Настоящая Концепция базируется на следующих нормативно-правовых актах:
- «Гражданский кодекс Российской Федерации» от 30.11.94 г., №151-ФЗ ч.1, ст. 139;
- «Уголовный Кодекс Российской Федерации» от 13.06.96г., №63-ФЗ ст. 183, 272, 273, 274;
- «Гражданский кодекс Российской Федерации» от 21.01.96 г., №14-ФЗ ч.2, ст. 857;
- «Трудовой кодекс Российской Федерации» от 30.12.01, №197-ФЗ ст. 85,86,87,88,89,90;
- Федеральный Закон Российской Федерации «О банках и банковской деятельности» от 02.12.90г. №395-1, ст.26;
- «Кодекс Российской Федерации об административных правонарушениях» от 30.12.01, №195-ФЗ ст. 13.12, 13.13, 13.14;
- Федеральный Закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006г. № 149-ФЗ;
- Федеральный закон «О лицензировании отдельных видов деятельности» от 08.08.2001 №128-ФЗ (в ред. от 21.03.2002 № 31-ФЗ);
- Указ Президента РФ от 06.03.97г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
- Постановление Правительства РФ от 15.08.06. №504 «О лицензировании деятельности по технической защите конфиденциальной информации»;
- Приказ ФАПСИ от 13.06.01г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
Гражданский кодекс РФ и Закон «Об информации, информационных технологиях и о защите информации» позволяют рассматривать информацию как специфический объект права. Закон выделяет три категории информации:
- информация, составляющая государственную тайну;
- информация, составляющая коммерческую тайну;
- персональные данные.
Предметом рассмотрения данной Концепции является информация второй и третьей категорий. Банк в процессе своей деятельности выступает не только собственником, но и пользователем информации, доверенной ему клиентами, контрагентами или сотрудниками. Банк вправе распоряжаться такой информацией, следовательно и выбирать степень её защиты.
Решение задач правового обеспечения информационной безопасности Банка достигается формированием системы внутренних инструкций, положений, планов, правил.
2.5.Объкт защиты
К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относятся:
1.Персонал Банка (руководящие работники, производственный персонал, имеющий непосредственный доступ к финансам, валюте, ценностям, хранилищам, осведомленные в сведениях, составляющих банковскую и коммерческую тайну, работники внешнеэкономических служб и другие);
2.информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера;
3. Финансовые средства, валюта, драгоценности;
4.Средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио и оптической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);
5.Технические средства и системы охраны и защиты материальных и информационных ресурсов;
6 Материальные средства (здания, сооружения, хранилища, техническое оборудование, транспорт и иные средства).
Все объекты, в отношении которых могут быть подвержены угрозы безопасности или противоправные посягательства, имеют различную потенциальную уязвимость с точки зрения возможного материального или не материального (морального) ущерба. Исходя из этого, они должны быть классифицированы по уровням уязвимости (опасности), степени риска.
Наибольшую подверженную опасность представляют финансовые и валютные средства, особенно в процессе транспортировки, информационные ресурсы и некоторые категории персонала.
2.6.Основные виды угроз объектам информационной безопасности
Определение и прогнозирование возможных угроз и степени их опасности необходимы для обоснования, выбора и построение защитных мероприятий. Комплексный подход к проблеме защиты информации необходимо проводить с учетом двух факторов:
1.Предполагаемое вероятность возникновение угрозы.
2.Ущерб от угрозы.
Объективность оценки достигается провидением детального аудита функционирования банка. Аудит проводится собственными силами или с привлечением сторонних организаций.
Угрозы можно разделить на внешние и на внутренние. Угрозы объекта информационной безопасности проявляются в виде:
-разглашения конфиденциальной информации;
-утечки конфиденциальной информации через технические средства обеспечения производственной деятельности различного характера;
-несанкционированного доступа к охраняемым сведениям со стороны конкурентных организаций и преступных формирований;
-разрушения или несанкционированной модификации информации;
-блокирования или разрушения технических средств приема, передачи, обработки и хранения информации.
Ситуация, возникающая в результате воздействия какой-либо угрозы, называется кризисной. Кризисные ситуации могут быть преднамеренными и непреднамеренными и иметь различную степень тяжести в зависимости от вызвавших их факторов риска, степени их воздействия, категории информации, уязвимого места.
