ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АО «Poytaxt Bank»

1. Настоящая Политика информационной безопасности АО «Poytaxt Bank» (далее — Политика) определяет цели и принципы обеспечения информационной безопасности, излагает основные направления и требования по защите информации, является основой для обеспечения режима информационной безопасности, служит руководством при разработке соответствующих внутренних документов АО «Poytaxt Bank» (далее — Банк).

2. Нормативно-правовую основу Политики составляют положения законодательства Республики Узбекистан по вопросам использования информационных систем и информационной безопасности, а также требования международных стандартов управления информационной безопасностью.

3. Положения Политики обязательны для исполнения всеми работниками Банка,

4. Политика охватывает все информационные системы и документы, владельцем и пользователем которых является Банк. Банк обеспечивает создание и функционирование системы управления информационной безопасностью, являющейся частью общей системы управления Банка, предназначенной для управления процессом обеспечения информационной безопасности Обеспечение информационной безопасности — одно из условий для успешного осуществления коммерческой деятельности Банка. Информация, циркулирующая в Банке, является одним из важнейших банковских активов.

5. Информационная безопасность (далее — ИБ) Банка — состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз, которые могут привести к материальному ущербу, нанести ущерб репутации Банка или повлечь нанесение иного ущерба Банку, его акционерам, работникам или клиентам.

Являясь элементов общей политики руководства Банка, ИБ основывается на требованиях бизнеса, разрабатывается и реализуется в соответствии с общими правилами управления рисками в Банке. Нарушения в данной области могут привести к серьезным последствиям, включая потерю доверия со стороны клиентов и снижению конкурентоспособности.

Обеспечение ИБ включает в себя применение всех доступных средств и инструментов в рамках компетенций работников Банка, направленных на защиту информации и поддерживающей ее инфраструктуры.

Неотъемлемой частью организации ИБ является непрерывный контроль эффективности предпринимаемых мер, определение для работников перечня недопустимых действий (бездействия), возможных последствий и ответственности.

Политика и система ИБ в целом основываются на следующих нормативно-правовых актах и международных стандартах (в данном разделе указаны основные нормативные акты, непосредственно влияющие на процесс создания системы ИБ Банка, в то же время существует ряд документов, который либо описывает стратегические аспекты развития ИБ на государственном уровне, либо регламентирует правила по информационной защите отдельных направлений деятельности):

Политика ИБ распространяется на всех сотрудников Банка, включая практикантов, контрактников и внешних посетителей (клиенты, технический обслуживающий персонал и т.п.), которые по тем или иным причинам имеют легитимный доступ к ИР Банка, его клиентов и корреспондентов. Также она применяется в отношении к APM персонала банка, оргтехнике и другим ресурсам информационной структуры Банка.

Политика, информационной безопасности не распространяется на информационные системы и объекты информатизации, предназначенные для передачи, обработки, хранения сведений, содержащих государственные секреты. Защита информации, содержащая государственные секреты, обеспечивается в соответствии с Законодательством Республики Узбекистан.

Основной целью, на достижение которой направлены все положения Политики, является минимизация ущерба от событий, таящих угрозу безопасности информации, посредством их предотвращения или сведения их последствий к минимуму.

Нормативные ссылки:

Процесс создания надежной информационной защиты является непрерывным. В целях обеспечения достаточно надежной системы ИБ необходима постоянная регулировка ее параметров, адаптация для отражения новых угроз, исходящих из внешней и внутренней среды. Не должно существовать каких-либо препятствий при внесении изменений в стандарты, процедуры или Политику по мере возникновения такой необходимости.

В соответствии с данным положением определяются следующие этапы цикла управления ИБ (модель PDCA: Plan-Do-Check-Act):

Plan — Планирование (разработка) — анализ рисков, определение Политики, целей, задач, процессов, процедур, программно-аппаратных средств, относящихся к управлению рисками и совершенствованию ИБ для получения результатов в соответствии с общей стратегией и целями Банка;

Do — Реализация (внедрение и эксплуатация) — внедрение и эксплуатация Политики, механизмов контроля, процессов, процедур, программно-аппаратных средств;

Check — Проверка (мониторинг и анализ) — оценка, и там, где это применимо — измерение характеристик исполнения процессов в соответствии с Политикой, целями и практическим опытом, анализ изменения внешних и внутренних факторов, влияющих на защищенность информационных ресурсов, предоставление отчетов руководству для анализа:

Act — Корректировка (сопровождение и совершенствование) — принятие корректирующих и превентивных мер, основанных на результатах внутренних и внешних проверок состояния ИБ, требований со стороны руководства, иных факторов в целях обеспечения непрерывного совершенствования системы управления ИБ.

