Положение об отделе информационной безопасности

1.1. Отдел информационной безопасности (далее Отдел) является структурным подразделением «ВАШ БАНК» (далее - Банк) и в соответствии с организационной структурой Банка подчиняется непосредственно Председателю Правления.

1.2. Управление в своей деятельности руководствуется:

• Уставом Банка;
• Решениями Совета Директоров и Правления Банка;
• Настоящим Положением;
• Нормами действующего законодательства, регулирующими деятельность Отдела;
• Внутренними нормативными и распорядительными документами Банка, регулирующими деятельность Отдела.

1.3.Управление возглавляет Начальник Отдела, который назначается и освобождается от занимаемой должности приказом Председателя Правления Банка.

На должность начальника Отдела назначается лицо, имеющее высшее образование и стаж работы в Банке не менее 5 лет.

1.4.На период отсутствия Начальника Отдела руководство Отделом осуществляется Заместителем начальника Отдела или лицом, назначенным приказом по Банку.

1.5.Сотрудники Отдела принимаются на работу приказом Председателя Правления Банка.

2.1. Задачами Отдела являются:

2.1.1. эффективное осуществление основных видов деятельности Отдела, а именно:

• разработка единой политики (концепции) обеспечения информационной безопасности Банка, определение требований к системе защиты информации Банка и документообороту на бумажных и электронных носителях;
• организация мероприятий и координация работ всех подразделений Банка по комплексной защите информации на всех этапах технологических циклов ее создания, переноса на носитель (бумажный или электронный), обработки и передачи в соответствии с единой политикой обеспечения информационной безопасности Банка;
• контроль и оценка эффективности принятых мер и применяемых средств защиты информации.

2.1.2. Обеспечение увеличения доходов и снижения расходов Банка, его структурных подразделений, по основным видам деятельности Отдела.

2.1.3. Развитие направлений деятельности Банка, входящих в компетенцию Отдела.

2.2. Отдел в соответствии с возложенными на него задачами выполняет следующие функции:

• разработка концепции и политики информационной безопасности Банка, включая разработку регламентов, корпоративных стандартов, руководств и должностных инструкций;
• выработка принципов классификации информационных активов Банка и оценки их защищенности;
• оценка и управление информационными рисками;
• обучение сотрудников Банка по вопросам обеспечения ИБ, проведение инструктажей и контроль знаний и практических навыков выполнения политики безопасности сотрудниками Банка;
• консультирование менеджеров Банка по вопросам управления информационными рисками;
• согласование частной политики и отдельных регламентов безопасности среди подразделений Банка;
• участие в рабочих группах или экспертных советах для оценки рисков исполнения и развития бизнеса Банка;
• контроль работы служб качества и автоматизации Банка с правом проверки и утверждения внутренних отчетов и документов;
• сотрудничество со службой персонала Банка для проверки личных данных сотрудников при найме на работу;
• в случае возникновения нештатных ситуаций или чрезвычайных происшествий в области защиты информации руководство действиями по их устранению;
• информационное обеспечение руководства Банка регулярными обзорами и аналитическими справками о текущем состоянии информационной безопасности, выдержками о результатах проверки выполнения политики безопасности;
• обеспечение сотрудников Банка информационной поддержкой по вопросам ИБ, в частности, об изменениях в законодательстве и нормативной базе в области защиты информации, технических новинках и т.д.

3.1. Права Начальника Отдела и его заместителя

• управлять всеми планами по обеспечению ИБ Банка;
• разрабатывать и вносить предложения по изменению политики ИБ Банка;
• изменять существующие и принимать новые нормативно-методические документы по обеспечению ИБ Банка;
• выбирать средства управления и обеспечения ИБ Банка;
• контролировать пользователей, в первую очередь пользователей, имеющих максимальные полномочия;
• контролировать активность, связанную с доступом и использованием средств антивирусной защиты, а также связанную с применением других средств обеспечения ИБ;
• осуществлять мониторинг событий, связанных с ИБ;
• расследовать события, связанные с нарушениями ИБ, и в случае необходимости выходить с предложениями по применению санкций в отношении лиц, осуществивших противоправные действия, например, нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ Банка;
• участвовать в действиях по восстановлению работоспособности АБС после сбоев и аварий;
• создавать, поддерживать и совершенствовать систему управления ИБ Банка.

