АТ «Ощадбанк»

ЗАТВЕРДЖЕНО

постановою правління АТ „Ощадбанк”

від 07 жовтня 2015р. №905
зі змінами внесеними рішенням комітету СУІБ від
28.03.2019 р. протокол № 3
зі змінами, внесеними постановою правління
АТ «Ощадбанк» від 19.07.2019 № 485,
в редакції, затвердженій постановою правління
АТ «Ощадбанк» від 01.07.2021 р. № 439

ПОЛІТИКА
ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
АТ «ОЩАДБАНК»

Київ – 2021
 ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0

ЗМІСТ

1. ЗАГАЛЬНІ ПОЛОЖЕННЯ .................................................................................................................................. 3

2. ТЕРМІНИ, СКОРОЧЕННЯ ТА ЇХ ВИЗНАЧЕННЯ ........................................................................................ 3

3. МЕТА, ЗАВДАННЯ, ПРИНЦИПИ ТА МЕЖІ ЗАСТОСУВАННЯ ПОЛІТИКИ ........................................ 3

4. РОЛІ ТА ВІДПОВІДАЛЬНОСТІ......................................................................................................................... 5

5. ЦІЛІ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ .............................................................................. 11

6. ПРИНЦИПИ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ............................................................... 12

7. ЗАБЕЗПЕЧЕННЯ РЕАЛІЗАЦІЇ ПОЛІТИКИ ................................................................................................. 13

8. КОНТРОЛЬ У МЕЖАХ СИСТЕМ ВНУТРІШНЬОГО КОНТРОЛЮ....................................................... 14

9. ПОРЯДОК ПЕРЕГЛЯДУ ДОКУМЕНТУ ........................................................................................................ 14

10. ПРИКІНЦЕВІ ПОЛОЖЕННЯ ....................................................................................................... 15

11. ПЕРЕЛІК ПОВ’ЯЗАНИХ ДОКУМЕНТІВ ...................................................................................... 15

12. ІСТОРІЯ ЗМІН ............................................................................................................................. 15

2
 ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0

1. ЗАГАЛЬНІ ПОЛОЖЕННЯ
1.1. Політика інформаційної безпеки АТ «Ощадбанк» (далі – Політика) є внутрішнім
нормативним документом АТ «Ощадбанк» (далі – Банк), який визначає основні принципи та
завдання забезпечення інформаційної безпеки в Банку.
1.2. Політику розроблено на підставі:
1.2.1.Закону України «Про банки і банківську діяльність» від 07 грудня 2000 року
№ 2121-III;
1.2.2. Закону України «Про інформацію» 02 жовтня 1992 року
№ 2657-XII;
1.2.3. Положення про організацію заходів із забезпечення інформаційної безпеки в
банківській системі України, затвердженого постановою Правління Національного банку
України від 28 вересня 2017 року № 95;
1.2.4. Положення про організацію системи управління ризиками в банках України та
банківських групах, затвердженого постановою Правління Національного банку України від
11.06.2018 № 64;
1.2.5. Інших нормативно-правових актів Національного Банку України з інформаційної
безпеки;
1.2.6. Стандарту ДСТУ ISO/IEC 27001:2015 «Інформаційні технології. Методи захисту.
Системи управління інформаційною безпекою. Вимоги»;
1.2.5. Стандарту ДСТУ ISO/IEC 27002:2015 «Інформаційні технології. Методи захисту.
Звід практик щодо заходів інформаційної безпеки»;
1.2.6.Стандарту безпеки даних індустрії платіжних карток – PCI DSS;
1.2.7.Стандарту безпеки Система Контролю Клієнтської Безпеки СВІФТ (SWIFT
Customer Security Controls Framework).

2. ТЕРМІНИ, СКОРОЧЕННЯ ТА ЇХ ВИЗНАЧЕННЯ

2.1. Терміни та скорочення в цій Політиці визначаються згідно з чинним
законодавством України та Глосарієм системи управління інформаційною безпекою
АТ «Ощадбанк».
2.2. Визначення термінів та скорочень мають тотожне значення як при вживанні в
однині, так і в множині.

