Открытое Акционерное Общество «Балтийский Инвестиционный Банк» УТВЕРЖДЕНО Протоколом Правления от «__04__»__октября__ 2007 г. № __37__ Председатель Правления _____________ И.А. Кирилловых ПЕРЕЧЕНЬ МЕР, направленных на предотвращение неправомерного использования служебной информации при осуществлении профессиональной деятельности на рынке ценных бумаг Версия 2.0 Санкт-Петербург 2007 Лист согласования Название Версия ПЕРЕЧЕНЬ МЕР, направленных на предотвращение неправомерного использования служебной информации при осуществлении профессиональной деятельности на рынке ценных бумаг. ПЕРЕЧЕНЬ МЕР предотвращения неправомерного использования служебной информации .doc 2.0 Дата __ ______________ 2007._ Статус Окончательный Подразделение Аппарат управления Доступ Свободный Имя файла № папки хранения №10 Ответственный разработчик и исполнитель Комплайенсконтролер Китаева Г.В. Должность Ф.И.О. Согласовано Директор Департамента контроля и информации Главный бухгалтер Подпись Дата Гладарев С.Г. Даушвили С.М. Начальник Юридического управления Начальник Управления СВК Буланов К.А. Зав. Канцелярией Бобырь О.Б. Начальник Казначейства Дедов И.Г. Начальник Управления депозитарных операций Начальник Управления контроля и свода баланса Шатова Н.В. Тиунцова Т.А. Полякова Ж.О. История изменений Версия (1,0; 2.0; 2.1 и т.д.) Дата 1.0 25.06.2003 Актуализация 2.0 Причина изменений (изменение технологического процесса, изменение организационной структуры и т.д.) Статус Документа (утратил силу, окончательный) утратил силу окончательный 2 Оглавление 1. 2. 3. 4. 5. Общие положения................................................................................................................ 4 Основные цели и задачи противодействия несанкционированному доступу (использованию) служебной информации ...................................................................... 5 Меры, направленные на предотвращение неправомерного использования служебной информации при осуществлении профессиональной деятельности на рынке ценных бумаг ........................................................................................................... 6 Порядок осуществления контроля и проведения процедур....................................... 9 Ответственность и порядок взаимодействия подразделений Банка при реализации мер, препятствующих несанкционированному использованию служебной информации.................................................................................................... 10 3 1. Общие положения 1.1. ПЕРЕЧЕНЬ МЕР, направленных на предотвращение неправомерного использования служебной информации при осуществлении профессиональной деятельности на рынке ценных бумаг (далее - Перечень) предусматривает процедуры, препятствующие несанкционированному доступу, исключающие возможность неправомерного использования служебной информации, а также определяет порядок противодействия несанкционированному использованию служебной информации сотрудниками и руководителями подразделений ОАО «БАЛТИНВЕСТБАНКА», имеющими доступ к такой информации в силу исполнения своих служебных обязанностей, в собственных целях или в интересах третьих лиц. 1.2. Порядок использования служебной информации в организации регламентирован следующими документами: Гражданский Кодекс РФ; Уголовный Кодекс РФ; Федеральный Закон «Об информации, информационных технологиях и о защите информации » от 27.07.2006 № 149-ФЗ; Перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 06.03.97 № 188; Законодательные и нормативные правовые акты, регулирующие рынок ценных бумаг и Банковскую деятельность; Положение по обеспечению сохранности сведений, содержащих коммерческую или банковскую тайну, в ОАО «БАЛТИНВЕСТБАНК» (далее – Положением по обеспечению сохранности сведений ограниченного распространения) утвержденное 19/10/2006 протокол № 46; Внутренние документы ОАО «БАЛТИНВЕСТБАНК» (положения, инструкции, перечни, регламенты, стандарты, приказы и т.д.). 