Меню
UA
0 800 30 5555 цілодобово
0 800 30 5555 цілодобово
+38 044 495 22 77 Для міжнародних дзвінків
Про банк
Про банк
Credit Agricole Ukraine
Прес-центр
Контакти
Програма КСВ «We Care!»
Акціонери
Наглядова рада
Правління
Директори комерційних секторів
Якість обслуговування
Комплаєнс
Стратегія сталого розвитку
Інформаційна безпека
Кар'єра
Партнери
Закупівлі
Заставне майно
Повідомлення щодо обробки персональних даних
Інформація для акціонерів та стейкхолдерів, звіти та реквізити
IBAN (міжнародний номер банківського рахунку)
Відео галерея
Календар
i-Bank
Онлайн-банкінг
Онлайн-банкінг
приватним клієнтам
Мобільний додаток СА+ Інтернет банкінг
Підприємцям
CA+Pro Реєстрація corpex Реєстрація
ЮРИДИЧНИМ ОСОБАМ
corpex Реєстрація
Програма винагород Mastercard
Опис Вхід
Каталог подарунків Mastercard
Online чат
Онлайн консультант
Очікування оператора...
Онлайн консультант
Програма винагород Mastercard
Мобільний додаток СА+
Як додати картку у Apple Pay
Як додати картку у Google Pay
Оплата за кредит, комунальні послуги та сервіси
Оцініть задоволеність сайтом

 

Креді Агріколь / Про банк / Інформаційна безпека / Політика Інформаційної безпеки

Політика Інформаційної безпеки

1. Вступ

Дана Політика інформаційної безпеки АТ «КРЕДІ АГРІКОЛЬ БАНК» (далі - Політика) визначає основні цілі і завдання, а також загальну стратегію побудови Системи управління інформаційною безпекою (далі - СУІБ) в АКЦІОНЕРНОМУ ТОВАРИСТВІ «КРЕДІ АГРІКОЛЬ БАНК» (далі - Банк), основні вимоги і базові підходи до її реалізації.

Політика відповідає вимогам законодавства України та міжнародних угод, базується на Політиці безпеки інформаційних систем Групи Креді Агріколь (Information System Security Policy Credit Agricole Group), постанові Правління Національного банку України від 28 вересня 2017 року № 95 (далі – Постанова №95) а також на постанові Правління Національного банку України від 12 серпня 2022 року № 178 (далі – Постанова №178)

СУІБ являє собою сукупність заходів організаційного та програмно-технічного рівня, спрямованих на захист інформаційних ресурсів Банку від загроз безпеки. Заходи захисту організаційного рівня реалізуються шляхом проведення відповідних заходів, передбачених документованою політикою безпеки. Заходи захисту програмно-технічного рівня реалізуються за допомогою відповідних програмно-технічних засобів і методів захисту.

Концепція інформаційної безпеки Банку (далі – ІБ) визначає склад критичних інформаційних ресурсів та основні принципи їх захисту. Принципи забезпечення ІБ обумовлюють необхідність застосування певних методів і технологій захисту. Визначення способів реалізації цих принципів, шляхом застосування конкретних програмно-технічних засобів захисту інформації та системи організаційних заходів, є предметом конкретних проектів і політик безпеки, що розробляються на основі даної Політики.

СУІБ передбачає чотирьохрівневу структуру документів, а саме:

  • адміністративні документи (розпорядчі документи на створення СУІБ);
  • документи верхнього рівня (стратегії розвитку, цілі та принципи ІБ, відповідають на питання «Що робити?»):
    • основні (стратегія та цілі ІБ);
    • цільові політики (містять політики за напрямками контролів);
  • документи середнього рівня (процедури, стандарти, документи які детально описують, що та як робити);
  • документи нижнього рівня (журнали, інструкції).

Дана Політика є основним документом верхнього рівня.

2. Терміни та скорочення

Безпека інформації - захищеність інформації від небажаного (для відповідних суб'єктів інформаційних відносин) її розголошення (порушення конфіденційності), спотворення (порушення цілісності), втрати або зниження ступеня доступності та спостережності інформації, а також незаконного її тиражування.

