Реферат: Политика информационной безопасности (финансовые организации)

Политика информационной безопасности (финансовые организации) Материал из SecurityPolicy.ru
Перейти к: навигация, поиск
Содержание
[убрать]

1 1. Общие положения

1.1 1.1. Термины и определения

1.2 1.2. Назначение и правовая основа документа

2 2. Объекты защиты

2.1 2.1. Структура, состав и размещение основных объектов защиты, информационные связи

2.2 2.2. Категории информационных ресурсов, подлежащих защите

3 3. Цели и задачи обеспечения безопасности информации

3.1 3.1. Интересы затрагиваемых субъектов информационных отношений

3.2 3.2. Цели защиты

3.3 3.3. Основные задачи системы обеспечения безопасности информации Банка

3.4 3.4. Основные пути решения задач системы защиты

4 4. Основные угрозы безопасности информации Банка

4.1 4.1. Угрозы безопасности информации и их источники

4.2 4.2. Пути реализации непреднамеренных искусственных (субъективных) угроз безопасности информации

4.3 4.3. Пути реализации преднамеренных искусственных (субъективных) угроз безопасности информации

4.4 4.4. Пути реализации основных естественных угроз безопасности информации

4.5 4.5. Неформальная модель возможных нарушителей

4.6 4.6. Утечка информации по техническим каналам

5 5. Основные принципы построения системы информационной безопасности Банка

5.1 5.1. Законность

5.2 5.2. Системность

5.3 5.3. Комплексность

5.4 5.4. Непрерывность защиты

5.5 5.5. Своевременность

5.6 5.6. Преемственность и совершенствование

5.7 5.7. Разумная достаточность (экономическая целесообразность)

5.8 5.8. Персональная ответственность

5.9 5.9. Минимизация полномочий

5.10 5.10. Исключение конфликта интересов (разделение функций)

5.11 5.11. Взаимодействие и сотрудничество

5.12 5.12. Гибкость системы защиты

5.13 5.13. Открытость алгоритмов и механизмов защиты

5.14 5.14. Простота применения средств защиты

5.15 5.15. Обоснованность и техническая реализуемость

5.16 5.16. Специализация и профессионализм

5.17 5.17. Обязательность контроля

6 6. Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов

6.1 6.1. Меры обеспечения информационной безопасности

6.2 6.2. Формирование политики безопасности

6.3 6.3. Регламентация доступа в помещения

6.4 6.4. Регламентация допуска сотрудников к использованию информационных ресурсов

6.5 6.5. Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов

6.6 6.6. Обеспечение и контроль физической целостности (неизменности конфигурации) аппаратных ресурсов

6.7 6.7. Подбор и подготовка персонала, обучение пользователей

6.8 6.8. Подразделение обеспечения информационной безопасности

6.9 6.9. Ответственность за нарушения установленного порядка пользования ресурсами информационной системы Банка. Расследование нарушений

6.10 6.10. Средства обеспечения информационной безопасности Банка

6.10.1 6.10.1. Физические средства защиты

6.10.2 6.10.2. Технические средства защиты

6.10.3 6.10.3. Средства идентификации и аутентификации пользователей

6.10.4 6.10.4. Средства разграничения доступа

6.10.5 6.10.5. Средства обеспечения и контроля целостности

6.10.6 6.10.6. Средства оперативного контроля и регистрации событий безопасности

6.10.7 6.10.7. Криптографические средства защиты информации

6.11 6.11. Защита речевой информации

6.12 6.12. Управление системой обеспечения безопасности информации

6.13 6.13. Контроль эффективности системы защиты

7 7. Основные направления технической Концепции в области обеспечения безопасности информации в Банке

7.1 7.1. Техническая Концепция в области обеспечения безопасности информации

7.2 7.2. Формирование режима безопасности информации

8 8. Порядок утверждения, внесения изменений и дополнений
[править] 1. Общие положения [править] 1.1. Термины и определения
Автоматизированная система обработки информации - организационно-техническая система, представляющая собой совокупность следующих взаимосвязанных компонентов: технических средств обработки и передачи данных (средств вычислительной техники и связи), методов и алгоритмов обработки в виде соответствующего программного обеспечения, массивов (наборов, баз) данных на различных носителях, персонала и пользователей, объединенных по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки данных с целью удовлетворения информационных потребностей потребителей информации;

