I. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. АКБ "Глобэкс" - коммерческая организация, являющаяся юридическим лицом, которой в соответствии с Законом и на основании лицензии № 1942, выданной Банком России, предоставлено право привлекать денежные средства от юридических и физических лиц и от своего имени размещать их на условиях возвратности, срочности и платности, а также осуществлять иные банковские операции.

1.2. В процессе осуществления своей деятельности Банк руководствуется законодательством РФ, нормативными актами Банка России, относящимися к деятельности коммерческих банков, а также Уставом Банка.

II. ОБЕСПЕЧЕНИЕ СОХРАНЕНИЯ БАНКОВСКОЙ ТАЙНЫ

2.1. На основании ФЗ № 395-1 "О банках и банковской деятельности" от 02.12.90 г. (в редакции Федерального закона от 03.02.96 № 17-ФЗ), Банк гарантирует тайну по операциям, счетам и вкладам своих клиентов и корреспондентов.

2.2. Справки по операциям и счетам юридических лиц и иных организаций могут выдаваться самим организациям, их вышестоящим органам, судам, следственным органам, органам арбитража, аудиторским организациям, а также финансовым организациям по вопросам налогообложения.

2.3. Справки по счетам и вкладам граждан выдаются, кроме самих клиентов и их представителей, судам и следственным органам по делам, находящимся в производстве в случаях, когда на денежные средства и иные ценности клиента наложен арест, обращено взыскание или применена конфискация имущества.

2.4. Справки по счетам и вкладам в случае смерти их владельцев

выдаются лицам, указанным владельцем счета или вклада в сделанном Банку завещательном распоряжении, государственным нотариальным конторам по находящимся у них в производстве наследственным делам о вкладах умерших вкладчиков.

2.5. В соответствии с статьей 22 ФЗ № 395-1 "О банках и банковской деятельности" от 02.12.90 г. (в ред. Федерального закона от 03.02.96 № 17-ФЗ) установить перечень сведений и информации, относящейся к коммерческой и банковской тайне (Перечень сведений прилагается).

III. ПОРЯДОК РЕАЛИЗАЦИИ ПОЛОЖЕНИЯ

3.1. В целях обеспечения сохранности банковской тайны издается приказ по Банку за подписью Президента банка, где устанавливается перечень сведений и информация, относящиеся к коммерческой и банковской тайне. Здесь определяется конкретное лицо (лица), которое может принимать решение о передаче любой информации, касающейся деятельности Банка сторонним организациям, правоохранительным органам, физическим лицам.

3.2. Каждый работник Банка обязан заключить с работодателем Договор о сохранении банковской и коммерческой тайны, он должен быть ознакомлен с перечнем сведений, относящихся к коммерческой в АКБ "Глобэкс".

3.3. Контроль над соблюдением данного Положения возлагается на службу безопасности Банка.

Президент АКБ «Глобэкс»

Приложение 2

ПЕРЕЧЕНЬ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ КОММЕРЧЕСКУЮ ТАЙНУ АКБ "ГЛОБЭКС"

1. Финансы

1.1. Сведения о балансе банка, размере свободных кредитных ресурсов и их размещении (кроме сведений, подлежащих опубликованию -см. Постановление Правительства РСФСР от 05.12.91 г. N 35 "О перечне сведений, которые не могут составлять коммерческую тайну").

1.2. Сведения о финансовых операциях Банка (движение средств).

1.3. Сведения о состоянии счетов клиентов Банка.

1.4. Сведения об уровне доходов Банка.

1.5. Некоторые сведения об условиях выдачи кредитов.

1.6 . Экономические расчеты и прогнозы финансового состояния и развития вкладчиков (клиентов) Банка.

1.7 Фонд заработной платы

1.8 Содержание перспективных планов развития и других проектовкоммерческого характера, находящихся в стадии разработки и реализации.

2. Планы

2.1. Маркетинг (коньюнктура рынка, сведния о заключаемых сделках, отчеты о реализации услуг) и стратегия цен.

2.2. Планы внедрения программно-технических средств или комплексов.

2.3. Договорные и иные отношения с российскими и иностранными юридическими и физическими лицами.

2.4. Программа рекламы.

3. Совещания

3.1. Сведения о фактах проведения, целях, предмете и результатах совещаний и заседаний Совета директоров Банка.

3.2. Сведения о планах банка.

