Положение об отделе информационной безопасности
1. Общие положения
1.1. Отдел информационной безопасности (далее Отдел) является структурным подразделением «ВАШ БАНК» (далее - Банк) и в соответствии с организационной структурой Банка подчиняется непосредственно Председателю Правления.
1.2. Управление в своей деятельности руководствуется:
- Уставом Банка;
- Решениями Совета Директоров и Правления Банка;
- Настоящим Положением;
- Нормами действующего законодательства, регулирующими деятельность Отдела;
- Внутренними нормативными и распорядительными документами Банка, регулирующими деятельность Отдела.
1.3.Управление возглавляет Начальник Отдела, который назначается и освобождается от занимаемой должности приказом Председателя Правления Банка.
На должность начальника Отдела назначается лицо, имеющее высшее образование и стаж работы в Банке не менее 5 лет.
1.4.На период отсутствия Начальника Отдела руководство Отделом осуществляется Заместителем начальника Отдела или лицом, назначенным приказом по Банку.
1.5.Сотрудники Отдела принимаются на работу приказом Председателя Правления Банка.
2. Задачи и функции
2.1. Задачами Отдела являются:
2.1.1. эффективное осуществление основных видов деятельности Отдела, а именно:
- разработка единой политики (концепции) обеспечения информационной безопасности Банка, определение требований к системе защиты информации Банка и документообороту на бумажных и электронных носителях;
- организация мероприятий и координация работ всех подразделений Банка по комплексной защите информации на всех этапах технологических циклов ее создания, переноса на носитель (бумажный или электронный), обработки и передачи в соответствии с единой политикой обеспечения информационной безопасности Банка;
- контроль и оценка эффективности принятых мер и применяемых средств защиты информации.
2.1.2. Обеспечение увеличения доходов и снижения расходов Банка, его структурных подразделений, по основным видам деятельности Отдела.
2.1.3. Развитие направлений деятельности Банка, входящих в компетенцию Отдела.
2.2. Отдел в соответствии с возложенными на него задачами выполняет следующие функции:
- разработка концепции и политики информационной безопасности Банка, включая разработку регламентов, корпоративных стандартов, руководств и должностных инструкций;
- выработка принципов классификации информационных активов Банка и оценки их защищенности;
- оценка и управление информационными рисками;
- обучение сотрудников Банка по вопросам обеспечения ИБ, проведение инструктажей и контроль знаний и практических навыков выполнения политики безопасности сотрудниками Банка;
- консультирование менеджеров Банка по вопросам управления информационными рисками;
- согласование частной политики и отдельных регламентов безопасности среди подразделений Банка;
- участие в рабочих группах или экспертных советах для оценки рисков исполнения и развития бизнеса Банка;
- контроль работы служб качества и автоматизации Банка с правом проверки и утверждения внутренних отчетов и документов;
- сотрудничество со службой персонала Банка для проверки личных данных сотрудников при найме на работу;
- в случае возникновения нештатных ситуаций или чрезвычайных происшествий в области защиты информации руководство действиями по их устранению;
- информационное обеспечение руководства Банка регулярными обзорами и аналитическими справками о текущем состоянии информационной безопасности, выдержками о результатах проверки выполнения политики безопасности;
- обеспечение сотрудников Банка информационной поддержкой по вопросам ИБ, в частности, об изменениях в законодательстве и нормативной базе в области защиты информации, технических новинках и т.д.
3. Права и обязанности
3.1. Права Начальника Отдела и его заместителя
- управлять всеми планами по обеспечению ИБ Банка;
- разрабатывать и вносить предложения по изменению политики ИБ Банка;
- изменять существующие и принимать новые нормативно-методические документы по обеспечению ИБ Банка;
- выбирать средства управления и обеспечения ИБ Банка;
- контролировать пользователей, в первую очередь пользователей, имеющих максимальные полномочия;
- контролировать активность, связанную с доступом и использованием средств антивирусной защиты, а также связанную с применением других средств обеспечения ИБ;
- осуществлять мониторинг событий, связанных с ИБ;
- расследовать события, связанные с нарушениями ИБ, и в случае необходимости выходить с предложениями по применению санкций в отношении лиц, осуществивших противоправные действия, например, нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ Банка;
- участвовать в действиях по восстановлению работоспособности АБС после сбоев и аварий;
- создавать, поддерживать и совершенствовать систему управления ИБ Банка.