^ Авторизованный субъект доступа - субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия);

Администратор безопасности - лицо или группа лиц, ответственных за обеспечение безопасности системы, за реализацию и непрерывность соблюдения установленных административных мер защиты и осуществляющих постоянную организационную поддержку функционирования применяемых физических и технических средств защиты;

^ Атака на информационную систему - любое действие, выполняемое нарушителем, которое приводит к реализации угрозы, путем использования уязвимостей системы,

^ Безопасность информации - защищенность информации от нежелательного (для соответствующих субъектов информационных отношений) ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования;

^ Безопасность информационной технологии - защищенность технологического процесса переработки информации;

Безопасность любого ресурса информационной системы - складывается из обеспечения трех его характеристик: конфиденциальности, целостности и доступности;

Конфиденциальность компонента системы заключается в том, что он доступен только тем субъектам доступа (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия.

Целостность компонента предполагает, что он может быть модифицирован только субъектом, имеющим для этого соответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) компонента в любой момент времени.

Доступность компонента означает, что имеющий соответствующие полномочия субъект может в любое время без особых проблем получить доступ к необходимому компоненту системы (ресурсу);

^ Безопасность субъектов информационных отношений - защищенность жизненно важных интересов субъектов информационных отношений от нанесения им материального, морального или иного вреда путем воздействия на информацию и/или средства ее обработки и передачи. Безопасность достигается проведением единой Концепции в области охраны и защиты важных ресурсов, системой мер экономического, организационного и иного характера, адекватных угрозам жизненно важным интересам;

^ Внешний воздействующий фактор - воздействующий фактор, внешний по отношению к объекту информатизации;

Внутренний воздействующий фактор - воздействующий фактор, внутренний по отношению к объекту информатизации;

Вредоносные программы - программы или измененные программы объекта информатизации, приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации или нарушению работы;

^ Выделенное помещение - помещение для размещения технических средств защищенного объекта информатизации, а также помещение, предназначенное для проведения семинаров, совещаний, бесед и других мероприятий, в котором циркулирует конфиденциальная речевая информация;

Документ - зафиксированная на материальном носителе информация с реквизитами, позволяющими его идентифицировать;

^ Доступ к информации - ознакомление с информацией или получение возможности ее обработки. Доступ к информации регламентируется ее правовым режимом и должен сопровождаться строгим соблюдением его требований. Доступ к информации, осуществленный с нарушениями требований ее правового режима, рассматривается как несанкционированный доступ;

^ Доступ к ресурсу - получение субъектом доступа возможности манипулировать (использовать, управлять, изменять характеристики и т.п.) данным ресурсом;

Доступность информации - важнейшее свойство системы, в которой циркулирует информация (средств и технологии ее обработки), характеризующееся способностью обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия;

^ Естественные угрозы - это угрозы, вызванные воздействиями на информационную систему и ее компоненты объективных физических процессов техногенного характера или стихийных природных явлений, независящих от человека;

^ Жизненно важные интересы - совокупность потребностей, удовлетворение которых необходимо для надежного обеспечения существования и возможности прогрессивного развития субъекта.

Замысел защиты - основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность мероприятий, необходимых для достижения цели защиты информации и объекта;

Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на информацию;

^ Защита информации от несанкционированного доступа - деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации;

^ Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;

Злоумышленник - нарушитель, действующий намеренно из корыстных, идейных или иных побуждений;

^ Информативный сигнал - электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта информация ограниченного распространения, передаваемая, хранимая, обрабатываемая или обсуждаемая в выделенных помещениях;

Информация - сведения о предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах;

^ Информационная среда - совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений;

^ Информационная система Банка - организационно упорядоченная совокупность документов (массивов документов), независимо от формы их представления, и информационных технологий, в том числе с использованием вычислительной техники и связи. Информационная система Банка включает в себя множество всех документов, существующих в Банке;

Информационные способы нарушения безопасности информации включают:

противозаконный сбор, распространение и использование информации;

манипулирование информацией (дезинформация, сокрытие или искажение информации);

незаконное копирование информации (данных и программ);

незаконное уничтожение информации;

хищение информации из баз и банков данных;

нарушение адресности и оперативности информационного обмена;

нарушение технологии обработки данных и информационного обмена.

