ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОАО

УТВЕРЖДЕНO
Приказом № П14/08-04
от 05 августа 2014 г.
ПОЛИТИКА
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОАО «СПЕЦИАЛИЗИРОВАННЫЙ ДЕПОЗИТАРИЙ
«ИНФИНИТУМ»
Дата ввода в действие: 05.08.2014
ОГЛАВЛЕНИЕ
1. Общие положения.................................................................................... 3
2. Цели и задачи......................................................................................... 3
3. Принципы обеспечения информационной безопасности............................. 4
4. Система управления информационной безопасностью ............................... 4
5. Процессы обеспечения и управления информационной безопасностью ...... 8
6. Ответственность за нарушение политики информационной безопасности ..10
7. Пересмотр политики информационной безопасности ................................10
8. Перечень применимого законодательства………………………………………………………10
Актуальная версия на 05.08.2014
2
1.
Общие положения
Обеспечение
информационной
безопасности
(ИБ)1
является
необходимым
условием для осуществления деятельности ОАО «Специализированный депозитарий
«ИНФИНИТУМ» (далее – Общество). Нарушение ИБ может привести к серьезным
последствиям для Общества, включая потерю доверия со стороны клиентов и
снижение конкурентоспособности.
Настоящая политика ИБ (далее – Политика) представляет собой систему
взглядов на обеспечение ИБ Общества в виде систематизированного изложения
целей, задач, принципов и положений по организации процессов обеспечения и
управления ИБ.
Положения
Политики
распространяются
на
все
аспекты
деятельности
Общества, тем или иным образом влияющие на ИБ.
2.
Цели и задачи
Целью обеспечения ИБ является устойчивое функционирование Общества и
защита активов, принадлежащих Обществу, его акционерам, инвесторам и клиентам
от умышленных и неумышленных противоправных посягательств, разглашения,
утраты, утечки, искажения, модификации и уничтожения, а также сохранение
конфиденциальности инсайдерской информации, персональных данных, сведений,
составляющих коммерческую тайну, информации, полученной при осуществлении
деятельности
профессионального
участника
рынка
ценных
бумаг
или
другой
конфиденциальной информации в соответствии с действующим законодательством
Российской Федерации, а также международными нормами и стандартами.
Задачами обеспечения ИБ являются:
 реализация
мероприятий
по
защите
инсайдерской
информации,
персональных данных, информации, полученной при осуществлении деятельности
профессионального участника рынка ценных бумаг, другой конфиденциальной
информации Общества, а также сведений, составляющих коммерческую тайну;
 обеспечение непрерывности бизнеса на основе комплекса организационнометодических и технических мероприятий, направленных на минимизацию влияния
на репутацию Общества последствий утраты информационных активов посредством
комбинации предупреждающих и восстанавливающих мер и мероприятий;
 управление (учёт, контроль и анализ) инцидентами, связанными с ИБ;
 обеспечение соответствия требованиям нормативно-правовых документов в
сфере ИБ;
1
Под информационной безопасностью понимается состояние информационных активов, достигаемое в
процессе обеспечения конфиденциальности, целостности и доступности информации, а также таких её
свойств, как аутентичность, подотчетность, неотказуемость и достоверность.
Актуальная версия на 05.08.2014
3
 управление рисками ИБ Общества в целях недопущения или снижения
вероятности возникновения неприемлемых репутационных и финансовых потерь;
 минимизация
ущерба
и
быстрейшее
восстановление
инфраструктуры,
программных и технических средств, а также информации, вследствие кризисных
(нештатных) ситуаций. Расследование причин возникновения таких ситуаций и
принятие мер по их предотвращению.
Результатом достижения цели и решения задач является разработанный и
реализованный комплекс нормативно-методических и организационных мероприятий
(соответствующих мировым практикам и требованиям законодательства Российской
Федерации),
направленных
на
создание
и
функционирование
эффективной
и
обоснованной системы безопасности персонала, материальных активов, информации,
деловой репутации и бизнес-процессов от риска причинения вреда, убытков и
