ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОАО

УТВЕРЖДЕНО
Приказом № П15/03-02
от 10 марта 2015 г.
ПОЛИТИКА
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОАО «СПЕЦИАЛИЗИРОВАННЫЙ ДЕПОЗИТАРИЙ
«ИНФИНИТУМ»
Дата ввода в действие: 10.03.2015
Содержание
1. Общие положения ................................................................................... 3
2. Цели и задачи ......................................................................................... 3
3. Принципы обеспечения информационной безопасности ............................. 4
4. Система управления информационной безопасностью................................ 7
5. Процессы обеспечения и управления информационной безопасностью ....... 8
6. Ответственность за нарушение политики информационной безопасности .... 9
7. Пересмотр политики информационной безопасности .................................. 9
8. Перечень применимого законодательства.................................................. 9
2
1.
Общие положения
Обеспечение
необходимым
информационной
условием
для
безопасности
(далее
осуществления
-
ИБ)
является
деятельности
ОАО
«Специализированный депозитарий «ИНФИНИТУМ» (далее – Общество). Под
информационной безопасностью понимается состояние информационных активов,
достигаемое
в
процессе
обеспечения
доступности
информации.
конфиденциальности,
Нарушение
ИБ
может
привести
целостности
к
и
серьезным
последствиям для Общества, включая потерю доверия со стороны клиентов и
снижение конкурентоспособности.
Настоящая политика ИБ (далее – Политика) представляет собой систему
взглядов на обеспечение ИБ Общества в виде систематизированного изложения
целей, задач, принципов и положений по организации процессов обеспечения и
управления ИБ.
Положения Политики распространяются на все аспекты деятельности
Общества, тем или иным образом влияющие на ИБ.
2.
Цели и задачи
Целью
Общества,
обеспечения ИБ
устойчивое
принадлежащих
является
способствование
функционирование
Обществу,
его
клиентам,
Общества
партнёрам,
достижению
и
защита
целей
активов,
сотрудникам,
от
умышленных и неумышленных противоправных посягательств, разглашения,
утраты, утечки, искажения, модификации, недоступности и уничтожения, а также
сохранение
конфиденциальности
инсайдерской
информации,
персональных
данных, сведений, составляющих коммерческую тайну, информации, полученной
при осуществлении деятельности профессионального участника рынка ценных
бумаг, или другой конфиденциальной информации в соответствии с действующим
законодательством Российской Федерации, а также международными нормами и
стандартами.
Задачами обеспечения ИБ являются:
 реализация
персональных
деятельности
мероприятий
данных,
по
защите
информации,
профессионального
инсайдерской
полученной
участника
рынка
при
ценных
информации,
осуществлении
бумаг,
другой
конфиденциальной информации Общества, а также сведений, составляющих
коммерческую тайну;
 обеспечение
непрерывности
деятельности
на
основе
комплекса
организационно-методических и технических мероприятий, направленных на
минимизацию
влияния
на
репутацию
Общества
последствий
утраты
3
информационных
активов
посредством
комбинации
предупреждающих
и
восстанавливающих мер и мероприятий;
 управление (учёт, контроль и анализ) инцидентами, связанными с ИБ;
 обеспечение соответствия требованиям нормативно-правовых документов
в сфере ИБ;
 управление рисками ИБ Общества в целях недопущения или снижения
вероятности
возникновения
неприемлемых
финансовых,
репутационных
и
финансовых потерь.
Результатом достижения цели и решения задач является разработанный и
реализованный
мероприятий
комплекс
нормативно-методических
(соответствующих
законодательства
Российской
функционирование
лучшим
Федерации),
эффективной
и
и
практикам
направленных
обоснованной
организационных
и
требованиям
на
создание
системы
и
безопасности
персонала, материальных активов, информации, деловой репутации и бизнеспроцессов от риска причинения вреда, убытков и ущерба, возникающих в
результате умышленных/неумышленных противоправных деяний, ошибочных
действий или ненадлежащего исполнения должностных обязанностей.
3.
Принципы обеспечения информационной безопасности
При построении и в процессе функционирования системы управления и
обеспечения ИБ (СУИБ) Общество руководствуется следующими основными
принципами:
 законности;
 системности;
 комплексности;
 непрерывности;
 своевременности;
 преемственности и непрерывности совершенствования;
 разумной достаточности и адекватности;
 персональной ответственности;
 минимизации полномочий;
 взаимодействия и сотрудничества;
 гибкости;
 открытости алгоритмов и механизмов защиты;
