Моделювання ризиків діяльності банку

Травми, які отримані працівниками – це пошкодження верхніх і нижніх кінцівок, через нещасні випадки. Щорічно на заходи по охороні праці виділяють кошти, але їх дуже мало. Паспортизація виробничих підрозділів у банку проводиться один раз на два роки, для її проведення призначається комісія на чолі з керівником підприємства, інженером по охороні праці, членами – головними спеціалістами.

Необхідно відмітити, що пожежною охороною, займається районна пожежна  служба. Вона забезпечена всіма необхідними  засобами для тушіння пожеж. У  кожному первинному підрозділі є  щити із протипожежними засобами, але відсутня пожежна сигналізація і телефон зв'язку між підрозділами.

 

4.2. Стан безпеки  на робочому місці працівника  ЗАТ КБ “ПриватБанк”

Для того щоб забезпечити  захист інформації від несанкціонованого  доступу третіх осіб, правлінням банку  розробленні правила, яких повинні  дотримуватися всі працівники банку.

“Вимоги інформаційної безпеки  до працівників “ПриватБанку” розроблені на підставі документів інформаційної безпеки RZB Group і визначають зобов’язання щодо інформаційної безпеки при роботі з персональними комп’ютерами та рухомими носіями інформації у Центральному офісі, дирекціях та відділеннях “ПриватБанку”.

Вимоги обов'язкові для  виконання всіма працівниками банку, а також особами сторонніх  організацій, яким надані права доступу  до приміщень Банку та роботи на обчислювальній техніці. Фахівці підрозділів  інформаційних технологій та інформаційної  безпеки можуть відступати від виконання  цих вимог, якщо це передбачено їх посадовими інструкціями. У виключних  випадках працівник може отримати дозвіл на певні відхилення від окремих  пунктів вимог. Такий дозвіл ініціюється  членом Правління, куратором даного напрямку, та узгоджується з керівником підрозділу інформаційної безпеки.

 Вище згадані вимоги  мають такий вигляд:

1. Забороняється ознайомлення  із службовими документами сторонніх  осіб, які знаходяться у робочому  приміщенні.

2. Розміщення екранів  комп’ютерів повинно унеможливлювати  перегляд зображення для сторонніх  осіб.

3. Залишаючи на деякий  час своє робоче місце, працівник  повинен заблокувати робочу станцію  (натиснувши Alt+Ctrl+Del а потім Enter для  Windows 2000 та XP) або вимкнути її.

4. Працівники не повинні  залишати без нагляду сторонніх  осіб всередині будівлі банку.

5. Після закінчення зустрічі, конференції або семінару всі  плакати та документи повинні  бути прибрані із залу, а дошки  витерті.

6. Після закінчення робочого  дня працівники повинні вимикати  персональний комп’ютер та не  залишати будь-які документи на  робочому місці.

7. Після друку на принтері  конфіденційних документів працівник  повинен негайно їх забрати.

Під час роботи на АРМ  потрібно пам’ятати проте, що персональні  комп'ютери та рухомі носії інформації надаються працівникам банку  виключно для виконання службових  обов'язків згідно порядку прийнятого у банку. Вся інформація, яка створюється, зберігається, обробляється на зареєстрованих у Банку персональних комп’ютерах  та рухомих носіях інформації працівників  та передається всередині мережі є власністю банку.

У разі виявлення будь-яких несправностей, пошкоджень, відсутності  елементів комп'ютера або периферійного  обладнання, працівник повинен негайно  припинити роботу, повідомити свого  безпосереднього керівника та викликати  фахівців підрозділу інформаційних  технологій (звернутися до служби підтримки  користувачів).

Працівник зобов’язаний власноручно  встановити на персональному комп'ютері  пароль на завантаження (User Раssword (пароль BIOS)), ініціювати пароль на екранну заставку (Раssword Sсrееn Sаvеr) та запобігати їх втраті та розголошенню. Порядок блокування робочої станції, встановлення та ініціювання  паролів визначається працівниками підрозділів інформаційних технологій.

