политика информационной безопасности оао

УТВЕРЖДЕНO
Приказом № П13/08-12
от 16 августа 2013 г.
ПОЛИТИКА
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОАО «СПЕЦИАЛИЗИРОВАННЫЙ ДЕПОЗИТАРИЙ
«ИНФИНИТУМ»
ОГЛАВЛЕНИЕ
1. Общие положения .................................................................................... 3
2. Цели и задачи ......................................................................................... 3
3. Принципы обеспечения информационной безопасности ............................. 4
4. Система управления информационной безопасностью ............................... 5
5. Процессы обеспечения и управления информационной безопасностью ....... 9
6. Ответственность за нарушение политики информационной безопасности .. 10
7. Пересмотр политики информационной безопасности................................ 10
8. Перечень применимого законодательства………………………………………………………10
2
Актуальная версия на 19.01.2016
1.
Общие положения
Обеспечение информационной безопасности (ИБ)1 является необходимым
условием
для
осуществления
деятельности
ОАО
«Специализированный
депозитарий «ИНФИНИТУМ» (далее – Общество). Нарушение ИБ может привести к
серьезным последствиям для Общества, включая потерю доверия со стороны
клиентов и снижение конкурентоспособности.
Настоящая политика ИБ (далее – Политика) представляет собой систему
взглядов на обеспечение ИБ Общества в виде систематизированного изложения
целей, задач, принципов и положений по организации процессов обеспечения и
управления ИБ.
Положения
Политики
распространяются
на
все
аспекты
деятельности
Общества, тем или иным образом влияющие на ИБ.
2.
Цели и задачи
Целью обеспечения ИБ является устойчивое функционирование Общества и
защита
активов,
клиентам
от
принадлежащих
умышленных
и
Обществу,
его
неумышленных
акционерам,
противоправных
инвесторам
и
посягательств,
разглашения, утраты, утечки, искажения, модификации и уничтожения, а также
сохранение
конфиденциальности
инсайдерской
информации,
персональных
данных, сведений, составляющих коммерческую тайну, информации, полученной
при осуществлении деятельности профессионального участника рынка ценных
бумаг или другой конфиденциальной информации в соответствии с действующим
законодательством Российской Федерации, а также международными нормами и
стандартами.
Задачами обеспечения ИБ являются:
 реализация
мероприятий
по
защите
инсайдерской
информации,
персональных данных, информации, полученной при осуществлении деятельности
профессионального участника рынка ценных бумаг, другой конфиденциальной
информации Общества, а также сведений, составляющих коммерческую тайну;
 обеспечение
непрерывности
организационно-методических
минимизацию
влияния
информационных
активов
и
на
бизнеса
технических
репутацию
посредством
на
основе
мероприятий,
Общества
комбинации
комплекса
направленных
последствий
на
утраты
предупреждающих
и
восстанавливающих мер и мероприятий;
Под информационной безопасностью понимается состояние информационных активов, достигаемое в
процессе обеспечения конфиденциальности, целостности и доступности информации, а также таких
её свойств, как аутентичность, подотчетность, неотказуемость и достоверность.
1
3
Актуальная версия на 19.01.2016
 управление (учёт, контроль и анализ) инцидентами, связанными с ИБ;
 обеспечение соответствия требованиям нормативно-правовых документов
в сфере ИБ;
 управление рисками ИБ Общества в целях недопущения или снижения
вероятности возникновения неприемлемых репутационных и финансовых потерь;
 минимизация ущерба и быстрейшее восстановление инфраструктуры,
программных и технических средств, а также информации, вследствие кризисных
(нештатных) ситуаций. Расследование причин возникновения таких ситуаций и
принятие мер по их предотвращению.
Результатом достижения цели и решения задач является разработанный и
реализованный
мероприятий
комплекс
нормативно-методических
(соответствующих
законодательства
Российской
мировым
Федерации),
и
практикам
направленных
организационных
и
требованиям
на
создание
и
функционирование эффективной и обоснованной системы безопасности персонала,
материальных активов, информации, деловой репутации и бизнес-процессов от
риска
причинения
вреда,
убытков
и
ущерба,
возникающих
в
результате
умышленных/неумышленных противоправных деяний, ошибочных действий или
ненадлежащего исполнения должностных обязанностей.
3.
Принципы обеспечения информационной безопасности
При построении и в процессе функционирования системы управления и
обеспечения
ИБ
(СУИБ)
Общество
руководствуется
следующими
основными
принципами:
 законности;
 системности;
 комплексности;
 непрерывности;
 своевременности;
 преемственности и непрерывности совершенствования;
 разумной достаточности и адекватности;
 персональной ответственности;
 минимизации полномочий;
 взаимодействия и сотрудничества;
 гибкости;
 открытости алгоритмов и механизмов защиты;
 простоты применения средств защиты;
4
Актуальная версия на 19.01.2016
 научной обоснованности и технической реализуемости;
 специализации и профессионализма;
 знания своих партнеров и работников;
 обязательности контроля и оценки.
3.1.
Законность
Означает, что защита активов Общества основывается на положениях и
требованиях
действующих
законов
и
иных
нормативных
правовых
актов
Российской Федерации (Перечень применимого законодательства в области ИБ
приведен в Приложении к настоящей Политике).
3.2.
Системность
Системный подход к обеспечению ИБ означает учёт всех взаимосвязанных,
взаимодействующих и изменяющихся во времени элементов, условий и факторов,
