====== Положение об отделе информационной безопасности ======
===== 1. Общие положения =====
1.1. Отдел информационной безопасности (далее Отдел) является структурным подразделением "**ВАШ БАНК**" (далее - Банк) и в соответствии с организационной структурой Банка подчиняется непосредственно Председателю Правления.

1.2. Управление в своей деятельности руководствуется:

  * Уставом Банка;
  * Решениями Совета Директоров и Правления Банка;
  * Настоящим Положением;
  * Нормами действующего законодательства, регулирующими деятельность Отдела;
  * Внутренними нормативными и распорядительными документами Банка, регулирующими деятельность Отдела.
1.3.Управление возглавляет Начальник Отдела, который назначается и освобождается от занимаемой должности приказом Председателя Правления Банка.

На должность начальника Отдела назначается лицо, имеющее высшее образование и стаж работы в Банке не менее 5 лет.

1.4.На период отсутствия Начальника Отдела руководство Отделом осуществляется Заместителем начальника Отдела или лицом, назначенным приказом по Банку.

1.5.Сотрудники Отдела принимаются на работу приказом Председателя Правления Банка.

===== 2. Задачи и функции =====

2.1. Задачами Отдела являются:

2.1.1. эффективное осуществление основных видов деятельности Отдела, а именно:
  * разработка единой политики (концепции) обеспечения информационной безопасности Банка, определение требований к системе защиты информации Банка и документообороту на бумажных и электронных носителях;
  * организация мероприятий и координация работ всех подразделений Банка по комплексной защите информации на всех этапах технологических циклов ее создания, переноса на носитель (бумажный или электронный), обработки и передачи в соответствии с единой политикой обеспечения информационной безопасности Банка;
  * контроль и оценка эффективности принятых мер и применяемых средств защиты информации.

2.1.2. Обеспечение увеличения доходов и снижения расходов Банка, его структурных подразделений, по основным видам деятельности Отдела.

2.1.3. Развитие направлений деятельности Банка, входящих в компетенцию Отдела.

2.2. Отдел в соответствии с возложенными на него задачами выполняет следующие функции:

  * разработка концепции и политики информационной безопасности Банка, включая разработку регламентов, корпоративных стандартов, руководств и должностных инструкций;
  * выработка принципов классификации информационных активов Банка и оценки их защищенности;
  * оценка и управление информационными рисками;
  * обучение сотрудников Банка по вопросам обеспечения ИБ, проведение инструктажей и контроль знаний и практических навыков выполнения политики безопасности сотрудниками Банка;
  * консультирование менеджеров Банка по вопросам управления информационными рисками;
  * согласование частной политики и отдельных регламентов безопасности среди подразделений Банка;
  * участие в рабочих группах или экспертных советах для оценки рисков исполнения и развития бизнеса Банка;
  * контроль работы служб качества и автоматизации Банка с правом проверки и утверждения внутренних отчетов и документов;
  * сотрудничество со службой персонала Банка для проверки личных данных сотрудников при найме на работу;
  * в случае возникновения нештатных ситуаций или чрезвычайных происшествий в области защиты информации руководство действиями по их устранению;
  * информационное обеспечение руководства Банка регулярными обзорами и аналитическими справками о текущем состоянии информационной безопасности, выдержками о результатах проверки выполнения политики безопасности;
  * обеспечение сотрудников Банка информационной поддержкой по вопросам ИБ, в частности, об изменениях в законодательстве и нормативной базе в области защиты информации, технических новинках и т.д.
===== 3. Права и обязанности =====

3.1. Права Начальника Отдела и его заместителя

  * управлять всеми планами по обеспечению ИБ Банка;
  * разрабатывать и вносить предложения по изменению политики ИБ Банка;
  * изменять существующие и принимать новые нормативно-методические документы по обеспечению ИБ Банка;
  * выбирать средства управления и обеспечения ИБ Банка;
  * контролировать пользователей, в первую очередь пользователей, имеющих максимальные полномочия;
  * контролировать активность, связанную с доступом и использованием средств антивирусной защиты, а также связанную с применением других средств обеспечения ИБ;
  * осуществлять мониторинг событий, связанных с ИБ;
  * расследовать события, связанные с нарушениями ИБ, и в случае необходимости выходить с предложениями по применению санкций в отношении лиц, осуществивших противоправные действия, например, нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ Банка;
  * участвовать в действиях по восстановлению работоспособности АБС после сбоев и аварий;
  * создавать, поддерживать и совершенствовать систему управления ИБ Банка.
3.2. Обязанности Начальника Отдела и его заместителя

  * обеспечивает исполнение отделом задач и функций, определенных настоящим положением, в соответствии с действующим законодательством и нормативными документами Банка;
  * обеспечивает соблюдение сотрудниками отдела установленных правил трудового распорядка, производственной и технологической дисциплины;
  * разрабатывает и вносит на рассмотрение Председателя Правления предложения по совершенствованию структуры отдела и повышению уровня подготовки сотрудников отдела, улучшение работы и иные предложения по вопросам, входящим в его компетенцию;
  * организует техническое обучение и повышение квалификации сотрудников отдела;
  * обеспечивает реализацию мероприятий по созданию безопасных условий труда сотрудников отдела на всех технологических участках;
  * обеспечивает контроль за соблюдением сотрудниками отдела правил электро- и пожарной безопасности;
  * распределяет обязанности и разрабатывает должностные инструкции сотрудников отдела;
  * представляет сотрудников отдела для назначения или освобождения от должности, поощрения отличившихся работников, наложения дисциплинарных взысканий в соответствии с действующим законодательством о труде и правилами внутреннего трудового распорядка;
  * разрабатывает, представляет на утверждение и обеспечивает контроль за порядком доступа в служебные помещения отдела;
  * устанавливает регламент проведения профилактических, ремонтных и аварийных работ на установленном в отделе оборудовании;
  * координирует совместную деятельность сотрудников отдела со структурными подразделениями Банка;
  * участвует в совещаниях по вопросам информационной безопасности Банка и представляет Отдел информационной безопасности в других учреждениях и организациях.
3.3. Обязанности сотрудников отдела

  * проводить практические мероприятия по предотвращению незаконного вмешательства в процесс функционирования системы и несанкционированного доступа (НСД) к информации, обрабатываемой, хранимой и отображаемой в банковской системе;
  * периодически контролировать правильность ведения журналов учета нештатных ситуаций и формуляров АРМ в подразделениях Банка;
  * проводить занятия с сотрудниками подразделений Банка по правилам работы на компьютере и по изучению руководящих документов по вопросам обеспечения безопасности информации;
  * контролировать выполнение обязанностей администраторами безопасности, ответственными за информационную безопасность в подразделениях, ответственными за эксплуатацию конкретных АРМ, за обслуживание определенных технических и программных средств;
  * участвовать в работе по определению необходимых мер защиты при проектировании программных средств автоматизации решения прикладных задач, по оценке качества реализации необходимых защитных механизмов в банковской системе при испытаниях и внедрении данного программного обеспечения (в части обеспечения безопасности информации и процессов ее обработки);
  * контролировать исполнение порядка учета, хранения, использования и уничтожения отчуждаемых магнитных носителей конфиденциальной информации;
  * контролировать выполнение установленных правил создания, хранения и использования эталонных копий программных средств, соблюдение порядка формирования и использования информационных массивов и баз данных, резервного и архивного копирования данных;
  * координировать действия должностных лиц по своевременному восстановлению процесса обработки данных в кризисных (аварийных) ситуациях;
  * участвовать в расследовании причин возникновения серьезных кризисных ситуаций;
  * постоянно проводить работу по выявлению возможных каналов утечки конфиденциальных сведений при эксплуатации банковской системы и несанкционированного вмешательства в процесс ее функционирования, готовить предложения по совершенствованию системы защиты и пересмотру Плана защиты;
  * участвовать в работе комиссий по пересмотру Плана защиты.
===== 4. Ответственность =====

Степень ответственности сотрудников отдела устанавливается должностными инструкциями.

4.1. Начальник Отдела и его заместитель отвечает за:

  * планирование и организацию практических мероприятий по предотвращению попыток несанкционированного вмешательства в процесс нормального функционирования банковской системы и попыток НСД к обрабатываемой, хранимой и отображаемой на компьютерах банковской системы информации;
  * организацию постоянного контроля за соблюдением сотрудниками Банка требований Планов защиты конкретных систем и других организационно-распорядительных документов по вопросам обеспечения безопасности информации;
  * определение особых обязанностей должностных лиц Банка по обеспечению безопасности информации при их работе в банковской системе;
  * организацию проведения занятий с персоналом Банка по изучению организационно-распорядительных документов по всему комплексу вопросов обеспечения безопасности информации при работе в банковской системе;
  * организацию проведения работ по выявлению возможных каналов нарушения информационной безопасности при эксплуатации банковской системы и принятие своевременных мер по их перекрытию;
  * организацию контроля за выполнением специальных требований по размещению технических средств банковской системы, прокладке кабельных трасс и инженерных систем, за организацией резервного дублирования и архивирования информации, а также созданием и использованием эталонных копий программного обеспечения в части обеспечения безопасности информации и процессов ее обработки;
  * определение и пересмотр порядка установки и модернизации аппаратных и программных средств Банка в части обеспечения безопасности информации и процессов ее обработки;
  * определение и пересмотр порядка проектирования, разработки, отладки, проверки, внедрения и использования программного обеспечения в части обеспечения безопасности информации и процессов ее обработки.
4.2. Сотрудники отдела отвечают за:

  * личное нарушение информационной безопасности и за не использование своих прав при выполнении функциональных обязанностей по обеспечению информационной безопасности в Банке.
===== 5. Порядок утверждения, внесения изменений и дополнений =====

5.1. Настоящее Положение вступает в законную силу с даты утверждения Советом Директоров Банка.

5.2. Изменения и дополнения в настоящее Положение вносятся по инициативе Правления, Председателя Правления, Руководителя Службы внутреннего контроля, Начальника Управления Информационных Технологий, Управления экономической защиты и утверждаются решением Совета Директоров Банка.

5.3. В случае вступления отдельных пунктов настоящего Положения в противоречие с новыми законодательными актами и Уставом Банка, эти пункты утрачивают юридическую силу и Положение действует в части, не противоречащей законодательным Актам и Уставу Банка.