Положение о хранении и защите информации, связанной с проведением организованных торгов
_________________________________________
(наименование, адрес, ОГРН, ИНН
организатора торгов)
УТВЕРЖДАЮ
Руководитель организатора торгов
"_______________________"
________________
(подпись, М.П.)
"___"_________ ____ г.
Положение 1 о хранении и защите информации, связанной с проведением организованных торгов г. ______________ _______ 1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Положение о хранении и защите информации, связанной с проведением
организованных торгов, издано и применяется _______________________________
(наименование организатора торгов)
(далее - "Положение" и "Организатор торгов") в соответствии со ст. 23
Федерального закона от 21.11.2011 N 325-ФЗ "Об организованных торгах" и
разделом 8 Положения о деятельности по организации торговли на рынке ценных
бумаг, утвержденного Приказом ФСФР России от 28.12.2010 N 10-78/пз-н.
1.2. Настоящее Положение определяет политику, порядок и условия деятельности Организатора торгов в отношении информации, связанной с проведением организованных торгов, в том числе:
индексов и иных показателей, рассчитываемые Организатором торговли в соответствии с п. 1 ст. 13 Федерального закона от 21.11.2011 N 325-ФЗ "Об организованных торгах";
коммерческой тайны Организатора торгов и участников торгов (Федеральный закон от 29.07.2004 N 98-ФЗ "О коммерческой тайне", ст. 1465 Гражданского кодекса Российской Федерации);
конфиденциальных персональных данных участников торгов (ст. 7 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", ст. 12 Федерального закона от 15.11.1997 N 143-ФЗ "Об актах гражданского состояния");
налоговой тайны (ст. ст. 102, 313 Налогового кодекса Российской Федерации);
банковской тайны (ст. 857 Гражданского кодекса Российской Федерации, ст. 26 Федерального закона от 02.12.1990 N 395-1 "О банках и банковской деятельности");
конфиденциальной информации, предоставляемой эмитентами профессиональным участникам рынка ценных бумаг, федеральному органу исполнительной власти по рынку ценных бумаг (ст. 44.1 Федерального закона от 22.04.1996 N 39-ФЗ "О рынке ценных бумаг");
инсайдерской информации (ст. 6 Федерального закона от 27.07.2010 N 224-ФЗ "О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации").
1.3. Действие настоящего Положения не распространяется на информацию, раскрываемую в соответствии со ст. 22 Федерального закона от 21.11.2011 N 325-ФЗ "Об организованных торгах".
1.4. Организатор торгов до начала обработки информации назначает ответственного за организацию такой обработки в должности не ниже начальника структурного подразделения (или заместителя руководителя организатора торгов), именуемого далее "Начальник ОИ". Начальник ОИ получает указания непосредственно от исполнительного органа организатора торгов и подотчетен ему.
1.5. Настоящее Положение и изменения к нему утверждаются руководителем организатора торгов и вводятся приказом Организатора торгов.
1.6. Сотрудники Организатора торгов, непосредственно осуществляющие обработку, хранение, защиту информации, должны быть ознакомлены под роспись до начала работы с положениями законодательства Российской Федерации о защите информации Организатором торгов. Обучение указанных работников организуется структурным подразделением по повышению квалификации в соответствии с утвержденными Организатором торгов графиками.
1.7. При обработке информации Организатор торгов применяет правовые, организационные и технические меры по обеспечению безопасности информации в соответствии со ст. 23 Федерального закона от 21.11.2011 N 325-ФЗ "Об организованных торгах", разделом 8 Положения о деятельности по организации торговли на рынке ценных бумаг, утвержденного Приказом ФСФР России от 28.12.2010 N 10-78/пз-н и иными нормативно-правовыми актами.
1.8. Режим конфиденциальности информации Организатор торгов обеспечивает в соответствии с Положением Организатора торгов о конфиденциальности.
1.9. Контроль за соблюдением сотрудниками Организатора торгов требований законодательства и положений локальных нормативных актов Организатора торгов проводится в соответствии с Положением о внутреннем контроле Организатора торгов при обработке, защите и хранении информации.