3. МЕТА, ЗАВДАННЯ, ПРИНЦИПИ ТА МЕЖІ ЗАСТОСУВАННЯ

ПОЛІТИКИ

3.1. Мета Політики - визначення базових засад та принципів забезпечення інформаційної

безпеки Банку.

3
 ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0

3.2. Основним завданням забезпечення інформаційної безпеки Банку є:

3.2.1 захист інформаційних активів Банку від зовнішніх та внутрішніх навмисних та
ненавмисних загроз;
3.2.2 впровадження та забезпечення ефективного функціонування системи управління
інформаційною безпекою;
3.2.3 попередження, виявлення і усунення загроз безпеки Банку, причин та умов, які
призводять до матеріальних втрат;
3.2.4 забезпечення безперервної та надійної роботи інформаційних систем Банку;
3.2.5 створення умов для зменшення негативного впливу наслідків порушення вимог
інформаційної безпеки Банку;
3.2.6 управління інформаційною безпекою на основі ризик-орієнтованого підходу,
ідентифікація та оцінювання ризиків;
3.2.7 координація діяльності всіх працівників Банку, визначення ролей та обов’язків
щодо управління та забезпечення інформаційної безпеки Банку;
3.2.8 навчання та підвищення обізнаності працівників Банку у сфері інформаційної
безпеки.
3.2.9 забезпечення мінімізації комплаєнс-ризиків, сприяння мінімізації ризиків
операційної діяльності Банку.
3.3. Політика є основою для захисту інформаційних ресурсів Банку з метою забезпечення їх
конфіденційності, цілісності, доступності та спостережності.
3.4. Політика базується на таких принципах:
- актуальність, достатність, керованість, доступність, взаємопов’язаність.
3.5. Дія Політики поширюється на всі аспекти та процеси операційної діяльності Банку,
інформаційні ресурси та автоматизовані системи Банку.

3.6. Вимоги, встановлені в цьому документі, є загальними та призначені для застосування:

1) працівниками Банку;
2) користувачами інформаційних ресурсів Банку;
3) у взаємовідносинах з клієнтами, партнерами, постачальниками та іншими
контрагентами Банку;
4) представниками третіх осіб (сторонніх організацій на період виконання робіт за
договорами за умови наявності в договорі із сторонньою організацією вимог, що містяться
в цій Політиці відомостей щодо нерозголошення конфіденційності) яким надається доступ
до інформаційних ресурсів Банку.

4
 ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0

3.7. Політика є основою для розробки внутрішніх нормативних документів Банку в частині
інформаційної безпеки. Будь-які внутрішні нормативні документи Банку не можуть
суперечити вимогам цієї Політики в частині забезпечення інформаційної безпеки.
3.8. У разі невідповідності окремих положень Політики нормам чинного законодавства
України до моменту внесення змін до цієї Політики застосовуються норми чинного
законодавства України, а також положення цієї Політики, що не суперечить нормам чинного
законодавства України.

4. РОЛІ ТА ВІДПОВІДАЛЬНОСТІ
4.1. Керівництво Банку розуміє важливість інформаційної безпеки Банку та розглядає
її як обов’язковий механізм унеможливлення несанкціонованого доступу до інформаційних
активів. У зв’язку з цим у Банку створений та постійно діє Комітет СУІБ з питань
впровадження, забезпечення та контролю системи управління інформаційної безпеки.
4.1.1. Керівництво Банку сприяє створенню, впровадженню, вдосконаленню, контролю
та підтримці цілей та принципів інформаційної безпеки, зазначених в цій Політиці, згідно з
бізнес-стратегією та цілями Банку.
4.1.2. Політика інформаційної безпеки СУІБ базується на стратегічних засадах розвитку
інформаційної безпеки Банку відповідно до його стратегії та мети.
4.1.3. Крім цієї Політики інформаційної безпеки СУІБ також має включати інші
документи, більш детальні політики та процедури або правила безпеки, які користувачі
повинні знати та виконувати, як складову частину політики інформаційної безпеки.
4.1.4. Для забезпечення прийнятного рівня інформаційної безпеки в Банку
впроваджуються заходи та засоби безпеки, цілі яких ґрунтуються на результатах оцінки
ризиків та формуються під час управління ризиками. Процес «Управління ризиками
інформаційної безпеки» у складі СУІБ є невід'ємною частиною загальної банківської політики
управління ризиками і ґрунтується на системі класифікації інформаційних активів, прийнятій
у Банку.
4.1.5. Головною метою процесу «Управління ризиками інформаційної безпеки» є
забезпечення адекватного захисту інформаційних активів Банку від можливих загроз, як
навмисних, так і випадкових. Застосовуваний рівень безпеки для протидії потенційним
загрозам ґрунтується на принципах ефективності та економічної доцільності, та рівні
прийнятного ризику, що визначається керівництвом Банку.
4.1.6. Для забезпечення ефективного управління інформаційною безпекою Банку
необхідна активна підтримка і безперервна участь працівників всіх підрозділів на всіх рівнях
управління. Кожен підрозділ у межах компетенції несе відповідальність за виконання вимог