Безпека будь-якого ресурсу складається із забезпечення чотирьох його характеристик: конфіденційності, цілісності, доступності та спостережності.

Конфіденційність ресурсу полягає в тому, що він доступний тільки тим суб'єктам доступу (користувачам, програмам, процесам), яким надані на те відповідні повноваження.

Цілісність ресурсу припускає, що він може бути модифікований тільки суб'єктом, що має для цього відповідні права. Цілісність є гарантією коректності (незмінності, працездатності) компонента в будь-який момент часу.

Доступність ресурсу означає, що маючи відповідні повноваження суб'єкт може в будь-який час без особливих проблем отримати доступ до необхідного компоненту системи (ресурсу).

Спостережність ресурсу забезпечує можливості достовірного визначення того хто, що і коли з ним робив. Забезпечення принципу невідмови від вчинених дій.

Загроза безпеці інформації - загрози викрадення, зміни або знищення інформації. Потенційно можлива подія, дія, процес або явище, яке може привести до порушення конфіденційності, цілісності, доступності та спостережності інформації, а також неправомірному її тиражуванню, яке завдає шкоди власнику чи користувачу інформації.

Інцидент інформаційної безпеки - подія, яка є порушенням правил інформаційної безпеки.

Інформація - відомості про фізичних та юридичних осіб, предмети, факти, події, явища і процеси Банку незалежно від форми їх подання. Інформація Банку класифікується як:

  • Банківська таємниця – інформація щодо діяльності та фінансового стану клієнта, яка стала відомою банку та його співробітникам у процесі обслуговування клієнта та взаємовідносин з ним, чи третім особам при наданні послуг банку і розголошення якої може завдати матеріальної чи моральної шкоди клієнту. До банківської таємниці належить також інформація про клієнтів інших банків, яка стала відомою з документів, угод та операцій клієнтів банку.
  • Комерційна таємниця Банку – інформація банку, яка містить відомості пов‘язані з технологією здійснення банківських операцій, управлінням, фінансами та іншою діяльністю Банку, розголошення (виток, передача) яких, може завдати шкоди його інтересам, знизити рівень конкурентної спроможності на ринку банківських послуг.
  • Персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. До таких даних, наприклад, відносяться відомості про Працівників Банку, а також особисті дані фізичних осіб – акціонерів (учасників), клієнтів, майнових поручителів, поручителів, партнерів, Контрагентів Банку, його вкладників тощо.
  • Конфіденційна Інформація Банку – відомості професійного, ділового, банківського, комерційного та іншого характеру, які знаходяться у володінні, користуванні або розпорядженні Банку.
  • Відкрита інформація, необхідна для забезпечення нормального функціонування Банку, є загальновідомою чи загальнодоступною, розголошення якої істотно не впливає на комерційну діяльність Банку та відносно якої Банк не повинен забезпечувати реалізацію мір захисту у відповідності до вимог законодавства.

Інформаційна безпека (далі – ІБ) – стан інформації, в якому забезпечується збереження визначених Політикою безпеки властивостей інформації.

Інформаційні ресурси - окремі документи і окремі масиви документів, документи і масиви документів в інформаційних системах.

Інформаційне середовище - сукупність інформації, інформаційної інфраструктури, суб'єктів, які здійснюють збір, формування, розповсюдження і використання інформації, а також системи регулювання виникаючих при цьому відносин.

Об'єкт захисту - інформація чи носій інформації або інформаційний процес, щодо яких необхідно забезпечувати захист відповідно до поставленої мети захисту інформації.

Ризик - передбачувана подія, здатна заподіяти шкоду або збиток. Основними ризиками є:

  • Недоступність деяких або всіх ресурсів;
  • Змінення даних, обробки, або процедур;
  • Крадіжка або розкриття даних, методів обробки, або процедур;
  • Відсутність або недостатній доказ щодо достовірності операцій (джерело, характеристики угод, тощо).

Недотримання вимог закону (у правовій, нормативній, професійній, контрактній частинах) через недоступність інформаційних систем або їх поганий дизайн сам по собі є несправністю.

Суб’єкт – все, що безпосередньо або опосередковано впливає та/або може впливати на об’єкти. Найчастіше це користувач, процес чи програма.

