|
Читайте также: |
ОСНОВИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ БАНКІВСЬКОЇ УСТАНОВИ
1.1. Поняття і структура інформаційної безпеки банківської установи 7
1.2. Система управління інформаційною безпекою банківської установи з урахуванням існуючих загроз 9
1.3. Стандарти інформаційної безпеки 19
1.4. Аналіз, оцінка і оброблення ризиків 31
1.5. Впровадження та функціонування системи управління інформаційною безпекою 38
РОЗДІЛ II.
БАНКІВСЬКА ТАЄМНИЦЯ ЯК ВИД ІНФОРМАЦІЇ З ОБМЕЖЕНИМ ДОСТУПОМ
2.1. Інформація з обмеженим доступом 43
2.2. Поняття банківської таємниці 51
2.3. Зміст банківської таємниці. Загальні вимоги
до охорони банківської таємниці................................................... 55
2.4. Банківське право та інформаційне право
про банківську таємницю................................................................. 62
РОЗДІЛ III.
СУБ’ЄКТИ ПРАВОВІДНОСИН, ПОВ’ЯЗАНИХ ІЗ БАНКІВСЬКОЮ ТАЄМНИЦЕЮ
3.1. Суб’єкти, які зобов’язані охороняти
банківську таємницю......................................................................... 67
3.2. Обов’язки суб’єктів охорони банківської таємниці... 70
3.3. Права клієнтів банківської установи 76
3.4. Національний банк України як суб’єкт правовідносин, пов’язаних із банківською таємницею 77
РОЗДІЛ IV.
ПРАВИЛА ПОВОДЖЕННЯ З БАНКІВСЬКОЮ ТАЄМНИЦЕЮ
4.1. Правові вимоги до документів,
що містять банківську таємницю.................................................... 90
4.2. Робота з документами, що містять
банківську таємницю, на електронних носіях............................ 93
4.3. Захист електронних банківських документів з використанням засобів захисту інформації Національного банку України................................................................................................ 102
4.4. Заходи охорони банківської таємниці, що застосовуються самостійно
банківськими установами.............................................................. 109
РОЗДІЛ V.
РОЗКРИТТЯ БАНКІВСЬКОЇ ТАЄМНИЦІ В УКРАЇНІ
5.1. Правові підстави розкриття відомостей,
що містять банківську таємницю................................................. 114
5.2. Порядок та межі розкриття банківської таємниці. Суб’єкти отримання банківської таємниці 118
5.3. Особливості розкриття банківської таємниці уповноваженому органу фінмоніторингу України.... 126
5.4. Порядок розкриття відомостей,
що становлять банківську таємницю,
під час проведення обшуку.................................... 157
5.5. Особливості розкриття банківської таємниці Національному банку України
та його службовцям................................................ 162
РОЗДІЛ VI.
СУДОВА ПРАКТИКА З ПИТАНЬ РОЗКРИТТЯ БАНКІВСЬКОЇ ТАЄМНИЦІ
6.1. Статистика судових розглядів.
Вид провадження, юрисдикція справ
про розкриття банківської таємниці..................... 166
6.2. Підсудність, зміст заяви, відкриття провадження... 170
6.3. Розгляд справи про розкриття інформації, яка містить банківську таємницю. Рішення у справі 173
РОЗДІЛ VII. ^
ПРОТИПРАВНІ ПОСЯГАННЯ НА БАНКІВСЬКУ ТАЄМНИЦЮ
7.1. Банківська таємниця серед об’єктів протиправних посягань 181
7.2. Протиправні посягання, пов’язані
з використанням платіжних карток............................................. 183
7.3. Протиправні посягання, пов’язані
з функціонуванням платіжних систем........................................ 198
РОЗДІЛ vin.