ущерба, возникающих в результате умышленных/неумышленных противоправных
деяний,
ошибочных
действий
или
ненадлежащего
исполнения
должностных
обязанностей.
3.
Принципы обеспечения информационной безопасности
При построении и в процессе функционирования системы управления и
обеспечения
ИБ
(СУИБ)
Общество
руководствуется
следующими
основными
принципами:
 законности;
 системности;
 комплексности;
 непрерывности;
 своевременности;
 преемственности и непрерывности совершенствования;
 разумной достаточности и адекватности;
 персональной ответственности;
 минимизации полномочий;
 взаимодействия и сотрудничества;
 гибкости;
 открытости алгоритмов и механизмов защиты;
 простоты применения средств защиты;
 научной обоснованности и технической реализуемости;
 специализации и профессионализма;
 знания своих партнеров и работников;
 обязательности контроля и оценки.
3.1.
Законность
Актуальная версия на 05.08.2014
4
Защита
активов
Общества
основывается
на
положениях
и
требованиях
действующих законов и иных нормативных правовых актов Российской Федерации
(Перечень применимого законодательства в области ИБ приведен в Приложении к
настоящей Политике).
3.2.
Системность
Системный подход к обеспечению ИБ означает учёт всех взаимосвязанных,
взаимодействующих и изменяющихся во времени элементов, условий и факторов,
существенно-значимых для понимания и решения задачи обеспечения ИБ Общества.
3.3.
Комплексность
ИБ обеспечивается эффективным сочетанием организационных, методических
мер и программно-технических средств.
Применение
различных
средств
и
технологий
защиты
активов
снижает
вероятность реализации наиболее значимых угроз ИБ.
3.4.
Непрерывность
Система управления и обеспечения ИБ функционирует на всех этапах работы с
активами Общества.
3.5.
Своевременность
Своевременность
означает
упреждающий
характер
принимаемых
мер
по
обеспечению ИБ.
3.6.
Преемственность и непрерывность совершенствования
Меры и средства защиты активов постоянно совершенствуются в соответствии с
результатами анализа функционирования СУИБ, учитывается появление новых
способов и средств реализации угроз ИБ, а также принимается во внимание
имеющийся отечественный и зарубежный положительный опыт в сфере ИБ. В
процессе непрерывного совершенствования осведомленности работников в части ИБ
проводится периодическое обучение.
3.7.
Разумная достаточность и адекватность
При выборе мер защиты активов Общество ориентируется на результаты
оценки рисков ИБ, связанных с обработкой и характером защищаемых активов.
Программно-технические средства и организационные меры, направленные на
защиту активов, проектируются и внедряются таким образом, чтобы не повлечь за
собой существенное ухудшение основных функциональных характеристик, а также
производительности информационных систем (ИС) и работников Общества.
3.8.
Персональная ответственность
Ответственность за обеспечение безопасности активов возлагается на каждого
работника
в
пределах
его
полномочий.
Кроме
этого
в
Обществе
создан
коллегиальный орган для организации и координации работ по обеспечению ИБ, а
Актуальная версия на 05.08.2014
5
также назначены ответственные лица за поддержание процессов обеспечения и
управления ИБ.
3.9.
Минимизация полномочий
Предоставление и использование прав доступа к инсайдерской информации,
персональным данным, информации, полученной при осуществлении деятельности
профессионального участника рынка ценных бумаг,
сведениям, составляющим
коммерческую
информации,
тайну,
и
другой
конфиденциальной
ограничено,
управляется и соответствует характеру решаемых задач.
3.10. Взаимодействие и сотрудничество
В коллективе Общества создана благоприятная атмосфера, способствующая
осознанной необходимости соблюдения установленных правил и оказания содействия
в деятельности подразделений, обеспечивающих ИБ.
3.11. Гибкость
В процессе эксплуатации активов Общества изменения характеристик, объёма
и
категорий
обрабатываемой
информации
влекут
за
собой
своевременные
и
адекватные изменения в СУИБ.
3.12. Открытость алгоритмов и механизмов защиты
Защита не должна обеспечиваться только за счет секретности структурной
организации и алгоритмов функционирования ее подсистем. Знание алгоритмов