Суб'єкти інформаційних відносин - держава, державні органи, державні, громадські або комерційні організації (об'єднання) і підприємства (юридичні особи), окремі громадяни (фізичні особи) та інші суб'єкти, які взаємодіють з метою спільної обробки інформації.

Мета захисту інформації - запобігання або мінімізація завдання шкоди (прямої або непрямої, матеріальної, моральної чи іншої), що завдається суб'єктам інформаційних відносин за допомогою небажаного впливу на компоненти інформаційної системи, а також запобігання розголошенню (витоку), спотворенню (модифікації), втрати (зниження ступеня доступності) або незаконного тиражування інформації.

За текстом Політики терміни, наведені в цьому розділі, можуть використовуватися як з великої так і з маленької літери.

3. Мета Політики

Метою Політики є визначення, впровадження та ефективне управління системою забезпечення ІБ, спрямованої на захист інформаційних ресурсів Банку, забезпечення безперервної діяльності Банку, мінімізації ризиків ІБ, створення позитивної репутації Банку та довірчих відносин з клієнтами.

Основним завданням ІБ є захист інформаційних ресурсів Банку від зовнішніх та внутрішніх навмисних та ненавмисних загроз.

Політика враховує сучасний стан і найближчі перспективи розвитку інформаційних технологій в Банку, цілі, завдання та правові засади їх експлуатації, режими функціонування, а також містить аналіз загроз безпеки для об'єктів і суб'єктів інформаційних відносин Банку.

4. Сфера застосування

Основні положення та вимоги цього документа поширюються на всі структурні підрозділи Банку, включаючи додаткові офіси. Основні питання Політики також поширюються на інші організації та установи, які взаємодіють з Банком як постачальники та/або споживачі інформаційних ресурсів Банку в тій або іншій якості.

Політика є методологічною основою для:

  • формування та проведення єдиної політики в галузі забезпечення безпеки інформації в Банку;
  • прийняття управлінських рішень і розробки практичних заходів по втіленню політики безпеки інформації і вироблення комплексу узгоджених заходів, спрямованих на виявлення, відображення і ліквідацію наслідків реалізації різних видів загроз безпеці інформації;
  • координації діяльності структурних підрозділів Банку при проведенні робіт зі створення, розвитку та експлуатації інформаційних технологій з дотриманням вимог щодо забезпечення безпеки інформації;
  • розробки пропозицій щодо вдосконалення правового, нормативного, технічного і організаційного забезпечення безпеки інформації в Банку.

5. Політика Банку в галузі ІБ

5.1 Класифікація ресурсів

Для кожного ресурсу визначаються можливі ризики та шляхи їх мінімізації, тобто Банк використовує ризик-орієнтований підхід.

Як основні об’єкти області діяльності ІБ, розглядаються наступні види ресурсів:

  • Інформаційні ресурси: інформація та дані у будь-якому вигляді, що отримуються, зберігаються, обробляються, передаються, оголошуються, у тому числі знання працівників, партнерів Банку, бази даних та файли, документація, посібники користувача, навчальні матеріали, описи процедур, заархівована інформація тощо;
  • Програмне забезпечення: прикладне програмне забезпечення, системне програмне забезпечення, сервісне програмне забезпечення та будь-яке інше програмне забезпечення, незалежно від форми отримання (придбання, власної розробки, таке, що вільно розповсюджується), яке використовується у Банку працівниками та системами для роботи та взаємодії з клієнтами та іншими внутрішніми та зовнішніми системами тощо;
  • Фізичні ресурси: працівники, апаратні засоби IT (сервери, робочі станції, міжмережеві екрани, принтери, копіювальні апарати, телекомунікаційне обладнання, обладнання зв’язку, маршрутизатори, АТС, факси, модеми тощо), носії даних (стрічки, диски тощо), меблі, приміщення, виробниче обладнання, інші технічні засоби тощо;
  • Сервісні ресурси: обчислювальні та комунікаційні сервіси (Інтернет, електронна пошта, канали зв’язку тощо), інші технічні сервіси (опалення, освітлення, енергозбереження, кондиціювання повітря, системи сигналізації та моніторингу), усі послуги, пов’язані з отриманням, наданням, використанням, передачею та знищенням ресурсів, усі юридичні та фізичні особи, організації, установи та підприємства (а також їх працівники), послугами яких користується Банк для отримання, використання, передачі та знищення ресурсів.

