информации, составляющей коммерческую тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Банка вследствие её распространения. В соответствии с этим среди информации, относимой к коммерческой тайне, выделяются две группы: информация общего характера и информация, доступ к которой должен носить исключительный характер. Такой информации отдельно присваивается гриф «Конфиденциально». Присвоение грифа «Конфиденциально» или его отмена принадлежит Председателю Правления Банка.

7.3 Категорирование помещений производится по степени важности обрабатываемой в них информации. В зависимости от категории обрабатываемой информации принимаются соответствующие меры по защите помещений.

7.4 Для каждой информационно-вычислительной системы Банка, а в отдельных случаях для персональных компьютеров (ПК), определяется категория обрабатываемой в ней информации с учетом «Перечня сведений, составляющих коммерческую тайну Банка». В зависимости от категории обрабатываемой информации принимаются соответствующие меры по ее защите в системе.

7.5 Основная задача этапа описания систем - описание защищаемого периметра, т.е. определение средств и непосредственных данных, подлежащих защите. В описание системы включаются:

- цели и задачи системы;

- пользователи и обслуживающий персонал;

- способы взаимодействия с другими системами как внутри Банка, так и с внешними объектами;

- физическую топологию сети в зданиях Банка;

- логическую топологию сети Банка, ее основные характеристики;

- перечень используемого оборудования, включая коммуникационное, периферийное, серверы, ПК, оборудование, их основные характеристики;

- перечень используемого программного обеспечения (системное, прикладное, коммуникационное) и их характеристики.

Описание системы должно проводиться с учетом организационной структуры подразделений, которые будут ее эксплуатировать.

7.6 Факторы риска возможные ситуации, возникновение которых может расцениваться как угроза, и способные нанести ущерб материального или нематериального характера. Фактор риска оказывает воздействие на определенные участки объектов информационной безопасности и может учитываться или не учитываться в зависимости от степени воздействия на жизнедеятельность Банка. Основными факторами риска являются:

- стихийные бедствия или чрезвычайные ситуации, приводящие к полному или частичному выходу из строя технических средств систем;

- несанкционированный доступ к серверам, элементам аппаратуры и оборудованию в серверных комнатах;

- неисправности и нарушения в функционировании программных и технических средств, отказ в санкционировании доступа к оборудованию, программам и данным, вызванные случайными сбоями или отказами;

- несанкционированные проникновения в информационно-вычислительную систему, в том числе по внешним каналам связи;

- мошенничество или умысел, а также некомпетентность или халатность, которые приводят к нарушению целостности или доступности информации;

- нарушение конфиденциальности отдельных данных;

- несанкционированный доступ к системным и прикладным данным и программам, а также ресурсам систем;

- повторное использование внешних и внутренних носителей информации для съема информации;

- нарушение конфиденциальности массивов данных.

Перечень факторов риска может уточняться.

7.7 Уязвимые места - элементы технических средств, программ и данных, которые могут быть подвергнуты воздействию факторов риска. Уязвимые места необходимо защищать и контролировать. К уязвимым местам объектов информационной безопасности относятся:

- все технические средства – необходимо защищать от стихийных бедствий, диверсий, несанкционированного доступа (НСД), сбоев и отказов;

- все автоматизированные рабочие места (АРМ) и терминалы - необходимо защищать от НСД;

- все системное программное обеспечение и системные ресурсы, обеспечивающие функционирование автоматизированных систем и сетей Банка - необходимо защищать от НСД, приводящего к нарушению целостности и доступности;

- опорная сеть Банка и передаваемые по ней данные – необходимо защищать от нарушения целостности или доступности и НСД;

- конфиденциальная и строго конфиденциальная информация - необходимо защищать от нарушения конфиденциальности;

- ресурсы и приложения систем, внутренние и внешние носители информации в системах, обрабатывающих конфиденциальную информацию - необходимо защищать от повторного использования («сборки мусора»);

- помещения, слаботочное оборудование, вычислительная техника подсистем, на которых обрабатывается конфиденциальная информация - необходимо защищать от перехвата информации по каналам электромагнитного излучения и закладных устройств.

Перечень уязвимых мест системы Банка может уточняться. Для каждого конкретного объекта информационной безопасности осуществляется выбор конкретных средств и методов защиты, контроля и управления с учетом уязвимых мест и факторов риска.