ОСОБЛИВОСТІ ЮРИДИЧНОЇ ВІДПОВІДАЛЬНОСТІ U ЗА ПОСЯГАННЯ НА БАНКІВСЬКУ ТАЄМНИЦЮ
8.1. Адміністративна відповідальність
за розголошення банківської таємниці....................................... 202
8.2. Кримінальна відповідальність
за незаконні діяння з банківською таємницею.......................... 205
8.3. Цивільно-правова відповідальність
у сфері обігу банківської таємниці............................................... 212
8.4. Фінансово-правова відповідальність
за порушення режиму банківської таємниці............................. 215
РОЗДІЛ IX.
ОХОРОНА БАНКІВСЬКОЇ ТАЄМНИЦІ ЗА ЗАКОНОДАВСТВОМ ЗАРУБІЖНИХ КРАЇН
9.1. Банківська таємниця у Швейцарії 227
9.2. Банківська таємниця у Великобританії і Франції.... 229
9.3. Гармонізація права в сфері банківської таємниці в ЄС 231
9.4. Банківська таємниця у Російській Федерації 233
9.5. Розкриття банківської таємниці
за законодавством іноземних держав......................................... 236
9.6. Юридична відповідальність за порушення режиму банківської таємниці у іноземних державах 242
Перелік умовних скорочень..................................................................... 248
Використана і рекомендована література.......................................... 249
ПЕРЕДМОВА
Банківська система в будь-якій країні є важливою складовою економіки та має значний вплив на діяльність та розвиток суспільства. З метою забезпечення стабільного та ефективного функціонування цієї системи держава створює умови та надає гарантії зайняття банківською діяльністю, однією з яких є банківська таємниця.
У зв’язку з цим правовий інститут банківської таємниці є обов’язковим атрибутом правової системи держави, зміст якої зумовлюється особливостями економіко-правової доктрини та формуванням нормативної бази.
У науці інформаційного права питання регулювання інформаційних відносин та інші суміжні питання розкривають такі вітчизняні й зарубіжні науковці: І. В. Арістова, І.Л. Бачило, В. М. Брижко, В. М. Бутузов, В. Д. Гавлов- ський, О. А. Звєрєва, Р. А. Калюжний, Д. В. Колобанов, Б. А. Кормич, Т. А. Костецька, О. В. Кохановська, І. О. Кре- сіна, Л. В. Кузенко, В. М. Лопатін, Ю. Е. Назарова, Є. В. Петров, О. А. Підопригора, В. В. Саєнко, В. С. Цимбалюк, М. А. Федотов, М. Я. Швець, Ю. С. Шемшученко та інші. При написанні навчального посібника враховані також наукові дослідження стосовно особливостей нормативно-правового регулювання банківської таємниці, зокрема дисертаційні дослідження Д. О. Гетманцева, С. О. Харламової, огляд практики розгляду справ про розкриття банками інформації, яка містить банківську таємницю, щодо юридичних та фізичних осіб Д. Д. Луспеника, 3. П. Мельника тощо.
Навчальний посібник розроблено для забезпечення навчальних дисциплін інформаційно-правового та економіко- правового напряму. Підручник буде корисним для аспірантів, науковців та практиків, які досліджують проблематику охорони банківської таємниці в Україні.
РОЗДІЛ І.
ОСНОВИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ БАНКІВСЬКОЇ УСТАНОВИ
Питання для опрацювання
1.1. Поняття і структура інформаційної безпеки банківської установи.
1.2. Система управління інформаційною безпекою банківської установи з урахуванням існуючих загроз.
1.3. Стандарти інформаційної безпеки.
1.4. Аналіз, оцінка і оброблення ризиків.
1.5. Впровадження та функціонування системи управління інформаційною безпекою.