Виды кризисных ситуаций (степень их тяжести):
1. Угрожающая - воздействие на объект информационной безопасности, которое может привести к полному выходу его из строя, а также уничтожение и модификацию или компрометацию (утечку) наиболее важной для Банка информации. Для устранения угрожающей ситуации требуется, как правило, полная или частичная замена оборудования, программ и данных.
2.Серьезная - воздействие на объект информационной безопасности, которое может привести к выходу из строя отдельных компонентов, потере производительности, а также осуществлению несанкционированного доступа (НСД) к программам и данным. В этом случае система сохраняет работоспособность. Для устранения серьезной ситуации требуется, как правило, частичная замена (восстановление) оборудования, программ и данных, корректировка параметров системы, проведение организационно-технических мероприятий.
3.Обычная - попытка воздействия на объект информационной безопасности, не наносящая ощутимого ущерба, но требующая реакции и расследования. Для устранения обычной ситуации, как правило, требуется корректировка параметров защиты.
2.7.Порядок проведения работы по обеспечению информационной безопасности
Работа по обеспечению информационной безопасности в Банке включает следующие этапы:
- определение информации, содержащей коммерческую тайну, и сроков ее действия;
- категорирование помещений по степени важности обрабатываемой в них информации;
- определение категории информации, обрабатываемой каждой отдельной системой;
- выбор средств и мер защиты для предотвращения воздействия факторов риска и их минимизации;
- описание системы, определение факторов риска, определение уязвимых мест систем;
- выбор средств и мер контроля и управления для своевременной локализации и минимизации воздействия факторов риска.
Отнесение информации к коммерческой тайне – это установление ограничений на распространение информации, требующей защиты. Среди сведений относимых к категории коммерческой тайны применительно к банку, можно выделить следующие: деловую информацию о деятельности банка, финансовую документацию, различные сведения о клиентах, партнерах, сметы, отчёты, перспективные планы развития, аналитические материалы, исследования и т.п.
Отнесение информации к коммерческой тайне осуществляется в соответствии с принципами законности, обоснованности и своевременности. Обоснованность отнесения информации к коммерческой тайне заключается в установлении путем экспертной оценки целесообразности защиты конкретных сведений исходя из жизненно - важных интересов Банка, вероятных финансовых и иных последствий нарушения режима соблюдения коммерческой тайны. Своевременность отнесения сведений к коммерческой тайне заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно.
Чтобы отнесение информации к категории коммерческой тайны приобрело законную силу, оно должно быть оформлено в виде специального «Перечня сведений, составляющих коммерческую тайну МОРСКОГО АКЦИОНЕРНОГО БАНКА» (Открытое Акционерное общество) (далее Перечень), который разрабатывается (уточняется не реже одного раза в год) постоянно действующей Комиссией Банка по защите коммерческой тайны, назначаемой приказом Председателя Правления Банка.
Перечень разрабатывается путем экспертных оценок на основании предложений подразделений Банка и с учетом действующего законодательства. В Перечне указываются категории сведений, их степень конфиденциальности, срок действия ограничений на доступ к ним. Перечень утверждается Председателем Правления Банка.
Степень конфиденциальности информации, составляющей коммерческую тайну, должна соответствовать степени тяжести ущерба от происшествие, который может быть нанесен безопасности Банка вследствие её распространения. В соответствии с этим среди информации, относимой к коммерческой тайне, выделяются две группы: информация общего характера и информация, доступ к которой должен носить исключительный характер. Такой информации отдельно присваивается гриф «Конфиденциально». Присвоение грифа «Конфиденциально» или его отмена принадлежит Председателю Правления Банка.
Категорирование помещений производится по степени важности обрабатываемой в них информации. В зависимости от категории обрабатываемой информации принимаются соответствующие меры по защите помещений.
Для каждой информационно-вычислительной системы Банка, а в отдельных случаях для персональных компьютеров (ПК), определяется категория обрабатываемой в ней информации с учетом «Перечня сведений, составляющих коммерческую тайну Банка». В зависимости от категории обрабатываемой информации принимаются соответствующие меры по ее защите в системе.