5
 ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0

внутрішніх нормативних документів Банку з інформаційної безпеки як частини своїх

службових завдань. У межах своїх обов’язків та повноважень працівники зобов’язані
виконувати та відповідати за дотримання вимог Політики, законодавчих та міжнародних норм,
внутрішньобанківських вимог та вимог договорів, укладених Банком, а також несуть
відповідальність за їх порушення в межах, встановлених законодавством України та
внутрішніми нормативними документами Банку.
4. 1.7. З метою забезпечення ефективності та підтримки інформаційної безпеки Банку
керівництво Банку забезпечує систематичне навчання кожного працівника Банку, порядок
навчання визначений у Політиці забезпечення інформаційної безпеки у питаннях управління
людськими ресурсами. Навчання охоплює інформацію щодо правил та процедур забезпечення
безпеки, відомих загроз, належних каналів звітування щодо інцидентів інформаційної безпеки,
коректного та безпечного використання засобів оброблення інформації тощо.
4.2. У рамках системи управління інформаційною безпекою Банк впроваджує ризик -
орієнтований підхід учасниками якого є:
4.2.1. Наглядова рада Банку:
4.2.1.1 забезпечує функціонування та контроль за ефективністю системи інформаційної
безпеки;
4.2.1.2 затверджує показники ризик-апетиту (ризик-метрики) та ліміти ризику
інформаційної безпеки;
4.2.1.3 затверджує критерії прийняття ризиків та ідентифікації прийнятних рівнів
ризику.

4.2.2. Комітет з управління ризиками:

4.2.2.1. надає рекомендації, консультації, пропозиції наглядовій раді банку з питань
управління ризиками інформаційної безпеки для прийняття нею рішень;
4.2.2.2 здійснює моніторинг впровадження стратегії Банку з інформаційної безпеки, як
складової загальної стратегії та політик, що регулюють питання інформаційної
безпеки
4.2.2.3 контролює стан виконання заходів щодо оперативного усунення недоліків у
функціонуванні системи інформаційної безпеки, виконання рекомендацій і
зауважень підрозділу внутрішнього аудиту, зовнішніх аудиторів, Національного
банку та інших контролюючих органів

4.2.3. Правління Банку, в тому числі відповідальна особа за інформаційну безпеку

Банку):
4.2.3.1 визначає принципи і завдання інформаційної безпеки;

6
 ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0

4.2.3.2 визначає рівень ризику інформаційної безпеки та здійснює формалізоване,

об’єктивне та інформоване прийняття залишкових ризиків;
4.2.3.3 інформує наглядову раду Банку про рівень ризиків, що виникають в діяльності
Банку, пов’язані з ризиком інформаційної безпеки
4.2.3.4 забезпечує періодичне тестування та перегляд заходів інформаційної безпеки,
враховуючи результати аудитів безпеки, інциденти, результати вимірювань
ефективності, пропозиції і зворотній зв'язок з усіма зацікавленими сторонами, а
також забезпечує вжиття коригувальних та запобіжних заходів за результатами
переглядів;
4.2.3.5 забезпечує необхідні та достатні ресурси (включаючи персонал та
фінансування) для управління інформаційною безпекою та її відповідності
нормативно-правовим актам;
4.2.3.6 забезпечує розроблення та затверджує внутрішньобанківські документи з
питань інформаційної безпеки;
4.2.3.7 забезпечує розроблення методології оцінки ризиків інформаційної безпеки
4.2.3.8 сприяє розслідуванню інцидентів інформаційної безпеки.