4. Переговоры

4.1. Сведения о подготовке и результатах проведения переговоров с клиентами Банка

5. Техника и материальные ценности

5.1. Сведения о расположении, технической защищенности хранилищ материальных ценностей и денег, системе охраны, порядке и маршрутах доставки наличных денег.

5.2. Информация о программном обеспечении, принципах построения и режиме работы локальных сетей, автоматизированной системы обработки информации банка, схемах энергообеспечения вычислительной техники.

6. Другие сведения

6.1. Сведения о способах защиты от несанкционированного доступа к информации (разграничение доступа к информации в сети, система паролей).

6.2. Сведения, полученные от клиентов конфиденциально.

6.3. Сведения, содержащиеся в карточках, ведомостях, журналах и других документах аналитического и синтетического учета.

6.4. Важные элементы систем безопасности.

Приложение 3

Закрытое акционерное общество ЭКЗ №_____

коммерческий банк «ГЛОБЭКС»

Утверждаю

Руководитель

по безопасности

_____________________(Ф.И.О.)

(подпись)

«_____»________________2003г.

Должностная инструкция администратора системы защиты автоматизированной системы обработки информации банка (администратора безопасности)

1.Общие положения

В целях контроля за выполнением требований по обеспечению защиты информации и контроля за работой пользователей автоматизированной системой обработки информации банка приказом по банку из числа работников службы сопровождения и внедрения програмного обеспечения назначается лицо (далее администратор безопасности), допущенное к любой конфиденциальной информации банка с присвоением ему соответствующих полномочий.

Администратор безопасности выполняет штатные функции по обеспечению безопасности информации, накапливаемой, обрабатываемой и хранимой в банке, при использовании мер и средств системы защиты информации автоматизированной системы обработки информации банка в пределах зоны своей ответственности.

Администратор безопасности должен иметь опыт работы в автоматизированных информационных системах или корпоративных банковских сетях.

2.Термины и определения

* аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора (подтверждение подлинности);

* безопасность информации - состояние защищенности информации, обрабатываемой средствами компьютерной техники или автоматизированной системой от внутренних или внешних угроз;

* доступ к информации - ознакомление с информацией, её обработка, в частности, копирование, модификация или уничтожение информации;

«зона ответственности» - одно или несколько структурных подразделений (пользователей), закреплённых за администратором безопасности;

* идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;

* комплекс средств защиты - совокупность правовых, организационных, инженерно-технических и программных средств, создаваемая и поддерживаемая для обеспечения защиты информации в корпоративной сети банка и её компьютерных средствах;

* конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ;

* нарушение в автоматизированной системе обработки информации банка -- событие, вызвавшее нарушение конфиденциальности, искажение, разрушение или уничтожение информации, нарушение её подлинности и повлекшее за собой финансовые или иные потери либо создавшее предпосылки к ним;

* несанкционированный доступ в автоматизированную систему обработки информации банка - нарушение, произошедшее в результате преодоления системы защиты информации в сети;

* пароль - идентификатор субъекта доступа, который является его секретом;

* пользователь сети -- работник банка, имеющий технические возможности и соответствующим образом оформленный допуск на работу в автоматизированной системе обработки информации банка;

* правила разграничения доступа -- совокупность правил, регламентирующих права субъекта доступа к объектам доступа;

* санкционированный доступ к информации - доступ к информации, не нарушающий правил разграничения доступа:

* система разграничения доступа - совокупность реализуемых правил разграничения доступа в средствах компьютерной техники автоматизированной системы банка;

* средства защиты информации -- средства защиты от несанкционированного доступа, антивирусные системы, системы защиты данных от разрушения, подсистемы разграничения полномочий пользователей, системы управления доступом и ведения протоколов работ части программного обеспечения;

* целостность информации - способность средств автоматизированной сиситемы обработки информации банка обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения.

3.Обязанности администратора безопасности

В обязанности администратора безопасности входит:

3.1. "Общий мониторинг функционирования автоматизированной системы обработки информации банка.

3.2. Контроль за выполнением правил надлежащей эксплуатации средств и системы защиты информации в целом, в том числе контроль за порядком выполнения работ по установке и снятию средств защиты информации, которые должны обеспечиваться уполномоченными на эту работу специалистами.

3.3. Контроль за работой пользователей автоматизированной системы обработки информации банка.