1.1. Поняття і структура інформаційної безпеки банківської установи
Структурно інформаційну безпеку банківських установ
складають:
- безпека інформаційних ресурсів,
- безпека інформаційної інфраструктури та
- безпека «інформаційного поля» банківської установи.
| ШФОБЕЗПЕКА БАНКІВСЬКОЇ УСТАНОВИ | |||||
| І | |||||
| безпека Інформаційних ресурсів «■----------- -------------------- * | безпека інформаційної структур* А ------------------------- | г л безпека «інформаційного поля» | |||
Інформаційні ресурси банківської установи — це взаємозв ’язана, упорядкована, систематизована і закріплена на матеріальних носіях інформація, яка належить банківській установі. Відповідно безпека інформаційних ресурсів полягає у збереженні такої інформації від несанкціонованого розповсюдження, використання і порушення її конфіденційності (таємності).
Безпека інформаційної інфраструктури полягає у захищеності електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж і мереж електрозв’язку банківської установи, яка забезпечує цілісність і доступність інформації, що в них обробляється (зберігається чи циркулює).
Приклад порушення у сфері безпеки інформаційної інфраструктури:
«Аналітик департаменту безпеки одного з найбільших вітчизняних банків, про атаки хакерів: «Ми з колегами вирахували групу хакерів-шахраїв, які зламали інформаційні системи низки системних банків, — розповідає фахівець. — Вони від- стежували всі великі трансфертні операції, дізнавалися рахунки, на які переводилися великі суми, і буквально за кілька тижнів підробляли документи й знімали гроші». Банківський працівник стверджує, що в кількох випадках шахраї підкуповували представника персоналу відділення банку, де планувалося красти гроші, щоб той не прискіпувався до документів і не розпитував, навіщо одночасно знімається така велика сума»[1].
Безпека «інформаційного поля» банківської установи складається здебільшого з несисте- матнзованих потоків інформації, що оприлюднюються різноманітними учасниками інформаційних відносин: те- лерадіоорганізаціями, друкованими ЗМІ, Інтернет-видан- нями, конкурентами, органами державної влади, місцевого самоврядування тощо.
Приклад порушення у сфері безпеки «інформаційного поля» банківської установи:
«Якаю газета напише, що «банк X» знаходиться на межі краху, то, незважаючи на відсутність будь-жих фінансово-економічних підстав, банк дійсно виявиться на межі краху. Так вийшло і в нашій ситуації: спочатку — інформаційна атака на конкретний банк, потім — паніка вкладники, далі — переповнення інформаційного простору меседжами про банківську кризу в державі, в результаті — серйозні проблеми у банківському секторі.
ЗМІ стали провідником маніпулятивних методик впливу на масову свідомість, моделювання вчинків індивіда та мас. При цьому відповідні захисні механізми (антикризовий та репута- ційний РЯ з боку банківських установ) або взагалі не були застосовані, або впровадились занадто пізно і неефективно»[2].
Охорона банківської таємниці стосується таких сфер інформаційної безпеки банківської установи як безпека інформаційних ресурсів і безпека інформаційної інфраструктури.
Міжнародні стандарти визначають такі ключові поняття у сфері інформаційної безпеки банківської установи:
Інформаційна безпека (information security) — збереження конфіденційності, цілісності та доступності інформації; крім того, можуть враховуватися інші властивості, такі, як автентичність, відстежуваність, неспростовність та надійність [ISO/IEC 17799:2005];
Подія інформаційної безпеки (information security event) —ідентифікована подія системи, служби або мережі, яка вказує на можливе порушення політики інформаційної безпеки або відмову засобів захисту чи раніше невідому ситуацію, яка може мати відношення до безпеки [ISO/IEC TR 18044:2004];
Інцидент інформаційної безпеки (information security incident) — одна або серія небажаних чи непередбачуваних подій інформаційної безпеки, що мають значну ймовірність компрометації бізнес-операцій і загрози інформаційній безпеці [ISO/IEC TR 18044:2004];
Система управління інформаційною безпекою СУІБ (information security management system ISMS) — частина загальної системи управління, яка ґрунтується на підході, що враховує бізнес-ризики, призначена для розроблення, впровадження, функціонування, моніторингу, перегляду, підтримування та вдосконалення інформаційної безпеки.
