Add to collection(s) Add to saved
  1. No category

Приложение к проекту

advertisement 
Приложение
Открытое акционерное общество
Банк социального развития и строительства
" Липецккомбанк".
УТВЕРЖДАЮ
Генеральный директор
___________ А.М.Копаева
« 05 » октября 2001 г.
Процедуры
5 октября 2001 года г.
Липецк
препятствующие
несанкционированному
доступу
к
служебной
информации
и
ее
неправомерному использованию, в т.ч. при совмещении различных видов профессиональной
деятельности на рынке ценных бумаг
1. Общие положения
1.1.
Процедуры,
препятствующие
несанкционированному
доступу
к
служебной
информации и ее неправомерному использованию, в т.ч. при совмещении различных видов
профессиональной деятельности на рынке ценных бумаг, установленные в ОАО
"Липецккомбанк" (далее - Банк), включают в себя: перечень ограничений по
доступу к
служебной информации; требования по разграничению прав доступа и обеспечению
конфиденциальности информации; меры защиты служебной документации и информации
от неправомерного использования; меры защиты рабочих мест и мест хранения
документации и информации от несанкционированного доступа; требования к работникам
Банка; систему мер ответственности за несанкционированное предоставление работниками
подразделений Банка служебной информации работникам других подразделений Банка
посторонним лицам.
1.2. В настоящем документе используются следующие термины и определения:
Служебная информация - любая информация, имеющаяся в распоряжении Банка, не
являющаяся общедоступной и содержащая сведения об эмитенте и выпущенных им
эмиссионных ценных бумагах, об операциях (сделках) Банка и ее клиентов на рынке ценных
бумаг, которая ставит работников Банка, обладающих такой информацией в силу своего
служебного положения или трудовых обязанностей, в преимущественное положение по сравнению
с другими субъектами рынка ценных бумаг;
Процедуры - процедуры, препятствующие несанкционированному доступу к служебной
информации и ее неправомерному использованию, в том числе при совмещении различных видов
профессиональной деятельности на рынке ценных бумаг.
1.3. Целью Процедур является:
исключение возможности несанкционированного доступа к служебной информации и ее
использования работниками Банка и третьими лицами в собственных интересах в ущерб
интересам клиентов Банка и интересам самого Банка; повышение уровня доверия к Банку
со стороны клиентов.
1.4. Комплаенс - контролер осуществляет текущий контроль за соблюдением Процедур
работниками Банка, а также проводит проверку эффективности защиты служебной
информации с помощью указанных Процедур.
250
Приложение
2. Перечень Процедур
2.1. Процедура ограничения доступа посторонних лиц в помещения подразделений Банка,
предназначенные для осуществления профессиональной деятельности на рынке ценных бумаг
или эксплуатации информационно-технологических систем, предусматривающая следующие
мероприятия:
2.1.1. Размещение
помещений
подразделений
Банка
и
оборудования
способом,
исключающим возможность бесконтрольного проникновения в эти помещения и к
этому оборудованию посторонних лиц, включая работников других подразделений.
Практические
рекомендации:
работники
подразделений,
осуществляющих
различные
виды
профессиональной
деятельности,
размещаются
в разных
помещениях по функциональному признаку. После окончания рабочего дня дверь
каждого помещения закрывается на ключ. Все помещения должны иметь разные
замки. Дубликаты ключей хранятся в запираемом шкафу у работников
информационно-аналитической службы. В случае ухода из помещения в течение
рабочего дня всех работников, дверь помещения закрывается на ключ. Работники
каждого подразделения, расположенного в отдельном помещении, не должны
покидать своего рабочего места, оставляя в нем без присмотра посторонних лиц,
включая работников других подразделений Банка. Контроль за соблюдением
установленного порядка возложен на старшего по должности в каждом
помещении Банка.
2.1.2. Проведение переговоров с
помещении.
Практические
закрывающегося на ключ.
клиентами Банка в специально оборудованном
рекомендации:
наличие
отдельного
помещения,
2.1.3. Обеспечение контроля за входом в помещения Банка. Практические рекомендации:
установление охраны и введение пропускного режима доступа в рабочие помещения
и
помещения,
в
которых
эксплуатируется
информационно-технологическая
система.
Ограничение доступа посторонних лиц в помещения после окончания
рабочего дня, установленного в Банке. Доступ работников Банка в помещения
Банка
по
выходным
и праздничным дням
осуществляется только
по
предварительному распоряжению уполномоченных лиц.