существенно-значимых
для
понимания
и
решения
задачи
обеспечения
ИБ
Общества.
3.3.
ИБ
Комплексность
обеспечивается
эффективным
сочетанием
организационных,
методических мер и программно-технических средств.
Применение различных средств и технологий защиты активов снижает
вероятность реализации наиболее значимых угроз ИБ.
3.4.
Непрерывность
Означает, что система управления и обеспечения ИБ функционирует на всех
этапах работы с активами Общества.
3.5.
Своевременность
Означает упреждающий характер принимаемых мер по обеспечению ИБ.
3.6.
Преемственность и непрерывность совершенствования
Означает, что меры и средства защиты активов постоянно совершенствуются
в соответствии с результатами анализа функционирования СУИБ, учитывается
появление новых способов и средств реализации угроз ИБ, а также принимается во
внимание имеющийся отечественный и зарубежный положительный опыт в сфере
ИБ. В процессе непрерывного совершенствования осведомленности работников в
части ИБ проводится периодическое обучение.
3.7.
Разумная достаточность и адекватность
5
Актуальная версия на 19.01.2016
Означает, что при выборе мер защиты активов Общество ориентируется на
результаты оценки рисков ИБ, связанных с обработкой и характером защищаемых
активов.
Программно-технические средства и организационные меры, направленные
на защиту активов, проектируются и внедряются таким образом, чтобы не повлечь
за собой существенное ухудшение основных функциональных характеристик, а
также производительности информационных систем (ИС) и работников Общества.
3.8.
Персональная ответственность
Означает,
что
ответственность
за
обеспечение
безопасности
активов
возлагается на каждого работника в пределах его полномочий. Кроме этого в
Обществе создан коллегиальный орган для организации и координации работ по
обеспечению
ИБ, а
также
назначены
ответственные
лица
за
поддержание
процессов обеспечения и управления ИБ.
3.9.
Минимизация полномочий
Означает, что предоставление и использование прав доступа к инсайдерской
информации, персональным данным, информации, полученной при осуществлении
деятельности профессионального участника рынка ценных бумаг, сведениям,
составляющим коммерческую тайну и другой конфиденциальной информации,
ограничено, управляется и соответствует характеру решаемых задач.
3.10. Взаимодействие и сотрудничество
Означает, что в коллективе Общества создана благоприятная атмосфера,
способствующая осознанной необходимости соблюдения установленных правил и
оказания содействия в деятельности подразделений, обеспечивающих ИБ.
3.11. Гибкость
Предполагает, что в процессе эксплуатации активов Общества изменения
характеристик, объёма и категорий обрабатываемой информации влекут за собой
своевременные и адекватные изменения в СУИБ.
3.12. Открытость алгоритмов и механизмов защиты
Означает, что защита не должна обеспечиваться только за счет секретности
структурной организации и алгоритмов функционирования ее подсистем. Знание
алгоритмов
работы
системы
защиты
не
должно
давать
возможности
ее
преодоления. Но это вовсе не означает, что информация о системе защиты
Общества должна быть общедоступна – необходимо обеспечивать защиту от
угрозы раскрытия параметров системы.
3.13. Простота применения средств защиты
6
Актуальная версия на 19.01.2016
Означает, что механизмы защиты, внедренные в Обществе, интуитивно
понятны и просты в использовании. Применение средств защиты не связано со
знанием
специальных
языков
или
с
выполнением
действий,
требующих
значительных дополнительных трудозатрат при обычной работе работников.
3.14. Научная обоснованность и техническая реализуемость
Уровень рекомендаций и требований по защите активов соответствует
имеющемуся уровню развития информационных технологий и средств защиты
информации.
При эксплуатации и совершенствовании СУИБ Общество ориентируется на
лучшие
современные
отечественные и
зарубежные
технические
решения и
практики в области защиты информации.
3.15. Специализация и профессионализм
Означает, что к разработке средств и реализации мер защиты активов
привлекаются специализированные организации, наиболее подготовленные к
конкретному виду деятельности по обеспечению ИБ, имеющие опыт практической
работы и государственную лицензию на право оказания услуг в этой области.
Реализация
информации
административных
(активов)
мер
и
осуществляется
эксплуатация
средств
профессионально
защиты
подготовленными
специалистами Общества.
3.16. Знание своих партнеров и работников
Общество
обладает
минимизировать
информацией
вероятность
о
реализации
своих
угроз,
партнерах,
связанных
что
позволяет
с
человеческим
мотивация
работников),
фактором.
Кадровая
используемая
политика
в
(подбор
Обществе,
персонала,
обеспечивает
исключение
или
минимизацию
возможностей работников Общества по нарушению системы безопасности активов.
3.17. Обязательность контроля
7
Актуальная версия на 19.01.2016
Неотъемлемой
частью
работ
по
обеспечению
ИБ
является
оценка
эффективности системы защиты.
С целью своевременного выявления и пресечения попыток нарушения,
установленных правил обеспечения безопасности активов, в Общества определены
процедуры постоянного контроля использования систем обработки и защиты
активов, а результаты контроля подвергаются регулярному анализу.
4.
Система управления информационной безопасностью
Для
эффективной
безопасности
управления
в
реализации
критичных
информационной
процесса
бизнес-процессах
безопасностью,
обеспечения
Общества
информационной
внедрена
соответствующая
Система
требованиям
международного стандарта ISO/IEC 27001:2005.