Оцінка можливих ризиків ресурсів провадиться за чотирма основними критеріями безпеки:

  • Конфіденційність;
  • Цілісність;
  • Доступність;
  • Спостережність.

За результатами оцінки повинні бути складені плани безперервної роботи Банку на випадок різних критичних ситуацій.

5.2 Структура, склад і розміщення основних об'єктів захисту, інформаційні зв'язки

Інформаційне середовище Банку є розподіленою структурою, що об'єднує інформаційні підсистеми Центрального офісу і відділень в єдину інформаційну систему Банку.

До основних особливостей інформаційного середовища Банку, відносяться:

  • широка територіальна розгалуженість компонентів інформаційної системи;
  • об'єднання в єдину систему великої кількості різноманітних технічних засобів обробки і передачі інформації;
  • значне розширення сфери використання автоматизованих систем обробки інформації, широке різноманіття і повсюдне поширення інформаційно-керуючих систем в Банку;
  • велика різноманітність вирішуваних завдань і типів оброблюваних даних, складні режими автоматизованої обробки інформації з широким поєднанням виконання інформаційних запитів різних користувачів;
  • значна важливість і відповідальність рішень, прийнятих на основі автоматизованої обробки даних;
  • об'єднання в єдиних базах даних інформації різного призначення, приналежності і рівнів конфіденційності;
  • абстрагування власників даних від фізичних структур і місця розміщення даних (інформації);
  • наявність великої кількості інформаційних каналів взаємодії з "зовнішнім світом" (джерелами і споживачами інформації);
  • необхідність забезпечення безперервності функціонування Банку;
  • висока інтенсивність інформаційних потоків;
  • різноманітність категорій користувачів і обслуговуючого персоналу Банку.

У цих умовах різко зростає вразливість інформації і одним з найважливіших елементів інформаційного середовища Банку стає корпоративна інформаційна система, в якій обробляються і накопичуються значні обсяги інформації, яка спільно використовується різними користувачами, різної організаційної приналежності.

5.3 Категорії інформаційних ресурсів, що підлягають захисту

У Банку циркулює інформація різних рівнів конфіденційності, що містить відомості обмеженого доступу (конфіденційна інформація, комерційна, банківська таємниця, персональні дані), і відкриті відомості.

Захисту підлягає вся інформація й інформаційні ресурси Банку, незалежно від її подання й місцезнаходження в інформаційному середовищі Банку:

  • Банківська таємниця;
  • Комерційна таємниця;
  • Персональні дані;
  • Конфіденційна інформація Банку;
  • Відкрита інформація.

6. Основні цілі та завдання СУІБ Банку

6.1 Цілі СУІБ Банку

Цілями СУІБ Банку є:

  • Управління ризиками ІБ Банку;
  • Оптимізація витрат на інформаційну безпеку;
  • Управління ресурсами, виділеними на забезпечення ІБ;
  • Централізація всіх функцій забезпечення ІБ в Банку;
  • Вимірювання продуктивності ІБ.

6.2 Завдання СУІБ Банку

Завданнями СУІБ Банку є:

  • реалізація заходів щодо захисту банківської таємниці, комерційної таємниці, персональних даних, іншої конфіденційної інформації, отриманої в процесі здійснення банківської діяльності;
  • забезпечення безперервності діяльності на основі комплексу організаційно-методичних і технічних заходів, спрямованих на мінімізацію впливу на репутацію Банку, наслідків втрати інформаційних активів за допомогою комбінації попереджуючих і оновлюючих заходів;
  • управління (облік, контроль і аналіз) інцидентами ІБ;
  • забезпечення відповідності вимогам нормативно-правових документів у сфері ІБ і Групових політик;
  • управління ризиками ІБ Банку з метою недопущення або зниження ймовірності виникнення репутаційних і фінансових втрат.