Построение системы управления ИБ Банка и ее функционирование должны осуществляться в соответствии со следующими основными принципами:

законность — любые действия, предпринимаемые для обеспечения ИБ, осуществляются на основе действующего законодательства с применением всех дозволенных законодательством методов обнаружения, предупреждения, локализации и пресечения негативных воздействий на объекты защиты информации Банка;

ориентированность на бизнес — ИБ рассматривается как пpouecc поддержки основной деятельности Банка. Любые меры по обеспечению ИБ не должны повлечь за собой серьезных препятствий деятельности Банка:

непрерывность — применение средств управления системами защиты информации, реализация любых мероприятий по обеспечению информационной защиты Банка должны осуществляться без прерывания или остановки текущих бизнес—процессов Банка;

комплексность — обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла на всех технологических этапах их использования во всех режимах функционирования:

обоснованность и экономическая целесообразность — используемые возможности и средства защиты должны быть реализованы на соответствующем уровне развития науки и техники, обоснованы с точки зрения заданного уровня безопасности и должны соответствовать предъявляемым требованиям и нормам. Во всех случаях стоимость мер и систем ИБ должна быть меньше размера возможного ущерба от любых видов риска:

приоритетность — категорирование (ранжирование) всех информационных ресурсов Банка по степени важности при оценке реальных, а также потенциальных угроз ИБ;

необходимое знание и наименьший уровень привилегий — пользователь получает минимальный уровень привилегий и доступ только к тем данным, которые являются необходимыми для выполнения им деятельности в рамках своих полномочий;

специализация — эксплуатация технических средств и реализация мер ИБ должны осуществляться профессионально подготовленными специалистами Банка:

информированность и персональная ответственность — руководители всех уровней и исполнители должны быть осведомлены обо всех требованиях ИБ и несут персональную ответственность за выполнение этих требований и соблюдение установленных мер ИБ;

взаимодействие и координация — меры ИБ осуществляются на основе взаимосвязи соответствующих структурных подразделений Банка, координации их усилий для достижения поставленных целей, а также установления необходимых связей с внешними организациями, профессиональными ассоциациями и сообществами, государственными органами, юридическими и физическими лицами:

подтверждаемость — важная документация и все записи — документы, подтверждающие исполнение требований по ИБ и эффективность системы ее организации, должны

создаваться и храниться с возможностью оперативного доступа и восстановления.

ИБ состоит из трех основных компонентов:

конфиденциальность: свойство, указывающее на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемое способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней;

целостность: свойство информации, заключающееся в ее существовании

в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию);

доступность: свойство, характеризующееся способностью своевременного беспрепятственного доступа к информации субъектов, имеющих на это надлежащие полномочия.

Политика ИБ предусматривает обеспечение ИБ на основе использования совокупности организационных, режимных, технических, программных и других методов и средств защиты информации, а также осуществления всестороннего непрерывного контроля эффективности реализованных мер по обеспечению ИБ.

B процессе реализации Политики ИБ в неё могут вноситься изменения и дополнения.

Основными объектами обеспечения ИБ в Банке признаются следующие элементы:

информационные ресурсы банка, его клиентов и корреспондентов, содержащие сведения, отнесенные в соответствии с действующим законодательством и внутренними нормативными документами Банка к банковской и коммерческой тайне, персональным данным, финансовой информации, и любой иной информации, необходимой для обеспечения нормального функционирования Банка (далее — защищаемая информация);

средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети, системы), на которых производится обработка, передача и хранение защищаемой информации:

программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение) автоматизированной системы Банка, с помощью которых производится обработка защищаемой информации:

процессы Банка, связанные с управлением и использованием информационных ресурсов:

помещения, в которых расположены средства обработки защищаемой информации:

рабочие помещения и кабинеты работников Банка, помещения Банка, предназначенные для ведения закрытых переговоров и совещаний:

персонал Банка, имеющий доступ к защищаемой информации:

технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается защищаемая информация.

Список пользователей информационных систем Банка, их права и приоритеты на доступ к информации, заведен в матрицы доступов, полномочия к программным и техническим средствам предоставляются в соответствии с матрицами доступов подразделений Банка, процессы регламентированы Правилами допустимого использования информационных ресурсов Банка и Правилами управления логическим доступом к информационным ресурсам Банка.

Подлежащая защите информация может:

размещаться на бумажных носителях;

существовать в электронном виде (обрабатываться, передаваться и храниться средствами вычислительной техники, записываться и воспроизводиться с помощью технических средств);

передаваться по телефону, телефаксу, телексу и т.п. в виде электрических сигналов;

присутствовать в виде акустических и вибросигналов в воздушной среде и ограждающих конструкциях во время совещаний и переговоров.