работы системы защиты не должно давать возможности ее преодоления. Но это вовсе
не означает, что информация о системе защиты Общества должна быть общедоступна
– необходимо обеспечивать защиту от угрозы раскрытия параметров системы.
3.13. Простота применения средств защиты
Механизмы защиты, внедренные в Обществе, интуитивно понятны и просты в
использовании. Применение средств защиты не связано со знанием специальных
языков или с выполнением действий, требующих значительных дополнительных
трудозатрат при обычной работе работников.
3.14. Научная обоснованность и техническая реализуемость
Уровень
рекомендаций
и
требований
по
защите
активов
соответствует
имеющемуся уровню развития информационных технологий и средств защиты
информации.
При эксплуатации и совершенствовании СУИБ Общество ориентируется на
лучшие современные отечественные и зарубежные технические решения и практики
в области защиты информации.
3.15. Специализация и профессионализм
Разработка
средств
и
реализации
мер
защиты
активов
привлекаются
специализированные организации, наиболее подготовленные к конкретному виду
Актуальная версия на 05.08.2014
6
деятельности
по
обеспечению
ИБ,
имеющие
опыт
практической
работы
и
государственную лицензию на право оказания услуг в этой области.
Реализация
информации
административных
(активов)
мер
и
осуществляется
эксплуатация
средств
профессионально
защиты
подготовленными
специалистами Общества.
3.16. Знание своих партнеров и работников
Общество
обладает
информацией
о
своих
партнерах,
что
позволяет
минимизировать вероятность реализации угроз, связанных с человеческим фактором.
Кадровая политика (подбор персонала, мотивация работников), используемая в
Обществе,
обеспечивает исключение или минимизацию возможностей работников
Общества по нарушению системы безопасности активов.
3.17. Обязательность контроля
Неотъемлемой
частью
работ
по
обеспечению
ИБ
является
оценка
эффективности системы защиты.
С
целью
своевременного
выявления
и
пресечения
попыток
нарушения,
установленных правил обеспечения безопасности активов, в Общества определены
процедуры постоянного контроля использования систем обработки и защиты активов,
а результаты контроля подвергаются регулярному анализу.
4.
Для
Система управления информационной безопасностью
эффективной
реализации
процесса
обеспечения
информационной
безопасности в критичных бизнес-процессах Общества внедрена Система управления
информационной
безопасностью, соответствующая требованиям международного
стандарта ISO/IEC 27001:2005.
СУИБ распространяется на процессы и активы Общества, входящие в область
действия СУИБ (далее – ОД СУИБ)2.
Эффективное управление ИБ Общества и принятие решений о внедрении мер
по обеспечению ИБ осуществляется на основе процесса управления рисками.
Основными задачами данного процесса являются: идентификация и оценка ценности
активов Общества, определение уязвимостей и угроз активам Общества, вероятности
их реализации, оценка текущего уровня риска и формирование плана обработки
рисков ИБ, превышающих приемлемый уровень. Управляющий совет по ИБ принимает
решение о приемлемом для Общества уровне риска ИБ. В случае если оцененный
уровень риска ИБ превышает приемлемое значение, Общество принимает меры по
обработке
рисков.
Подробное
описание
процесса
управления
рисками
ИБ
представлено в «Стандарте организации СТО 3.001-2012 Методика оценки рисками
2
ОД СУИБ – область применения и границы СУИБ в терминах бизнес-процессов, подразделений
Общества, территориальных площадок, ресурсов и применяемых технологий. Подробное описание ОД
СУИБ приведено в документе «Область действия системы управления информационной безопасностью
ОАО «Специализированный депозитарий «ИНФИНИТУМ».
Актуальная версия на 05.08.2014
7
информационной
безопасности
ОАО
«Специализированный
депозитарий
«ИНФИНИТУМ»
В связи с тем, что в Обществе внедрены системы менеджмента (система
менеджмента качества и СУИБ), системообразующие процессы СУИБ интегрированы с
аналогичными процессами системы менеджмента качества:
 управление документацией и записями;
 внутренние аудиты;
 управление корректирующими и предупреждающими действиями.
4.1.
Управление документацией и записями
Подробное
представлено
описание
в
