- •Политика информационной безопасности
- •Общие положения
- •Порядок доступа к конфиденциальной информации
- •Защита от несанкционированного доступа
- •Защищенность внутренних ресурсов сети от вмешательства извне
- •Управление доступом и регистрацией в абс
- •Управление доступом и регистрацией в Diasoft 5nt
- •Защита системы Интернет-банкинга
- •Управление доступом к удаленным рабочим местам бирж и торговых площадок
- •Управление доступом к телекоммуникационному оборудованию и упатс
- •Разграничение прав доступа на разделяемые сетевые ресурсы
- •Использование ресурсов Интернет
- •Использование средств криптографической защиты информации
- •Защита серверов и рабочих станций пользователей локальной сети от доступа извне и заражения вирусами
- •Дублирование, резервирование и раздельное хранение конфиденциальной информации
- •Защита банковских платежных и информационных технологических процессов
- •Обеспечение бесперебойного функционирования информационных систем Банка
- •Заключение
Использование ресурсов Интернет
Ресурсы сети Интернет в ООО КБ “********” используются в следующих целях:
для ведения дистанционного банковского обслуживания
для получения и распространения информации, связанной с банковской деятельностью
для информационно-аналитической работы в интересах организации
для обмена почтовыми сообщениями исключительно с внешними организациями
ведения собственной хозяйственной деятельности
Иное использование ресурсов сети Интернет, решение о котором не принято руководством организации в установленном порядке, рассматривается как нарушение информационной безопасности.
При работе с сетью ИНТЕРНЕТ сотрудникам запрещено:
Скачивать и устанавливать на компьютер программное обеспечение.
Посещать ресурсы, не имеющие непосредственного отношения к работе и служебным обязанностям.
Осуществлять подписку на рассылку информации непроизводственного характера.
Сообщать адрес электронной почты в непроизводственных целях.
Пользоваться различными Интернет-пейджерами.
Использовать Интернет для получения материальной выгоды или непроизводственных целях, в том числе осуществляя торговлю через Интернет
В связи с повышенными рисками информационной безопасности при взаимодействии с сетью Интернет применяются соответствующие средства защиты информации (межсетевые экраны, антивирусные средства), обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии. Локальная сеть банка, где функционирует АБС и находятся основные банковские документы, выделена физически и не подключена к сети Интернет.
Полномочия пользователей на рабочих станциях, подключенных к сети Интернет, ограничены групповыми политиками безопасности домена
Подробности технической реализации межсетевых экранов, антивирусных средств и групповых политик на рабочих станциях пользователей, описаны в отдельных документах
Почтовый обмен через сеть Интернет должен осуществляться с использованием защитных мер.
Электронная почта архивируется. Архив доступен только подразделению, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Доступ к информации архива ограничен..
При взаимодействии с сетью Интернет обеспечивается противодействие атакам хакеров и распространению спама.
Порядок подключения и использования ресурсов сети Интернет в ООО КБ “********” контролируется руководителем департамента информационных технологий. Для любого подключения и использования сети Интернет необходима санкция руководства функционального подразделения ООО КБ “********”
Использование средств криптографической защиты информации
Используемые в ООО КБ “********” средства криптографической защиты информации поставляются при установке внешних торговых и расчетных систем (депозитарии, SWIFT, МЦИ) с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней
Правила хранения ключевых носителей и работы с ними установлены приказом Президента ООО КБ “********”. Эти Правила устанавливают строгий регламент использования ключей, предполагающий контроль со стороны администратора информационной безопасности за действиями пользователя на всех этапах работы с ключевой информацией (получение ключевого носителя, ввод ключей, использование ключей и сдача ключевого носителя);
Средства криптографической защиты информации, используемые в ООО КБ “********” реализованы на основе алгоритмов, соответствующих национальным стандартам РФ или условиям договора с контрагентом.
Средства криптографической защиты информации, используемые в ООО КБ “********” , не содержат требований к ЭВМ по специальной проверке на отсутствие закладных устройств и не требуют дополнительной защиты от утечки по побочным каналам электромагнитного излучения, за исключением отдельных оговоренных в технической документации и Договорах случаев.
Информационная безопасность процесса изготовления ключевых носителей СКЗИ гарантируется владельцем систем, в которых используются эти СКЗИ
Внутренний порядок применения СКЗИ в ООО КБ ******** определяется владельцем систем, в которых используются эти СКЗИ, и руководством организации и включает:
порядок ввода в действие
порядок эксплуатации
порядок восстановления работоспособности в аварийных случаях
порядок внесения изменений
порядок снятия с эксплуатации
порядок управления ключевой системой (осуществляется владельцем системы)
порядок обращения с носителями ключевой информации