- •Информационной безопасности акционерного банка (Открытое Акционерное Общество)
- •1. Общие положения
- •2. Цели и задачи
- •3. Принципы организации и функционирования системы информационной безопасности
- •4. Правовое обеспечение информационной безопасности
- •5. Объекты защиты
- •6. Основные виды угроз объектам информационной безопасности
- •7. Порядок проведения работ по обеспечению информационной безопасности
- •8. Защита информации в автоматизированных системах и сетях
- •9. Организация безотказной работы
- •10. Защита речевой информации
- •11. Защита информации на материальных носителях
- •12. Управление информационной безопасностью
- •13. Ответственность
4. Правовое обеспечение информационной безопасности
4.1 Правовая форма защиты информации - защита информации, базирующаяся на применении Гражданского и Уголовного кодексов, Федеральных законов и других нормативно-правовых актов, регулирующих деятельность в области информатики, информационных отношений и защиты информации.
4.2 Настоящая Концепция базируется на следующих нормативно-правовых актах:
- «Гражданский кодекс Российской Федерации» от 30.11.94 г., №151-ФЗ ч.1, ст. 139;
- «Гражданский кодекс Российской Федерации» от 21.01.96 г., №14-ФЗ ч.2, ст. 857;
- «Уголовный Кодекс Российской Федерации» от 13.06.96г., №63-ФЗ ст. 183, 272, 273, 274;
- «Трудовой кодекс Российской Федерации» от 30.12.01, №197-ФЗ ст. 85,86,87,88,89,90;
- «Кодекс Российской Федерации об административных правонарушениях» от 30.12.01, №195-ФЗ ст. 13.12, 13.13, 13.14;
- Федеральный Закон Российской Федерации «О банках и банковской деятельности» от 02.12.90г. №395-1, ст.26;
- Федеральный Закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006г. № 149-ФЗ;
- Федеральный закон «О лицензировании отдельных видов деятельности» от 08.08.2001 №128-ФЗ (в ред. от 21.03.2002 № 31-ФЗ);
- Указ Президента РФ от 06.03.97г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
- Постановление Правительства РФ от 15.08.06. №504 «О лицензировании деятельности по технической защите конфиденциальной информации»;
- Приказ ФАПСИ от 13.06.01г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
4.3 Гражданский кодекс РФ и Закон «Об информации, информационных технологиях и о защите информации» позволяют рассматривать информацию как специфический объект права. Закон выделяет три категории информации:
- информация, составляющая государственную тайну;
- персональные данные;
- информация, составляющая коммерческую тайну.
Предметом рассмотрения данной Концепции является информация второй и третьей категорий. Банк в процессе осуществления своей деятельности выступает не только собственником, но и пользователем информации, доверенной ему клиентами, контрагентами или сотрудниками. Банк вправе распоряжаться такой информацией, а следовательно и выбирать степень её защиты.
4.4 Решение задач правового обеспечения информационной безопасности Банка достигается формированием системы внутренних инструкций, положений, планов, правил.
5. Объекты защиты
5.1 К объектам информационной безопасности, подлежащим защите, относятся:
- информационные ресурсы с ограниченным доступом, составляющие коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, а также акустическая (речевая) информация;
- сведения, ставшие известными сотрудникам банка в процессе исполнения ими своих должностных обязанностей;
- средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телефонной, факсимильной, радиосвязи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);
- служебные помещения, в которых хранится и обрабатывается информация ограниченного доступа;
- технические средства и системы защиты информационных ресурсов.