4.2.4.Комітет СУІБ:

4.2.4.1 Діяльність комітету СУІБ регламентується Положенням про комітет СУІБ.

Головою Комітету СУІБ є заступник голови правління, який відповідає за
інформаційну безпеку Банку (Chief information security officer, CISO).
4.2.4.2 До сфери застосування СУІБ віднесено усі критичні бізнес-процеси та, зокрема:
погодження та перегляд політики інформаційної безпеки, положення щодо
застосовності та стратегії розвитку інформаційної безпеки банку;
4.2.4.3 узгодження впровадження нових проектів, напрямів, стратегічних завдань з
питань інформаційної безпеки банку та заходів інформаційної безпеки;
4.2.4.4 розгляд, затвердження та контроль за виконанням проектів щодо розроблення,
упровадження, функціонування, моніторингу, перегляду, підтримання та
вдосконалення СУІБ банку;
4.2.4.5 визначення необхідних оптимальних ресурсів для впровадження заходів
інформаційної безпеки;
4.2.4.6 організація практичних заходів щодо підвищення обізнаності/навчання
персоналу банку з питань інформаційної безпеки;
4.2.4.7 забезпечення своєчасного моніторингу стану впровадження та ефективності
функціонування СУІБ банку з подальшою оцінкою можливостей вдосконалення
та потреби проведення коригувальних дій;
7
 ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0

4.2.4.8 забезпечення розробки та затвердження плану забезпечення безперервності

діяльності банку, у якому враховано безперервність функціонування заходів
інформаційної безпеки в рамках процесу управління безперервністю діяльності
банку.

4.2.5. Підрозділ ризик менеджменту:

4.2.5.1 бере участь у розробці ризик-апетиту щодо ризику інформаційної безпеки;
4.2.5.2 забезпечує моніторинг показників ризик-апетиту та лімітів ризику, контроль
наближення показників ризиків інформаційної безпеки до ризик-апетиту та
лімітів ризику та ініціює вжиття заходів для попередження їх порушень;
4.2 5.3 бере участь в дослідженні інцидентів ризику інформаційної безпеки.

4.2.6 Адміністратор інформаційного ресурсу/системи – відповідальний працівник Банку,

на якого згідно наказу або розпорядження та посадової інструкції покладена
відповідальність:
4.2.6.1 забезпечує експлуатацію та технічне обслуговування інформаційного
ресурсу/системи;
4.2.6.2 забезпечує проведення заходів з модернізації, тестування, оперативного
відновлення функціонування інформаційного ресурсу/системи після збоїв,
відмов, аварій окремих його компонентів;
4.2.6.3 забезпечує резервування технічних засобів, програмного забезпечення
інформаційного ресурсу, а також встановлює та налагоджує програмне
забезпечення підсистеми резервного копіювання;
4.2.6.4 бере участь у впровадженні та забезпечує безперервне функціонування засобів
захисту інформації на інформаційному ресурсі/системі;
4.2.6.5 своєчасно повідомляє керівництво Банку про факти виявлення несправностей в
роботі апаратного та програмного забезпечення інформаційного
ресурсу/системи;
4.2.6.6 виконує налаштування реєстрації подій безпеки на інформаційному
ресурсі/системи, регулярний перегляд та моніторинг відповідних журналів
подій;
4.2.6.7 бере участь у процедурі надання, зміни або скасування прав доступу
користувачів до інформаційного ресурсу;
4.2.6.8 забезпечує технічну підтримку користувачів інформаційного ресурсу по каналах
зв’язку;
4.2.6.9 бере участь у розслідуванні інцидентів інформаційної безпеки у складі групи
реагування на інциденти інформаційної безпеки.