1.3. В настоящем документе используются следующие термины и определения: Банк – Открытое акционерное общество «Балтийский Инвестиционный Банк», сокращенное наименование банка - ОАО «БАЛТИНВЕСТБАНК» Сотрудник Банка- лицо, выполняющее определенные функции на основании трудового или гражданско-правового договора в рамках деятельности, осуществляемой Банком. Клиент - юридическое или физическое лицо, которому Банк оказывает услуги, связанные с его профессиональной деятельностью на рынке ценных бумаг. Служебная информация – любая информация, имеющаяся в распоряжении Банка, не являющаяся общедоступной и в соответствии с Перечнем сведений, составляющих коммерческую и банковскую тайну в Банке, отнесенная к категории сведений ограниченного распространения, в том числе содержащая сведения об эмитенте и выпущенных им эмиссионных ценных бумагах, об операциях (сделках) Банка и его клиентов на рынке ценных бумаг, которая ставит работников Банка, обладающих такой информацией в силу своего служебного положения или трудовых обязанностей, в преимущественное положение по сравнению с другими субъектами рынка ценных бумаг, раскрытие которой может оказать (или оказывать в период времени) существенное влияние на рынок ценных бумаг (инсайдерская информация); Меры - процедуры, препятствующие неправомерному использованию служебной информации лицами, в частности, сотрудниками Банка, которые имеют непосредственный доступ к служебной информации. Процедуры – под процедурами, препятствующими несанкционированному доступу (использованию), служебной информации, в целях реализации настоящего 4 документа, понимаются мероприятия по предупреждению несанкционированного доступа (использования), оперативному и последующему контролю использования служебной информации, проводимые сотрудниками и руководителями подразделений Банка, участвующих в процессе использования таких сведений и осуществления контроля над ними; Контролер – сотрудник Банка, ответственный за осуществление внутреннего контроля профессиональной деятельности Банка на рынке ценных бумаг. 1.4. Процедуры, препятствующие несанкционированному доступу к служебной информации и ее неправомерному использованию, в том числе при совмещении различных видов профессиональной деятельности на рынке ценных бумаг, установленные в Банке, включают в себя: перечень ограничений по доступу к служебной информации; требования по разграничению прав доступа и обеспечению конфиденциальности информации; меры защиты служебной документации и информации от неправомерного использования; меры защиты рабочих мест и мест хранения документации и информации от несанкционированного доступа; требования к работникам Банка; систему мер ответственности за несанкционированное предоставление работниками подразделений Банка служебной информации работникам других подразделений Банка и посторонним лицам. 1.5. Служебная информация может существовать в различных формах, в том числе в письменной (на бумажном носителе) или электронной форме. 1.6. Служебная информация может передаваться в соответствии с требованиями внутренних документов Банка и Положения по обеспечению сохранности сведений ограниченного распространения и только тем лицам, которым она необходима для исполнения ими своих прямых должностных обязанностей. В пределах подразделения сотрудники несут персональную ответственность за принятие решений о правомерности передачи находящейся в их распоряжении служебной/инсайдерской информации другим лицам. При этом в каждом конкретном случае сотрудники обязаны предупреждать получателя о том, что ему передается неопубликованная информация, способная влиять на формирование цен и другие существенные факторы. 1.7. Подразделениями, участвующими в процессе использования служебной информации, являются: функциональные подразделения, подразделения по работе с клиентами, прочие подразделения, сотрудники которых имеют доступ к служебной информации; подразделения, в задачи которых входит разработка, реализация и контроль проведения мероприятий по противодействию несанкционированному доступу (использованию) служебной информации (в частности: подразделения контроля, Служба безопасности, служба информационных технологий, Депозитарий и др.) 2. Основные цели и задачи противодействия несанкционированному доступу (использованию) служебной информации 2.1 Целью настоящих Мер является: исключение возможности несанкционированного доступа к служебной информации и ее использования работниками Банка и третьими лицами в собственных интересах в ущерб интересам клиентов Банка и интересам самого Банка; 5 повышение уровня доверия к Банку со стороны клиентов. 