Основная задача этапа описания систем - описание защищаемого периметра, т.е. определение средств и непосредственных данных, подлежащих защите. В описание системы включаются:
- цели и задачи системы;
- пользователи и обслуживающий персонал;
- способы взаимодействия с другими системами как внутри Банка, так и с внешними объектами;
- физическую топологию сети в зданиях Банка;
- логическую топологию сети Банка, ее основные характеристики;
- перечень используемого оборудования, включая коммуникационное, периферийное, серверы, ПК, оборудование, их основные характеристики;
- перечень используемого программного обеспечения (системное, прикладное, коммуникационное) и их характеристики.
Описание системы должно проводиться с учетом организационной структуры подразделений, которые будут ее эксплуатировать.
Факторы риска — это возможные ситуации, возникновение которых может расцениваться как угроза, и способные нанести ущерб материального или нематериального (морального) характера. Фактор риска оказывает воздействие на определенные участки объектов информационной безопасности и может учитываться или не учитываться в зависимости от степени воздействия на жизнедеятельность Банка. Основными факторами риска являются:
- стихийные бедствия или чрезвычайные ситуации, приводящие к полному или частичному выходу из строя технических средств систем;
- несанкционированный доступ к серверам, элементам аппаратуры и оборудованию в серверных комнатах;
- неисправности и нарушения в функционировании программных и технических средств, отказ в санкционировании доступа к оборудованию, программам и данным, вызванные случайными сбоями или отказами;
- несанкционированные проникновения в информационно-вычислительную систему, в том числе по внешним каналам связи;
- мошенничество или умысел, а также некомпетентность или халатность, которые приводят к нарушению целостности или доступности информации;
- нарушение конфиденциальности отдельных данных;
- повторное использование внешних и внутренних носителей информации для съема информации;
- несанкционированный доступ к системным и прикладным данным и программам, а также ресурсам систем;
- нарушение конфиденциальности массивов данных.
Перечень факторов риска может уточняться.
Уязвимые места - элементы технических средств, программ и данных, которые могут быть подвергнуты воздействию факторов риска. Уязвимые места необходимо защищать и контролировать. К уязвимым местам объектов информационной безопасности относятся:
- все технические средства – необходимо защищать от стихийных бедствий, диверсий, несанкционированного доступа (НСД), сбоев и отказов;
- все системное программное обеспечение и системные ресурсы, обеспечивающие функционирование автоматизированных систем и сетей Банка - необходимо защищать от НСД, приводящего к нарушению целостности и доступности;
- все автоматизированные рабочие места (АРМ) и терминалы - необходимо защищать от НСД;
- опорная сеть Банка и передаваемые по ней данные – необходимо защищать от нарушения целостности или доступности и НСД;
- ресурсы и приложения систем, внутренние и внешние носители информации в системах, обрабатывающих конфиденциальную информацию - необходимо защищать от повторного использования («сборки мусора»);
- конфиденциальная и строго конфиденциальная информация - необходимо защищать от нарушения конфиденциальности;
- помещения, слаботочное оборудование, вычислительная техника подсистем, на которых обрабатывается конфиденциальная информация - необходимо защищать от перехвата информации по каналам электромагнитного излучения и закладных устройств.
Перечень уязвимых мест системы Банка может уточняться. Для каждого конкретного объекта информационной безопасности осуществляется выбор конкретных средств и методов защиты, контроля и управления с учетом уязвимых мест и факторов риска.
2.8.Защита информации в автоматизированных системах и сетях
Основным и не менее главным объектом защиты является информация, циркулирующая в программно-аппаратных средствах, информационно-вычислительных системах и сетях, используемых в Банке. Непосредственное проведение работ по обеспечению информационной безопасности Банка осуществляется Отделом информационной безопасности Управления экономической безопасности, сформированного из специалистов, имеющих специальное образование или прошедших переподготовку по вопросам защиты информации. Работы по защите проводятся с привлечением уполномоченных лиц подразделений Головной организации Банка, филиалов и дополнительных офисов на основе анализа материалов по системам обработки информации, в первую очередь Департамента информационных технологий, и выработки на их основе рекомендаций, направленных на улучшение характеристик применяемых средств защиты или внедрения новых.