Працівникам банку, забороняється:

– самостійно виконувати ремонтні та профілактичні роботи на персональних комп‘ютерах;

– використовувати в банку  власні персональні комп’ютери, ноутбуки, кишенькові персональні комп’ютери (інші рухомі носії інформації);

– самовільно вносити зміни  у конфігурацію комп'ютера або  встановлю-вати будь-яке додаткове  обладнання;

– самостійно виконувати видалення, встановлення та оновлення програмного  забезпечення або зміну його налаштування на комп'ютерах;

– передавати стороннім  особам інформацію щодо складу програмного  та технічного забезпечення;

– залишати працюючий комп'ютер після закінчення роботи, якщо інше не зумовлене технологічними вимогами.

Працівники зобов’язані  надавати доступ до персонального комп'ютера  фахівцям підрозділу інформаційної  безпеки та інформаційних технологій і постійно знаходитись поруч. Ситуації, які непередбачені даними Вимогами вирішуються в робочому порядку  за участю фахівців підрозділів інформаційних  технологій та інформаційної безпеки  банку.

Щодо роботи в мережі –  працівники повинні дотримуватись  наступних вимог:

1. Підключення персональних  комп'ютерів до мереж банку  та їх налаштування здійснюється  тільки відповідальними фахівцями  інформаційних технологій.

2. Доступ до сервісів  та час роботи в мережах  надається працівнику згідно  прийнятого у банку порядку.

3. Доступ до інформаційних  ресурсів банку здійснюється  на підставі мережевого імені  та паролю, довжина якого повинна  бути не менше 8 символів.

4. Пароль повинен містити  літери, цифри, спеціальні символи  та виключати можливість його  підбору по словнику (приклад  паролю: !goLD59yes).

5. Пароль доступу до  мережі працівник отримує тільки  особисто або по електронній  пошті у зашифрованому (за допомогою  таємного ключа, який сертифікований  Центром сертифікації ключів  банку) вигляді.

6. При отриманні паролю  від фахівців підрозділів інформаційних  технологій працівник зобов’язаний  при першому підключенні до  мережі його змінити.

7. Регулярно, не рідше  ніж раз у 60 діб, працівник  повинен змінити свій пароль  на новий.

8. У випадку відсутності  доступу до інформаційних ресурсів  працівник зобов'язаний повідомити  про це свого безпосереднього  керівника та службу підтримки  користувачів.

9. Працівникам банку забороняється: 

– самовільне підключення  незареєстрованих в підрозділах  інформаційних технологій комп'ютерів та мобільних пристроїв до мереж  банку;

– отримання паролю по телефону;

– самовільно змінювати  мережеві налаштування персонального  комп’ютера, вносити зміни в конфігурацію інформаційних ресурсів;

– працювати в мережах  під чужими іменами, адресами (ІР або  МАС);

– зберігати пароль у  відкритому та легкодоступному вигляді (записаний на папері, у файлі  та ін.);

– передавати та розголошувати  власне мережеве ім’я, пароль або носій  ключової інформації будь-яким іншим  особам, включаючи передачу на час  тимчасової відсутності (відрядження, хвороби та інше);

– використовувати, зберігати  на комп'ютерах та розповсюджувати  у мережі банку програми та файли  неслужбового характеру (ігри, зображення, музичні файли та таке ін.).

11. Працівники зобов’язані  зберігати всю критичну інформацію  в електронному вигляді у спеціально  визначеному для цього місці  (каталозі) на персональному комп’ютері.

12. Підключення персональних  комп’ютерів співробітників сторонніх  організацій до локальної мережі  банку дозволяється тільки на  підставі Договору щодо надання  послуг в окремий захищений  сегмент за умови письмового погодження з директором Департаменту інформаційних технологій та директором Департаменту інформаційної безпеки ЦО.

13. Інформація, яка передається  за допомогою електронної пошти  (ЕП) та проходить через мережі  банку, є власністю “ПриватБанку”.

