Политика информационной безопасности

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика разработана в соответствии с законодательством Республики Таджикистан и требованиям в части обеспечения информационной безопасности, требованиям нормативных актов Национального Банка Таджикистана.

1.2. Настоящая Политика является документом, доступным всем сотрудникам Банка и представляет собой официально принятый руководством ОАО «Таджиксодиротбанк» (далее – Банк) подход по обеспечению информационной безопасности, и устанавливает принципы построения системы управления информационной безопасностью на основе систематизированного изложения целей, процессов и процедур информационной безопасности Банка.

1.3. Руководство Банка осознает важность и необходимость развития и совершенствования мер и средств обеспечения информационной безопасности в контексте развития законодательства и норм регулирования банковской деятельности, а также развития реализуемых банковских технологий и ожиданий клиентов Банка и других заинтересованных сторон. Соблюдение требований информационной безопасности позволит создать конкурентные преимущества Банку, обеспечить его финансовую стабильность, рентабельность, соответствие правовым, регулятивным и договорным требованиям и повышение имиджа.

1.4. Требования информационной безопасности, которые предъявляются Банком, соответствуют интересам (целям) деятельности Банка и предназначены для снижения рисков, связанных с информационной безопасностью до приемлемого уровня. Факторы рисков в информационной сфере Банка имеют отношение к его корпоративному управлению (менеджменту), организации и реализации бизнес-процессов, взаимоотношениям с контрагентами и клиентами, внутрихозяйственной деятельности. Факторы рисков в информационной среде Банка составляют значимую часть операционных рисков Банка, а также имеют отношение и к иным рискам основной и управленческой деятельности Банка.

1.5. Стратегия Банка в области обеспечения информационной безопасности и защиты информации наряду с прочим включает выполнение в практической деятельности требований:

• законодательства Республики Таджикистан в области безопасности, безопасности информационных технологий и защиты информации, зашиты персональных данных и банковской тайны;

• нормативных актов Республики Таджикистан органов исполнительной власти, уполномоченных в области обеспечения физической безопасности и технической защиты информации, противодействия техническим разведкам и обеспечения информационной безопасности и конфиденциальности;

• нормативных актов Национального Банка Таджикистана по обеспечению информационной безопасности;

• свода правил по управлению защитой информации (Международный стандарт ISO/IEC 27002).

1.6. Необходимые требования обеспечения информационной безопасности Банка должны неукоснительно соблюдаться персоналом Банка и другими сторонами как это определяется положениями внутренних нормативных документов Банка, а также требованиями договоров и соглашений, стороной которых является Банк.

1.7. Настоящая Политика распространяется на бизнес - процессы Банка и обязательна для применения всеми сотрудниками и руководством Банка, а также пользователями его информационных ресурсов.

1.8. Настоящая Политика является корпоративным документом по ИБ первого уровня.

2. ОПИСАНИЕ ОБЪЕКТА ЗАЩИТЫ

Основными объектами защиты системы информационной безопасности в Банке являются:

• информационные ресурсы, содержащие коммерческую тайну, банковскую тайну, персональные данные физических лиц, сведения ограниченного распространения, а также открыто распространяемая информация, необходимая для работы Банка, независимо от формы и вида ее представления;

• информационные ресурсы, содержащие конфиденциальную информацию, включая персональные данные физических лиц, а также открыто распространяемая информация, необходимая для работы Банка, независимо от формы и вида ее представления;

• сотрудники Банка, являющиеся разработчиками и пользователями информационных систем Банка;

• информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены такие системы.

Инвентаризация информационных активов производится как минимум один раз в год Отделом системного администрирования. Инвентаризация информационных активов Банка производится в соответствующей базе данных.

3. ЦЕЛИ И ЗАДАЧИ ДЕЯТЕЛЬНОСТИ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Целью деятельности по обеспечению информационной безопасности Банка является снижение угроз информационной безопасности до приемлемого для Банка уровня.

Основные задачи деятельности по обеспечению информационной безопасности Банка:

• выявление потенциальных угроз информационной безопасности и уязвимостей объектов защиты;

• предотвращение инцидентов информационной безопасности;

• исключение либо минимизация выявленных угроз.