1.2. Система управління інформаційною безпекою банківської установи з урахуванням існуючих загроз
Найбільш суттєвими загрозами безпеки інформаційних ресурсів є витік або втрата таких ресурсів (зокрема відомостей, що становлять банківську таємницю). Загрози інформаційним ресурсам можуть бути реалізовані шляхом:
- підкупу осіб, які мають безпосередній доступ до банківської таємниці та іншої інформації з обмеженим доступом банківської установи;
- необережного, недбалого поводження з банківською таємницею та іншою інформацією з обмеженим доступом;
- недотримання вимог збереження інформації з обмеженим доступом, встановлених у банківській установі, при контактах з контролюючими і наглядовими органами внаслідок правової та психологічної непідготовленості відповідальних працівників банківської установи тощо. Протидія таким загрозам має полягати, насамперед, у:
- визначенні надійності працівників банківської установи, які працюватимуть з банківською таємницею та іншою інформацією з обмеженим доступом;
- організації спеціального діловодства з відомостями, що становлять та інформацію з обмеженим доступом банківської установи;
- обґрунтуванні і закріпленні диференційованого доступу працівників до банківської таємниці та іншої інформації з обмеженим доступом, при якому працівник може ознайомлюватися і вчиняти певні дії з нею виключно для виконання покладених на нього функціональних обов’язків;
- закріпленні персональної відповідальності працівника за збереження наданих йому або розроблених ним документів, інших носіїв інформації, що містять інформацію з обмеженим доступом банківської установи;
- обмеженні доступу працівників і сторонніх осіб до приміщень, у яких обробляється (зберігається) інформація з обмеженим доступом банківської установи;
- впровадженні заходів контролю за роботою працівників з носіями інформації з обмеженим доступом банківської установи, а також ефективної системи виявлення і фіксації протиправних діянь з такою інформацією;
- впровадженні надійної і ефективної системи зберігання носіїв інформації, що виключає несанкціоноване ознайомлення з ними, їх знищення чи підробку.
Суттєвими загрозами безпеки інформаційної інфраструктури є:
- неофіційний доступ та зняття інформації, що охороняється, технічними засобами;
- перехоплення інформації, що циркулює в засобах і системах зв’язку та обчислювальної техніки, за допомогою технічних засобів негласного зняття інформації, несанкціонованого доступу до інформації та навмисних технічних впливів на них в процесі обробки та зберігання;
- підслуховування з використанням технічних засобів конфіденційних переговорів, що ведуться в службових приміщеннях, автотранспорті тощо.
Протидія таким загрозам має полягати, насамперед, у широкому і головне економічно доцільному застосуванні технічних засобів безпеки інформаційної інфраструктури банківської установи.
Конкретними заходами ліквідації загроз безпеці інформаційної інфраструктури мають бути:
- створення цілісності засобів захисту, технічного і програмного середовища, що полягає у фізичному збереженні засобів інформатизації, незмінності програмного середовища, виконанні засобами захисту передбачених функцій, ізольованості засобів захисту від користувачів;
- захист інформації від витоку внаслідок наявності фізичних полів за рахунок акустичних та побічних електромагнітних випромінювань і наводок на комунікаційні мережі та конструкції будівель;
- використання криптографічного захисту банківської таємниці та іншої інформації з обмеженим доступом при її обробці в електронно-обчислювальних машинах (комп’ютерах), системах та комп’ютерних мережах і мережах електрозв’язку підприємства;
- надання диференційованого доступу працівникам для здійснення конкретних операцій (створення, читання, запис, модифікація, видалення) за допомогою програмно- технічних засобів, а також розмежування доступу користувачів до даних в електронно-обчислювальних машинах (комп’ютерах), системах та комп’ютерних мережах і мережах електрозв’язку банківської установи різного рівня та призначення;
- ідентифікація користувачів та здійснюваних ними процесів в електронно-обчислювальних машинах (комп’ютерах), системах та комп’ютерних мережах і мережах електрозв’язку установи на основі використання паролів, ключів, магнітних карт, цифрового підпису, а також біометричних характеристик особи як при доступі до інформаційно-телекомунікаційних систем;
- реєстрація (з фіксацією дати і часу) дій користувачів з інформаційними та програмними ресурсами в електронно-обчислювальних машинах (комп’ютерах), системах та комп’ютерних мережах, зокрема протиправних спроб доступу;
- попередження передачі банківської таємниці та іншої інформації з обмеженим доступом по незахищених лініях зв’язку;
- запобігання впровадженню в інформаційно-телекомунікаційні системи програм-вірусів;
- регулярна перевірка технічних засобів і приміщень для виявлення наявності в них пристроїв несанкціонованого доступу до інформації;
- обладнання спеціальних приміщень для захисту мовної інформації при проведенні конфіденційних переговорів тощо.