процесса
процедуре
управления
«Управление
документацией
документами
и
и
записями
записями
ОАО
«Специализированный депозитарий «ИНФИНИТУМ».
4.2.
Внутренние аудиты
Подробное описание процесса внутренних аудитов представлено в процедуре
«Внутренние аудиты ОАО «Специализированный депозитарий «ИНФИНИТУМ»
4.3.
Управление корректирующими и предупреждающими действиями
Подробное
описание
предупреждающими
процесса
действиями
управления
представлено
в
корректирующими
процедуре
и
«Управление
корректирующими и предупреждающими действиями ОАО «Специализированный
депозитарий «ИНФИНИТУМ».
5.
Процессы
обеспечения
и
управления
информационной
безопасностью
Для
реализации
положений
настоящей
Политики
в
Обществе
внедрен
процессный подход.
В части ИБ внедрены процессы, представленные в таблице 1.
Табл.1
Наименование процесса
Наименование документа,
описывающего процесс
Управление инцидентами ИБ
Анализ ИБ со стороны руководства
Актуальная версия на 05.08.2014
Регламент
«Процесс
управления
инцидентами
информационной
безопасности
в
ОАО
«Специализированный
депозитарий
«ИНФИНИТУМ»;
Регламент
Процесс
мониторинга
событий
информационной
безопасности
ОАО
«Специализированный
депозитарий
«ИНФИНИТУМ»
Процедура
анализа
системы
управления
информационной
8
Оценка
эффективности
и
результативности
процессов
обеспечения и управления ИБ
Обучение
и
осведомленности
Общества в части ИБ
Управление
Общества
доступом
повышение
работников
к
активам
Управление уязвимостями
Использование
информационных
активов Общества с точки зрения ИБ
безопасностью
руководством
ОАО
«Специализированный
депозитарий
«ИНФИНИТУМ»
Регламент Р 3.204-2013 «Оценка
эффективности мер обеспечения и
управления
информационной
безопасностью»
Стандарт организации СТО 3.003-2012
«Обучение
работников
ОАО
«Специализированный
депозитарий
«ИНФИНИТУМ»
в
области
информационной безопасности».
Регламент Р 3.201-2013 «Процесс
управления доступом к активам ОАО
«Специализированный
депозитарий
«ИНФИНИТУМ»
Регламент Р «Процесс управления
техническими
уязвимостями
ОАО
«Специализированный
депозитарий
«ИНФИНИТУМ»
Стандарт организации СТО 3.002-2012
«Классификация информации»;
Положение о работе с инсайдерской
информацией
в
ОАО
«Специализированный
депозитарий
«ИНФИНИТУМ», редакция №2;
Положение о защите персональных
данных ОАО «Специализированный
депозитарий
«ИНФИНИТУМ»;
Положение о защите коммерческой
тайны
ОАО
«Специализированный
депозитарий «ИНФИНИТУМ»
Защита от вредоносного программного
обеспечения и мобильного кода
Руководство
пользователя
информационных
систем
в
ОАО
«Специализированный
депозитарий
«ИНФИНИТУМ»;
Регламент обеспечения защиты от
вредоносного
программного
обеспечения
Использование
корпоративной Стандарт организации СТО 1.303-2012
электронной почты и сети Интернет
«Правила пользования электронной
почтой»;
Руководство
пользователя
информационных
систем
в
ОАО
«Специализированный
депозитарий
«ИНФИНИТУМ»;
Актуальная версия на 05.08.2014
9
Регламент
обеспечения
от
вредоносного
программного
обеспечения
Обеспечение непрерывности бизнес- Политика обеспечения непрерывности
процессов
деятельности
ОАО
«Специализированный
депозитарий
«ИНФИНИТУМ»;
План
обеспечения
непрерывности
бизнес-процессов
ОАО
«Специализированный
депозитарий
«ИНФИНИТУМ»
6.
Ответственность
за
нарушение
политики
информационной
безопасности
В случае нарушения установленных правил работы с информационными
активами работник может быть ограничен в правах доступа к таким активам, а также
привлечен к ответственности в соответствии с Трудовым кодексом, Кодексом об
административных правонарушениях и Уголовным кодексом РФ.
7.
Пересмотр политики информационной безопасности
В целях поддержания актуальности, эффективности СУИБ и её адекватности
существующим реалиям, Обществом ежегодно осуществляется пересмотр настоящей
Политики.
Обществом также может быть инициирован пересмотр настоящего документа по
результатам анализа рисков, проверок соответствия требованиям ИБ и реализации
изменений, затрагивающих процессы управления ИБ, в том числе внутренних и
внешних требований в сфере ИБ.
Инициирование
пересмотра
настоящей
Политики
осуществляется
лицами,
ответственными за функционирование СУИБ в Обществе.
8.
Перечень применимого законодательства