Риски информационной безопасности

Риск ИБ — это потенциальная возможность использования уязвимостей актива или группы активов с конкретной угрозой для причинения ущерба Банку. Для управления рисками ИБ необходимы соответствующие методы определения и обработки рисков, которые могут включать расчет затрат и экономического эффекта, требования законодательных актов, интересы заинтересованных сторон и другие соответствующие данные.

Процесс определения рисков, принятый в Банке, включает идентификацию, сравнительную оценку риска, и назначение им приоритетов в соответствии с критериями принятия риска и важностью целей для Банка. Результаты определения рисков ИБ помогут руководству принять решения относительно управления рисками ИБ, назначения приоритетов при управлении рисками ИБ и внедрения соответствующих средств управления безопасностью для защиты от этих рисков.

Для оценки риска, процесс определения рисков включает систематический метод оценки величины риска (анализ риска) и процесс сравнения предполагаемого риска с соответствующим критериями риска.

Определение риска должно выполняться периодически, это позволит своевременно учитывать изменения требований ИБ и возникновение рискованных ситуаций, а также произошедшие существенные изменения. Для определения риска следует использовать методы, обеспечивающие сопоставимые и воспроизводимые результаты.

Для эффективного определения риска ИБ четко определяется область его действия. Определение риска ИБ будет взаимосвязано с определениями рисков для других областей деятельности (при необходимости). До начала обработки рисков устанавливается критерии принятия рисков. Риск принимается, если определено, что его уровень низкий или стоимость его обработки для Банка экономически невыгодна, эти критерии документируются.

После определения риска для каждого идентифицированного риска должно быть принято решение об его обработке. К возможным опциям обработки рисков относятся:

применение соответствующих средств управления для снижения рисков:

осознанное и объективное принятие рисков, если они однозначно удовлетворяют требованиям и критериям принятия рисков Банка;

разделение совместных рисков с другими сторонами, например, страховщиками или поставщиками

После принятия решения об обработке рисков используются соответствующие средства управления, которые прежде были выбраны и внедрены. При случаях доступа сторонних организаций к информационным активам Банка и средствам обработки информации необходимого по производственным причинам, а также, в случае получения товаров и услуг от сторонних организаций, проводится анализ рисков для определения возможных последствий для безопасности информации и требований к средствам управления. Такие мероприятия следует согласовывать и определять в договорах со сторонней организацией.

Все действия по определению, обработке и принятию рисков, обмену информацией

Относительно рисков, мониторинг рисков должны выполняться в соответствии со стандартом O'z DSt ISO/IEC 27005:2013.

Угрозы информационной безопасности

Под угрозами ИБ понимается совокупность условий и факторов, создающих

предпосылки к возникновению инцидента информационной безопасности.

Угрозы ИБ подразделяются на:

случайные — стихийные бедствия (природные источники угроз — землетрясение, пожары, осадки, наводнения и т.д.), непреднамеренные ошибочные действия со стороны работников Банка, ошибки аппаратных и программных средств и т.д.;

преднамеренные, т.е. умышленная фальсификация или уничтожение данных, неправомерное использование данных, компьютерные преступления и т.д.

К числу угроз ИБ относятся (но не ограничены ими):

утрата информации, составляющей банковскую тайну, коммерческую тайну Банка и иную охраняемую законом информацию:

искажение (несанкционированная модификация, подделка) защищаемой информации:

утечка — несанкционированное ознакомление с защищаемой информацией посторонних лиц (несанкционированный доступ, копирование, хищение и т.д.);

несанкционированное использование информационных ресурсов (злоупотребления, мошенничества и т.п.):

недоступность информации в результате ее блокирования, отказа и сбоя оборудования или программ, дезорганизации функционирования операционных систем рабочих станций, серверов, активного сетевого оборудования, систем управления баз данных, распределенных вычислительных сетей, воздействия вирусов, стихийных бедствий и иных форс—мажорных обстоятельств, и злонамеренных действий.

В результате воздействия указанных угроз могут возникнуть следующие негативные последствия, влияющие на состояние ИБ Банка и его нормальное функционирование:

финансовые потери, связанные с утечкой, разглашением, или несанкционированной модификацией защищаемой информации;

финансовые потери, связанные с уничтожением и последующим восстановлением утраченной информации;

финансовые потери, связанные с несанкционированными действиями в информационных pecypcax Банка:

ущерб от дезорганизации деятельности Банка, финансовые и репутаиионные потери, связанные с невозможностью выполнения им своих обязательств;

ущерб от принятия управленческих решений на основе необъективной информации:

ущерб от отсутствия у руководства Банка объективной информации;

ущерб, нанесенный репутации Банка:

иной вид ущерба.

Нарушители ИБ классифицируются следующим образом:

внутренние нарушители — работники Банка, неосознанно либо злонамеренно нарушающие режим ИБ;

внешние нарушители — лица, не связанные с Банком трудовыми отношениями

(в том числе стажеры и практиканты), из хулиганских или корыстных побуждений

предпринимающие действия, способные нанести ущерб информационным ресурсам Банка.