Найбільш суттєвими загрозами безпеки «інформаційного поля» банківської установи є підрив її ділового іміджу, виникнення проблем у взаємостосунках з реальними та потенційними клієнтами, конкурентами, контролюючими та правоохоронними органами, викликаних насамперед поширенням недостовірної, заздалегідь неправдивої інформації про банківську установу, здійсненням негативних інформаційних впливів на його керівництво, працівників тощо.
Конкретними заходами ліквідації загроз безпеці «інформаційного поля» банківської установи мають бути:
- створення досконалої інформаційно-аналітичної діяльності;
- оперативне реагування на випадки поширення неправдивої інформації про банківську установу;
- скоординоване і централізоване поширення рекламної, маркетингової та іншої інформації, що підвищує імідж і сприйняття банківської установи клієнтами;
- налагодження у межах чинного законодавства інформаційної співпраці з органами державної влади і місцевого самоврядування.
Таким чином, система управління інформаційною безпекою банківської установи полягає у створенні комплексу організаційних, технічних, програмних і криптографічних засобів і заходів задля:
- захисту інформації з обмеженим доступом банківської установи від несанкціонованого розповсюдження, використання і порушення її конфіденційності (таємності);
- забезпечення цілісності і доступності інформації (зокрема і банківської таємниці), що обробляється, зберігається, циркулює в електронно-обчислювальних машинах (комп’ютерах), системах та комп’ютерних мережах і мережах електрозв’язку банківської установи;
- протидїї поширенню недостовірної, заздалегідь неправдивої інформації про банківську установу, здійсненню негативних інформаційних впливів на її керівництво.
Під час підготовки до впровадження СУІБ загальний комплект документів, який повинен бути наявним на момент впровадження СУІБ і який відповідає стандарту ІБО 2700 має чотирьохрівневу структуру, а саме:
- адміністративні документи;
- документи верхнього рівня;
- документи середнього рівня;
- документи нижнього рівня.
Адміністративні документи є обов’язковим початковим етапом підготовки до впровадження СУІБ. Ці документи включають:
- наказ про створення спеціального керівного органу з питань інформаційної безпеки (за необхідністю);
- положення про спеціальний керівний орган з питань інформаційної безпеки (за його наявністю);
- у разі відсутності спеціального керівного органу з питань інформаційної безпеки наказ про покладення обов’язків цього органу на існуючий керівний орган;
- наказ про впровадження та функціонування СУІБ;
- наказ про призначення керівника проекту впровадження та функціонування СУІБ;
- положення про службу захисту інформації (підрозділ інформаційної безпеки);
- положення про службу безпеки (охорона, пропускний та внутрішньо-банківський режим тощо);
- посадові інструкції відповідальних за впровадження та функціонування СУІБ осіб;
- організаційна структура банку.