СУИБ распространяется на процессы и активы Общества, входящие в область
действия СУИБ (далее – ОД СУИБ)2.
Эффективное управление ИБ Общества и принятие решений о внедрении мер
по обеспечению ИБ осуществляется на основе процесса управления рисками.
Основными задачами данного процесса являются: идентификация и оценка
ценности активов Общества, определение уязвимостей и угроз активам Общества,
вероятности их реализации, оценка текущего уровня риска и формирование плана
обработки рисков ИБ, превышающих приемлемый уровень. Управляющий совет по
ИБ принимает решение о приемлемом для Общества уровне риска ИБ. В случае
если оцененный уровень риска ИБ превышает приемлемое значение, Общество
принимает меры по обработке рисков. Подробное описание процесса управления
рисками ИБ представлено в «Стандарте организации СТО 3.001-2012 Методика
оценки
рисками
информационной
безопасности
ОАО
«Специализированный
депозитарий «ИНФИНИТУМ»
В связи с тем, что в Обществе внедрены системы менеджмента (система
менеджмента
качества
и
СУИБ),
системообразующие
процессы
СУИБ
интегрированы с аналогичными процессами системы менеджмента качества:
 управление документацией и записями;
 внутренние аудиты;
 управление корректирующими и предупреждающими действиями.
ОД СУИБ – область применения и границы СУИБ в терминах бизнес-процессов, подразделений
Общества, территориальных площадок, ресурсов и применяемых технологий. Подробное описание ОД
СУИБ приведено в документе «Область действия системы управления информационной безопасностью
ОАО «Специализированный депозитарий «ИНФИНИТУМ».
2
8
Актуальная версия на 19.01.2016
4.1.
Управление документацией и записями
Подробное
представлено
в
описание
процесса
процедуре
управления
«Управление
документацией
документами
и
и
записями
записями
ОАО
«Специализированный депозитарий «ИНФИНИТУМ».
4.2.
Внутренние аудиты
Подробное
процедуре
описание
«Проведение
процесса
внутренних
внутренних
аудитов
в
аудитов
представлено
в
ОАО
«Специализированный
и
предупреждающими
депозитарий «ИНФИНИТУМ»
4.3.
Управление
корректирующими
действиями
Подробное
описание
предупреждающими
процесса
действиями
управления
представлено
в
корректирующими
процедуре
и
«Управление
корректирующими и предупреждающими действиями ОАО «Специализированный
депозитарий «ИНФИНИТУМ».
5.
Процессы
обеспечения
и
управления
информационной
безопасностью
Для реализации положений настоящей Политики в Обществе внедрен
процессный подход.
В части ИБ внедрены процессы, представленные в таблице 1.
Табл.1
Наименование процесса
Наименование документа,
описывающего процесс
Управление инцидентами ИБ
Анализ ИБ со стороны руководства
Оценка
эффективности
и
результативности
процессов
обеспечения и управления ИБ
Обучение
и
осведомленности
Общества в части ИБ
повышение
работников
Регламент Р 3.202-2012 «Процесс
управления
инцидентами
информационной безопасности в ОАО
«Специализированный
депозитарий
«ИНФИНИТУМ»
Процедура
анализа
системы
управления
информационной
безопасностью
руководством
ОАО
«Специализированный
депозитарий
«ИНФИНИТУМ»
Регламент Р 3.204-2012 «Оценка
эффективности мер обеспечения и
управления
информационной
безопасностью»
Стандарт организации СТО 3.003-2012
«Обучение
работников
ОАО
«Специализированный
депозитарий
9
Актуальная версия на 19.01.2016
«ИНФИНИТУМ»
в
области
информационной безопасности».
Управление
доступом
к
активам Регламент
Р
3.201
«Процесс
Общества
управления доступом к активам ОАО
«Специализированный
депозитарий
«ИНФИНИТУМ»
Управление уязвимостями
Регламент Р 3.203-2012 «Процесс
управления
техническими
уязвимостями»
Использование
информационных Стандарт организации СТО 3.002-2012
активов Общества с точки зрения ИБ
«Классификация информации»;
Положение о работе с инсайдерской
информацией
в
ОАО
«Специализированный
депозитарий
«ИНФИНИТУМ»;
Положение о защите персональных
данных ОАО «Специализированный
депозитарий
«ИНФИНИТУМ»;
Положение о защите коммерческой
тайны
ОАО
«Специализированный
депозитарий «ИНФИНИТУМ»
Защита от вредоносного программного Стандарт организации СТО 3.006-2012
обеспечения и мобильного кода
«Обеспечение защиты от вредоносного
программного обеспечения»
Использование
корпоративной Стандарт организации СТО 1.303-2012
электронной почты и сети Интернет
«Правила пользования электронной
почтой»;
Стандарт организации СТО 3.004-2012
«Безопасный доступ к сети Интернет»
Обеспечение непрерывности бизнес- План
обеспечения
непрерывности
процессов
бизнес-процессов
ОАО
«Специализированный
депозитарий
«ИНФИНИТУМ»
6.
Ответственность за нарушение политики информационной
безопасности
В случае нарушения установленных правил работы с информационными
активами работник может быть ограничен в правах доступа к таким активам, а
также привлечен к ответственности в соответствии с Трудовым кодексом, Кодексом
об административных правонарушениях и Уголовным кодексом РФ.
7.
Пересмотр политики информационной безопасности
В целях поддержания актуальности, эффективности СУИБ и её адекватности
существующим
реалиям,
Обществом
ежегодно
осуществляется
пересмотр
настоящей Политики.
10
Актуальная версия на 19.01.2016
Обществом также может быть инициирован пересмотр настоящего документа
по
результатам
анализа
рисков,
проверок
соответствия требованиям
ИБ и
реализации изменений, затрагивающих процессы управления ИБ, в том числе
внутренних и внешних требований в сфере ИБ.
Инициирование пересмотра настоящей Политики осуществляется лицами,
ответственными за функционирование СУИБ в Обществе.
8.
Перечень применимого законодательства