Опасность нарушителя во многом определяется количеством и степенью важности доступных ему информационных ресурсов. Исходя из этого, наиболее рисковыми категориями следует считать менеджеров высшего и среднего звена, администраторов информационных ресурсов и лиц, работающих с большими объемами клиентской и финансовой информации.

Основные типы внутренних нарушителей:

«необученный/халатный работник» — работник Банка, по незнанию или по собственной

халатности допускающий нарушение, не несущее в себе злого умысла:

«конкурирующий работник» — работник Банка, по личной неприязни либо по иным причинам пытающийся нанести ущерб другому работнику. В результате его действий может пострадать не только его «цель», но и в целом Банк:

«заинтересованный нарушитель» — работник Банка, который заинтересован в неправомерных действиях по отношению к Банку третьей стороной либо собственной выгодой. Как правило, заинтересован в дальнейшем сохранении с Банком трудовых отношений и не будет предпринимать действий, прямо его компрометирующих. Наиболее вероятное нарушение — утечка информации (в случае заинтересованности собственной выгодой — финансовые мошенничества):

«внедренный злоумышленник» — работник Банка, поступивший на работу с целью совершения противоправных действий в интересах третьих лиц. Практически не заинтересован в дальнейших трудовых отношениях с Банком:

«увольняющийся работник» — работник, прекращающий с Банком трудовые отношения без взаимных претензий. Наиболее вероятна утечка информации, к которой он имел непосредственный доступ:

«обиженный работник» — работник Банка, неудовлетворенный условиями трудовой деятельности, либо, как вариант, руководство Банка явно недовольно деятельностью работника.

Основные типы внешних нарушителей (в данном разделе используется терминология, принятая на настоящий момент в сообществе специалистов по ИБ):

«Script Kiddie», или «Начинающий» — лицо, интересующееся взломом любого информационного pecypca, имеющего общеизвестные уязвимости.

Не нацелен на взлом информационных ресурсов именно Банка, легко прекращает атаку в случае обнаружения серьезных средств защиты. Как правило, использует широко распространенные методы взлома, не разрабатывает собственных средств:

«Black hat» — «Черный хакер» — в отличие от «Script Kiddie» более упорен во взломе конкретного pecypca, обход систем защиты считает «делом чести», может разрабатывать простые атакующие средства. Действует с целью самоутверждения или для извлечения личной выгоды, может продавать свои услуги криминальным структурам:

«Elite hacker», или «Гуру» — высококлассный специалист по взлому информационных систем. Как правило, работает «под заказ» криминальных структур либо конкурирующих организаций. В первом случае будет нацелен на проведение финансового мошенничества, во втором — либо на утечку информации, либо на недоступность серверов и компрометацию Банка в глазах клиентов. В арсенале имеет полный спектр специального программно

-технического обеспечения, а также использует методы социальной инженерии: 4)«Партнер» — работник организации-партнера, имеющих доступ к информационным

системам Банка. Можно определить любым типом внутреннего нарушителя, но он, как правило, менее управляем и менее осведомлен о требованиях ИБ, принятых в Банке:

«Консультант» — работник сервисной компании, который имеет доступ к информационным ресурсам. Возможны разные сценарии проявления несанкционированной деятельности, как правило, в рамках обслуживаемой информационной системы:

«Стажер/практикант» — как правило, ограничен в доступе к информации и информационным системам, однако постоянно находится на территории Банка и может получать информацию косвенно либо методами социальной инженерии. Может нанести серьезный ущерб только при халатном отношении к своим обязанностям работника Банка, курирующего данного стажера/практиканта:

«Клиент» — клиент Банка, имеющий доступ к его сервисам дистанционного банковского обслуживания. Может нанести урон при неправильном использовании данных сервисов, утере идентификационных данных либо действовать как первые три типа внешних нарушителей, имея — пусть и ограниченный — доступ к информационным банковским ресурсам.

Основными мерами по обеспечению ИБ Банка являются:

Административно-правовые и организационные меры:

меры физической безопасности:

программно-технические меры.

Административно—правовые и организационные меры включают (но не ограничены ими):

контроль исполнения требований законодательства РУз и внутренних документов:

разработку, внедрение и контроль исполнения правил, методик и инструкций, поддерживающих Политику:

контроль соответствия бизнес-процессов требованиям Политики:

информирование и обучение работников Банка работе с информационными ресурсами и требованиям ИБ:

реагирование на инциденты, локализацию и минимизацию последствий:

анализ новых рисков ИБ:

отслеживание и улучшение морально-делового климата в коллективе:

определение действий при возникновении чрезвычайных ситуаций:

Статистика Обращений

Мобильное приложение