тичних прийомів і керівних принципів в області інформаційної безпеки.
Політика враховує сучасний стан і найближчі перспективи розвитку інформаційних технологій в Банку, цілі, завдання та правові основи їх експлуатації, режими функціонування, а також містить аналіз загроз безпеки для об'єктів і суб'єктів інформаційних відносин Банку.
Основні положення та вимоги даного документа поширюються на всі структурні підрозділи Банку, включаючи додаткові офіси. Основні питання Політика також поширюються на інші організації та установи, які взаємодіють з Банком як постачальників і споживачів інформаційних ресурсів Банку в тій або іншій якості.
Законодавчою основою цієї Політики є Конституція Російської Федерації, Цивільний і Кримінальний кодекси, закони, укази, постанови, інші нормативні документи чинного законодавства Російської Федерації, документи Державної технічної комісії при Президентові Російської Федерації, Федерального агентства урядового зв'язку та інформації при Президентові Російської Федерації.
Політика є методологічною основою для:
· формування і проведення єдиної політики в галузі забезпечення безпеки інформації в Банку;
· прийняття управлінських рішень та розробці практичних заходів по втіленню політика безпеки інформації і вироблення комплексу узгоджених заходів, спрямованих на виявлення, відображення і ліквідацію наслідків реалізації різних видів загроз безпеки інформації;
· координації діяльності структурних підрозділів Банку при проведенні робіт зі створення, розвитку та експлуатації інформаційних технологій з дотриманням вимог щодо забезпечення безпеки інформації;
· розробки пропозицій щодо вдосконалення правового, нормативного, технічного та організаційного забезпечення безпеки інформації в Банку.
Системний підхід до побудови системи захисту інформації в Банку передбачає врахування всіх взаємопов'язаних, взаємодіючих і змінюються в часі елементів, умов і факторів, значущих для розуміння і вирішення проблеми забезпечення безпеки інформації Банку.
Забезпечення безпеки інформації - процес, здійснюваний Керівництвом Банку, підрозділами захисту інформації та співробітниками всіх рівнів. Це не тільки і не стільки процедура або політика, яка здійснюється в певний відрізок часу або сукупність засобів захисту, скільки процес, який повинен постійно йти на всіх рівнях всередині Банку і кожен співробітник Банку повинен брати участь у цьому процесі. Діяльність по забезпеченню інформаційної безпеки є складовою частиною повсякденної діяльності Банку. І її ефективність залежить від участі керівництва Банку в забезпеченні інформаційної безпеки.
Крім того, більшості фізичних і технічних засобів захисту для ефективного виконання своїх функцій необхідна постійна організаційна (адміністративна) підтримка (своєчасна зміна і забезпечення правильного зберігання та застосування імен, паролів, ключів шифрування, перевизначення повноважень і т. п.). Перерви в роботі засобів захисту можуть бути використані зловмисниками для аналізу застосовуваних методів і засобів захисту, для впровадження спеціальних програмних і апаратних закладок та інших засобів подолання захисту.
Персональна відповідальність припускає покладання відповідальності за забезпечення безпеки інформації і системи її обробки на кожного співробітника в межах його повноважень. У відповідності з цим принципом розподіл прав і обов'язків співробітників будується таким чином, щоб у разі будь-якого порушення коло винуватців був чітко відомий або зведений до мінімуму.
У Альфа-Банку постійно здійснюється контроль, за діяльністю будь-якого користувача, кожного засобу захисту і щодо будь-якого об'єкта захисту повинен здійснюватися на основі застосування засобів оперативного контролю й реєстрації і повинен охоплювати як несанкціоновані, так і санкціоновані дії користувачів.
У банку розроблені наступні організаційно-розпорядчі документи:
· Положення про комерційну таємницю. Зазначене Положення регламентує організацію, порядок роботи з відомостями, що становлять комерційну таємницю Банку, обов'язки і відповідальність співробітників, допущених до цих відомостей, порядок передачі матеріалів, що містять відомості, що становлять комерційну таємницю Банку, державним (комерційним) установам і організаціям;
· Перелік відомостей, що становлять службову і комерційну таємницю. Перелік визначає відомості, віднесені до категорій конфіденційних, рівень і строки забезпечення обмежень по доступу до інформації, що захищається;
· Накази і розпорядження щодо встановлення режиму безпеки інформації: