Порядок хранения и защиты информации - Индустрия

Приложение 3
к Правилам ведения реестра владельцев именных ценных бумаг
Закрытого акционерного общества «Индустрия-РЕЕСТР»
.
ПОРЯДОК ХРАНЕНИЯ И ЗАЩИТЫ ИНФОРМАЦИИ ЗАО "ИНДУСТРИЯ-РЕЕСТР"
1. Общие положения
1.1. Настоящий порядок хранения и защиты информации (далее по тексту – Порядок) разработан на
основе действующего законодательства РФ, Положения о ведении Реестра владельцев именных ценных бумаг № 27 от 02.10.97г. (Далее по тексту – Положение) и других нормативных документов, разработанных федеральным органом исполнительной власти по рынку ценных бумаг..
1.2. Настоящий Порядок определяет круг информации, подлежащей защите, режимы и правила обработки и доступа к указанной информации, а также системы защиты баз данных от ошибок и несанкционированного доступа
1.3. Настоящий Порядок подлежит соблюдению и выполнению сотрудниками ЗАО “ИндустрияРЕЕСТР” (Далее по тексту – Регистратор).
2. Информация, подлежащая защите
2.1. В целях настоящего документа информацией, подлежащей защите, признается любая не являющаяся общедоступной информация (далее – служебная информация), раскрытие которой может нанести
ущерб Регистратору и Эмитентам, ведение реестров владельцев именных ценных бумаг которых осуществляет Регистратор, касающаяся:
 эмитентов и выпущенных ими эмиссионных ценных бумагах, до момента раскрытия такой
информации;
 реестров владельцев именных ценных бумаг (состояния лицевых счетов зарегистрированных лиц, операций, проводимых в обслуживаемых реестрах);
 имен и паролей доступа в компьютерную систему и компьютерную сеть Регистратора;
 системы защиты компьютерной системы Регистратора от несанкционированного доступа;
3. Правила доступа и обработки информации, подлежащей защите
3.1. Информация, подлежащая защите, хранится в электронном виде (в т.ч. в компьютерных сетях, на
магнитных носителях), а также в форме печатных документов.
3.2. Доступ третьих лиц к Регистратору осуществляется только по пропускам в сопровождении сотрудников Регистратора.
3.3. Доступ сотрудников Регистратора, в компьютерную систему осуществляется исключительно посредством индивидуальных имени и пароля доступа.
3.4. Доступ в компьютерную сеть предоставляется только сотрудникам Регистратора на основании
индивидуальных паролей доступа. Доступ сотрудников Регистратора к ресурсам компьютерной сети
осуществляется с разграничением прав доступа в соответствии с должностными обязанностями сотрудников.
3.5. Сотрудники Регистратора, в ведении которых находятся материальные носители служебной информации (дискеты, магнитные диски, печатные материалы и т.п.), должны осуществлять их хранение
в местах, исключающих возможность несанкционированного доступа к носителям третьих лиц: сейфы
или запирающиеся шкафы.
3.6. Текущий контроль за выполнением требований настоящего Порядка осуществляют руководители
подразделений, Отдел внутреннего контроля.
3.7. Отдел внутреннего контроля Регистратора осуществляет предварительный, текущий и последующий контроль за всеми сотрудниками Регистратора в отношении соблюдения ими требований использования служебной информации.
3.8. Отдел внутреннего контроля осуществляет комплексную проверку всех случаев неправомерного
использования служебной информации.
По результатам проверки отдел внутреннего контроля сообщает директору о фактических обстоятельствах дела и дает директору рекомендации:
В отношении взыскания с сотрудника Регистратора, совершившего неправомерное использование
служебной информации, причиненных убытков, привлечение его к дисциплинарной или иной ответственности;
По устранению причин, способствовавших неправомерному использованию служебной информации.
3.9. Сотрудники Регистратора, нарушившие правила использования служебной информации, установленные настоящим Порядком и действующими правовыми актами, несут дисциплинарную, гражданскую, административную и иную ответственность в установленном законодательством порядке.
4. Системы защиты баз данных от ошибок и несанкционированного доступа
4.1. Объекты защиты
Объектами защиты являются:
 базы данных;
 архивы баз данных;
 каналы информационного обмена;
 программное обеспечение;
 документы Регистратора;
 бухгалтерская информация;
 личные данные сотрудников на рабочих станциях.