14. Працівникам банку при  роботі з ЕП забороняється:

– відправляти конфіденційну  інформацію електронною поштою за межі комп’ютерної мережі банку;

 – відправляти пошту  з вкладеними файлами типу, що  не входять до списку дозволених  типів вкладень (zip, rar, tar, gz, tgz, arj, bz2, z, doc (в разі неможливості відправлення rtf), rtf, txt, xls, pdf, vcf, html).;

– відправляти пошту з  вкладеннями, в яких глибина архівування  більше ніж два рівня;

– використовувати пошту  для передачі неслужбової інформації;

– надавати іншим працівникам  банку свої повноваження та пароль на відправку та отримання пошти;

– відправляти та отримувати пошту з відключеним антивірусним монітором або не встановленим антивірусним захистом на робочій станції;

– використовувати для  відправки та отримання повідомлень  програмне забезпечення, відмінне від  вказаного в Положенні “Про роботу системи електронної пошти банку  та концепцію її розвитку” затвердженому  рішенням Правління Банку № П-30/20 від 21 квітня 2003 року;

– відправляти поштою файли  об’ємом більше 3-х Мб (при необхідності відправки файлів більше 3-х Мб необхідно  розбивати їх за допомогою програмних засобів або програм архівації);

– відкривати листи, адресат  яких невідомий, та активізувати вкладення  таких листів;

– пересилати листи банку  на персональну зовнішню пошту.

15. Працівники зобов’язані,  при першому підключенні до  особистої поштової скриньки, змінити  наданий адміністратором пошти  первинний пароль на власний.

16. Працівникам при роботі  в мережі Інтернет забороняється:

– використовувати ресурси  Інтернет в особистих цілях;

– передавати і розголошувати  через мережу Інтернет відомості, які  становлять конфіденційну інформацію банку;

– завантажувати з мережі Інтернет та використовувати будь які  програми без письмового дозволу  підрозділу інформаційної безпеки;

– користуватися при роботі в мережі Інтернет засобами обміну миттєвими повідомленнями: ICQ, Windows Messenger, Chat, Skype та ін.;

– користуватися чужими іменами і паролями для доступу  до ресурсів мережі Інтернет;

– створювати або користуватися  зовнішніми поштовими скриньками;

– використовувати функції  браузера для збереження паролів.

17. Доступ до сервісів  та час роботи в мережі Інтернет  надається працівнику згідно  прийнятого у банку порядку  (згідно функціональних обов’язків  та затверджених службових записок).

18. На використання портативних  комп’ютерів розповсюджуються такі  ж правила та вимоги що і  на персональні комп’ютери.

19. Винесення та внесення  портативних комп’ютерів з банку  дозволяється тільки на підставі  письмового дозволу матеріально  відповідальної особи підрозділів  інформаційних технологій за  погодженням директора Департаменту  інформаційної безпеки та директора  Департаменту перевезення валютних  цінностей, інкасації та охорони  для ЦО або начальником відділу  інформаційної безпеки та начальником  відділу охорони для дирекції.

20. Забороняється виносити  з банку портативні комп’ютери, що містять конфіденційну інформацію  або банківську таємницю, перелік  якої визначається Додатком №  1 Наказу Голови Правління Банку  № 520 від 16.10.2001р., без встановленого  Департаментом інформаційної безпеки  ЦО (відділом ІБ дирекції) засобу  шифрування даних, який прийнято  у банку.

21. При роботі з портативними  комп’ютерами працівники зобов’язані:

– терміново інформувати  підрозділ інформаційної безпеки  та інформа-ційних технологій у разі втрати комп’ютеру;

– під’єднувати комп’ютер  до мережі Банку не менше одного разу на тиждень для оновлень операційної  системи та антивірусних баз (виключенням  може бути відпустка, відрядження, хвороба  або інші випадки довгострокової відсутності).

22. Забороняється залишати  без нагляду, виданий банком, портативний  комп’ютер.

 

4.3. Стан цивільної  оборони ЗАТ КБ “ПриватБанк”

Екологічна обстановка у  світі останніми роками погіршилась  і вважається несприятливою. Майже  щодня в світі трапляються  надзвичайні ситуації: лісові пожежі, повені, цунамі, землетруси, обвали, зсуви, селеві потоки, виверження вулканів, урагани, смерчі, снігові й пилові бурі та інші стихійні лиха, аварії, катастрофи на підприємствах і транспорті, що супроводжуються загибеллю людей, руйнуванням населених пунктів  і об'єктів господарювання.