2.2. Процедура разграничения прав доступа при вводе и обработке данных с целью защиты от
несанкционированных действий работников разных подразделений Банка, а также
процедура ограничения доступа работников Банка к служебной информации,
предусматривающая следующие мероприятия:
2.2.1.
Четкое разграничение прав и обязанностей работников Банка. Практические
рекомендации: наличие должностной инструкции для каждого работника Банка,
четко определяющей его функции, права и обязанности. Функции исполнения
должны быть отделены от контрольного просмотра информации и выдачи
разрешения на проведение операции.
2.2.2.
Доступ к данным только ограниченного круга лиц, являющихся непосредственными
исполнителями, обеспечивающими
осуществление
конкретного
вида
профессиональной деятельности Банка. Доступ работников Банка только к
сведениям, необходимым им для выполнения своих прямых служебных
обязанностей
в
пределах
предоставленных
полномочий.
Практические
рекомендации: наличие внутренних документов (приказов), определяющих круг лиц,
имеющих доступ к служебной информации. Наличие должностной инструкции для
каждого работника Банка, четко определяющей его функции, права и обязанности.
251
Приложение
Наличие письменного обязательства о неразглашении служебной информации от
работников, имеющих доступ к служебной информации. Установление системы
индивидуальных кодов и паролей доступа к данным для каждого работника Банка.
2.2.3.
Наличие системы разграничения доступа к разным уровням баз данных и
операционной среды используемого программного обеспечения, состоящей из
системы разграничения доступа на уровне локальной сети. Практические
рекомендации: при осуществлении профессиональной деятельности используются
общепринятые
системы
безопасности
операционных
систем,
позволяющие
распределять права отдельным пользователям и группам пользователей, а также
контролировать действия пользователя с сетевыми ресурсами (получение доступа,
чтение, изменение данных, удаление и т.д.). Производится поддержка системы
безопасности, предусматривающая постоянное отслеживание технологии работы
подразделений Банка, изменение должностных обязанностей работников, а также
корректировка системы безопасности при каждом изменении, происходящем в
подразделениях Банка.
2.2.4.
Доступ к данным только с определенных автоматизированных рабочих мест.
Практические рекомендации: наличие персонального компьютера,
доступ к
которому возможен только через имя пользователя и личный пароль.
Для регистрации пользователей информационной системы используется журнал
входа в систему. В него записываются данные о всех (санкционированных и
несанкционированных ) попытках входа в систему. Кроме того, существует система
проверки уровня доступа. Т.е. для каждого пользователя определен уровень доступа
к данным автоматизированной банковской системы. Пользователь может
манипулировать данными только в строго определенном для него диапазоне. Так же
существует система внутреннего аудита использования банковских данных. Каждое
изменение данных автоматически фиксируется в специальном журнале с указанием
пользователя, сделавшего это изменение, и характера изменения. При оборудовании
нового автоматизированного рабочего места руководитель подразделения составляет заявку
на установку программного обеспечения. В ней перечисляются все программные
продукты, которые требуется установить на компьютер, согласно уровню доступа к
данным для пользователя
2.2.5.
Своевременное уничтожение всех, не подлежащих хранению документов.
Практические рекомендации: в случае, если документ, содержащий служебную
информацию, утратил силу, устарел и не может представлять никакой важности
/ценности в будущем, то такой документ по распоряжению руководителя Банка
уничтожается при помощи специального оборудования.
2.3. Процедура защиты рабочих мест и мест хранения документов от беспрепятственного доступа
и наблюдения, защиты служебной информации от неправомерного использования,
предусматривающая следующие мероприятия:
2.3.1.
Размещение рабочих мест сотрудников таким образом, чтобы исключить
возможность
несанкционированного
просмотра
документов
и
информации,
отраженной
на экранах мониторов. Практические рекомендации: расположение
мониторов персональных компьютеров работников вне зрительной видимости от
других работников. Использование жалюзи или специальных штор для защиты окон
в помещениях, находящихся на нижних этажах. После окончания рабочего дня все
информационно-техническое
оборудование
(компьютеры,
принтер,
ксерокс)
должно быть отключено от системы питания. В случае отлучения работника со
своего рабочего места во время рабочего дня необходимо отключить монитор
252
Приложение
персонального компьютера или заблокировать вход в информационную систему в
целях защиты от просмотра данных посторонними лицами, включая работников
других подразделений. Работникам Банка не разрешается обсуждать сделки
клиентов с другими работниками Банка или иными лицами, не имеющими
отношение к этим сделкам.
2.3.2.