Результатом досягнення мети і вирішення завдань є розроблений і реалізований комплекс нормативно-методичних та організаційних заходів (відповідних кращим практикам та вимогам законодавства), спрямованих на створення і функціонування ефективної і обґрунтованої системи безпеки персоналу, матеріальних активів, інформації, ділової репутації та бізнес-процесів від ризику заподіяння шкоди та збитків, що виникають в результаті умисних / ненавмисних протиправних діянь, помилкових дій чи неналежного виконання посадових обов'язків.

6.3 Інтереси суб'єктів інформаційних відносин

Суб'єктами інформаційних відносин при забезпеченні ІБ Банку є:

  • Банк, як власник інформаційних ресурсів;
  • підрозділи Банку, що беруть участь в інформаційному обміні;
  • керівництво й працівники структурних підрозділів Банку, відповідно до покладених на них функцій;
  • юридичні й фізичні особи, відомості про які накопичуються, зберігаються й обробляються в інформаційній системі Банку;
  • інші юридичні й фізичні особи, задіяні в забезпеченні виконання Банком своїх функцій (консультанти, розробники, організації, залучені для надання послуг та ін.).

Перераховані суб'єкти інформаційних відносин зацікавлені в забезпеченні:

  • своєчасного доступу до необхідної їм інформації (її доступності);
  • вірогідності (повноти, точності, адекватності, цілісності) інформації;
  • конфіденційності (збереження в таємниці) певної частини інформації; захисту від нав'язування їм помилкової (недостовірної, перекрученої) інформації;
  • розмежування відповідальності за порушення їхніх прав (інтересів) і встановлених правил обігу інформації;
  • можливості здійснення безперервного контролю й керування процесами обробки й передачі інформації;
  • захисту частини інформації від незаконного її тиражування (захисту авторських прав, прав власника інформації тощо).

6.4 Цілі захисту

Основною метою, на досягнення якої спрямовані всі положення цієї Політики та цільових політик верхнього рівня, є захист суб'єктів інформаційних відносин Банку від можливого нанесення їм матеріального, фізичного, морального чи іншого збитку, за допомогою випадкового або навмисного впливу на інформацію, її носії, процеси обробки і передачі, а також мінімізація рівня операційного та інших ризиків.

Досягнення зазначеної мети реалізується за допомогою забезпечення і постійної підтримки наступних властивостей інформації:

  • доступності інформації для легальних користувачів (сталого функціонування інформаційної системи Банку, за якого користувачі мають можливість отримання необхідної інформації та результатів вирішення завдань за прийнятний для них час);
  • цілісності та автентичності (підтвердження авторства) інформації, що зберігається та обробляється в інформаційній системі Банку та передається каналами зв'язку;
  • конфіденційності - збереження в таємниці певної частини інформації, яка зберігається, обробляється і передається;
  • можливості визначення того хто, що і коли робив з інформацією (забезпечення принципу невідмови від вчинених дій).

Необхідний рівень доступності, цілісності, конфіденційності та спостережності інформації забезпечується відповідними до визначених значущих загроз методами і засобами. До основних загроз відносяться:

  • Нещасні випадки (стихійні лиха, аварії тощо)
  • Помилки (у проектуванні, експлуатації, використанні тощо)
  • Зловмисні дії (крадіжки, диверсії, віруси, вторгнення тощо)
  • Відмова обладнання та каналів зв’язку.

6.5 Управління ризиками

Активна позиція керівництва Банку в питаннях керування ризиками ІБ виражається в підтримці регулярної діяльності по наступних напрямках:

  • Ідентифікація й класифікація ресурсів, що підлягають захисту, і визначення власників цих ресурсів.
  • Своєчасне виявлення й прогнозування загроз ІБ відносно ідентифікованих ресурсів.
  • Оцінка ймовірності реалізації загроз ІБ й ступені їхнього впливу на Банк на основі методів, що дозволяють забезпечити порівняні й відтворені результати.
  • Обробка ризиків ІБ.
  • Оцінка ефективності застосовуваних методів і засобів забезпечення ІБ, у тому числі із залученням внутрішніх і зовнішніх аудиторів.