2.2 В целях оказания противодействия несанкционированному доступу (использованию) служебной информации перед подразделениями Банка ставятся следующие задачи: обеспечение сохранности и предотвращения утечки служебной информации, имеющейся в Банке; разграничение доступа сотрудников функциональных подразделений к служебной информации; организация работы с документами, препятствующей несанкционированному доступу (использованию) служебной информации; создание системы выявления случаев несанкционированного доступа (использования) служебной информации и своевременного эффективного реагирования на эти случаи; контроль соблюдения сотрудниками Банка требований законодательства РФ и иных нормативных правовых актов, регулирующих банковскую деятельность и рынок ценных бумаг, а также внутренних нормативных документов в области обязательного раскрытия служебной (инсайдерской) информации Банка, как профессиональным участником рынка ценных бумаг. 2.3 Контролер в части касающейся деятельности Банка в качестве профессионального участника рынка ценных бумаг, осуществляет текущий контроль соблюдения настоящих Мер работниками Банка, а также проводит самостоятельно или совместно с работниками других структурных подразделений проверку эффективности защиты служебной информации с помощью указанных Процедур. 3. Меры, направленные на предотвращение неправомерного использования служебной информации при осуществлении профессиональной деятельности на рынке ценных бумаг 3.1 Меры, связанные с ограничением доступа посторонних лиц в помещения подразделений Банка, предназначенные для осуществления профессиональной деятельности на рынке ценных бумаг или эксплуатации информационнотехнологических систем. 3.1.1 Размещение помещений подразделений Банка и оборудования осуществляется способом, исключающим возможность бесконтрольного проникновения в эти помещения и к этому оборудованию посторонних лиц, включая работников других подразделений Банка. 3.1.2 Сотрудники подразделений, осуществляющих различные виды профессиональной деятельности на рынке ценных бумаг, размещаются в разных помещениях по функциональному признаку; 3.1.3 Входные двери помещений оборудуются замками, обеспечивающими надежное закрытие помещений в нерабочее время. 3.1.4 Все помещения имеют разные замки; 3.1.5 Дубликаты ключей хранятся: 2-й экземпляр – на центральном посту охраны в металлических пеналах, опечатанных печатью начальника Службы безопасности и выдаются только с его разрешения для временного использования под роспись в журнале с фиксацией времени их получения и сдачи; 3-й экземпляр – у начальника Службы безопасности. 3.1.6 После окончания рабочего дня дверь каждого помещения закрывается на ключ, который сдается на электронный пульт хранения ключей, обеспечивающий идентификацию сотрудника, сдающего ключ; 6 3.1.7 В случае ухода из помещения в течение рабочего дня всех работников, дверь помещения закрывается на ключ; 3.1.8 Сотрудники каждого подразделения, расположенного в отдельном помещении, не должны покидать своего рабочего места, оставляя в нем без присмотра посторонних лиц, включая работников других подразделений Банка; 3.1.9 Контроль соблюдения установленного порядка возложен на старшего по должности в каждом помещении сотрудника или согласно приказу по Банку. 3.1.10 Помещения оборудуются пожарной и охранной сигнализацией, связанной с пультом централизованного наблюдения за сигнализацией; 3.1.11 Контроль входа в помещения Банка обеспечивается путем установления постов охраны и введением пропускного режима доступа в рабочие помещения Банка и помещения, в которых эксплуатируется информационно-технологическая система, а также системой видеонаблюдения в зоне ее действия. 3.1.12 Службой безопасности осуществляется ограничение доступа посторонних лиц в помещения Банка после окончания рабочего дня. Доступ сотрудников в помещения по выходным и праздничным дням осуществляется охраной только при наличии письменного разрешения (приказа или служебной записки, согласованной с членами Правления, курирующими данное подразделение с указанием Ф.И.О. сотрудников, номеров помещений, даты и планируемого времени начала и окончания работ). 3.1.13 Помещения, в которых размещаются технические средства (компьютеры, серверы, сетевое оборудование) обеспечивают конфиденциальность проводимых работ; 3.1.14 Размещение помещений подразделений Банка и оборудования в них обеспечивает сохранность находящихся в этих помещениях конфиденциальных документов и технических средств. 