1.10. Защита информации обеспечивается путем реализации Организатором торгов и его контрагентами правовых, организационных и технических мер, направленных:
а) на обеспечение защиты информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения, а также от иных неправомерных действий в отношении информации;
б) на соблюдение конфиденциальности информации;
в) на реализацию права на доступ к информации в соответствии с законодательством Российской Федерации.
1.11. Локальные акты Организатора торгов должны предусматривать в том числе следующие требования к защите информации:
а) создание и организация функционирования структурного подразделения по защите информации (службы информационной безопасности) или назначение должностного лица (работника), ответственного за организацию защиты информации;
б) включение в должностные обязанности работников, участвующих в обработке информации, обязанности по выполнению требований к защите информации;
в) осуществление мероприятий, имеющих целью определение угроз безопасности информации и анализ уязвимости информационных систем;
г) проведение анализа рисков нарушения требований к защите информации и управление такими рисками;
д) разработка и реализация систем защиты информации в информационных системах;
е) применение средств защиты информации (шифровальные (криптографические) средства, средства защиты информации от несанкционированного доступа, средства антивирусной защиты, средства межсетевого экранирования, системы обнаружения вторжений, средства контроля (анализа) защищенности);
ж) выявление инцидентов, связанных с нарушением требований к защите информации, реагирование на них;
з) обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования;
и) определение порядка доступа к объектам инфраструктуры платежной системы, обрабатывающим информацию;
к) организация и проведение контроля и оценки выполнения требований к защите информации на собственных объектах инфраструктуры не реже _____ раза в _________________________.
1.12. Для проведения работ по защите информации Организатором торгов могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации.
1.13. Применение шифровальных (криптографических) средств защиты информации операторами и агентами осуществляется в соответствии с законодательством Российской Федерации.
1.14. Организатор торгов обязан обеспечить хранение и защиту всей информации, связанной с организацией торговли, в том числе путем создания ее резервной копии и определения процедур, направленных на предотвращение технических сбоев и ошибок.
1.15. Организатор торгов обязан обеспечить возможность представления в Банк России документов и сведений в электронной форме с электронной подписью в формате, порядке и сроки, которые установлены нормативными актами Банка России.
2. СТРУКТУРНЫЕ ПОДРАЗДЕЛЕНИЯ ОРГАНИЗАТОРА ТОРГОВ ПО ОБРАБОТКЕ ИНФОРМАЦИИ
2.1. Обработку, защиту, хранение информации организует ________________
___________________________________________________________________________
(наименование структурного подразделения)
(далее - "Служба ОИ").
2.2. Служба ОИ находится в непосредственном подчинении Начальника ОИ.
2.3. Состав, уровень квалификации сотрудников, полномочия, функции, условия допуска сотрудников к персональным данным, порядок взаимодействия с другими структурными подразделениями Организатора торгов, ответственность Службы ОИ установлены в Положении о службе обработки информации.
2.4. Служба ОИ под руководством Начальника ОИ:
1) доводит до сведения работников Организатора торгов положения законодательства Российской Федерации, локальных актов по вопросам обработки информации, защиты, хранения информации;
2) организует получение и отдельные операции по обработке информации сотрудниками Организатора торгов;
3) организует прием и обработку обращений и запросов субъектов информации или их представителей;
4) организует разработку и внедрение организационных и технических мероприятий по комплексной защите информации, обеспечивает соблюдение режима проводимых работ и сохранение конфиденциальности документированной информации;
5) руководит проведением работ по организации, координации, методическому руководству и контролю их выполнения по вопросам защиты информации и разработкой технических средств контроля, определяет перспективы их развития;
6) обеспечивает взаимодействие и необходимую кооперацию соисполнителей работ по вопросам организации и проведения научно-исследовательских и опытно-конструкторских разработок, организует и контролирует выполнение плановых заданий, договорных обязательств, а также сроки, полноту и качество работ, выполняемых соисполнителями;
7) организует работу по заключению договоров на работы по защите информации, принимает меры по обеспечению финансирования работ, в том числе выполняемых по договорам;
8) обеспечивает участие подразделения в разработке технических заданий на выполняемые на предприятии исследования и разработки, формулирует цели и задачи работы по созданию безопасных информационных технологий, отвечающих требованиям комплексной защиты информации;
9) организует проведение специальных исследований и контрольных проверок по выявлению демаскирующих признаков и возможных каналов утечки информации, в том числе по техническим каналам, разрабатывает меры по их устранению и предотвращению, а также работу по составлению актов и другой технической документации о степени защищенности технических средств и помещений;
10) контролирует соблюдение нормативных требований по надежной защите информации, обеспечивает комплексное использование технических средств, методов и организационных мероприятий;
11) осуществляет контроль за выполнением предусмотренных мероприятий, анализ материалов контроля, выявление нарушений, разрабатывает и участвует в реализации мер по устранению выявленных недостатков по защите информации;
12) организует проведение аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации по соответствующим классам безопасности, обеспечивает представление в установленном порядке действующей отчетности.