Для облегчения работы с данными и организации их защиты вся важная информация (как базы данных, так и внутрифирменные электронные документы) хранится на выделенном сервере. Защита личных данных пользователей на рабочих станциях выполняется с помощью физического ограничения
доступа к таким компьютерам и, кроме этого, средствами операционной системы (рабочие станции
работают под управлением операционной системы Microsoft Windows).
4.2. Организация доступа
Организация доступа к данным предполагает использование нескольких защитных механизмов:
 физическое разделение публичной и корпоративной сред;
 ограничение доступа на уровне используемых операционных систем и баз данных;
 предоставление доступа к данным через промежуточное специализированное клиентское
программное обеспечение.
Физическое отделение корпоративной информационной среды Регистратора от публичных сетей используется в качестве важного первичного барьера для ограничения доступа извне к закрытой внутрифирменной информации.
Система разграничения доступа предназначена для предоставления каждому сотруднику Регистратора
тех и только тех данных и прав, которые ему необходимы для работы и ограждения информации от
несанкционированного доступа неавторизованных пользователей.
Для защиты информации от несанкционированного доступа или преднамеренной порчи применяется
система паролей и разграничения доступа на основе средств, заложенных в используемые сетевые операционные системы (Microsoft Windows), что позволяет, имея в виду высокий их уровень криптоустойчивости, рассчитывать на хороший защитный эффект.
4.3. Защита от ошибок
Наличие процедур защиты от ошибок позволяет сохранить данные в условиях их функционирования в
несовершенной реальной среде.
Процедуры защиты от ошибок должны обеспечивать:
 защиту информации от разрушения при отказах и сбоях аппаратных средств и сети электропитания;
 обнаружение ошибок операторов и блокировку ввода ими неверных данных;
 корректную обработку программных ошибок.
4.3.1. Защита от аппаратных сбоев и отказов
Функционирование электронной системы ведения реестров возможно при исправном состоянии некоторого минимального набора технических и программных средств их обеспечения. К таким средствам
относятся:
 сетевые технические средства объединения сервера и рабочих станций в корпоративную
сеть Регистратора;
 сервер баз данных;
 каналы и средства связи с филиалами и представительствами Регистратора;
 средства формирования отчетов и выходных документов (печать и т.п.).
Для защиты от аппаратных сбоев и ошибок, а также выхода из строя системы электропитания у Регистратора используются следующие мероприятия:
a) установка источников бесперебойного электропитания для защиты всех ответственных элементов корпоративной сети (сервера, сетевого оборудования, рабочих станций);
b) создание и поддержка актуальных резервных копий баз данных.
2
4.3.2. Защита от ошибок операторов
Для предотвращения ошибок оператора используется система проверок при вводе данных в электронную систему ведения реестров. Используемый программно-технологический комплекс для ведения
реестров владельцев именных ценных бумаг не позволяет ввести внутренне противоречивые данные. В
случае обнаружения противоречий, данные не вводятся и пользователь извещается о возникшей проблеме.
4.3.3. Защита от программных ошибок
Важнейшей функцией при обработке программных ошибок является корректное закрытие транзакций
с сохранением всех правильно обработанных данных и блокировка записи в базы данных незавершенных порций информации.
4.4. Защита от неправомерных действий
Угрозы безопасности информации на этапах ее обработки, передачи и хранения включают в себя:
a) нарушение конфиденциальности информации, то есть получения доступа к ней неавторизованных пользователей;
b) нарушение целостности информации, то есть ее разрушение или подмена;
c) нарушение доступности информации, то есть блокировка доступа к информации авторизованных пользователей.
Нарушение конфиденциальности информации происходит в том случае, если нарушитель может пройти регистрацию в системе под видом авторизованного пользователя с помощью кражи, взлома или
подбора пароля. В этом случае возможно использование полученной информации для получения каких-либо финансовых выгод или для дискредитации Регистратора в интересах его конкурентов.
Нарушение целостности информации происходит, если нарушитель указанным выше способом получает доступ к информации с правами ее изменения.
Нарушение доступности информации происходит, если нарушитель, не изменяя собственно данные,
каким-либо способом приводит систему в неработоспособное состояние за счет лавинообразного увеличения потоков данных, или их направления по неправильным адресам.