8
 ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0

4.2.7 Адміністратор захисту інформації – відповідальний працівник Банку, на якого

згідно наказу, або розпорядження та посадової інструкції покладена відповідальність:
4.2.7.1 забезпечує поточний контроль за станом захисту інформації;
4.2.7.2 бере участь у процедурі надання, зміни або скасування прав доступу
користувачів до інформаційного ресурсу;
4.2.7.3 здійснює періодичний аналіз вразливостей інформаційних систем;
4.2.7.4 узгоджує, контролює надання та періодично переглядає права доступу
користувачів інформаційних ресурсів/систем;
4.2.7.5 бере участь при обробці інцидентів інформаційної безпеки у складі групи
реагування на інциденти інформаційної безпеки;
4.2.7.6 супроводжує засоби захисту інформації в підпорядкованих процесах.

4.2.8 Керівники філій та територіально відокремлених безбалансових відділень Банку:

4.2.8.1 у рамках своїх повноважень організують СУІБ у підпорядкованих підрозділах;
4.2.8.2 контролюють виконання політики інформаційної безпеки та інших вимог СУІБ
працівниками підпорядкованих підрозділів;
4.2.8.3 узгоджують права доступу до інформаційних систем працівників
підпорядкованих підрозділів.

4.2.9 Власники інформаційних активів:

4.2.9.1керівник профільного підрозділу центрального апарату, регіонального
управління, територіально відокремленого безбалансового відділення Банку,
який є головним користувачем інформаційного активу та погоджує проведення
дії з аналізу захищеності інформаційного активу):
4.2.9.2 беруть участь у класифікації інформаційних активів;
4.2.9.3 беруть участь у процесі «Управління ризиками інформаційної безпеки» в
частині оцінки ризиків інформаційної безпеки;
4.2.9.4 узгоджують права доступу користувачів інформаційних активів;
4.2.9.5 несуть відповідальність за забезпечення захисту інформації в інформаційних
активах.
4.2.9.6 За одним інформаційним активом може бути закріплено декілька власників.

4.2.10.Керівники структурних підрозділів:

4.2.10.1 організовують роботу із забезпечення політики інформаційної безпеки;
4.2.10.2 своєчасно доповідають управлінню захисту інформації про інциденти
інформаційної безпеки та виявлені порушення вимог політики безпеки Банку;

9
 ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0

4.2.10.3 контролюють дотримання вимог діючої в Банку політики інформаційної

безпеки, вимог СУІБ та інших нормативно-правових актів працівниками
підпорядкованого підрозділу.

4.2.11 Усі працівники Банку та користувачі інформаційних активів Банку:

4.2.11.1 мають знати та виконувати вимоги нормативно-правових актів щодо
інформаційної безпеки;
4.2.11.2 повинні сприяти попередженню, виявленню та розслідуванню інцидентів
інформаційної безпеки;
4.2.11.3 повинні вживати всіх можливих заходів безпеки з метою запобігання чи
зменшення втрат і збитків.

4.2.12 Партнери, постачальники, інші контрагенти:

4.2.12.1 мають виконувати договірні вимоги та вимоги внутрішніх нормативних
документів Банку щодо інформаційної безпеки;
4.2.12.2 відповідають за попередження та виявлення, а також повинні сприяти
розслідуванню інцидентів інформаційної безпеки, які виникають під час
виконання договорів з Банком.

4.3. Управління окремими складовими СУІБ з впровадження та експлуатації засобів

захисту, виконання заходів безпеки в Банку забезпечують відповідні підрозділи:
4.3.1. Департамент безпеки (підрозділи департаменту безпеки регіональних управлінь,
відповідальні працівники департаменту безпеки територіально відокремлених
безбалансових відділень Банку) забезпечує:
4.3.1.1. захист від загроз фізичного середовища;
4.3.1.2. контроль персоналу;
4.3.1.3. захист фізичних складових інформаційних ресурсів.