Искусственные угрозы - это угрозы, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании информационной системы и ее элементов, ошибками в действиях персонала и т.п.;

преднамеренные (умышленные) угрозы, связанные с корыстными, идейными или иными устремлениями людей (злоумышленников);

Компьютерная информация - информация в виде:

записей в памяти компьютеров, электронных устройствах, на машинных носителях (элементы, файлы, блоки, базы данных, микропрограммы, прикладные и системные программы, пакеты и библиотеки программ, микросхемы, программно-информационные комплексы и др.), обеспечивающих функционирование объекта информатизации (сети);

сообщений, передаваемых по сетям передачи данных;

программно-информационного продукта, являющегося результатом генерации новой или обработки исходной документированной информации, представляемого непосредственно на экранах дисплеев, на внешних носителях данных (магнитные диски, магнитные ленты, оптические диски, дискеты, бумага для распечатки и т.п.) или через сети передачи данных;

электронных записей о субъектах прав;

Контролируемая зона - это пространство, в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств.

Границей контролируемой зоны могут являться:

периметр охраняемой территории Банка;

ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.

В отдельных случаях на период обработки техническими средствами секретной информации (проведения закрытого мероприятия) контролируемая зона временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры, исключающие или существенно затрудняющие возможность ведения перехвата информации в этой зоне;

^ Конфиденциальность информации - субъективно определяемая (приписываемая) информации характеристика (свойство), указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на право доступа к ней;

^ Корпоративная информационная система - автоматизированная система обработки информации Банка;

Лицензия в области защиты информации - разрешение на право проведения тех или иных работ в области защиты информации;

^ Морально-этические меры защиты информации - традиционно сложившиеся в стране или обществе нормы поведения и правила обращения с информацией. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний;

Нарушитель - это лицо (субъект), которое предприняло (пыталось предпринять) попытку несанкционированного доступа к ресурсам системы (попытку выполнения запрещенных ему действий с данным ресурсом) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или с целью самоутверждения и т.п.) и использовавшее для этого различные возможности, методы и средства;

^ Несанкционированное действие - действие субъекта в нарушение установленных в системе правил обработки информации;

Несанкционированный доступ - доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа;

Объект - пассивный компонент системы, единица ресурса информационной системы, доступ к которому регламентируется правилами разграничения доступа;

Объект защиты - информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.

Организационно-правовые способы нарушения безопасности информации включают:

закупку несовершенных, устаревших или неперспективных средств информатизации и информационных технологий;

невыполнение требований законодательства или нормативных актов и задержки в разработке и принятии необходимых нормативных правовых и технических документов в области безопасности информации.

^ Организационные меры защиты - это меры, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности циркулирующей в ней информации;

^ Организационный контроль эффективности защиты информации - проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации.

Пароль - служебное слово, которое считается известным узкому кругу лиц (одному лицу) и используется для ограничения доступа к информации, в помещение, на территорию;

Пользователь - субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации;

Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе;

^ Правовые меры защиты информации - действующие в стране законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией и ответственность за их нарушения, препятствующие тем самым неправомерному ее использованию и являющиеся сдерживающим фактором для потенциальных нарушителей;

Программно-математические способы нарушения безопасности информации включают:

внедрение программ-вирусов;

внедрение программных закладок как на стадии проектирования системы (в том числе путем заимствования "зараженного" закладками программного продукта), так и на стадии ее эксплуатации, позволяющих осуществить несанкционированный доступ или действия по отношению к информации и системам ее защиты (блокирование, обход и модификация систем защиты, извлечение, подмена идентификаторов и т.д.) и приводящих к компрометации системы защиты информации.