3.1.15 Размещение оборудования и технических средств соответствует требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности. 3.1.16 Уборка помещений, в которых установлены средства вычислительной техники, производится в присутствии ответственных за их эксплуатацию при убранных со столов документах и носителях информации, содержащих коммерческую и банковскую тайны. 3.2 Меры, связанные с полученной в процессе переговоров. ограничением распространения информации, 3.2.1 Проведение переговоров с клиентами Банка проводятся в специально оборудованных помещениях, закрывающимися на ключ. 3.2.2 Для заключения сделки с клиентом при необходимости помещения обеспечиваются техническим оборудованием (компьютер, принтер, ксерокс). 3.2.3 В случае невозможности выделения отдельного помещения для переговоров переговоры проводятся в кабинете руководителя структурного подразделения. 3.2.4 Присутствие посторонних лиц, не участвующих в переговорах, при проведении переговоров запрещается. 3.3 Меры, связанные с разграничением прав доступа при вводе и обработке данных с целью защиты от несанкционированных действий сотрудников разных подразделений Банка к служебной информации. 3.3.1 Четкое разграничение прав и обязанностей работников Банка обеспечивается наличием должностной инструкции для каждого работника Банка, четко определяющей его функции, права и обязанности. 3.3.2 Функции исполнения отделяются от контрольного просмотра информации и выдачи разрешения на проведение операции. 7 3.3.3 К служебной информации допускаются только лица, являющиеся непосредственными исполнителями, обеспечивающими осуществление конкретного вида профессиональной деятельности Банка. 3.3.4 Каждый сотрудник Банка допускается к информационным ресурсам Банка в соответствии с Положением, регламентирующим порядок предоставления доступа к разделяемым ресурсам информационных технологий. 3.3.5 По представлению руководителя структурного подразделения сотруднику Банка предоставляется доступ к разделяемым ресурсам информационных технологий только к сведениям, необходимым им для выполнения своих прямых служебных обязанностей в соответствии с положением о структурном подразделении и должностной инструкцией. 3.3.6 Устанавливается система индивидуальных кодов и паролей доступа к данным для каждого работника Банка. При осуществлении профессиональной деятельности используются общепринятые системы безопасности операционных систем, позволяющие распределять права отдельным пользователям и группам пользователей, а также контролировать действия пользователя с сетевыми ресурсами 3.3.7 Доступ к данным информационной системы Банка осуществляется исключительно с использованием персонального имени пользователя и личного пароля. 3.3.8 Парольная информация является конфиденциальной и не подлежит разглашению. 3.3.9 При уходе в отпуск, длительной командировке, переходе на новую должность и при увольнении руководитель структурного подразделения и Управление по работе с персоналом предоставляют эти сведения Департаменту информационных технологий для обновления или прекращения доступа к разделяемым ресурсам. 3.3.10 В Банке осуществляется ведение автоматизированного журнала регистрации пользователей информационной системы и регистрации попыток несанкционированного доступа к данным, содержащим служебную информацию. 3.3.11 Попытки несанкционированного доступа к данным, содержащим служебную информацию, доводятся до сведения Председателя Правления Банка. 3.4 Меры по защите рабочих мест и мест хранения документов от беспрепятственного доступа и наблюдения, защиты служебной информации от неправомерного использования 3.4.1 Размещение рабочих мест сотрудников Банка организуется таким образом, чтобы исключить возможность несанкционированного просмотра документов и информации, отраженной на экране мониторов (вне зрительной видимости от других сотрудников). 3.4.2 Организуется использование жалюзи или специальных штор для защиты мониторов от просмотра через окна в помещениях. 3.4.3 Сотрудникам Банка запрещается оставлять без присмотра компьютер в состоянии, не требующем ввода пароля для работы с ним, чтобы исключить несанкционированные действия сторонних лиц с информацией, а именно: просмотр, модификацию или уничтожение. 