Ці документи оформляються відповідно до правил внутрішнього діловодства банку і можуть бути поєднаними згідно з особливостями роботи банку. Наприклад, якщо підрозділ захисту інформації входить до складу одного структурного підрозділу разом з фахівцями з фізичної безпеки, то потрібно тільки одне положення про підрозділ банківської безпеки. Відповідно назви підрозділів формуються згідно з внутрішніми правилами банку.
Документи верхнього рівня є фактично основою СУІБ. їх можна розділити на дві групи.
До першої групи відносяться два основних документа, які визначають стратегію розвитку банку та загальну політику інформаційної безпеки. Стратегія розвитку банку повинна містити основні стратегічні цілі банку, в тому числі й ті, що пов’язані з впровадженням нових бізнес-процесів/банків- ських продуктів із використанням новітніх технологій, які потребують захисту інформації. Наявність такого документу дозволить забезпечити планування розвитку інфраструктури банку та заходів безпеки, які повинні бути передбачені у СУІБ для зменшення операційних ризиків банку. Політика інформаційної безпеки банку повинна містити основні цілі безпеки та принципи, які мають забезпечувати безпеку банку. Обидва документи мають бути короткими (2—3 стор.), прийнятними для розуміння усіма працівниками банку та бути достатньо конкретними.
До другої групи документів верхнього рівня відносяться документи, які описують основу побудови системи управління інформаційною безпекою:
- цілі СУІБ;
- сфера застосування СУІБ;
- організаційна структура банку, яка охоплюється СУШ;
- політика управління інформаційною безпекою;
- опис методології оцінки ризиків;
- звіт щодо оцінки ризиків;
- опис методології оброблення ризиків з визначенням критеріїв прийняття залишкових ризиків;
- план оброблення ризиків;
- положення щодо застосовності.
Перші чотири документа можуть бути поєднані в один — політику управління інформаційною безпекою, але з обов’язковим включенням перших трьох документів у вигляді окремих розділів.
Політика управління інформаційною безпекою може бути розділена на дві політики: зовнішню, яка описує політику управління інформаційною безпекою для зовнішніх зв’язків банку, та внутрішню, яка описує правила інформаційної безпеки для працівників банку.
Для зменшення обсягу політики управління інформаційною безпекою рекомендується окремі питання винести в окремі цільові політики (положення) з наданням відповідних посилань. Зокрема, за бажанням банку можуть бути створені такі окремі документи:
- перелік законодавчих, регуляторних, нормативних вимог з інформаційної безпеки для банку;
- перелік відомостей, що містять інформацію з обмеженим доступом;
- перелік критичних бізнес-процесів/банківських продуктів/програмно-технічних комплексів;
- політика визначення критичних бізнес-процесів / банківських продуктів;
- політика надання доступу до інформації;
- політика контролю доступу;
- політика парольного захисту;
- політика антивірусного захисту;
- політика захисту мережі банку;
- політика віддаленого доступу до ресурсів мережі;
- політика ідентифікації та автентифікації ресурсів СУІБ;
- політика криптографічного захисту інформації;
- політика «чистого екрана та чистого стола»;
- інші політики (положення) відповідно до технології організації операційної роботи банку.
Слід зазначити, що політика управління інформаційною безпекою має бути створена передостанньою, після завершення аналізу існуючого стану інформаційної безпеки, оцінки ризиків та створення плану оброблення ризиків. Політика управління інформаційною безпекою повинна містити інформацію про існуючі заходи безпеки та плани щодо зменшення ризиків. Існування окремих цільових політик надасть можливість не описувати докладно усі заходи безпеки, а надавати посилання на відповідні політики (положення).
Останнім документом створюється Політика щодо застосовності, де повинні бути наданий перелік заходів безпеки із стандарту Національного банку України з додаванням додаткових заходів безпеки за необхідністю з коротким описом, як вони реалізовані, або поясненням, чому вони не використовуються в банку.
Наданий перелік другої групи документів верхнього рівня є неповним і необов’язковим; він може бути скороченим або доповненим іншими документами.