^ Радиоэлектронные способы нарушения безопасности информации включают:

перехват информации в технических каналах ее утечки (побочных электромагнитных излучений, создаваемых техническими средствами обработки и передачи информации, наводок в коммуникациях (сети электропитания, заземления, радиотрансляции, пожарной и охранной сигнализации и т.д.) и линиях связи, путем прослушивания конфиденциальных разговоров с помощью акустических, виброакустических и лазерных технических средств разведки, прослушивания конфиденциальных телефонных разговоров, визуального наблюдения за работой средств отображения информации);

перехват и дешифрование информации в сетях передачи данных и линиях связи;

внедрение электронных устройств перехвата информации в технические средства и помещения;

навязывание ложной информации по сетям передачи данных и линиям связи; радиоэлектронное подавление линий связи и систем управления.

Разграничение доступа к ресурсам - это такой порядок использования ресурсов системы, при котором субъекты получают доступ к объектам в строгом соответствии с установленными правилами;

^ Секретная информация - речевая информация, информация, циркулирующая в средствах вычислительной техники и связи, телекоммуникациях, а также другие информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, представленные в виде информативных акустических и электрических сигналов, физических полей, материальных носителей (в том числе на магнитной и оптической основе), информационных массивов и баз данных.

^ Система информационной безопасности - совокупность (комплекс) специальных мер правового (законодательного) и административного характера, организационных мероприятий, физических и технических (программных и аппаратных) средств защиты, а также специального персонала, предназначенных для обеспечения информационной безопасности Банка;

^ Средство защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации.

Субъект - активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа;

^ Субъекты информационных отношений - государство, государственные органы, государственные, общественные или коммерческие организации (объединения) и предприятия (юридические лица), отдельные граждане (физические лица) и иные субъекты, взаимодействующие с целью совместной обработки информации;

^ Технические (аппаратно-программные) средства защиты - различные электронные устройства и специальные программы, которые выполняют (самостоятельно или в комплексе с другими средствами) функции защиты информации (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.);

^ Технология обеспечения информационной безопасности - определенное распределение функций и регламентация порядка их исполнения, а также порядка взаимодействия подразделений и сотрудников Банка по обеспечению комплексной защиты информационных ресурсов Банка;

Угроза - реально или потенциально возможные действия по реализации опасных воздействующих факторов с целью преднамеренного или случайного (неумышленного) нарушения режима функционирования объекта и нарушения свойств защищаемой информации или других ресурсов объекта;

^ Угроза безопасности информации - потенциально возможное событие, действие, процесс или явление, которое может привести к нарушению конфиденциальности, целостности, доступности информации, а также неправомерному ее тиражированию, которое наносит ущерб собственнику, владельцу или пользователю информации;

^ Угроза интересам субъектов информационных отношений - потенциально возможное событие, действие, процесс или явление, которое посредством воздействия на информацию и другие информационной системы может привести к нанесению ущерба интересам данных субъектов;

^ Уровень защиты (класс и категория защищенности) - характеристика, описываемая в нормативных документах определенной группой требований к данному классу и категории защищенности;

Уязвимость автоматизированной системы - любая характеристика автоматизированной системы, использование которой может привести к реализации угрозы;

^ Уязвимость информации - подверженность информации воздействию различных дестабилизирующих факторов, которые могут привести к нарушению ее конфиденциальности, целостности, доступности, или неправомерному ее тиражированию;

^ Уязвимость субъекта информационных отношений - потенциальная подверженность субъекта нанесению ущерба его жизненно важным интересам посредством воздействия на критичную для него информацию, ее носители и процессы обработки;

^ Физические меры защиты - это разного рода механические, электро- или электронно-механические устройства и сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к защищаемой информации и другим ресурсам информационной системы, а также технические средства визуального наблюдения, связи и охранной сигнализации;

^ Физические способы нарушения безопасности информации - включают:

уничтожение, хищение и разрушение средств обработки и защиты информации, средств связи, целенаправленное внесение в них неисправностей;

уничтожение, хищение и разрушение машинных или других оригиналов носителей информации;

хищение ключей (ключевых документов) средств криптографической защиты информации, программных или аппаратных ключей средств защиты информации от несанкционированного доступа;

воздействие на обслуживающий персонал и пользователей системы с целью создания благоприятных условий для реализации угроз безопасности информации;

диверсионные действия по отношению к объектам безопасности информации (взрывы, поджоги, технические аварии и т.д.).

