Памятка по информационной безопасности новому работников ООО Банк Оранжевый 2019

ресурсов, комплексов задач, задач для автоматизации банковской деятельности.
Пользователь – работник Банка, использующий ресурсы автоматизированных систем для выполнения своих должностных обязанностей.
Учетная запись – информация о пользователе: имя пользователя, его пароль, права доступа к ресурсам и привилегии при работе в автоматизированной системе. Учетная запись может содержать дополнительную информацию (адрес электронной почты, телефон и т.п.).
Пароль - секретная строка символов (букв, цифр, специальных символов), предъявляемая пользователем для получения доступа к АИС Банка. Пароль является средством защиты данных от несанкционированного доступа.
ОИБ - Отдел информационной безопасности.
УИТ – Управление информационных технологий.
Service Desk – автоматизированная система, предназначенная для подачи, приема, обработки и учета заявок;
СНИ - съемные носители информации. К СНИ относятся: дискеты, диски CD и DVD, Flash-диски, съемные жесткие диски, подключаемые к компьютеру через внешний интерфейс (USB и др.).

проходить аутентификацию и работать в них исключительно под своими персональными учетными записями.
Все действия, совершаемые с использованием персональной учетной записи, рассматриваются как действия, совершаемые лично ее владельцем.
К паролям предъявляются следующие требования:
- срок действия паролей не должен превышать 30 дней;
- длина пароля должна быть не менее 8 символов;
- в числе символов пароля одновременно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы;
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, слова, наименования АРМ и т.д.), а также сочетания клавиш, расположенных подряд (или рядом, через одну и т.п.) в одном ряду/столбце на клавиатуре (qwerty, asdqwe, qaz, wsx, qetu, qsc, 12345678, 2468, user, admin и т.д.);
- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях.
4. Учетная запись пользователя блокируется после 5 неуспешных попыток ввода пароля, выполненных подряд. Учетная запись будет заблокирована минимум в течение 30 минут или до тех пор, пока она не будет разблокирована администратором УИТ.

при покидании рабочего места их необходимо обязательно блокировать (например, сочетанием клавиш (Win+L)). Для разблокировки необходимо одновременно нажать клавиши Ctrl+Alt+Del и ввести свой пароль.
6. Работник Банка обязан применять адекватные меры по защите своих паролей:
- Запоминать свои пароли или хранить их таким образом, чтобы они были гарантированно недоступны третьим лицам (в том числе коллегам, руководителям, клиентам, родственникам, друзьям и т.п.).
- Не передавать свои пароли никому, ни под каким предлогом, включая работников УИТ, ОИБ, своего руководителя, коллег, родственников или друзей.
- При использовании пароля (например, его вводе) принять необходимые меры, исключающие возможность его компрометации (например, исключить возможность подглядывания вводимого пароля).
7. Смена паролей осуществляется в следующих случаях:
- в случае, когда имеется подозрение либо установленный факт того, что пароль работника стал известен третьим лицам. В этом случае работник обязан незамедлительно сообщить об этом в ОИБ и непосредственному руководителю. - плановая смена паролей осуществляется раз в 30 дней. Для смены пароля необходимо одновременно нажать клавиши Ctrl+Alt+Del, ввести свой старый пароль и дважды ввести новый пароль.

Банка и обеспечение конфиденциальности, доступности, целостности и других основных характеристик безопасности информации ООО Банк Оранжевый.
Средства антивирусной защиты в обязательном порядке устанавливаются на все серверы и рабочие станции Банка, Филиала и дополнительных офисов.
Средства антивирусной защиты настраиваются таким образом, чтобы при обнаружении подозрительных, зараженных и прочих файлов выполнять необходимые действия в автоматическом режиме без участия и оповещения пользователей. При этом в обязательном порядке должно осуществляться оповещение работников УИТ и ОИБ.
В случае обнаружения пользователем неполадок с антивирусным ПО (желтый знак на иконке антивируса Dr.Web) пользователь обязан оповестить работников УИТ.
При использовании сети Интернет применяется технология, которая исключает несанкционированное попадание скачанных из сети Интернет файлов на компьютер пользователя. Перенос файлов пользователю осуществляется через антивирусный стенд. Проверку на антивирусном стенде осуществляют работники ОИБ и после проверки файлы переносятся в профиль пользователю в папку «Загрузки» или направляются пользователю посредством корпоративной электронной почты.
При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках, появление сообщений о наличии вирусов) работник Банка должен приостановить свою работу, немедленно известить об этом работников ОИБ.

целях выполнения ими только своих служебных обязанностей.
Непосредственный руководитель работника, которому необходим доступ к Интернет оформляет заявку в системе Service Desk.
Для доступа пользователей к сети Интернет по умолчанию используется отделенный терминальный сервер, работающий с использованием браузера Yandex.
Вся информация о посещаемых пользователем Интернет-ресурсах протоколируется.
Корпоративная электронная почта в домене BANKORANGE.RU может быть использована только в служебных целях. Использование электронной почты в других целях категорически запрещено.
Содержимое электронного почтового ящика пользователя может быть извлечено без предварительного уведомления в рамках проводимых служебных расследований и пр..
При работе с корпоративной системой электронной почты работникам запрещается:
- публиковать свой адрес, либо адреса других работников компании на общедоступных Интернет ресурсах (форумы, конференции и т.п.);
- открывать вложенные файлы во входящих сообщениях без предварительной проверки антивирусными средствами, даже если отправитель письма хорошо известен.

вложенные файлы или ссылки на ресурсы в сети Интернет для скачивания файлов работнику Банка категорически запрещено сразу открывать полученные вложения. Данное сообщение сначала пересылается работникам ОИБ. Работник ОИБ проверяет полученное сообщение на наличие вредоносного содержания и отвечает работнику Банка о возможности далее работать с полученными вложенными файлами, пересылает скачанные и проверенные на вирусы с указанных ресурсов файлы по корпоративной электронной почте или переносит их в профиль пользователю в папку «Загрузки».

к USB-портам, а также средствам чтения CD/DVD-дисков и Флоппи-дисков на рабочем месте пользователя предоставляется только при наличии соответствующей заявки на Service Desk, согласованной с руководителем структурного подразделения и ОИБ.
Работники банка, которым не предоставлен доступ к СНИ, в случае производственной необходимости записи или чтения информации со СНИ обращаются в ОИБ.
Вся записываемая и считываемая информация подлежит обязательной проверке на вирусы.

счетах и вкладах своих клиентов и корреспондентов.
Коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. К коммерческой тайне относится - научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Банк, как собственник (владелец) информации, принимает меры по защите коммерческой тайны, банковской тайны, персональных данных, и другой конфиденциальной информации в соответствии с предоставленными ему действующим законодательством правами и обязанностями.