13.3. Меры по защите информации 13.3.1. Процедуры, препятствующие использованию конфиденциальной информации, связанной с депозитарной деятельностью, при осуществлении других видов профессиональной деятельности, должны содержать описание мер, направленных на предотвращение доступа сотрудников других подразделений организации, осуществляющих иные виды профессиональной деятельности на рынке ценных бумаг, к имеющейся в Депозитарии конфиденциальной информации:
меры по территориальному, организационно-техническому, функциональному и информационному обособлению Депозитария от других подразделений организации, осуществляющих иные виды профессиональной деятельности на рынке ценных бумаг;
меры по недопущению совершения депозитарных операций сотрудниками других подразделений организации, осуществляющих иные виды профессиональной деятельности на рынке ценных бумаг;
меры по предотвращению доступа сотрудников других подразделений организации, осуществляющих иные виды профессиональной деятельности на рынке ценных бумаг, к имеющейся в Депозитарии конфиденциальной информации в электронном и бумажном виде;
меры по установлению ответственности сотрудников Депозитария за предоставление конфиденциальной информации сотрудникам других подразделений организации, осуществляющих иные виды профессиональной деятельности на рынке ценных бумаг.
13.3.2. Регламенты взаимодействия Депозитария с подразделениями организации, осуществляющими другие виды профессиональной деятельности, в части определения порядка предоставления таким подразделениям (сотрудникам таких подразделений) информации, связанной с депозитарной деятельностью, должны устанавливать:
состав сведений, связанных с депозитарной деятельностью, допущенных к предоставлению другим подразделениям организации, осуществляющих иные виды профессиональной деятельности на рынке ценных бумаг;
порядок, способы и сроки предоставления сведений, связанных с депозитарной деятельностью, другим подразделениям организации, осуществляющим иные виды профессиональной деятельности на рынке ценных бумаг;
состав сотрудников других подразделений организации, осуществляющих иные виды профессиональной деятельности на рынке ценных бумаг, уполномоченных на получение из Депозитария сведений, связанных с депозитарной деятельностью;
состав предоставляемых в Депозитарий документов, подтверждающих полномочия сотрудников других подразделений организации, осуществляющих иные виды профессиональной деятельности на рынке ценных бумаг, на получение из Депозитария сведений, связанных с депозитарной деятельностью;
ответственность сотрудников Депозитария за неправомерное предоставление сведений, связанных, с депозитарной деятельностью, другим подразделениям организации, осуществляющим иные виды профессиональной деятельности на рынке ценных бумаг;
ответственность сотрудников других подразделений организации, осуществляющих иные виды профессиональной деятельности на рынке ценных бумаг, за неправомерное использование полученных сведений, связанных с депозитарной деятельностью.
13.3.3. Меры обеспечения целостности данных в случае чрезвычайных ситуаций, разграничения прав доступа и обеспечения конфиденциальности информации, не допускающие возможности использования указанной информации в собственных интересах Депозитарием, служащими Депозитария и третьими лицами в ущерб интересам Депонентов должны быть сформулированы в Правилах внутреннего контроля для обеспечения целостности данных Депозитария.
13.3.4. В Депозитарии должны быть утверждены документы, подтверждающие выполнение им требований конфиденциальности и сохранности информации, в том числе такими документами могут быть:
Внутренние документы (приказы), определяющие круг лиц, имеющих доступ к служебной, инсайдерской информации;
Должностная инструкция для каждого сотрудника, четко определяющая его права и обязанности, функции и ответственность;
Письменное обязательство о неразглашении служебной, инсайдерской информации внутри Депозитария и за его пределами от работников, имеющих доступ к служебной, инсайдерской информации;
Процедура применения мер дисциплинарной ответственности к сотрудникам за несанкционированное предоставление служебной информации работникам других подразделений Депозитария;
Процедура разграничения прав доступа при вводе и обработке данных, обеспечивающая возможность доступа к базам данных только с определенных автоматизированных рабочих мест ограниченного круга лиц, являющихся непосредственными исполнителями определенного технологического этапа;
Автоматизированный журнал регистрации пользователей информационной системы и регистрации попыток несанкционированного доступа к данным;
Процедура защиты данных от потери, разрушения и случайного уничтожения и восстановления данных после сбоев автоматизированной системы, предусматривающая осуществление депозитарием мероприятий по установке программных средств защиты данных от потери и разрушения и установке аппаратных средств защиты данных от потери и разрушения;
Процедура обеспечения непрерывной деятельности автоматизированных систем Депозитария,
Процедура дублирования информации и хранения резервных копий данных.
|