3.4. Распределение полномочий по доступу к информации в автоматизированной системе обработки информации банка.

3.5. Назначение и изменение полномочий пользователей по доступу к средствам компьютерной техники в корпоративной сети с присвоением им идентификаторов, их регистрации и внесением записи в журнал учёта, выданных идентификаторов.

3.6. Проведение анализа учётных и регистрационных данных при ежедневной распечатке данных из журналов регистрации и учёта работы пользователей автоматизированной системы с целью своевременного выявления попыток несанкционированного доступа и других противоправных действий пользователей.

3.7. Исключение возможности несанкционированного доступа по утерянному пользователем идентификатору с сообщением руководителю подразделения пользователя о факте утери.

3.8. Своевременное принятие мер в случае возникновения нарушений в работе автоматизированной системы обработки информации , в том числе:

- выявление причин возникновения нарушения и его классификация;

- организация действий по локализации и ликвидации последствий нарушения;

-исключение при необходимости скомпрометированных идентификаторов;

- организация блокирования процесса обработки информации в сети или запрещение некоторых операций по обработке информации, если в результате нарушения возникла угроза работоспособности системы;

- срочное сообщение руководителю службы безопасности о нарушении и принятых мерах, составление служебной записки о факте нарушения и, в случае необходимости, инициирование проведения служебного расследования.

3.9. Восстановление информации в автоматизированной системе обработки информации в случае утраты.

3.10.Поддержка в зоне своей ответственности:

- аварийного архива - копий используемого в системе программного обеспечения;

- текущего архива - данных, имеющихся в системе на конец предыдущего дня;

- долговременного архива - данных, обрабатываемых в системе за предварительно установленный период (вид носителей для хранения долговременного архива и состав таких архивируемых данных определяется по согласованию с руководителем службы сопровождения и внедрения нового программного обеспечения ).

3.11. Поддержание связи со службой сопровождения и внедрения программного обеспечения, входящей в состав службы безопасности банка с целью немедленного сообщения о выявленных недостатках в работе средств защиты информации и системы защиты в целом.

4. Права администратора безопасности

Администратор безопасности имеет право:

4.1 .Устанавливать и изменять полномочия пользователей по доступу к ресурсам системы в соответствии с оформленной заявкой, где указаны их права, определяемые по .согласованию с руководителем структурного подразделения.

4.2.- Требовать объяснительных документов и назначения служебного расследования по фактам нарушений, выявленных при анализе функционирования системы и работы пользователей.

4.3. Требовать от пользователей, работающих со средствами, входящими в состав системы, в пределах зоны ответственности, соблюдения требований режима защиты информации и соответствующих инструкций.

4.4. Обладать максимальными полномочиями по доступу к ресурсам системы в пределах зоны своей ответственности.

4.5. Получать полную документацию на средства защиты и консультации по работе с ними.

4.6. Запрещать выполнение следующих действий:

- подключать без разрешения руководителя службы безопасности банка технические средства (серверы, рабочие станции), имеющие выход в открытые сети типа Интернет, к техническим средствам внутренней сети банка;

- изменять состав и конфигурацию программных и технических средств без разрешения руководителя службы сопровождения и внедрения нового программного обеспечения банка;

- пересылать конфиденциальную информацию внешним абонентам без соответствующего разрешения;

- использовать носители информации с маркировкой «допускается использование только во внутренней автоматизированной системе банка» на автономных средствах компьютерной техники работников банка без соответствующего разрешения.

5. Изменение зоны ответственности администратора безопасности

Изменение зоны ответственности администратора безопасности производится приказом руководителя службы безопасности банка в случае изменения организационной структуры или в силу других объективных причин.

Настоящая должностная инструкция разработана в соответствии с требованиями типовой инструкции, регламентирующей порядок организации и проведения работ по внедрению и использованию мер и средств обеспечения информационной безопасности и защиты информации в автоматизированных информационных системах.

Инструкцию разработал________________________

(должность)

______________________ (Ф.И.О.)

(подпись)

Ознакомлен___________________________ (Ф.И.О.)

(подпись)

Приложение 4

ДОГОВОР О СОХРАНЕНИИ КОММЕРЧЕСКОЙ ТАЙНЫ АКБ «Глобэкс»

Банк " Глобэкс " (далее именуемый - Банк) в лице Президена банка __________, действующего на основании Устава, с одной стороны, и сотрудник банка _______, имеющий паспорт серии____№_____, выданный " "_____ __г. ________ (далее именуемый - Сотрудник), с другой стороны, заключили настоящий договор о нижеследующем.

