состоять
не менее чем из 7 символов для пользователей
и не менее чем из 8 символов для
администраторов систем;
содержать
буквы и цифры;
представлять
собой не угадываемую последовательность
символов;
отличаться
от предыдущего не менее чем в 4-х
позициях.
совпадать
с именем учетной записи пользователя
или быть его производным (само имя
учетной записи, записанное прописными
буквами; с добавленным символом и
т.п.);
являться
набором соседних клавиш (например,
QWERTY);
быть
тривиальным (цифровым или буквенным
— 111111 или ААААААА);
отражать
окружение пользователя дома и на работе
(например, имя, отчество или фамилию,
имя супруги (супруга) или детей, номер
или марку автомобиля, телефона, домашний
адрес, порода собаки, дата рождения,
названия используемых программ и их
функциональных частей, название
организации, отдела и т.д.);
совпадать
с одним из 4-х последних паролей.
!
При работе с паролями при доступе к
Платежным системам Банка России(система Банковских Электронных Срочных
Платежей – БЭСП и др.) необходимо
соблюдать дополнительные ограничения:
смена паролей должна производиться
один раз в месяц;
пароль должен состоять не менее чем
из 8 символов и содержать, кроме цифр,
спецсимволы, заглавные и строчные
буквы;
число попыток набора паролей до
блокирования доступа в систему не
должно превышать 5.
Требования к структуре паролей
Пароль должен:
Пароль не должен:
!
Порядок использования паролей
Все предустановленные пароли систем
(операционных систем, баз данных,
сетевого оборудования и др.)
администраторами должны быть изменены
или соответствующие учетные записи
заблокированы.
Сотрудникам запрещено регистрироваться
в системах под регистрационными именами
других пользователей, а также совершать
подбор паролей других пользователей.
При наличии технической возможности
число попыток набора паролей до
блокирования доступа в систему не
должно превышать 6.
Запрещаетсяхранить записанные
на бумаге и других носителях пароли в
местах, доступных другим сотрудникам
- на столе, мониторе, клавиатуре, в
ящиках столов и т.п.
Запрещеноиспользование общего
регистрационного (группового) имени
нескольким пользователями в системах,
в которых обрабатывается информация
из «Перечня информационных ресурсов,
подлежащих защите в ЗАО «Банк Русский
Стандарт».
Администраторские пароли технологических
(продукционных) систем должны быть
уникальными и не использоваться в
тестовых и вспомогательных системах.
Служебные пароли не должны использоваться
в сервисах сети Интернет (почта, форумы
и др.).
Сотрудники обязаны сообщать своему
непосредственному руководителю, а
также в Отдел информационной безопасности
Департамента информационных технологий
или Департамент внутреннего контроля
обо всех ставших им известных случаях
использования их паролей или попытках
подбора паролей.
В случае нарушения
или неисполнения положений «Политики
парольной защиты в ЗАО «Банк Русский
Стандарт» сотрудник Банка может быть
привлечен к ответственности,
предусмотренной законодательством о
труде Российской Федерации, нормативными
документами Банка и Трудовым договором.
Курс по теме
«Политика информационной безопасности»
Блок №3
Перечень
информационных ресурсов, подлежащих
защите в ЗАО «Банк Русский Стандарт»
Перечень
информационных ресурсов, подлежащих
защите в ЗАО «Банк Русский Стандарт»
!
Примечание.
1. В
данный «Перечень…» входит также вся
указанная в перечне информация в
отношении дочерних и связанных с Банком
структур/лиц.
2. Данный
«Перечень…» составлен в соответствии
с положениями «Классификатора,
разработанного в ЗАО «Банк Русский
Стандарт» и используемого для организации
защиты своих информационных ресурсов».
3.Условные
обозначения:
С
– служебная тайна;
П
– персональные данные;
Б
– банковская тайна;
К
– коммерческая тайна;
В
– для
внутреннего использования.