 простоты применения средств защиты;
 научной обоснованности и технической реализуемости;
 специализации и профессионализма;
4
 знания своих партнеров и работников;
 обязательности контроля и оценки.
3.1.
Законность
Защита активов Общества основывается на положениях и требованиях
действующих законов и иных нормативно-правовых актов Российской Федерации
(Перечень применимого законодательства в области ИБ приведен в разделе 8
настоящей Политики).
3.2.
Системность
Системный подход к обеспечению ИБ означает учёт всех взаимосвязанных,
взаимодействующих и изменяющихся во времени элементов, условий и факторов,
существенно-значимых
для
понимания и
решения
задачи
обеспечения
ИБ
Общества.
3.3.
Комплексность
ИБ
обеспечивается
эффективным
сочетанием
организационных,
методических мер и программно-технических средств.
Применение различных средств и технологий защиты активов снижает
вероятность реализации наиболее значимых угроз ИБ.
3.4.
Непрерывность
Система управления и обеспечения ИБ функционирует на всех этапах
работы с активами Общества.
3.5.
Своевременность
Своевременность означает упреждающий характер принимаемых мер по
обеспечению ИБ.
3.6.
Меры
Преемственность и непрерывность совершенствования
и
средства
защиты
активов
постоянно
совершенствуются
в
соответствии с результатами анализа функционирования СУИБ, анализа рисков,
выявленными несоответствиями, предложениями по улучшению, а также с учетом
появления новых способов и средств реализации угроз ИБ и передовым
положительным опытом в сфере ИБ.
В процессе непрерывного совершенствования осведомленности работников
в части ИБ проводится периодическое обучение.
3.7.
Разумная достаточность и адекватность
При выборе мер защиты активов Общество ориентируется на результаты
оценки рисков ИБ, влияющих на достижение целей Общества.
5
Программно-технические средства и организационные меры проектируются
и внедряются таким образом, чтобы не повлечь за собой существенное ухудшение
основных
функциональных
характеристик,
а
также
производительности
информационных систем (ИС) и работников Общества.
3.8.
Персональная ответственность
Ответственность за обеспечение безопасности активов возлагается на
каждого работника в пределах его полномочий. Кроме этого в Обществе создан
коллегиальный орган для организации и координации работ по обеспечению ИБ,
а также назначены ответственные лица за поддержание процессов обеспечения и
управления ИБ.
3.9.
Минимизация полномочий
Предоставление
информации,
и
использование
персональным
данным,
прав
доступа
информации,
к
инсайдерской
полученной
при
осуществлении деятельности профессионального участника рынка ценных бумаг,
сведениям, составляющим коммерческую тайну, и другой конфиденциальной
информации ограничено, управляется и соответствует характеру решаемых задач.
3.10. Взаимодействие и сотрудничество
В коллективе Общества создана благоприятная атмосфера, способствующая
осознанной
необходимости
соблюдения
установленных
правил
и
оказания
содействия в деятельности подразделений, обеспечивающих ИБ.
3.11. Гибкость
В процессе эксплуатации активов Общества, изменения характеристик,
объёма и категорий обрабатываемой информации влекут за собой своевременные
и адекватные изменения в СУИБ.
3.12. Открытость алгоритмов и механизмов защиты
Защита не должна обеспечиваться только за счет секретности структурной
организации и алгоритмов функционирования ее подсистем. Знание алгоритмов
работы системы защиты не должно давать возможности ее преодоления. Но это
вовсе не означает, что информация о системе защиты Общества должна быть
общедоступна
–
необходимо
обеспечивать
защиту
от
угрозы
раскрытия
параметров системы.
3.13. Простота применения средств защиты
Механизмы защиты, внедренные в Обществе, интуитивно понятны и просты
в
использовании.
Применение
средств
защиты
не
связано
со
знанием
6
специальных языков или с выполнением действий, требующих значительных
дополнительных трудозатрат при обычной работе работников.
3.14. Научная обоснованность и техническая реализуемость
Уровень рекомендаций и требований по защите активов соответствует
имеющемуся уровню развития информационных технологий и средств защиты
информации.
При эксплуатации и совершенствовании СУИБ Общество ориентируется на
лучшие современные отечественные и зарубежные технические решения и
практики в области защиты информации.
3.15. Специализация и профессионализм
Разработка и реализация административных мер, и эксплуатация средств
защиты
информации
осуществляется
специалистами
Общества,
имеющими
соответствующую профессиональную подготовку.
При
разработке
средств
и
реализации
мер
обеспечения
ИБ,
могут