Конституция Российской Федерации;

Доктрина информационной безопасности Российской Федерации утв. Президентом
РФ 09.09.2000 № Пр-1895;

ФЗ «Об информации, информационных технологиях и о защите информации»
№149-ФЗ от 27 июля 2006 года;

ФЗ «О персональных данных» №152-ФЗ от 27 июля 2006 года;

ФЗ «О коммерческой тайне» №98-ФЗ от 29 июля 2004 года;

ФЗ
«О
противодействии
неправомерному
использованию
инсайдерской
информации и манипулированию рынком и о внесении изменений в отдельные
законодательные акты Российской Федерации» №224-ФЗ от 27 июля 2010 года;

ФЗ «Об электронной подписи» №63-ФЗ от 6 апреля 2011 года;
Актуальная версия на 05.08.2014
10

ФЗ
«О
противодействии
легализации
(отмыванию)
доходов,
полученных
преступным путем, и финансированию терроризма» №115-ФЗ от 7 августа 2001г
года (ред. от 21.07.2014);

ФЗ «О рынке ценных бумаг» от 22.04.1996 № 39-ФЗ;

«Налоговый кодекс Российской Федерации»:
 Часть 1, от 31.07.1998 № 146-ФЗ;
 Часть 2, от 05.08.2000 № 117-ФЗ;

«Гражданский кодекс Российской Федерации»:

Часть 1, от 30.11.1994 № 51-ФЗ;

Часть 2, от 26.01.1996 № 14-ФЗ;

Часть 4, от 18.12.2006 № 230-ФЗ;

«Трудовой кодекс Российской Федерации» от 30.12.2001 № 197-ФЗ;

«Кодекс Российской Федерации об административных правонарушениях» от
30.12.2001 № 195-ФЗ;

«Уголовный кодекс Российской Федерации» от 13.06.1996 № 63-ФЗ;

ФЗ
«О
лицензировании
отдельных
видов
деятельности»
№99-ФЗ
4 мая 2011 года;

Постановления Правительства РФ;

Приказы Министерства финансов РФ;

Приказы ФСФР;

Документы ПАРТАД;

Указания Банка России;

Нормативные документы ФСБ России, ФСТЭК России, Роскомнадзора.
Актуальная версия на 05.08.2014
11
от