3.4.4 В случае ухода со своего рабочего места во время рабочего дня сотрудник блокирует вход в информационную систему в целях защиты от просмотра данных посторонними лицами, включая работников других подразделений; 3.4.5 После окончания рабочего дня бумажные документы и другие носители информации, содержащие коммерческую и банковскую тайны, убираются со столов в запираемые шкафы или сейфы. Информационно-техническое оборудование (компьютеры, принтер, ксерокс) не используемое в круглосуточном режиме отключается от электропитания; 3.4.6 Руководители структурных подразделений осуществляют текущий контроль за соблюдением подчиненными сотрудниками требований к организации мест хранения и порядка обращения с документами, содержащими служебную информацию. 8 3.4.7 Сотрудникам Банка не разрешается обсуждать сделки клиентов с другими сотрудниками Банка или иными лицами, не имеющими отношение к этим сделкам. 3.4.8 При осуществлении профессиональной деятельности на рынке ценных бумаг, используются системы защиты информационно-технических систем, предохраняющие от потери информации в информационно-технических системах и базах данных. 3.4.9 Хранение документов, содержащих служебную информацию, осуществляется в металлических шкафах или сейфах, запираемых на ключ, который хранится у ответственных сотрудников Банка. 3.4.10 Контролером совместно или с привлечением сотрудников подразделений Банка проводится регулярная (не реже одного раза в квартал) инвентаризация мест хранения документов, содержащих служебную информацию, в помещениях подразделений Банка, участвующих в работе на рынке ценных бумаг. Факты обнаружения недостачи, порчи, утери документов доводятся до сведения Председателя Правления Банка. К виновным лицам применяются меры дисциплинарной ответственности. 3.4.11 При доставке документов посредством электронных средств связи используются защищенные каналы передачи информации или средства криптографической защиты информации. Банк имеет лицензию ФАПСИ, дающую право осуществлять предоставление услуг в области шифрования информации. 3.5 Организационные меры. 3.5.1 Наличие письменного обязательства сотрудников, имеющих доступ к служебной информации, о неразглашении служебной информации, конфиденциальной информации, коммерческой тайны и персональных данных, а также информации, составляющей банковскую тайну. 3.5.2 В соответствии с Перечнем сведений, составляющих коммерческую и банковскую тайну в ОАО «БАЛТИНВЕСТБАНКЕ» (Приложение 1 и 2 Положения по обеспечению сохранности сведений ограниченного распространения), определен состав служебной информации, отнесенной к категории сведений ограниченного распространения. Перечни пересматриваются в случае необходимости, но не реже, чем раз в три года. 3.5.3 В соответствии с Положением по обеспечению сохранности сведений ограниченного распространения предусматривается применение дисциплинарной ответственности и административных мер, в т.ч. наложение материальных взысканий на работников Банка за несанкционированное предоставление служебной информации работникам других подразделений Банка и посторонним лицам. 3.5.4 Выполнение правил обмена служебной информацией и их соблюдение, установленные Положением по обеспечению сохранности сведений ограниченного распространения и иными внутрибанковскими документами. 4. Порядок осуществления контроля и проведения процедур Проведение процедур и осуществление контроля включают в себя: 4.1. Установление требований о неразглашении служебной информации. 4.2. Контроль выполнения сотрудниками Банка требований внутренних документов, в том числе по движению документации. 4.3. Уведомление сотрудников Банка, имеющих доступ к инсайдерской информации, о недопустимости осуществления банковских операций (в т.ч. с ценными бумагами) с использованием инсайдерской информации, как в своих интересах, так и в интересах третьих лиц. 4.4. Проведение оперативных проверок на предмет возможности утечки служебной информации в случаях, позволяющих предполагать несанкционированное использование служебной информации. 4.5. Предупреждение сотрудников Банка, имеющих доступ к служебной информации в бумажной и электронной форме, о недопустимости передачи третьим лицам, 9 либо несанкционированной публикации служебной информации. Проведение с сотрудниками регулярных инструктажей по изложенным в данном пункте вопросам. 