Конституция Российской Федерации;

Доктрина
информационной
безопасности
Российской
Федерации
утв.
Президентом РФ 09.09.2000 № Пр-1895;

ФЗ «Об информации, информационных технологиях и о защите информации»
№149-ФЗ от 27 июля 2006 года;

ФЗ «О персональных данных» №152-ФЗ от 27 июля 2006 года (с изменениями
от 25.07.2011 № 261-ФЗ;);

ФЗ «О коммерческой тайне» №126-ФЗ от 29 июля 2004 года (с изменениями от
11.07.2011);

ФЗ
«О
противодействии
неправомерному
использованию
инсайдерской
информации и манипулированию рынком и о внесении изменений в отдельные
законодательные акты Российской Федерации» №224-ФЗ от 27 июля 2010 года

ФЗ «Об электронной подписи» №63-ФЗ от 6 апреля 2011 года;

ФЗ
«О
противодействии
легализации
(отмыванию)
доходов,
полученных
преступным путем, и финансированию терроризма» №115-ФЗ от 7 августа
2001г года;

ФЗ «О рынке ценных бумаг» от 22.04.1996 № 39-ФЗ;

«Налоговый кодекс Российской Федерации»:
 Часть 1, от 31.07.1998 № 146-ФЗ
 Часть 2, от 05.08.2000 № 117-ФЗ

«Гражданский кодекс Российской Федерации»:

Часть 1, от 30.11.1994 № 51-ФЗ;

Часть 2, от 26.01.1996 № 14-ФЗ;

Часть 4, от 18.12.2006 № 230-ФЗ;

«Трудовой кодекс Российской Федерации» от 30.12.2001 № 197-ФЗ;

«Кодекс Российской Федерации об административных правонарушениях» от
30.12.2001 № 195-ФЗ;

«Уголовный кодекс Российской Федерации» от 13.06.1996 № 63-ФЗ;
11
Актуальная версия на 19.01.2016

ФЗ
«О
лицензировании
отдельных
видов
деятельности»
№99-ФЗ
от
4 мая 2011 года;

Постановления Правительства РФ;

Приказы Министерства финансов РФ;

Приказы ФСФР;

Документы ПАРТАД;

Указания Банка России;

Нормативные
документы
регуляторов:
ФСБ
России,
ФСТЭК
России,
Роскомнадзора.
12
Актуальная версия на 19.01.2016