Курс по теме
«Политика информационной безопасности»
Блок №4
Работа с информацией, подлежащей защите
Разглашение информации, подлежащей
защите в ЗАО «Банк Русский Стандарт»– действие или бездействие, в результате
которых информация, подлежащая защите
в Банке, в любой возможной форме (устной,
письменной, иной форме, в том числе с
использованием технических средств)
становится известной третьим лицам
без согласия обладателя такой информации
либо вопреки трудовому или
гражданско-правовому договору.
Утрата материальных носителей -
выход (в том числе и временный) материальных
носителей информации из владения
ответственного за их сохранность лица,
которому они были доверены на время
работы в Банке, являющийся результатом
нарушения установленных правил обращения
с ними, вследствие чего подлежащая
защите в Банке информация с этих
материальных носителей стала или может
стать достоянием посторонних лиц.
!
!
Председатель
Правления Банка и его Первый Заместитель
вправе знакомиться в полном объеме со
всеми информационными ресурсами,
подлежащими защите в Банке, Заместители
Председателя Правления, руководители
самостоятельных и структурных
подразделений - по всему кругу задач,
возложенных на них лично и на руководимые
ими подразделения, остальные работники
Банка - в рамках их функциональных задач
(обязанностей), а также данных руководством
поручений.
Руководители Банка и руководители его
самостоятельных и структурных
подразделений принимают меры по
максимальному ограничению возможности
ознакомления с информацией, подлежащей
защите в Банке, тем работникам, которым
по роду выполняемых обязанностей эта
информация не требуется.
Работники Банка,
работающие с информацией, подлежащей
защите в Банке, обязаны:
не разглашать
информацию, подлежащую защите в Банке,
ставшую им известной при выполнении
своих обязанностей;
работать только
с той информацией, подлежащей защите
в Банке, к которой они получили доступ
в силу своих функциональных задач
(обязанностей);
не использовать
информацию, подлежащую защите в Банке,
в своих личных целях;
знать какие
конкретно сведения подлежат защите
в Банке (согласно «Перечню информационных
ресурсов, подлежащих защите в ЗАО
«Банк Русский Стандарт»), строго
соблюдать правила работы с ними;
должны
обеспечивать защиту от несанкционированного
доступа ко всем бумажным и электронным
носителям (включая компьютеры, CD/DVD
диски, носители USB-флэш,
сетевое и телекоммуникационное
оборудование, телекоммуникационные
линии и т.п.) с информацией, подлежащей
защите в Банке, с использованием
сейфов, шкафов, специальных защищенных
помещений и пр.;
не оставлять
материальные носители, содержащие
информацию, подлежащую защите в Банке,
на столах и других легкодоступных
местах при отсутствии на рабочем
месте;
производить
блокировку компьютера при уходе с
рабочего места;
исключить
возможность визуального доступа к
такой информации на экране монитора
и на бумажных носителях в случае
наличия рядом посторонних лиц или
через окна (стеклянные двери);
в
случае трудовой необходимости,
отправлять на внешние адреса электронной
почты информацию, подлежащую защите
в Банке, только после согласования
Департамента внутреннего контроля и
Отдела информационной безопасности
с использованием электронной почты;
при
отправке на внешние адреса электронной
почты информации, подлежащей защите
в Банке, использовать шифрование,
исключающее возможность несанкционированного
доступа к таким данным (архив на файл
должен быть зашифрован нетривиальным
паролем длиной
не менее
15 символов);
в случае попытки
работников другой организации получить
от работников Банка сведения, подлежащие
защите в Банке, немедленно сообщить
об этом в Департамент внутреннего
контроля и Департамент безопасности;
все материальные
носители с информацией, подлежащей
защите в Банке, которые находились в
распоряжении работника в связи с
выполнением им трудовых обязанностей,
передать руководителю подразделения
в случае увольнения;
об утрате или
недостаче материальных носителей,
удостоверений, пропусков, ключей от
помещений, хранилищ, сейфов, личных
печатей и о других ставших им известными
фактах, которые могут привести к
разглашению информации, подлежащей
защите в Банке, а также о причинах и
условиях возможной утечки сведений,
немедленно сообщать руководителю
подразделения и в Департамент
внутреннего контроля;
сообщать любым способом немедленно
руководителю подразделения и в
Департамент внутреннего контроля о
ставших известными фактах разглашения
или утечки информации, подлежащей
защите в Банке.
!
!
!
Данные платежных карт– номера
карт, имена держателей карт, сервисный
код, дата истечения срока, данные с
магнитной полосы, данные с чипа карты
(для карт с чиповой технологией).
!
Носители с резервными копиями данных
платежных карт должны находиться в
защищенных от физического доступа
посторонних лиц (в том числе работников
других подразделений Банка) в помещениях,
удаленных от мест обработки данных
платежных карт для предотвращения их
уничтожения от пожара или вследствие
других катастроф.
Дополнительные
требования платежных систем VISA
и MASTERCARD
по защите данных платежных карт
Руководителем структурного подразделениядолжен обеспечиваться строгий контроль
над внутренними и внешними перемещениями
носителей всех видов, содержащие данные
платежных карт, включая следующие меры:
- маркировку носителей и файлов грифом
«Служебная тайна»;
- отправка носителей должна выполняться
доверенным курьером или с помощью
другого способа, который можно
проконтролировать;
- отправка носителей и файлов за пределы
защищаемой территории должна
производиться только с письменного
согласования руководства (договор,
технологическая карта, регламент и
т.п.).
Руководителем структурного подразделения
должен обеспечиваться строгий
контроль хранения и доступности
носителей, содержащих данные платежных
карт. Для учета носителей необходимо
ведение в подразделениях, обрабатывающих
данные платежных карт,«Журнала учета
носителей, содержащих данные платежных
карт»в электронной или бумажной
форме. Указанный журнал должен содержать
следующие графы:а)тип носителя
(персональный компьютер, сервер,CD/DVD-диск
и т.п.);б)инвентарный или регистрационный
номер носителя;в)ФИО ответственного
за хранение данных.