I. ПРЕДМЕТ ДОГОВОРА

1.Сотрудник обязуется хранить в тайне сведения, составляющие банковскую и коммерческую тайну Банка как в период своей работы, так и в течение трех лет после увольнения с работы.

2. Перечень сведений, отнесенных к коммерческой тайне Банка, содержится в приказе Банка №__ от___, с которым Сотрудник ознакомлен.

В случае изменения указанного выше перечня Сотрудник должен быть ознакомлен с соответствующим актом Банка, которым они предусмотрены, под расписку. В противном случае его обязательства перед Банком по сохранению коммерческой тайны остаются прежними.

II. ПРАВОВОЙ РЕЖИМ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ КОММЕРЧЕСКУЮ И БАНКОВСКУЮ ТАЙНУ

3. Для исключения фактов разглашения сведений, составляющих коммерческую и банковскую тайну, Сотрудник обязан строго соблюдать порядок работы с информацией, содержащей коммерческую и банковскую тайну. Нормативные акты Банка, устанавливающие такой порядок, должны быть сообщены Сотруднику под расписку.

4. Разглашением коммерческой и банковской тайны следует считать действия Сотрудника Банка, совершенные им в случаях, когда законодательство, локальные нормативные акты Банка прямо не обязывали его их совершить, либо при отсутствии письменного согласия на это Президента банка или Вице-президента банка.

4.1. Разглашение в устной, письменной, электронной или иной форме сведений, отнесенных к коммерческой или банковской тайне, может наступить в результате умысла Сотрудника или его неосторожности, включая халатное отношение к своим обязанностям. Эти действия могут быть связаны с нарушением требований действующего законодательства, настоящего договора, нормативных актов Банка, иных обязательных для исполнения правил, направленных на предупреждение случаев разглашения коммерческой и банковской тайны.

4.2. Использование сведений, составляющих коммерческую и банковскую тайну в процессе выполнения работы для другого предприятия, учреждения и организации, по заданию физического лица или в ходе осуществления предпринимательской деятельности без образования юридического лица.

4.3. Использование сведений, составляющих коммерческую и банковскую тайну, в ходе публичных выступлений, интервью и т.п.

4.4. Иные действия Сотрудника Банка, в результате которых сведения, составляющие коммерческую и банковскую тайну, были бы разглашены.

5. Сотрудник обязан немедленно сообщать в письменной или устной форме руководителю службы безопасности Банка о любых попытках организаций, физических лиц получить информацию, касающуюся Банка.

6. При увольнении из Банка (прекращении договорных отношений с Банком) Сотрудник обязан передать все носители коммерческой и банковской тайны (рукописи, черновики, магнитные ленты, диски, дискеты, распечатки на принтерах и т.п.) в (подразделение Банка) (должность сотрудника)

При отсутствии указанного подразделения и должностного лица Банка на момент увольнения Сотрудника (прекращения договорных отношений) по причине произведенной реорганизации, изменения штатного расписания и т.п. все носители коммерческой и банковской тайны передаются руководителю службы безопасности Банка.

8. Сотрудник обязан сообщать о всех фактах утраты, хищения, недостачи носителей коммерческой и банковской тайны, а также удостоверений, пропусков, ключей от режимных помещений, хранилищ, сейфов (металлических шкафов), личных печатей и о других фактах, которые могут привести к разглашению коммерческой и банковской тайны, а также о причинах и условиях возможной утечки информации, содержащей коммерческую и банковскую тайну, в службу безопасности Банка.

III. СРОК ДОГОВОРА

9. Настоящий договор вступает в силу с момента подписания и действует в течение всего времени работы Сотрудника в Банке, а также в течение трех лет после увольнения из Банка (прекращения договорных отношений).

IV. ОТВЕТСТВЕННОСТЬ

10. Ответственность Сотрудника, работающего по трудовому договору, в период его работы в Банке определяется трудовым законодательством.

Настоящий договор является неотъемлемой частью трудового договора Банка с Сотрудником. Каждый случай невыполнения Сотрудником законодательства, нормативных актов Банка, настоящего договора, касающихся порядка работы с информацией, содержащей сведения, отнесенные к коммерческой или банковской тайне, является нарушением трудовых обязанностей Сотрудника, независимо от того, привели указанные нарушения к разглашению коммерческой или банковской тайны или нет.