^ Физический канал утечки информации - неконтролируемый физический путь от источника информации за пределы организации или круга лиц, обладающих охраняемыми сведениями, посредством которого возможно неправомерное (несанкционированное) овладение нарушителем защищаемой информацией;

^ Целостность информации - свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию);

^ Цель защиты информации - предотвращение или минимизация наносимого ущерба (прямого или косвенного, материального, морального или иного) субъектам информационных отношений посредством нежелательного воздействия на компоненты информационной системы, а также разглашения (утечки), искажения (модификации), утраты (снижения степени доступности) или незаконного тиражирования информации.
[править] 1.2. Назначение и правовая основа документа
Политика информационной безопасности Банка (далее - Политика) определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач защиты, как одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется организация банковской системы Российской Федерации в своей деятельности, а также основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в Банке.

Политика учитывает современное состояние и ближайшие перспективы развития информационных технологий в Банке, цели, задачи и правовые основы их эксплуатации, режимы функционирования, а также содержит анализ угроз безопасности для объектов и субъектов информационных отношений Банка.

Основные положения и требования данного документа распространяются на все структурные подразделения Банка, включая дополнительные офисы. Основные вопросы Политика также распространяются на другие организации и учреждения, взаимодействующие с Банком в качестве поставщиков и потребителей информационных ресурсов Банка в том или ином качестве.

Законодательной основой настоящей Политики являются Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы Государственной технической комиссии при Президенте Российской Федерации, Федерального агентства правительственной связи и информации при Президенте Российской Федерации.

Политика является методологической основой для:

формирования и проведения единой политики в области обеспечения безопасности информации в Банке;

принятия управленческих решений и разработке практических мер по воплощению политика безопасности информации и выработки комплекса согласованных мер, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;

координации деятельности структурных подразделений Банка при проведении работ по созданию, развитию и эксплуатации информационных технологий с соблюдением требований по обеспечению безопасности информации;

разработки предложений по совершенствованию правового, нормативного, технического и организационного обеспечения безопасности информации в Банке.

Использование данной Политики в качестве основы для построения комплексной системы информационной безопасности Банка позволит оптимизировать затраты на ее построение.

При разработке Политики учитывались основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам безопасности информации.

Основные положения Политики базируются на качественном осмыслении вопросов безопасности информации и не затрагивают вопросов экономического (количественного) анализа рисков и обоснования необходимых затрат на защиту информации.
[править] 2. Объекты защиты
Основными объектами системы информационной безопасности в Банке являются:

информационные ресурсы с ограниченным доступом, составляющие коммерческую, банковскую тайну или иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы, а также открытая (общедоступная) информация, необходимая для работы Банка, независимо от формы и вида ее представления;

процессы обработки информации в информационной системе Банка информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, персонал разработчиков и пользователей системы и ее обслуживающий персонал;

информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные элементы информационной банковской среды.
[править] 2.1. Структура, состав и размещение основных объектов защиты, информационные связи
Информационная среда Банка является распределенной структурой, объединяющей информационные подсистемы Центрального офиса и дополнительных офисов в единую информационную систему Банка.