Документи середнього рівня фактично є технічними документами, які спрямовані на опис способів реалізації заходів безпеки для захисту ресурсів СУІБ від загроз. Саме на цьому рівні повинні бути описаними конкретні операції, які мають виконуватися різними користувачами, описані питання розподілу повноважень та відповідальності по кожній операції, встановлюються строки виконання кожної операції, створюються шаблони угод із зовнішніми сторонами тощо. Ці документи мають створюватися не тільки спеціалістами з інформаційної безпеки, а також спеціалістами відповідних підрозділів за напрямками, а саме: спеціалістами з інформаційних технологій, з фізичного захисту, по роботі з персоналом, юридичного підрозділу тощо. Основними користувачами документів середнього рівня є керів
ники відповідних підрозділів, відповідальні особи за окремі ресурси СУІБ, адміністратори.
Нижче перелік документів середнього рівня побудований згідно із Додатком А стандарту Національного банку України СОУ Н НБУ 65.1 СУІБ 1.0:2010:
А.6. Організація інформаційної безпеки:
- Зобов’язання працівників банку щодо збереження інформації з обмеженим доступом;
- Опис процедури управління санкціонуванням використання нових засобів оброблення інформації;
- Опис вимог щодо угод з третіми сторонами щодо доступу, оброблення, передавання або управління інформацією організації або засобами оброблення інформації, або щодо додавання продуктів чи послуг до засобів оброблення інформації.
А. 7. Управління ресурсами СУІБ:
- Реєстр ресурсів СУІБ;
- Опис процедури поводження із інформацією з обмеженим доступом.
Реєстр ресурсів СУІБ може складатися з набору декількох документів, зокрема документів, які створюються під час впровадження СУІБ.
А.8 Безпека людських ресурсів:
- Процедура управління персоналом;
- Критерії прийому персоналу;
- Опис процедури перевірки кандидатів на прийом на роботу (за наявності);
- Опис процедури навчання прийнятих на роботу працівників вимогам щодо інформаційної безпеки;
- Опис процедури підготовки посадових інструкцій;
- Опис дисциплінарного процесу щодо персоналу, який здійснив порушення безпеки;
- Опис процедури звільнення персоналу з точки зору припинення відповідальності, скасування прав доступу та повернення ресурсів СУІБ;
- Програма навчання персоналу.
А.9. Фізична безпека та безпека інфраструктури:
- Опис процедури фізичної безпеки банку, схема периметру фізичної безпеки;
- Опис процедури та правил пропускного режиму;
- Опис процедури захисту від зовнішніх та інфраструктур- них загроз;
Опис процедури захисту обладнання від аварій засобів життєзабезпечення (електроживлення, заземлення, те- пловідведення, тощо);
Опис процедури обслуговування обладнання;
Опис процедури санкціонування переміщення майна за межі банку.
А.10. Управління комунікаціями та функціонуванням:
Опис процедур управління змінами у засобах оброблення інформації та телекомунікаційних мережах;
Опис процедур розроблення, тестування, впровадження та експлуатації програмно-технічних комплексів/ресурсів СУІБ;
- Опис процедур моніторингу, перегляду та внесення змін у послугах третіх сторін;
- Опис процедур захисту від зловмисного та мобільного коду;
- Опис процедур резервного копіювання інформації;
- Опис процедур забезпечення безпеки мережі;
- Опис процедур поводження зі змінними носіями;
- Опис процедур забезпечення безпеки інформації і програмного забезпечення, якими обмінюються в організації та з третіми сторонами;
- Опис процедур виявлення несанкціонованої діяльності з оброблення інформації;
- Опис процедури синхронізації часу.
А.11. Контроль доступу:
Дата добавления: 2015-11-14; просмотров: 171 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Ситуационные задачи | | | СУДОВА ПРАКТИКА З ПИТАНЬ РОЗКРИТТЯ БАНКІВСЬКОЇ ТАЄМНИЦІ 2 страница |