привлекаться специализированные организации, наиболее подготовленные к
конкретному виду деятельности по обеспечению ИБ, имеющие опыт практической
работы и государственную лицензию на право оказания услуг в этой области.
3.16. Знание своих партнеров и работников
Общество
обладает
минимизировать
информацией
вероятность
реализации
о
своих
угроз,
партнерах,
связанных
что
позволяет
с
человеческим
мотивация
работников),
фактором.
Кадровая
политика
используемая
в
возможностей
работников
(подбор
Обществе,
персонала,
обеспечивает
Общества
по
исключение
нарушению
или
минимизацию
установленных
правил
обеспечения ИБ.
3.17. Обязательность контроля
С целью своевременного выявления и пресечения попыток нарушения
установленных правил обеспечения ИБ в Обществе определены процедуры
постоянного контроля использования систем обработки и защиты активов, а
результаты контроля подвергаются регулярному анализу.
4.
Система управления информационной безопасностью
Для эффективной реализации процесса обеспечения информационной
безопасности
управления
в
критичных
информационной
бизнес-процессах
безопасностью,
Общества
внедрена
соответствующая
Система
требованиям
международного стандарта ISO/IEC 27001:2013.
7
СУИБ распространяется на процессы и активы Общества, входящие в
область действия СУИБ (далее – ОД СУИБ)1.
Эффективное управление ИБ Общества и принятие решений о внедрении
мер по обеспечению ИБ осуществляется на основе процесса управления рисками.
Основными
задачами
данного
процесса
являются:
определение
контекста
Общества, эффективные коммуникации и консультации для всех участников
процесса, регулярный мониторинг и пересмотр функционирования процесса и его
результатов, идентификация, анализ и оценивание рисков на основе вероятности
и величины их влияния на Общества, формирование плана обработки рисков ИБ,
превышающих приемлемый уровень.
СУИБ предусматривает формирование, постановку и мониторинг целей
Общества по ИБ, посредством регулярного системного анализа работы СУИБ
Управляющим советом по ИБ.
В связи с тем, что в Обществе также внедрены Система менеджмента
качества (СМК) и Система управления информационными сервисами (СУИС),
процессы СУИБ интегрированы с аналогичными процессами СМК/СУИС.
К интегрированным процессам СМК относятся:
 управление документами и записями;
 внутренние аудиты;
 управление корректирующими и предупреждающими действиями.
К интегрированным процессам СУИС относятся:
 управление релизами;
 управление изменениями;
 управление мощностями.
5.
Процессы
обеспечения
и
управления
информационной
безопасностью
Для реализации положений настоящей Политики в Обществе внедрен
процессный подход.
В части ИБ внедрены следующие процессы:
 Управление рисками ИБ;
 Управление инцидентами ИБ;
 Управление доступом к активам;
 Управление уязвимостями;
1
ОД СУИБ – область применения и границы СУИБ в терминах бизнес-процессов, подразделений
Общества, территориальных площадок, ресурсов и применяемых технологий. Подробное описание
ОД СУИБ приведено в документе «Область действия системы управления информационной
безопасностью ОАО «Специализированный депозитарий «ИНФИНИТУМ».
8
 Мониторинг требований ИБ;
 Мониторинг событий ИБ;
 Защита от вредоносного программного обеспечения и мобильного кода;
 Управление непрерывностью деятельности;
 Оценка результативности СУИБ;
 Анализ СУИБ со стороны руководства;
 Управление целями СУИБ;
 Обучение и повышение осведомленности работников в области ИБ;
 Управление корректирующими и предупреждающими действиями ИБ;
 Управление документами и записями;
 Проведение внутренних аудитов;
 Управление мощностями;
 Управление релизами;
 Управление изменениями.
6.
Ответственность
за
нарушение
политики
информационной
безопасности
В случае нарушения установленных правил работы с информационными
активами работник может быть ограничен в правах доступа к таким активам, а
также привлечен к ответственности в соответствии с Трудовым кодексом,
Кодексом об административных правонарушениях и Уголовным кодексом РФ.
7.
Пересмотр политики информационной безопасности
В целях поддержания актуальности, эффективности СУИБ и её адекватности
существующим
реалиям,
Обществом
регулярно
осуществляется
пересмотр
настоящей Политики.
Обществом
также
может
быть
инициирован
пересмотр
настоящего
документа по результатам анализа рисков, проверок соответствия требованиям
ИБ и реализации изменений, затрагивающих процессы управления ИБ, в том
числе внутренних и внешних требований в сфере ИБ.
Инициирование пересмотра настоящей Политики осуществляется лицами,
ответственными за функционирование СУИБ в Обществе.
8.
Перечень применимого законодательства

