Professional Documents
Culture Documents
1660-politika_ib (1)
1660-politika_ib (1)
ЗАТВЕРДЖЕНО
ПОЛІТИКА
ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
АТ «ОЩАДБАНК»
Київ – 2021
ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0
ЗМІСТ
4. РОЛІ ТА ВІДПОВІДАЛЬНОСТІ......................................................................................................................... 5
2
ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0
1. ЗАГАЛЬНІ ПОЛОЖЕННЯ
1.1. Політика інформаційної безпеки АТ «Ощадбанк» (далі – Політика) є внутрішнім
нормативним документом АТ «Ощадбанк» (далі – Банк), який визначає основні принципи та
завдання забезпечення інформаційної безпеки в Банку.
1.2. Політику розроблено на підставі:
1.2.1.Закону України «Про банки і банківську діяльність» від 07 грудня 2000 року
№ 2121-III;
1.2.2. Закону України «Про інформацію» 02 жовтня 1992 року
№ 2657-XII;
1.2.3. Положення про організацію заходів із забезпечення інформаційної безпеки в
банківській системі України, затвердженого постановою Правління Національного банку
України від 28 вересня 2017 року № 95;
1.2.4. Положення про організацію системи управління ризиками в банках України та
банківських групах, затвердженого постановою Правління Національного банку України від
11.06.2018 № 64;
1.2.5. Інших нормативно-правових актів Національного Банку України з інформаційної
безпеки;
1.2.6. Стандарту ДСТУ ISO/IEC 27001:2015 «Інформаційні технології. Методи захисту.
Системи управління інформаційною безпекою. Вимоги»;
1.2.5. Стандарту ДСТУ ISO/IEC 27002:2015 «Інформаційні технології. Методи захисту.
Звід практик щодо заходів інформаційної безпеки»;
1.2.6.Стандарту безпеки даних індустрії платіжних карток – PCI DSS;
1.2.7.Стандарту безпеки Система Контролю Клієнтської Безпеки СВІФТ (SWIFT
Customer Security Controls Framework).
3
ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0
4
ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0
3.7. Політика є основою для розробки внутрішніх нормативних документів Банку в частині
інформаційної безпеки. Будь-які внутрішні нормативні документи Банку не можуть
суперечити вимогам цієї Політики в частині забезпечення інформаційної безпеки.
3.8. У разі невідповідності окремих положень Політики нормам чинного законодавства
України до моменту внесення змін до цієї Політики застосовуються норми чинного
законодавства України, а також положення цієї Політики, що не суперечить нормам чинного
законодавства України.
4. РОЛІ ТА ВІДПОВІДАЛЬНОСТІ
4.1. Керівництво Банку розуміє важливість інформаційної безпеки Банку та розглядає
її як обов’язковий механізм унеможливлення несанкціонованого доступу до інформаційних
активів. У зв’язку з цим у Банку створений та постійно діє Комітет СУІБ з питань
впровадження, забезпечення та контролю системи управління інформаційної безпеки.
4.1.1. Керівництво Банку сприяє створенню, впровадженню, вдосконаленню, контролю
та підтримці цілей та принципів інформаційної безпеки, зазначених в цій Політиці, згідно з
бізнес-стратегією та цілями Банку.
4.1.2. Політика інформаційної безпеки СУІБ базується на стратегічних засадах розвитку
інформаційної безпеки Банку відповідно до його стратегії та мети.
4.1.3. Крім цієї Політики інформаційної безпеки СУІБ також має включати інші
документи, більш детальні політики та процедури або правила безпеки, які користувачі
повинні знати та виконувати, як складову частину політики інформаційної безпеки.
4.1.4. Для забезпечення прийнятного рівня інформаційної безпеки в Банку
впроваджуються заходи та засоби безпеки, цілі яких ґрунтуються на результатах оцінки
ризиків та формуються під час управління ризиками. Процес «Управління ризиками
інформаційної безпеки» у складі СУІБ є невід'ємною частиною загальної банківської політики
управління ризиками і ґрунтується на системі класифікації інформаційних активів, прийнятій
у Банку.
4.1.5. Головною метою процесу «Управління ризиками інформаційної безпеки» є
забезпечення адекватного захисту інформаційних активів Банку від можливих загроз, як
навмисних, так і випадкових. Застосовуваний рівень безпеки для протидії потенційним
загрозам ґрунтується на принципах ефективності та економічної доцільності, та рівні
прийнятного ризику, що визначається керівництвом Банку.
4.1.6. Для забезпечення ефективного управління інформаційною безпекою Банку
необхідна активна підтримка і безперервна участь працівників всіх підрозділів на всіх рівнях
управління. Кожен підрозділ у межах компетенції несе відповідальність за виконання вимог
5
ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0
6
ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0
4.2.4.Комітет СУІБ:
8
ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0
9
ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0
10
ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0
4.4. Стосовно працівників Банку, виконання наведених вище функцій повинно бути
зафіксовано у посадових інструкціях та відповідних наказах або розпорядженнях керівників
установ Банку.
12
ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0
13
ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0
7.1.5. Забезпечення достатності ресурсів, у тому числі фінансових, для сталого розвитку
інформаційної безпеки.
1 2 3 4 5 6 7 8
14
ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0
9.2. У разі, якщо при проведенні планового перегляду та аналізу актуальності Політики у
строк, зазначений у п.9.1., власником ВНД визначено відповідність діючої версії Політики
чинному законодавству України, нормативно-правовим актам НБУ, ця Політика вважається
актуальною та підлягає наступному плановому перегляду не пізніше терміну, зазначеному у
п.9.1.
10.2. Банк має ознайомити працівників Банку з внутрішніми документами Банку, які
встановлюють вимоги щодо безпеки інформації. Документи розробляються Банком з
урахуванням вимог цієї Політики. Працівник Банку зобов'язаний ознайомитися з такими
документами під підпис.
15
ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0
16