1. Общие положения

1.1.Цель настоящего Положения - своевременность, надежность, доступность и правильность оформления информации по направлениям деятельности КБ "Банк" (далее Банк).

1.2.Настоящее Положение устанавливает порядок организации работ, требования и рекомендации по обеспечению технической и организационной защиты конфиденциальной информации в Банк и является основным руководящим документом в этой области для всех структурных подразделений Банка.

1.3.Требования и рекомендации настоящего Положения распространяются на защиту:

• информации, относящейся непосредственно к самой кредитной организации;
• конфиденциальной информации о клиентах и партнерах кредитной организации.

1.4.Положение определяет следующие основные вопросы защиты информации:

• порядок допуска к работе с конфиденциальными источниками;
• систему документооборота и учета, организационно-техническое разделение подразделений банка;
• человеческий фактор в обеспечении информационной безопасности;
• дублирование, резервирование и раздельное хранение конфиденциальной информации.

2. Порядок доступа к конфиденциальной информации

2.1.В целях обеспечения защиты конфиденциальной информации в Банке, целостности данных компьютерных систем, баз данных устанавливается следующий порядок допуска к работе с конфиденциальными источниками.

• Решение о доступе работника к определенному разделу банковской информации принимается руководством Банка.
• Управление информационных технологий обеспечивает защиту отдельных файлов и программ от чтения, удаления, копирования лицами, не допущенными к этому.
• Доступ к компьютерной сети Банка осуществляется только с персональным паролем. Пользователь должен держать в тайне свой пароль. Сообщать свой пароль другим лицам, а также пользоваться чужими паролями запрещается. Имя пользователя и пароль на вход в АБС должны быть отличны от имени пользователя и пароля в общую компьютерную сеть Банка.

2.2.Секретные ключи электронно-цифровых подписей и шифрования должны храниться в сейфах под ответственностью лиц на то уполномоченных. Доступ неуполномоченных лиц к носителям секретных ключей и шифрования должен быть исключен.

2.3.При компрометации секретных ключей, шифрования и прочей электронной информации Управлением информационных технологий принимаются меры для прекращения любых операций с использованием этих ключей и прочей информации; принимаются меры для смены ключей и шифрования, паролей. По факту компрометации организуется служебное расследование, результаты которого отражаются в акте и доводятся до сведения руководства Банка.

2.4.Распределение доступа к конфиденциальной информации регламентируют внутренние документы Банка, утвержденные руководством Банка.

3. Система документооборота и учета

3.1. Система документооборота и учета обеспечивает защиту банковской информации от несанкционированного распространения между внутренними подразделениями, с целью предотвращения утечки и обеспечения контроля за ее использованием.

3.2. В целях защиты конфиденциальной банковской информации Банка организационно и технически разделены подразделения Банка, имеющие доступ и работающие с различной информацией (в разрезе ее конфиденциальности, секретности и смысловой направленности).

3.3.Аппаратно разделено хранение информации, относящейся к различным подразделениям Банка.

3.4.Все действия пользователя, работающего с АБС протоколируются. Журнал операций храниться не менее шести месяцев.

4. Человеческий фактор в обеспечении информационной безопасности

4.1.В целях обеспечения должного уровня информационной безопасности Банка, сотрудникам подразделений Банка, осуществляющих работу с персоналом Банка, при подборе и приеме персонала на работу в подразделения Банка руководствоваться следующим:

• в рамках действующего российского законодательства добывать максимальный объем сведений о кандидатах на работу, тщательно проверяя представленные документы как через официальные, так и оперативные возможности;
• проводить комплекс проверочных мероприятий в отношении кандидатов на работу, их родственников, бывших сослуживцев, ближайшего окружения в тех случаях, когда рассматривается вопрос об их приеме на руководящие должности или допуске к информации, составляющей коммерческую тайну;
• использовать современные методы, в частности собеседования и тестирования, для создания психологического портрета кандидатов на работу, который бы позволял уверенно судить об основных чертах характера и прогнозировать их вероятные действия в различных ситуациях;
• определение для кандидатов на работу в структуры и подразделения банка испытательного срока с целью дальнейшей проверки и выявления деловых и личных качеств, иных факторов, которые бы могли препятствовать зачислению на должность;
• закрепить конкретные требования, ограничения для каждого сотрудника банка, в части сохранения банковской тайны, используя подписку о неразглашении конфиденциальной информации.

5. Дублирование, резервирвоание и раздельное хранение конфиденциальной информации

5.1. В целях защиты банковской информации от преднамеренного или же непреднамеренного ее уничтожения, фальсификации или разглашения обеспечить:

• ежедневное обязательное резервирование всей информации, имеющей конфиденциальный характер;
• дублирование информации с использованием различных физических и аппаратных носителей;
• протоколирование действий пользователя, работающего с АБС (журнал операций должен храниться не менее шести месяцев).

5.2. Ответственность за хранение и резервирование информации в электронном виде возложить на Управление Информационных технологий.