2.5. Контроль за исполнением сотрудниками Организатора торгов
требований законодательства и положений локальных нормативных актов
Организатора торгов при обработке информации возложен на __________________
___________________________________________________________________________
(наименование структурного подразделения)
(далее - "Отдел внутреннего контроля").
2.6. Отдел внутреннего контроля:
1) осуществляет внутренний контроль за соблюдением Организатором торгов и его работниками законодательства Российской Федерации и настоящего Положения в сфере обработки, защиты и хранения информации;
2) контролирует прием и обработку обращений и запросов субъектов информации или их представителей.
3. ПОРЯДОК ОБЕСПЕЧЕНИЯ ОРГАНИЗАТОРОМ ТОРГОВ ПРАВ УЧАСТНИКОВ ТОРГОВ И ИНЫХ СУБЪЕКТОВ ИНФОРМАЦИИ
3.1. Участники торгов и иные субъекты информации или их представители обладают правами, предусмотренными ст. 16 Федерального закона от 21.11.2011 N 325-ФЗ "Об организованных торгах" и другими нормативно-правовыми актами, регламентирующими проведение торгов, а также обработку, защиту, хранение информации.
3.2. Полномочия представителя на представление интересов каждого субъекта информации подтверждаются доверенностью, оформленной в порядке ч. ч. 1, 4 ст. 185 Гражданского кодекса Российской Федерации или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате. Копия доверенности представителя, отснятая Службой ОИ с оригинала, хранится Организатором торгов не менее трех лет, а в случае, если срок хранения информации больше трех лет, - не менее срока хранения информации.
4. ОБЯЗАННОСТИ РУКОВОДИТЕЛЯ И РАБОТНИКОВ ОРГАНИЗАТОРА ТОРГОВ
4.1. Руководитель Организатора торгов:
- оказывает содействие Начальнику ОИ в выполнении им своих обязанностей;
- организует устранение выявленных нарушений законодательства Российской Федерации, нормативных актов Банка России, внутренних документов Организатора торгов, а также причин и условий, способствовавших совершению нарушения.
4.2. Сотрудники Организатора торгов:
- оказывают содействие Начальнику ОИ в выполнении им своих обязанностей;
- незамедлительно доводят до сведения своего непосредственного руководителя и Начальника ОИ (в части его компетенции) сведения о предполагаемых нарушениях законодательства Российской Федерации, в том числе нормативных актов Банка России, и внутренних документов Организатора торгов другими работниками Организатора торгов или контрагентами Организатора торгов.
5. КОНТРОЛЬ, ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ИЛИ НЕИСПОЛНЕНИЕ ПОЛОЖЕНИЯ
5.1. Контроль за исполнением Положения возложен на Отдел внутреннего контроля.
5.2. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной или уголовной ответственности.
5.3. Руководители структурных подразделений Организатора торгов несут персональную ответственность за исполнение обязанностей их подчиненными.
Начальник Службы ОИ: ________________/_____________/
С данным Положением ознакомлен(а):
_________________/_______________/
_________________/_______________/
_________________/_______________/
1 Согласно пп. 11 ч. 3 ст. 26 Федерального закона от 21.11.2011 N 325-ФЗ "Об организованных торгах" для получения лицензии соискатель лицензии представляет в Банк России документ, определяющий порядок хранения и защиты информации, связанной с проведением организованных торгов.
Согласно пп. 16 ч. 1 ст. 25 Федерального закона от 21.11.2011 N 325-ФЗ "Об организованных торгах" Банк России устанавливает требования к порядку хранения и защиты информации и документов, связанных с проведением организованных торгов, а также к сроку их хранения.