3.2. Обязанности Начальника Отдела и его заместителя

• обеспечивает исполнение отделом задач и функций, определенных настоящим положением, в соответствии с действующим законодательством и нормативными документами Банка;
• обеспечивает соблюдение сотрудниками отдела установленных правил трудового распорядка, производственной и технологической дисциплины;
• разрабатывает и вносит на рассмотрение Председателя Правления предложения по совершенствованию структуры отдела и повышению уровня подготовки сотрудников отдела, улучшение работы и иные предложения по вопросам, входящим в его компетенцию;
• организует техническое обучение и повышение квалификации сотрудников отдела;
• обеспечивает реализацию мероприятий по созданию безопасных условий труда сотрудников отдела на всех технологических участках;
• обеспечивает контроль за соблюдением сотрудниками отдела правил электро- и пожарной безопасности;
• распределяет обязанности и разрабатывает должностные инструкции сотрудников отдела;
• представляет сотрудников отдела для назначения или освобождения от должности, поощрения отличившихся работников, наложения дисциплинарных взысканий в соответствии с действующим законодательством о труде и правилами внутреннего трудового распорядка;
• разрабатывает, представляет на утверждение и обеспечивает контроль за порядком доступа в служебные помещения отдела;
• устанавливает регламент проведения профилактических, ремонтных и аварийных работ на установленном в отделе оборудовании;
• координирует совместную деятельность сотрудников отдела со структурными подразделениями Банка;
• участвует в совещаниях по вопросам информационной безопасности Банка и представляет Отдел информационной безопасности в других учреждениях и организациях.

3.3. Обязанности сотрудников отдела

• проводить практические мероприятия по предотвращению незаконного вмешательства в процесс функционирования системы и несанкционированного доступа (НСД) к информации, обрабатываемой, хранимой и отображаемой в банковской системе;
• периодически контролировать правильность ведения журналов учета нештатных ситуаций и формуляров АРМ в подразделениях Банка;
• проводить занятия с сотрудниками подразделений Банка по правилам работы на компьютере и по изучению руководящих документов по вопросам обеспечения безопасности информации;
• контролировать выполнение обязанностей администраторами безопасности, ответственными за информационную безопасность в подразделениях, ответственными за эксплуатацию конкретных АРМ, за обслуживание определенных технических и программных средств;
• участвовать в работе по определению необходимых мер защиты при проектировании программных средств автоматизации решения прикладных задач, по оценке качества реализации необходимых защитных механизмов в банковской системе при испытаниях и внедрении данного программного обеспечения (в части обеспечения безопасности информации и процессов ее обработки);
• контролировать исполнение порядка учета, хранения, использования и уничтожения отчуждаемых магнитных носителей конфиденциальной информации;
• контролировать выполнение установленных правил создания, хранения и использования эталонных копий программных средств, соблюдение порядка формирования и использования информационных массивов и баз данных, резервного и архивного копирования данных;
• координировать действия должностных лиц по своевременному восстановлению процесса обработки данных в кризисных (аварийных) ситуациях;
• участвовать в расследовании причин возникновения серьезных кризисных ситуаций;
• постоянно проводить работу по выявлению возможных каналов утечки конфиденциальных сведений при эксплуатации банковской системы и несанкционированного вмешательства в процесс ее функционирования, готовить предложения по совершенствованию системы защиты и пересмотру Плана защиты;
• участвовать в работе комиссий по пересмотру Плана защиты.

Степень ответственности сотрудников отдела устанавливается должностными инструкциями.

4.1. Начальник Отдела и его заместитель отвечает за:

• планирование и организацию практических мероприятий по предотвращению попыток несанкционированного вмешательства в процесс нормального функционирования банковской системы и попыток НСД к обрабатываемой, хранимой и отображаемой на компьютерах банковской системы информации;
• организацию постоянного контроля за соблюдением сотрудниками Банка требований Планов защиты конкретных систем и других организационно-распорядительных документов по вопросам обеспечения безопасности информации;
• определение особых обязанностей должностных лиц Банка по обеспечению безопасности информации при их работе в банковской системе;
• организацию проведения занятий с персоналом Банка по изучению организационно-распорядительных документов по всему комплексу вопросов обеспечения безопасности информации при работе в банковской системе;
• организацию проведения работ по выявлению возможных каналов нарушения информационной безопасности при эксплуатации банковской системы и принятие своевременных мер по их перекрытию;
• организацию контроля за выполнением специальных требований по размещению технических средств банковской системы, прокладке кабельных трасс и инженерных систем, за организацией резервного дублирования и архивирования информации, а также созданием и использованием эталонных копий программного обеспечения в части обеспечения безопасности информации и процессов ее обработки;
• определение и пересмотр порядка установки и модернизации аппаратных и программных средств Банка в части обеспечения безопасности информации и процессов ее обработки;
• определение и пересмотр порядка проектирования, разработки, отладки, проверки, внедрения и использования программного обеспечения в части обеспечения безопасности информации и процессов ее обработки.

4.2. Сотрудники отдела отвечают за:

• личное нарушение информационной безопасности и за не использование своих прав при выполнении функциональных обязанностей по обеспечению информационной безопасности в Банке.

5.1. Настоящее Положение вступает в законную силу с даты утверждения Советом Директоров Банка.

5.2. Изменения и дополнения в настоящее Положение вносятся по инициативе Правления, Председателя Правления, Руководителя Службы внутреннего контроля, Начальника Управления Информационных Технологий, Управления экономической защиты и утверждаются решением Совета Директоров Банка.

5.3. В случае вступления отдельных пунктов настоящего Положения в противоречие с новыми законодательными актами и Уставом Банка, эти пункты утрачивают юридическую силу и Положение действует в части, не противоречащей законодательным Актам и Уставу Банка.