|
|
| |
|
№№ |
Наименование ресурсов |
Категория информации |
|
1 |
Планы, организация, управление |
|
|
1.1. |
Планы работ (для бизнес-подразделений и ДВК) |
С |
|
1.2. |
Информация о вопросах и решениях заседаний Совета Директоров, Правления, комитетов, общих собраний акционеров, ревизионных комиссий, о расшифровках к аудиторским заключениям для акционеров |
С |
|
1.3. |
Штатное расписание |
В |
|
1.4. |
Приказы |
В |
|
1.5. |
Функционально-технологическая документация (технологические карты, положения, регламенты, внутренние методики для сотрудников), схемы бухгалтерского учета |
В |
|
1.6. |
Программы обучения, тестирования и аттестации сотрудников |
С |
|
1.7. |
Эксклюзивные внешние методики, собственником и владельцем которых является Банк |
К |
|
|
| |
|
№№ |
Наименование ресурсов |
Категория информации |
|
1.8. |
Перечень функций подразделений и задач сотрудников |
В |
|
1.9. |
Внутренние права, совокупность полномочий сотрудников |
В |
|
1.10. |
Финансовые показатели, бюджеты и сметы, результаты их выполнения |
К |
|
1.11. |
Информация об условиях договоров с контрагентами и уполномоченных ими лицах (с дополнением о неразглашении условий договора) |
К |
|
1.12. |
Содержание телефонных справочников (от Управления, филиала, Представительства, операционной кассы, Агентства) |
В |
|
2 |
Бизнес, финансы, отчеты |
|
|
2.1. |
Бизнес-планы, финансовые модели, функциональные описания продуктов и проектов |
К |
|
2.2. |
Структура уставного капитала |
С |
|
2.3. |
Информация о требованиях и обязательствах Банка |
К |
|
2.4. |
Информация о финансовых сделках (с различными инструментами на различных рынках), содержании контрактов и данные по контрагентам |
К |
|
2.5 |
Сведения о счетах и об операциях по счетам Банка |
Б |
|
2.6. |
Информация о состоянии структурной ликвидности и процентной марже Банка |
С |
|
2.7. |
Информация о результатах эмиссии ценных бумаг |
С |
|
2.8. |
Информация, используемая в ходе принятия решений о предоставлении кредитов, применяемых методиках, полученных показателях и итогах принятия решений |
С |
|
2.9. |
Информация о предоставленных кредитах, их объемах и динамике изменений |
В |
|
2.10. |
Аналитические материалы, характеризующие объемы платежей клиентов |
В |
|
2.11. |
Отчеты финансовые (в т.ч. авансовые) |
В |
|
2.12. |
Данные аналитического налогового учета, деклараций |
В |
|
|
| |
|
№№ |
Наименование ресурсов |
Категория информации |
|
2.13. |
Реестр оплаченных спецификаций |
Б |
|
2.14. |
Реестры бухгалтерского учета (документы дня) |
Б |
|
2.15. |
Информация о проверках и запросах контролирующих органов, аудиторских организаций и внутренних служб (за исключением информации, подлежащей опубликованию в соответствии с законодательством), используемых методиках |
В |
|
2.16. |
Переписка с контролирующими органами |
В |
|
2.17. |
Информация о проведении процедуры инкассации |
В |
|
2.18. |
Информация о задержанных банкоматами других банков карт, эмитируемых Банком, и задержанных банкоматами Банка карт других эмитентов |
В |
|
2.19. |
Информация об операционных рисках и отчеты по ним |
В |
|
3. |
Клиенты |
|
|
3.1. |
Персональные данные |
П |
|
3.2. |
Данные о доходах |
С |
|
3.3. |
Информация, полученная от клиентов и характеризующая их деятельность, включая финансовые показатели, требования и обязательства, выводы Банка, кредитные истории
|
С |
|
3.4. |
Дела клиентов, переписка с ними, в том числе заявления по проведению операций и отчеты по ним
|
С |
|
3.5. |
Фотографии клиентов |
С |
|
3.6. |
Номера пластиковых карт клиентов |
С |
|
3.7. |
Сведения об операциях по счету, о счетах и вкладах клиентов |
Б |
|
3.8. |
Информация о должниках и проблемных клиентах |
В |
|
3.9. |
Информация «Черного списка документов» и «Черного списка клиентов» |
В |
|
|
| |
|
№№ |
Наименование ресурсов |
Категория информации |
|
3.10 |
Информация о результатах проверок руководителей торговых организаций |
В |
|
3.11 |
Конверты с ПИН-кодами |
С |
|
4. |
Акционеры, связанные с Банком лица |
|
|
4.1. |
Реестр акционеров |
В |
|
4.2. |
Персональные данные |
П |
|
4.3. |
Информация, характеризующая деятельность, включая финансовые показатели, степень участия в капитале Банка, других организаций, группы лиц
|
В |
|
5 |
Сотрудники |
|
|
5.1. |
Персональные данные (в т.ч. уволенных сотрудников) |
П |
|
5.2. |
Данные о доходах |
В |
|
5.3. |
Результаты тестирования и аттестации, их анализа и выводы |
П |
|
5.4 |
Договоры (копии) с сотрудниками |
В |
|
5.5. |
Информация о мотивации персонала |
В |
|
6. |
Рынок, маркетинг |
|
|
6.1. |
Результаты маркетинговых исследований за прошедший и текущий годы |
К |
|
6.2. |
Информация о региональных партнерах |
В |
|
7. |
Технологии |
|
|
7.1. |
Информация, содержащая описание бизнес-технологии |
В |
|
7.2. |
Информация, содержащая описание IT- и технологии безопасности (в т.ч. по укрепленности и защищенности подразделений Банка) |
С |
|
7.3. |
Информация, содержащая техническое описание укрепленности и защищенности хранилища ценностей |
С |
|
|
| |
|
№№ |
Наименование ресурсов |
Категория информации |
|
8. |
Информационная безопасность |
|
|
8.1. |
Компьютерные программы поддержки бизнеса |
В |
|
8.2. |
Компьютерные программы поддержки внутрибанковской деятельности |
С |
|
8.3. |
Файлы закрытых ключей доступа к используемым в Банке программам |
С |
|
8.4. |
Логины, пароли, IP-адреса |
В |
|
8.5. |
Топология сетей с указанием конкретных типов оборудования и используемых портов |
В |
|
8.6. |
Информация о правах доступа к информационным ресурсам |
В |
|
8.7. |
Информация о процедурах изготовления и использования ключей ПИН-генерации, электронной цифровой подписи и шифрования. Ключи ПИН-генерации, ЭЦП и шифрования |
С |
|
8.8. |
Исходные тексты программ |
С |
|
8.9. |
Технические задания на IT-проекты |
В |
|
8.10. |
Информация о картах (данные, размещенные на магнитной полосе), авторизациях и транзакциях в массовом представлении (включающем более одной карты, авторизации, транзакции) |
С |