3.2. Обязанности Начальника Отдела и его заместителя
- обеспечивает исполнение отделом задач и функций, определенных настоящим положением, в соответствии с действующим законодательством и нормативными документами Банка;
- обеспечивает соблюдение сотрудниками отдела установленных правил трудового распорядка, производственной и технологической дисциплины;
- разрабатывает и вносит на рассмотрение Председателя Правления предложения по совершенствованию структуры отдела и повышению уровня подготовки сотрудников отдела, улучшение работы и иные предложения по вопросам, входящим в его компетенцию;
- организует техническое обучение и повышение квалификации сотрудников отдела;
- обеспечивает реализацию мероприятий по созданию безопасных условий труда сотрудников отдела на всех технологических участках;
- обеспечивает контроль за соблюдением сотрудниками отдела правил электро- и пожарной безопасности;
- распределяет обязанности и разрабатывает должностные инструкции сотрудников отдела;
- представляет сотрудников отдела для назначения или освобождения от должности, поощрения отличившихся работников, наложения дисциплинарных взысканий в соответствии с действующим законодательством о труде и правилами внутреннего трудового распорядка;
- разрабатывает, представляет на утверждение и обеспечивает контроль за порядком доступа в служебные помещения отдела;
- устанавливает регламент проведения профилактических, ремонтных и аварийных работ на установленном в отделе оборудовании;
- координирует совместную деятельность сотрудников отдела со структурными подразделениями Банка;
- участвует в совещаниях по вопросам информационной безопасности Банка и представляет Отдел информационной безопасности в других учреждениях и организациях.
3.3. Обязанности сотрудников отдела
- проводить практические мероприятия по предотвращению незаконного вмешательства в процесс функционирования системы и несанкционированного доступа (НСД) к информации, обрабатываемой, хранимой и отображаемой в банковской системе;
- периодически контролировать правильность ведения журналов учета нештатных ситуаций и формуляров АРМ в подразделениях Банка;
- проводить занятия с сотрудниками подразделений Банка по правилам работы на компьютере и по изучению руководящих документов по вопросам обеспечения безопасности информации;
- контролировать выполнение обязанностей администраторами безопасности, ответственными за информационную безопасность в подразделениях, ответственными за эксплуатацию конкретных АРМ, за обслуживание определенных технических и программных средств;
- участвовать в работе по определению необходимых мер защиты при проектировании программных средств автоматизации решения прикладных задач, по оценке качества реализации необходимых защитных механизмов в банковской системе при испытаниях и внедрении данного программного обеспечения (в части обеспечения безопасности информации и процессов ее обработки);
- контролировать исполнение порядка учета, хранения, использования и уничтожения отчуждаемых магнитных носителей конфиденциальной информации;
- контролировать выполнение установленных правил создания, хранения и использования эталонных копий программных средств, соблюдение порядка формирования и использования информационных массивов и баз данных, резервного и архивного копирования данных;
- координировать действия должностных лиц по своевременному восстановлению процесса обработки данных в кризисных (аварийных) ситуациях;
- участвовать в расследовании причин возникновения серьезных кризисных ситуаций;
- постоянно проводить работу по выявлению возможных каналов утечки конфиденциальных сведений при эксплуатации банковской системы и несанкционированного вмешательства в процесс ее функционирования, готовить предложения по совершенствованию системы защиты и пересмотру Плана защиты;
- участвовать в работе комиссий по пересмотру Плана защиты.
4. Ответственность
Степень ответственности сотрудников отдела устанавливается должностными инструкциями.
4.1. Начальник Отдела и его заместитель отвечает за:
- планирование и организацию практических мероприятий по предотвращению попыток несанкционированного вмешательства в процесс нормального функционирования банковской системы и попыток НСД к обрабатываемой, хранимой и отображаемой на компьютерах банковской системы информации;
- организацию постоянного контроля за соблюдением сотрудниками Банка требований Планов защиты конкретных систем и других организационно-распорядительных документов по вопросам обеспечения безопасности информации;
- определение особых обязанностей должностных лиц Банка по обеспечению безопасности информации при их работе в банковской системе;
- организацию проведения занятий с персоналом Банка по изучению организационно-распорядительных документов по всему комплексу вопросов обеспечения безопасности информации при работе в банковской системе;
- организацию проведения работ по выявлению возможных каналов нарушения информационной безопасности при эксплуатации банковской системы и принятие своевременных мер по их перекрытию;
- организацию контроля за выполнением специальных требований по размещению технических средств банковской системы, прокладке кабельных трасс и инженерных систем, за организацией резервного дублирования и архивирования информации, а также созданием и использованием эталонных копий программного обеспечения в части обеспечения безопасности информации и процессов ее обработки;
- определение и пересмотр порядка установки и модернизации аппаратных и программных средств Банка в части обеспечения безопасности информации и процессов ее обработки;
- определение и пересмотр порядка проектирования, разработки, отладки, проверки, внедрения и использования программного обеспечения в части обеспечения безопасности информации и процессов ее обработки.
4.2. Сотрудники отдела отвечают за:
- личное нарушение информационной безопасности и за не использование своих прав при выполнении функциональных обязанностей по обеспечению информационной безопасности в Банке.
5. Порядок утверждения, внесения изменений и дополнений
5.1. Настоящее Положение вступает в законную силу с даты утверждения Советом Директоров Банка.
5.2. Изменения и дополнения в настоящее Положение вносятся по инициативе Правления, Председателя Правления, Руководителя Службы внутреннего контроля, Начальника Управления Информационных Технологий, Управления экономической защиты и утверждаются решением Совета Директоров Банка.
5.3. В случае вступления отдельных пунктов настоящего Положения в противоречие с новыми законодательными актами и Уставом Банка, эти пункты утрачивают юридическую силу и Положение действует в части, не противоречащей законодательным Актам и Уставу Банка.