4.3.2. Управління захисту інформації:

4.3.2.1. визначає та впроваджує в Банку єдину політику технічного захисту інформації
та криптографічного захисту інформації в інформаційних активах Банку;
4.3.2.2. відповідає за впровадження та підтримку засобів захисту ресурсів СУІБ,
розроблює та впроваджує вимоги щодо налаштувань безпеки інформаційних
систем Банку;
4.3.2.3. забезпечує впровадження та експлуатацію систем керування ключовими
даними Банку;

10
 ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0

4.3.2.4. виконує методологічне забезпечення з питань інформаційної безпеки в

інформаційних активах Банку, розроблює, або приймає участь у розробленні
документів Банку щодо інформаційної безпеки;
4.3.2.5. виконує нагляд за дотриманням вимог СУІБ в установах Банку (в тому числі –
здійснює контроль за виконанням заходів щодо забезпечення безпеки
інформації на всіх стадіях життєвого циклу інформаційних систем Банку);
4.3.2.6. приймає участь у виявленні та розслідуванні інцидентів інформаційної безпеки;
4.3.2.7. спільно з підрозділами департаменту інформатизації здійснює відновлення
функціонування інформаційних систем Банку після збоїв у роботі внаслідок
інцидентів інформаційної безпеки;
спільно з підрозділами департаменту інформатизації бере участь у розробці
плану забезпечення безперервності діяльності банку, у якому враховано
безперервність функціонування заходів інформаційної безпеки в рамках процесу
управління безперервністю діяльності банку

4.3.3. Департамент інформатизації:

4.3.3.1 забезпечує експлуатацію та технічне обслуговування інформаційних активів;
4.3.3.2. виконує встановлення оновлень безпеки для інформаційних активів;
4.3.3.3. забезпечує безперервне функціонування інформаційних активів та елементів
захисту інформації, встановлених на них;
4.3.3.4. забезпечує технічну підтримку користувачів інформаційних активів по каналах
зв’язку.

4.4. Стосовно працівників Банку, виконання наведених вище функцій повинно бути
зафіксовано у посадових інструкціях та відповідних наказах або розпорядженнях керівників
установ Банку.

5. ЦІЛІ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

5.1. До основних цілей забезпечення інформаційної безпеки належать забезпечення
наступних властивостей інформації:
5.1.1 конфіденційність (confidentiality) – властивість інформації, яка полягає в тому,
що інформація не може бути отримана неавторизованим користувачем та/або
процесом;
5.1.2 цілісність (integrity) – властивість інформації, яка полягає в тому, що
інформація не може бути модифікована неавторизованим користувачем та/або
процесом. Цілісність системи (system integrity) – властивість системи, яка
полягає в тому, що жоден її компонент не може бути усунений, модифікований
або доданий з порушенням політики безпеки;
11
 ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0

5.1.3 доступність (availability) – властивість ресурсу системи, яка полягає в тому, що

користувач та/або процес, який володіє відповідними повноваженнями, може
використовувати ресурс відповідно до правил, встановлених політикою
безпеки, не очікуючи довше заданого (малого) проміжку часу, тобто коли він
знаходиться у вигляді, необхідному користувачеві, в місці, необхідному
користувачеві, і в той час, коли він йому необхідний;
5.1.4 спостережність (accountability) – властивість системи, що дає можливість
фіксувати діяльність користувачів і процесів, використання пасивних об’єктів,
а також однозначно встановлювати ідентифікатори причетних до певних подій
користувачів і процесів з метою запобігання порушення політики безпеки
та/або забезпечення відповідальності за певні дії.