Політикою Групи Креді Агріколь виділено 6 головних сценаріїв ризиків, на які звертається особлива увага:

  • Внутрішнє шахрайство;
  • Зовнішнє шахрайство;
  • Спрямована вірусна атака;
  • Втрата головного центру обробки даних;
  • Втрата основних систем та їх резервів;
  • Витік даних, що можуть значно погіршити репутацію Банку.

7. Ролі та відповідальності

Керівництво Банку та керівництво структурних підрозділів чітко усвідомлює, що ІБ Банку є основою життєдіяльності Банку, у зв’язку з чим у Банку створений і постійно діє Комітет з управління інформаційною безпекою та ВСР, рішення якого є обов’язковими для виконання усіма працівниками Банку.

Дану Політику та інші політики верхнього рівня, суттєві для управління ризиком та вдосконалення ІБ, розробляє управління інформаційної безпеки департаменту інформаційної безпеки. Цільові документи, процедури та інструкції, що стосуються ІБ розробляє управління безпеки інформаційних технологій департаменту інформаційної безпеки.

Постійний контроль впровадження, виконання, вдосконалення та підтримки політик в актуальному стані лежить на відповідних підрозділах. Відповідальність та контроль за впровадженням Політики покладається на департамент інформаційної безпеки.

Керівництво Банку та ТОП-менеджмент сприяють створенню, впровадженню, контролю та підтримці Політики.

Рішення та рекомендації управління інформаційної безпеки департаменту інформаційної безпеки та управління безпеки інформаційних технологій департаменту інформаційної безпеки в галузі ІБ є беззаперечними та обов’язковими для всіх працівників Банку.

Стратегія розвитку інформаційних технологій Банку та всі проекти, пов’язані з інформаційними ресурсами, повинні відповідати принципам, що встановлюються Політикою.

Кожний працівник Банку бере участь у підтримці відповідного рівня ІБ Банку. В межах своїх обов’язків та повноважень працівники зобов’язані виконувати та відповідати за дотримання вимог Політики, законодавчих та міжнародних норм, внутрішньобанківських вимог, а також вони несуть відповідальність за їх порушення в межах, встановлених законодавством України та внутрішніми документами Банку.

Документи Політики доступні працівникам всередині Банку в межах їх повноважень і покликані допомагати у її впровадженні та виконанні.

Для зменшення ризиків ІБ, пов’язаних з необізнаністю, Банк систематично, доступними методами навчає працівників нормам ІБ, та, по мірі можливостей, і своїх клієнтів.

У Банку складаються, діють, систематично тестуються та оновлюються плани безперервності діяльності Банку на випадок різних непередбачуваних критичних ситуацій.

8. Реагування на інциденти безпеки

Про кожний інцидент ІБ працівники зобов’язані негайно сповістити свого безпосереднього керівника, управління інформаційної безпеки департаменту інформаційної безпеки та управління постійного контролю та операційних ризиків. Політика передбачає відповідний аналіз та реакцію на той чи інший інцидент у відповідності до чинної редакції «Процедури збору даних про операційні випадки в АТ «КРЕДІ АГРІКОЛЬ БАНК»». За результатами аналізу вживаються заходи, направлені на недопущення повторення подібних інцидентів.

9. Перегляд Політики

Політика постійно підтримується в актуальному стані. Політика переглядається не рідше ніж один раз на рік. Якщо за результатами перегляду зміни до політики інформаційної безпеки не вносяться, то повторне її затвердження не потрібно.

Зміни й доповнення в дану Політику вносяться з ініціативи Голови Правління, членів Правління, директора з інформаційних технологій, директора департаменту ІТ підтримки та інфраструктури, директора департаменту інформаційної безпеки, начальника управління інформаційної безпеки, начальника управління безпеки ІТ і затверджуються рішенням Правління Банку.

У випадку вступу окремих пунктів Політики у протиріччя з новими законодавчими актами, ці пункти втрачають юридичну чинність до моменту внесення змін у цю Політику.

Як захистити себе від дій шахраїв
Істотні характеристики банківських послуг
гарантування вкладів
Якість обслуговування
Акції
Кар'єра
CA+
Відділення та банкомати
Контакт центр Credit Agricole
0 800 30 5555 Безкоштовно
Зателефонувати в банк
Viber
Telegram