ibpolitika
ЧОУ УЦ “ПАРК ЗНАНИЙ
622031, г. Нижний Тагил, ул. Кондукторская,д. 23, тел. 8-900-20-32-322
ИНН / КПП – 662306829675
эл. почта – kataeva.lena@list.ru
Сайт – http://stroyedu.ru
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
(в том числе передачи банковских реквизитов)
ОБЩИЕ ПОЛОЖЕНИЯ
Политика информационной безопасности УЦ «Парк Знаний» (далее – Политика) разработана в соответствии с законодательством Российской Федерации и нормами права в части обеспечения ИБ, требованиями нормативных актов Центрального банка Российской Федерации, федерального органа исполнительной власти, уполномоченного в области безопасности, федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, и основывается на Стандарте Банка России СТО БР ИББС–1.0–2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» и Рекомендаций в области стандартизации Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0” (РС БР ИББС-2.0-2007).
Учебный центр, как собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения в полном объеме реализует полномочия владения, пользования, распоряжения указанными объектами и определяет условия использования этой продукции.
Для предотвращения реализации угроз и их последствий документированная информация, информационные системы, технологии и средства их обеспечения подлежат защите.
1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Информация – сведения (сообщения, данные) независимо от формы их представления.
Информационный актив – информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для Банка.
Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Политика информационной безопасности – документация, определяющая высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ в Банке.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Риск – мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы.
Риск нарушения информационной безопасности (риск нарушения ИБ) – Риск, связанный с угрозой ИБ.
Система информационной безопасности – совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение.
2.ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
- АБС — автоматизированная банковская система;
- ИБ — информационная безопасность;
- ИСПДн — информационная система персональных данных;
- НСД — несанкционированный доступ;
- НРД — нерегламентированные действия в рамках полномочий;
- ПДн — персональные данные;
- РФ — Российская Федерация;
- СМИБ — система менеджмента информационной безопасности;
- СИБ — система информационной безопасности;
- СОИБ — система обеспечения информационной безопасности;
- ФСБ — Федеральная служба безопасности;
- ФСТЭК — Федеральная служба по техническому и экспортному контролю;
- ЭВМ — электронная вычислительная машина.
3.ИСХОДНАЯ КОНЦЕПТУАЛЬНАЯ СХЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Концептуальная схема информационной безопасности направлена на защиту его информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.
Для противодействия угрозам ИБ на основе имеющегося опыта составляется прогностическая модель предполагаемых угроз и модель нарушителя. Чем точнее сделан прогноз (составлены модель угроз и модель нарушителя), тем ниже риски нарушения ИБ при минимальных ресурсных затратах.
Разработанная на основе прогноза политика ИБ и в соответствии с ней построенная система обеспечения ИБ является наиболее правильным и эффективным способом добиться минимизации рисков нарушения ИБ. Индивидуальным предпринимателем периодически на основании данных мониторинга и аудита, обновляются модели угроз и нарушителя.
Соблюдение политики ИБ в значительной степени является элементом корпоративной этики, поэтому серьезное внимание уделяется вопросам управления отношениями, в отношении клиентов, получающих информационные услуги.
Индивидуальный предприниматель соблюдает требования по ИБ, а также информируют своих клиентов обо всех событиях, связанных с нарушениями (могущими повлечь нарушения) ИБ.
4.ЦЕЛИ И ЗАДАЧИ ПО ОБЕСПЕЧЕНИЮИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Главной целью обеспечения ИБ является обеспечение устойчивого функционирования и защита информационных активов, принадлежащих индивидуальному предпринимателю, его клиентам от случайных (ошибочных) и направленных противоправных посягательств, разглашения, утраты, утечки, искажения, модификации и уничтожения охраняемых сведений.
Основными задачами обеспечения ИБ в Банке являются:
- – предотвращение утечки, хищения, утраты, искажения, подделки информации;
- – предотвращение угроз безопасности личности;
- – предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
- – предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы;
- – обеспечение правового режима документированной информации как объекта собственности;
- – защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах.
- Организационные, технологические и технические мероприятия по защите информации проводятся в соответствии с требованиями действующего законодательства, нормативных и иных документов ФСТЭК, ФСБ, Центрального банка Российской Федерации (ЦБ РФ), а также нормативно-методическими материалами организационно-распорядительными документами Банка по вопросам обеспечения ИБ.
5.ОБЪЕКТЫ ЗАЩИТЫ
Основными объектами защиты являются:
– информационные ресурсы с ограниченным доступом, составляющие коммерческую, банковскую тайну, иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы, в том числе открытая (общедоступная) информация, представленные в виде документов и массивов информации, независимо от формы и вида их представления (носителя);
– информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации;
– информационная инфраструктура, включающая системы обработки, хранения и анализа информации, технические и программные средства ее передачи, хранения, обработки и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации.
На основе сформированных требований выбираются меры по обеспечению ИБ.