6. ПРИНЦИПИ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

6.1. Забезпечення інформаційної безпеки Банку ґрунтується на наступних
фундаментальних принципах:
6.1.1. Мінімальність повноважень. Доступ працівників Банку та користувачів
інформаційних систем до інформаційних ресурсів обчислювальної мережі Банку
повинен бути організований таким чином, щоб надавати тільки ті повноваження, що
необхідні для виконання службових завдань.
6.1.2. Явне санкціонування дій. Дії працівників Банку, що явно не дозволені
внутрішніми розпорядчими або нормативними документами, є забороненими.
6.1.3. Законність. Система управління інформаційною безпекою Банку бере до уваги
вимоги чинного законодавства України, а також вимоги міжнародних нормативних
вимог у галузі інформаційної безпеки.
6.1.4. Узгодженість. Цілі та завдання інформаційної безпеки відповідають
стратегічним цілям та завданням Банку.
6.1.5. Єдність. Управління інформаційної безпекою є невід’ємною частиною
управління Банком.
6.1.6. Ефективність. Засоби захисту інформаційних ресурсів впроваджуються
відповідно до їхньої критичності, тобто категорії класифікації та рівня ризику
інформаційного ресурсу, ґрунтуючись на засадах оцінки ризику та управління ризиком
6.1.7. Практичність. Засоби захисту інформаційних ресурсів повинні бути
практичними та підтримувати баланс між працездатністю та захищеністю
інформаційних систем.
6.1.8. Безперервність. Інформаційна безпека є безперервним процесом протистояння
загрозам та управління ризиками, характерними для сфери діяльності Банку.
6.1.9. Відповідальність. Керівництво Банку всіх рівнів, працівники, постачальники та
інші треті сторони, які мають доступ до інформаційних ресурсів Банку, повинні
дотримуватися вимог нормативно-правових актів Банку в області інформаційної
безпеки та несуть персональну відповідальність за їхнє виконання.

12
 ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0

6.1.10. Принцип постійного удосконалення. Забезпечення інформаційної безпеки

передбачає засоби контролю кожного процесу та показники ефективності, за якими
можна реєструвати зміни й визначати тенденції, усувати причини негативних факторів
та заохочувати поліпшення.
6.1.11. Потайність. Виключає ознайомлення сторонніх осіб з організаційними та
технічними засобами забезпечення інформаційної безпеки.
6.1.12. Принцип захисту в глибину. Забезпечення інформаційної безпеки передбачає
створення наступного ряду послідовних рівнів захисту інформаційних ресурсів та
персоналу Банку від ймовірних загроз:
6.1.12.1 Організаційно-правовий рівень, який визначає нормативно-правові
вимоги та зобов’язання персоналу, користувачів інформаційних ресурсів
та контрагентів Банку щодо інформаційної безпеки;
6.1.12.2 Фізичний рівень захисту, який запобігає неавторизованому фізичному
доступу, ушкодженню та вторгненню до службових приміщень Банку та
втручання в його інформацію;
6.1.12.3 Рівень прикладного програмного забезпечення, який відповідає за
взаємодію з користувачем інформаційних активів;
6.1.12.4 Рівень системи управління базами даних, який відповідає за зберігання
та оброблення даних;
6.1.12.5 Рівень операційної системи, який відповідає за безпечне та надійне
обслуговування прикладного програмного забезпечення та систем
управління базами даних;
6.1.12.6 Рівень мережі, який відповідає за взаємодію вузлів інформаційної
системи Банку.
6.1.13. Комплексність та системність. Інформаційна безпека Банку забезпечується на
правовому, адміністративному, організаційному та програмно-технічному рівнях, а
також на підставі комплексного застосування засобів захисту інформації та взаємодії
всіх підрозділів Банку.
6.2. Принципи інформаційної безпеки повинні бути інтегровані в усі аспекти управління
операційною діяльністю та інформаційними технологіями Банку.

7. ЗАБЕЗПЕЧЕННЯ РЕАЛІЗАЦІЇ ПОЛІТИКИ

7.1. Реалізація Політики забезпечується:

7.1.1. Системним (комплексним) підходом до забезпечення інформаційної безпеки;

7.1.2. Безперервним процесом удосконалення та розвитку інформаційної безпеки, який

здійснюється шляхом обґрунтування та реалізації раціональних засобів, методів, заходів із
застосуванням найкращого міжнародного досвіду.

13
 ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0

7.1.3. Своєчасними й адекватними заходами захисту від реальних та потенційних загроз

інформаційній безпеці Банку.

7.1.4. Підтримкою та контролем забезпечення належного рівня інформаційної безпеки Банку

з боку керівників Банку.

7.1.5. Забезпечення достатності ресурсів, у тому числі фінансових, для сталого розвитку
інформаційної безпеки.