Каждый факт разглашения Сотрудником коммерческой и банковской тайны в случаях, когда законодательство, нормативные акты Банка, настоящий договор или указания Президента банка или Вице-президента Банка его к этому не обязывали (или не разрешали), также является нарушением трудовых обязанностей Сотрудника.

За совершение названных выше трудовых обязанностей Сотрудник может быть привлечен к дисциплинарной и/или материальной ответственности в порядке, установленном Трудовым кодексом РФ, ГК РФ.

В случае обнаружения в действиях Сотрудника признаков состава преступления Банк направляет соответствующее сообщение в правоохранительные органы.

11. Ответственность Сотрудника, прекратившего с Банком трудовые и иные договорные отношения, определяется гражданским законодательством. Если разглашение коммерческой или банковской тайны привело к возникновению убытков в хозяйственной сфере Банка, то он имеет право взыскать с Сотрудника причиненные убытки.

12. Настоящий договор составлен в двух экземплярах - по одному для каждой стороны. Каждый экземпляр имеет равную юридическую силу.

VI. ЮРИДИЧЕСКИЕ АДРЕСА И ПОДПИСИ СТОРОН

Президет Сотрудник АКБ «Глобэкс»

защита автоматизированная информация банк

Приложение 5

Положение о службе компьютерной безопасности

1. Общие положения

1.1 Служба компьютерной безопасности является структурной единицей службы безопасности, непосредственно подчиняющейся начальнику службы.

1.2 В своей деятельности служба руководствуется требованиям «Инструкции по программно-аппаратной защите ».

2. Задачи

2.1 Мониторинг функционирования автоматизированной системы обработки информации и корпоративной сети банка.

2.2 Выявление и оценка степени опасности программно-аппаратных каналов утечки информации.

2.3 Разработка мероприятий по ликвидации (локализации) установленных каналов утечки информации организационными, организационно-техническими мерами, используя для этого аппаратные, программные и математические методы защиты.

2.4 Организация контроля за эффективностью принятых защитных мероприятий. Проведение обобщения и анализа результатов контроля и разработка предложений по повышению надежности и эффективности мер защиты.

2.5. Сопровождение системы защиты, ведение реквизитов защиты, обнаружение и расследования нарушений политики безопасности.

3.Функции

4.1. Управление доступом пользователей системы к данным, включая установку (периодическую) смену паролей, управление средствами защиты коммуникаций и криптозащиту передаваемых, хранимых и обрабатываемых данных.

4.2.Разработка планов защиты. Контроль за их соблюдением, а также контроль за хранением резервных копий.

4.3.Доведение до пользователей изменений в области защиты, которые имеют к ним отношение, обучение персонала и пользователей АСОИ.

4.4. Взаимодействие со службой сопровождения и внедрения программного обеспечения по вопросам защиты информации в АСОИ.

4.5.Совместная работа с представителями других организаций по вопросам безопасности - непосредственный контакт или консультации с партнерами или клиентами.

4.6 Расследование происшедших нарушений защиты.

4.7. Координация действий с аудиторской службой, совместное проведение аудиторских проверок.

4.8 Постоянная проверка соответствия принятых в организации правил безопасности обработки информации существующим правовым нормам, контроль за соблюдением этого соответствия.

4.9. Разработка регламента проведения антивирусной диагностики, в котором должны быть указаны: тип антивирусных программ, используемых для проверки; периодичность проведения антивирусной проверки пользователями автоматизированной системы обработки информации банка; действия персонала при обнаружении вирусов.

5. Структура

5.1. Структура и штатный состав службы компьютерной безопасности разрабатывается и утверждается руководством Службы безопасности банка.

6. Права

Служба компьютерной безопасности имеет право:

- проверять наличие программно-аппартных средств обеспечения функционирования автоматизированной системы обработки информации в банке.

- устанавливать программно-аппаратные средства защиты информации для обеспечения функционирования работы автоматизированной системы обработки информации банка.

- запрещать использование программно-аппаратных средств, не обеспечивающих требования безопасности.

7. Ответственность

Всю полноту ответственности за программно-аппаратную защиту автоматизированной системы обработки информации несет руководитель службы.

Размещено на Allbest.ru