Конституция Российской Федерации;

Доктрина
информационной
безопасности
Российской
Федерации
утв.
Президентом РФ 09.09.2000 № Пр-1895;
9

ФЗ «Об информации, информационных технологиях и о защите информации»
№149-ФЗ от 27 июля 2006 года;

ФЗ «О персональных данных» №152-ФЗ от 27 июля 2006 года;

ФЗ «О коммерческой тайне» №98-ФЗ от 29 июля 2004 года;

ФЗ
«О
противодействии
неправомерному
использованию
инсайдерской
информации и манипулированию рынком и о внесении изменений в отдельные
законодательные акты Российской Федерации» №224-ФЗ от 27 июля 2010
года;

ФЗ «Об электронной подписи» №63-ФЗ от 6 апреля 2011 года;

ФЗ «О противодействии легализации (отмыванию) доходов, полученных
преступным путем, и финансированию терроризма» №115-ФЗ от 7 августа
2001 года

ФЗ «О рынке ценных бумаг» № 39-ФЗ от 22 апреля 1996 года;

«Налоговый кодекс Российской Федерации»:
 Часть 1, от 31.07.1998 № 146-ФЗ;
 Часть 2, от 05.08.2000 № 117-ФЗ;

«Гражданский кодекс Российской Федерации»:

Часть 1, от 30.11.1994 № 51-ФЗ;

Часть 2, от 26.01.1996 № 14-ФЗ;

Часть 4, от 18.12.2006 № 230-ФЗ;

«Трудовой кодекс Российской Федерации» № 197-ФЗ от 30 декабря 2001 года;

«Кодекс Российской Федерации об административных правонарушениях» №
195-ФЗ от 30 декабря 2001 года;

«Уголовный кодекс Российской Федерации» № 63-ФЗ от 13 июня 1996 года;

ФЗ
«О
лицензировании
отдельных
видов
деятельности»
№99-ФЗ
от
4 мая 2011 года;

Постановления Правительства РФ;

Приказы Министерства финансов РФ;

Нормативные акты Центрального Банка Российской Федерации;

Документы ПАРТАД;

Нормативные документы ФСБ России, ФСТЭК России, Роскомнадзора.
10