К основным особенностям информационной среды Банка, относятся:

широкая территориальная распределенность компонентов информационной системы;

объединение в единую систему большого количества разнообразных технических средств обработки и передачи информации;

значительное расширение сферы использования автоматизированных систем обработки информации, широкое многообразие и повсеместное распространение информационно-управляющих систем в Банке;

большое разнообразие решаемых задач и типов обрабатываемых данных, сложные режимы автоматизированной обработки информации с широким совмещением выполнения информационных запросов различных пользователей;

значительная важность и ответственность решений, принимаемых на основе автоматизированной обработки данных;

объединение в единых базах данных информации различного назначения, принадлежности и уровней конфиденциальности;

абстрагирование владельцев данных от физических структур и места размещения данных (информации);

наличие большого числа информационных каналов взаимодействия с "внешним миром" (источниками и потребителями информации);

необходимость обеспечения непрерывности функционирования Банка;

высокая интенсивность информационных потоков;

разнообразие категорий пользователей и обслуживающего персонала системы.

В этих условиях резко возрастает уязвимость информации и одним из важнейших элементов информационной среды Банка становится корпоративная информационная система, в которой обрабатываются и накапливаются значительные объемы информации, совместно используемой различными пользователями, различной организационной принадлежности.
[править] 2.2. Категории информационных ресурсов, подлежащих защите
В Банке циркулирует информация различных уровней конфиденциальности, содержащая сведения ограниченного распространения (служебная, коммерческая, банковская информация, персональные данные), и открытые сведения.

Защите подлежит вся информация и информационные ресурсы Банка, независимо от ее представления и местонахождения в информационной среде Банка:

сведения, составляющие коммерческую тайну, доступ к которым ограничен собственником информации в соответствии с Федеральным законом "Об информации, информатизации и защите информации";

сведения, составляющие банковскую тайну, доступ к которым ограничен в соответствии с Федеральным законом "О банках и банковской деятельности";

сведения о частной жизни граждан (персональные данные), доступ к которым ограничен в соответствии с Федеральным законом "Об информации, информатизации и защите информации";

открытая информация, необходимая для обеспечения нормального функционирования Банка.
[править] 3. Цели и задачи обеспечения безопасности информации [править] 3.1. Интересы затрагиваемых субъектов информационных отношений
Субъектами информационных отношений при обеспечении информационной безопасности Банка являются:

Банк, как собственник информационных ресурсов;

подразделения Банка, участвующие в информационном обмене;

руководство и сотрудники структурных подразделений Банка, в соответствии с возложенными на них функциями;

юридические и физические лица, сведения о которых накапливаются, хранятся и обрабатываются в информационной системе Банка;

другие юридические и физические лица, задействованные в обеспечении выполнения Банком своих функций (консультанты, разработчики, обслуживающий персонал, организации, привлекаемые для оказания услуг и пр.).

Перечисленные субъекты информационных отношений заинтересованы в обеспечении:

своевременного доступа к необходимой им информации (ее доступности);

достоверности (полноты, точности, адекватности, целостности) информации;

конфиденциальности (сохранения в тайне) определенной части информации; защиты от навязывания им ложной (недостоверной, искаженной) информации;

разграничения ответственности за нарушения их прав (интересов) и установленных правил обращения с информацией;

возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации;

защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.).
[править] 3.2. Цели защиты
Основной целью, на достижение которой направлены все положения настоящей Политики, является защита субъектов информационных отношений Банка от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на информацию, ее носители, процессы обработки и передачи, а также минимизация уровня операционного и других рисков (риск нанесения урона деловой репутации Банка, правовой риск и т.д.).

Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации:

доступности информации для легальных пользователей (устойчивого функционирования информационной системы Банка, при котором пользователи имеют возможность получения необходимой информации и результатов решения задач за приемлемое для них время);

целостности и аутентичности (подтверждение авторства) информации, хранимой и обрабатываемой в информационной системе Банка и передаваемой по каналам связи;

конфиденциальности - сохранения в тайне определенной части информации, хранимой, обрабатываемой и передаваемой по каналам связи;

Необходимый уровень доступности, целостности и конфиденциальности информации обеспечивается соответствующими множеству значимых угроз методами и средствами.
[править] 3.3. Основные задачи системы обеспечения безопасности информации Банка
Для достижения основной цели защиты и обеспечения указанных свойств информации система обеспечения информационной безопасности Банка должна обеспечивать эффективное решение следующих задач:

своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению у