====== Положение о порядке обеспечения защиты и безопасности банковской информации ====== ===== 1. Общие положения ===== 1.1.Цель настоящего Положения - своевременность, надежность, доступность и правильность оформления информации по направлениям деятельности "**ВАШ_БАНК**" (далее Банк). 1.2.Настоящее Положение устанавливает порядок организации работ, требования и рекомендации по обеспечению технической и организационной защиты конфиденциальной информации в Банк и является основным руководящим документом в этой области для всех структурных подразделений Банка. 1.3.Требования и рекомендации настоящего Положения распространяются на защиту: * информации, относящейся непосредственно к самой кредитной организации; * конфиденциальной информации о клиентах и партнерах кредитной организации. 1.4.Положение определяет следующие основные вопросы защиты информации: * порядок допуска к работе с конфиденциальными источниками; * систему документооборота и учета, организационно-техническое разделение подразделений банка; * человеческий фактор в обеспечении информационной безопасности; * дублирование, резервирование и раздельное хранение конфиденциальной информации. ===== 2. Порядок доступа к конфиденциальной информации ===== 2.1.В целях обеспечения защиты конфиденциальной информации в Банке, целостности данных компьютерных систем, баз данных устанавливается следующий порядок допуска к работе с конфиденциальными источниками. * Решение о доступе работника к определенному разделу банковской информации принимается руководством Банка. * Управление информационных технологий обеспечивает защиту отдельных файлов и программ от чтения, удаления, копирования лицами, не допущенными к этому. * Доступ к компьютерной сети Банка осуществляется только с персональным паролем. Пользователь должен держать в тайне свой пароль. Сообщать свой пароль другим лицам, а также пользоваться чужими паролями запрещается. Имя пользователя и пароль на вход в АБС должны быть отличны от имени пользователя и пароля в общую компьютерную сеть Банка. 2.2.Секретные ключи электронно-цифровых подписей и шифрования должны храниться в сейфах под ответственностью лиц на то уполномоченных. Доступ неуполномоченных лиц к носителям секретных ключей и шифрования должен быть исключен. 2.3.При компрометации секретных ключей, шифрования и прочей электронной информации Управлением информационных технологий принимаются меры для прекращения любых операций с использованием этих ключей и прочей информации; принимаются меры для смены ключей и шифрования, паролей. По факту компрометации организуется служебное расследование, результаты которого отражаются в акте и доводятся до сведения руководства Банка. 2.4.Распределение доступа к конфиденциальной информации регламентируют внутренние документы Банка, утвержденные руководством Банка. ===== 3. Система документооборота и учета ===== 3.1. Система документооборота и учета обеспечивает защиту банковской информации от несанкционированного распространения между внутренними подразделениями, с целью предотвращения утечки и обеспечения контроля за ее использованием. 3.2. В целях защиты конфиденциальной банковской информации Банка организационно и технически разделены подразделения Банка, имеющие доступ и работающие с различной информацией (в разрезе ее конфиденциальности, секретности и смысловой направленности). 3.3.Аппаратно разделено хранение информации, относящейся к различным подразделениям Банка. 3.4.Все действия пользователя, работающего с АБС протоколируются. Журнал операций храниться не менее шести месяцев. ===== 4. Человеческий фактор в обеспечении информационной безопасности ===== 4.1.В целях обеспечения должного уровня информационной безопасности Банка, сотрудникам подразделений Банка, осуществляющих работу с персоналом Банка, при подборе и приеме персонала на работу в подразделения Банка руководствоваться следующим: * в рамках действующего российского законодательства добывать максимальный объем сведений о кандидатах на работу, тщательно проверяя представленные документы как через официальные, так и оперативные возможности; * проводить комплекс проверочных мероприятий в отношении кандидатов на работу, их родственников, бывших сослуживцев, ближайшего окружения в тех случаях, когда рассматривается вопрос об их приеме на руководящие должности или допуске к информации, составляющей коммерческую тайну; * использовать современные методы, в частности собеседования и тестирования, для создания психологического портрета кандидатов на работу, который бы позволял уверенно судить об основных чертах характера и прогнозировать их вероятные действия в различных ситуациях; * определение для кандидатов на работу в структуры и подразделения банка испытательного срока с целью дальнейшей проверки и выявления деловых и личных качеств, иных факторов, которые бы могли препятствовать зачислению на должность; * закрепить конкретные требования, ограничения для каждого сотрудника банка, в части сохранения банковской тайны, используя подписку о неразглашении конфиденциальной информации. ===== 5. Дублирование, резервирвоание и раздельное хранение конфиденциальной информации ===== 5.1. В целях защиты банковской информации от преднамеренного или же непреднамеренного ее уничтожения, фальсификации или разглашения обеспечить: * ежедневное обязательное резервирование всей информации, имеющей конфиденциальный характер; * дублирование информации с использованием различных физических и аппаратных носителей; * протоколирование действий пользователя, работающего с АБС (журнал операций должен храниться не менее шести месяцев). 5.2. Ответственность за хранение и резервирование информации в электронном виде возложить на Управление Информационных технологий.