Использование
надежных
систем
защиты
служебной
информации
от
неправомерного использования. Практические рекомендации: при осуществлении
профессиональной деятельности используются системы защиты информационнотехнических систем, предохраняющие от потери информации в информационнотехнических системах и базах данных, утечки служебной информации по каналам
связи.
Хранение документов, содержащих служебную информацию, в запираемых шкафах
или сейфах. Практические рекомендации: наличие шкафов или сейфов, запираемых
на ключ, который хранится у ответственных работников Банка. Все документы,
содержащие служебную информацию, должны храниться в указанных шкафах или
сейфах. В конце каждого рабочего дня документы, содержащие служебную
информацию, не должны оставаться на столах работников, а должны убираться в
шкафы или сейфы.
Инвентаризация
хранилища.
Практические рекомендации: регулярное проведение
инвентаризации мест хранения документов, содержащих служебную информацию.
Факты обнаружения недостачи, порчи, утери документов доводятся до сведения
руководителя
Банка.
К виновным лицам
применяются меры
дисциплинарной
ответственности.
2.3.3.
2.3.4. Защита документов при доставке их клиенту. Практические рекомендации:
рекомендуется при заключении договора на брокерское обслуживание уведомить клиента о
рисках, связанных с возможным несанкционированным доступом к документам, направляемым
клиенту, во время их доставки. В договоре на брокерское обслуживание следует
установить способ доставки Банком документов клиенту (например, при передаче
документов в бумажном виде -использование указанной клиентом курьерской службы, в том
числе и курьерской службы Банка, при доставке документов с помощью электронных средств
связи -использование защищенных каналов передачи информации). Банк должен
использовать все возможные средства для минимизации рисков, связанных с возможным
несанкционированным доступом к документам, направляемым клиенту.
Процедура управления персоналом, предусматривающая:
2.4.1. Наличие письменного обязательства работников Банка о не разглашении служебной
информации внутри Банка и за ее пределами. Практические рекомендации: в
должностной инструкции или трудовом договоре работника, имеющего доступ к
служебной информации, должен быть определен состав служебной информации.
2.5.
Процедура применения мер ответственности за несанкционированное предоставление
работниками подразделений Банка служебной информации работникам других
подразделений Банка и посторонним лицам.
2.5.1. Применение дисциплинарной ответственности и административных мер, в т.ч. наложение
материальных взысканий на работников Банка за несанкционированное предоставление
служебной информации работникам других подразделений Банка и посторонним лицам.
253
Приложение
2.6.
Процедура взаимодействия подразделений Банка, осуществляющих различные виды
профессиональной
деятельности,
предусматривающая
передачу
служебной
информации между подразделениями Банка только при наличии необходимости и в
установленном внутренними документами Банка порядке.
Начальник службы внутреннего контроля
Г.И.Шурупова
Визы:
О. Н. Митрохина
Е.М.Илюхина
И.Ю. Чепрасов
С.Ю.Зубенкова
Г.А.Зурканаева
А.И.Корнев
Н.А.Гарбуз
Л.Д.Соколовская
254
Related documents
Типовые процедуры, препятствующие
Типовые процедуры, препятствующие
Выписки из Трудового Кодекса, раскрывающие понятия
Выписки из Трудового Кодекса, раскрывающие понятия
Ежеквартальный отчет за 2 квартал 2010 года
Ежеквартальный отчет за 2 квартал 2010 года
Федеральная служба по финансовым рынкам УТВЕРЖДЕНО Решением Правления Банка "Йошкар-Ола"
Федеральная служба по финансовым рынкам УТВЕРЖДЕНО Решением Правления Банка "Йошкар-Ола"
Административно-хозяйственное и материально
Административно-хозяйственное и материально
перечень мер
перечень мер
Приложение к Приказу от 14.07.2009 № 679* ПЕРЕЧЕНЬ МЕР, направленных на предотвращение
Приложение к Приказу от 14.07.2009 № 679* ПЕРЕЧЕНЬ МЕР, направленных на предотвращение
ФЕДЕРАЛЬНАЯ КОМИССИЯ ПО РЫНКУ ЦЕННЫХ БУМАГ С О Г
ФЕДЕРАЛЬНАЯ КОМИССИЯ ПО РЫНКУ ЦЕННЫХ БУМАГ С О Г
Психологическое сопровождение служебной деятельности
Психологическое сопровождение служебной деятельности
ССС Цифровая система передачи Аппарат служебной связи MC04−CC
ССС Цифровая система передачи Аппарат служебной связи MC04−CC
8. Проект Федерального закона О служебной тайне № 124871-4
8. Проект Федерального закона О служебной тайне № 124871-4
Download
advertisement