4.4.1. Возможные нарушители
По уровню доступа к электронной системе ведения реестров возможных нарушителей можно разделить на следующие группы:
 технический персонал Регистратора;
 сотрудники Регистратора, связанные непосредственно с деятельностью по ведению реестров;
 пользователи, не имеющие авторизованного доступа в корпоративную сеть Регистратора.
Технический персонал Регистратора по степени возможного воздействия на электронную систему ведения реестров подразделяются на следующие группы:
 сотрудники специализированных подразделений
 администраторы баз данных и сети Регистратора.
Сотрудники специализированных подразделений не имеют доступа к электронной системе ведения
реестров и не могут легальными способами ни подсмотреть, ни изменить информацию.
Администраторы баз данных и сети Регистратора из всех пользователей сети имеют максимальные
права доступа к информации.
Сотрудники Регистратора, связанные непосредственно с деятельностью по ведению реестров не имеют
никаких прав на прямое изменение информации в электронной системе ведения реестров. Все их легальные действия выполняются через программно-технологический комплекс для ведения реестров
владельцев именных ценных бумаг.
Пользователи, не имеющие авторизованного доступа в сеть Регистратора (возможные внешние нарушители) для получения такого входа должны: во-первых, получить физический доступ в сеть и, вовторых, взломать программную защиту информации на уровне прав доступа к данным.
4.4.2. Защита с помощью административных мер
Сервер баз данных и сетевое оборудование размещены в специальных помещениях, допуск в которые
имеет ограниченный круг администраторов баз данных и локальной вычислительной сети Регистратора.
Права Операторов, и Администраторов баз данных строго регламентированы в соответствии с должностными инструкциями.
4.4.3. Программная защита
Используется несколько типов программной защиты информации:
 на основе стандартных средств операционных систем и баз данных (права доступа и паро-
ли);
3
 использование прикладного программного обеспечения – программно-технологического
комплекса для ведения реестров владельцев именных ценных бумаг.
Каждый сотрудник регистратора, связанный с осуществлением деятельности по ведению реестров получает доступ к информации после регистрации в системе и ввода пароля. Регистрация делается с помощью стандартных средств операционной системы и программно-технологического комплекса, что
обеспечивает достаточную надежность за счет шифрации паролей и их централизованной проверки.
Каждый сотрудник после регистрации работает с помощью специального программного обеспечения,
позволяющего ему выполнять только допустимый набор действий. У каждого сотрудника в базе данных есть права только на исполнение определенного набора операций, что обеспечивает доступ к информации строго через программно-технологический комплекс.
Программно-технологический комплекс, используемый Регистратором, не позволяет ввести внутренне
противоречивые данные. Весь ввод информации должен быть оформлен отдельными поручениями.
При вводе поручения система автоматически проверяет его на внутреннюю непротиворечивость. В
случае обнаружения противоречий поручение не вводится и пользователь извещается о возникшей
проблеме. Первый уровень защиты от ошибок пользователя закладывается непосредственно в систему.
Для каждого вводимого поручения существует отдельная команда на его выполнение.
5. Хранение информации, подлежащей защите
5.1. Для предотвращения потери данных из-за сбоев оборудования, уничтожения оборудования, программных ошибок, неправильных действий персонала и других возможных причин утери информации
предусмотрена система регулярного резервного копирования баз данных. Такое резервное копирование позволяет в случае возникновения ошибки и потери информации вернуться к ближайшей работоспособной копии.
5.2. Резервное копирование информации, содержащейся в базах данных, выполняется на жесткие диски. Архивные копии разделяются на следующие группы:
 резервные копии;
 архивные копии.
5.3. Резервирование
Резервные копии служат для ежедневного копирования информации из базы данных, позволяющего
восстановить ее состояние на момент копирования.
5.4. Архивирование
5.4.1. Архивные копии служат для копирования и хранения (архивирования) любых данных, которые
могут потребоваться в отдаленном будущем. Ежедневному архивированию подлежат все базы данных.
5.4.2. Архивирование данных выполняется ежедневно по окончании операционного дня как часть процедуры подготовки к следующему операционному дню. В течение недели делаются копии баз данных,
позволяющие восстановить состояние на любой день не менее чем на 10 рабочих дней назад.
5.4.3. Архивные копии различаются на:
 ежедневные;
 ежемесячные;
 ежеквартальные.
Архивные копии записываются на компакт-диски
4