8. КОНТРОЛЬ У МЕЖАХ СИСТЕМИ ВНУТРІШНЬОГО КОНТРОЛЮ

8.1. Відповідно до Політики внутрішнього контролю АТ «Ощадбанк» у Банку передбачено
наступні рівні контролю процесу (див. Таблицю 1):
Таблиця 1. Опис системи внутрішнього контролю
№ Зміст/ короткий Періоди Перший рівень контролю Другий
з/п опис процедур чність рівень
контролю здійснен самостійн подвійни автоматизо колегіаль контролю
ня ий й ваний ний
процеду контроль контроль контроль контроль
ри
контрол
ю

1 2 3 4 5 6 7 8

1 Контроль на Постійно УЗІ Не Не Не Підрозділ

відповідність застосовуєт застосовуєть застосовує комплаєнс
вимогам, змінам у ься ся ться
діючому
законодавстві.
Відповідність
внутрішніх
документів Банку.

2 Контролі, що Постійно УЗІ УЗІ УЗІ КУОР Підрозділ

попереджують або ризик-
мінімізують ризики менеджме
збереження Правлінн нту
конфіденційності,
я Підрозділ
цілісності та
доступності комплаєнс
Наглядов
інформації банку
(ризик інформаційної а рада
безпеки) та утримання
їх в межах
СУІБ
визначеного ризик-
апетиту

9. ПОРЯДОК ПЕРЕГЛЯДУ ДОКУМЕНТУ

9.1. Ця Політика підлягає плановому перегляду та актуалізації не рідше 1 разу на рік.

14
 ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0

9.2. У разі, якщо при проведенні планового перегляду та аналізу актуальності Політики у
строк, зазначений у п.9.1., власником ВНД визначено відповідність діючої версії Політики
чинному законодавству України, нормативно-правовим актам НБУ, ця Політика вважається
актуальною та підлягає наступному плановому перегляду не пізніше терміну, зазначеному у
п.9.1.

10. ПРИКІНЦЕВІ ПОЛОЖЕННЯ

10.1. Політика набуває чинності з наступного робочого дня, що слідує за датою
затвердження, якщо інше не передбачено рішенням правління Банку.

10.2. Банк має ознайомити працівників Банку з внутрішніми документами Банку, які
встановлюють вимоги щодо безпеки інформації. Документи розробляються Банком з
урахуванням вимог цієї Політики. Працівник Банку зобов'язаний ознайомитися з такими
документами під підпис.

10.3. Відповідальним за супроводження та актуалізацію цієї Політики є його власник –

начальник управління захисту інформації.

11. ПЕРЕЛІК ПОВ’ЯЗАНИХ ДОКУМЕНТІВ

№ з/п Реквізити ВНРД
Постанова правління
1 АТ «Ощадбанк» від 06.11.2013
№790, зі змінами
Рішенням Комітету СУІБ від
2 21.04.2021 № 2
Таблиця 2. Пов’язані документи
Назва ВНД Власник ВНД
Політика управління
Начальник управління
інформаційною безпекою
захисту інформації
АТ «Ощадбанк»
Глосарій системи управління
Начальник управління
інформаційною безпекою
захисту інформації
АТ «Ощадбанк»

12. ІСТОРІЯ ЗМІН

Таблиця 3. Історія змін

Дата Власник ВНД Версія Зміст змін

07.10.2015 Начальник управління 1.0 Новий

захисту інформації

28.03.2019 Начальник управління Враховані зміни у законодавстві України

захисту інформації 1.1

В частині зміни повного найменування

19.07.2019 Начальник управління Банку
захисту інформації 1.2

Приведення у відповідності до вимог

01.07.2021 Начальник управління Положення щодо взаємодії підрозділів
захисту інформації
при розробці, погодженні, затвердженні,

15
 ІНФОРМАЦІЙНА БЕЗПЕКА
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ АТ «ОЩАДБАНК» Версія 2.0

2.0 розміщенні, актуалізації та припиненні дії

внутрішніх нормативних документів
АТ «Ощадбанк», затвердженого
постановою правління АТ «Ощадбанк»
від 31.05.2019 р. №371, зі змінами

16