4.6. Организация системы разграничения доступа сотрудников к служебной информации в соответствии с внутренними нормативными документами Банка. 4.7. Проведение оперативных проверок соблюдения требований законодательства РФ и внутренних нормативных документов Банка в части ограничения доступа сотрудников к служебной информации. 4.8. Контроль выполнения требований законодательства РФ и внутренних нормативных документов Банка по документообороту, предупреждающих возможность несанкционированного использования служебной информации. 4.9. Направление сведений Председателю Правления Банка о случаях несанкционированного использования информации. 4.10. Взаимодействие Контролера и структурных подразделений Банка по вопросам своевременного и адекватного реагирования на случаи несанкционированного использования служебной информации. 4.11. Контроль соблюдения требований законодательства РФ в области обязательного раскрытия служебной (инсайдерской информации) организацией как профессиональным участником рынка ценных бумаг. 5. Ответственность и порядок взаимодействия подразделений Банка при реализации мер, препятствующих несанкционированному использованию служебной информации 5.1. Контролер отвечает: за разработку и осуществление контроля исполнения положений нормативных документов по вопросам организации и эффективного функционирования системы внутреннего контроля Банка с целью недопущения несанкционированного доступа к служебной информации, и её неправомерному использованию; за сбор и обработку информации о выявленных случаях несанкционированного использования служебной информации; за взаимодействие с подразделениями Банка при получении сведений об использовании служебной информации; за своевременное уведомление руководства Банка о выявленных случаях несанкционированного использования служебной информации; 5.2. Служба безопасности Банка в рамках своих полномочий отвечает: за разработку и контроль по исполнению внутренних нормативных документов Банка по вопросам обеспечения конфиденциальности служебной информации в Банке, безопасности документооборота; за применение своевременных оперативных мер по пресечению фактов несанкционированного доступа к служебной (инсайдерской) информации; за взаимодействие с Контролером при проведении расследований по фактам несанкционированного использования служебной (инсайдерской) информации; за своевременное информирование руководства Банка и Контролера о выявленных случаях несанкционированного использования информации; 5.3. Управление информационных технологий и отдел защиты информации в рамках своих полномочий, отвечают: за реализацию автоматизированной системы разграничения доступа сотрудников к служебной информации; за взаимодействие с Контролером по вопросам проведения проверок правомерности использования служебной информации; 10 за соблюдение сотрудниками указанных подразделений требований законодательства РФ и внутренних нормативных документов Банка по обеспечению конфиденциальности служебной информации. 5.4. Структурные подразделения Банка отвечают: за информирование сотрудников, имеющих доступ к служебной информации, о противоправности ее несанкционированного использования; за своевременное информирование Контролера о выявленных случаях несанкционированного использования служебной информации и возможных рисках для Банка, возникающих вследствие несанкционированного использования информации; за оперативный контроль обеспечения целостности системы противодействия несанкционированному использованию служебной информации; за правомерность распределения доступа сотрудников Банка к информационным ресурсам в пределах их компетенции и должностных обязанностей; за соблюдение сотрудниками указанных подразделений требований законодательства РФ и внутренних нормативных документов Банка по вопросам несанкционированного использования служебной информации и обязательного раскрытия информации; за своевременное информирование Контролера, сотрудников Управления информационных технологий и Отдела защиты информации об изменении функциональных обязанностей сотрудников подразделений Банка (переход на другое место работы внутри подразделения или Банка), которое влечет изменение прав доступа к информации. 11