Мой бизнес - Франшизы. Рейтинги. Истории успеха. Идеи. Работа и образование
О сайте Контакты
Меню
Контакты
Поиск по сайту

Главная Работа и образование Концепция информационной безопасности газпрома. Политика информационной безопасности «Газпромбанк

Концепция информационной безопасности газпрома. Политика информационной безопасности «Газпромбанк

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

хорошую работу на сайт">

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Казанский (приволжский) федеральный университет

Институт управления и территориального развития

Кафедра стратегического и финансового менеджмента

ИССЛЕДОВАТЕЛЬСКАЯ РАБОТА

по дисциплине «Управление корпоративной безопасностью»

Анализ корпоративной безопасности ОАО «Газпром»

Выполнил: студент группы 1498-2

Мингалимова Г.Г.

Проверил: Габдуллин Н.М.

Казань 2013

  • 1. Характеристика предприятия ОАО «Газпром»

5. Анализ финансовой устойчивости компании Латвия газ по представленному балансу

корпоративный безопасность финансовый устойчивость

1. Характеристика ОАО «Газпром»

ОАО «Газпром» -- глобальная энергетическая компания. Основные направления деятельности -- геологоразведка, добыча, транспортировка, хранение, переработка и реализация газа, газового конденсата и нефти, а также производство и сбыт тепло- и электроэнергии.ОАО «Газпром». - [Электронный ресурс] .

«Газпром» видит свою миссию в надежном, эффективном и сбалансированном обеспечении потребителей природным газом, другими видами энергоресурсов и продуктов их переработки.

«Газпром» располагает самыми богатыми в мире запасами природного газа. Его доля в мировых запасах газа составляет 18%, в российских -- 70%. На «Газпром» приходится 15% мировой и 78% российской добычи газа. В настоящее время компания активно реализует масштабные проекты по освоению газовых ресурсов полуострова Ямал, арктического шельфа, Восточной Сибири и Дальнего Востока, а также ряд проектов по разведке и добыче углеводородов за рубежом.

«Газпром» -- надежный поставщик газа российским и зарубежным потребителям. Компании принадлежит крупнейшая в мире газотранспортная сеть -- Единая система газоснабжения России, протяженность которой превышает 161 тыс. км. На внутреннем рынке «Газпром» реализует свыше половины продаваемого газа. Кроме того, компания поставляет газ в 30 стран ближнего и дальнего зарубежья.

«Газпром» является единственным в России производителем и экспортером сжиженного природного газа и обеспечивает около 5% мирового производства СПГ.

Компания входит в пятерку крупнейших производителей нефти в РФ, а также является крупнейшим владельцем генерирующих активов на ее территории. Их суммарная установленная мощность составляет 17% от общей установленной мощности российской энергосистемы.

Стратегической целью является становление ОАО «Газпром» как лидера среди глобальных энергетических компаний посредством освоения новых рынков, диверсификации видов деятельности, обеспечения надежности поставок.

2. Особенности построения комплексной системы безопасности ОАО «Газпром»

Анализ газового рынка показывает, что в ближайшие годы и десятилетия прогнозируется существенный рост спроса на газ, а значит и роль «Газпрома», как современной энергетической компании на мировом рынке, будет возрастать.

В условиях роста спроса на газ главная стратегическая цель предприятий газовой отрасли - повышение эффективности и динамичный рост производства в интересах потребителей, совершенствование его организационной структуры.

Возрастание требований к качеству обмена информацией и уровню ее защиты определяется, прежде всего, конкуренцией на газовом и финансовом рынках. Пристальное внимание этому вопросу уделяет и Служба безопасности ОАО «Газпром». Безусловно, это диктуется еще и производственной спецификой технологических процессов транспортировки и хранения газа, которая предъявляет повышенные требования к защите от «информационного терроризма» систем оперативно-диспетчерского управления.

Уместно привести несколько фактов, подтверждающих актуальность работы по защите информации - в год происходит до 6 000 попыток заражения сетей передачи данных ОАО «Газпром» различными вирусами, все это приводит к выходу из строя на длительные сроки автоматизированных рабочих мест в корпоративной информационной системе Общества. Финансовые потери времени на простой, трудозатраты на восстановление и с учетом возможно недополученной прибыли могут составлять сотни тысяч долларов США.

В целом следует констатировать, что угрозы вирусного заражения и угрозы со стороны внутренних нарушителей продолжают оставаться крайне актуальными для предприятий ОАО «Газпром».

В соответствии с положениями «Специальных требований и рекомендаций по технической защите конфиденциальной информации», принятыми в ОАО «Газпром», его дочерних обществах и организациях (СТР-К) к руководству и исполнению ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителей подразделений.

Очевидно, что обеспечение информационной безопасности требует комплексного подхода, в основе которого должна лежать система обеспечения информационной безопасности, включающая организационную (подготовленный персонал и нормативные документы) и техническую (средства защиты информации) составляющие.

Основными этапами создания комплексной системы защиты информации должны быть:

· обследование организации.

Выполнение работ по аудиту информационной безопасности может быть как внутренними силами, так и с привлечением сторонней организации;

· проектирование системы защиты информации.(Выполняется по результатам проведенного аудита информационной безопасности);

· внедрение системы защиты информации.

Осуществляется, как правило, силами сторонней организации при участии сотрудников отдела информационной безопасности для обеспечения контроля качества;

· сопровождение системы информационной безопасности.

Техническое сопровождение комплексной системы ИБ осуществляется силами сторонней организации, а эксплуатация и администрирование безопасности силами отдела ИБ;

· обучение специалистов по защите информации.

Обучение проводится в плановом порядке по графику, утвержденному системой безопасности ОАО «Газпром».

Как правило, газотранспортное предприятие является территориально-распределенной организацией, имеющей большое количество территориально удаленных от центрального офиса филиалов и дочерних организаций.

Информационно-телекоммуникационная система такого предприятия носит территориально-распределенный характер и имеет возможность взаимодействия с внешними информационными системами - федеральных органов исполнительной власти, субъектов федерации, местных органов власти, а также различными открытыми сетями (Интернет, Рейтер и др.).

Также на ОАО «Газпром» уделяет большое внимание к промышленной безопасности.

Руководство «Газпром» считает систему управления промышленной безопасностью, охраной труда и окружающей среды необходимым элементом эффективного управления производством и заявляет о своей ответственности за успешное управление профессиональными рисками, связанными с воздействием на жизнь и здоровье работников, оборудование, имущество и окружающую среду.

Никакие соображения экономического, технического или иного характера не могут быть приняты во внимание, если они противоречат необходимости обеспечения безопасности работающих на производстве, населения и окружающей природной среды.

«Газпром» гарантирует своим сотрудникам достойные и безопасные условия труда, неукоснительно выполняя лицензионные требования по обеспечению производственной безопасности. В постоянном режиме ведется мониторинг условий труда, проводится аттестация рабочих мест, реализуется программа страхования рисков.

Для обеспечения единого подхода к вопросам промышленной безопасности на всех предприятиях группы «Газпром» применяется « Политика в области промышленной безопасности, охраны труда и окружающей среды ». Среди обязательств компании, подтвержденных в этом документе -- непрерывное улучшение условий труда и повышение уровня промышленной и экологической безопасности, внедрение эффективной системы управления, предъявление единых требований в сфере безопасности к сотрудникам и подрядчикам.

Для обсуждения наиболее важных вопросов в области обеспечения производственной безопасности и формирования новых стратегических задач, а также корректировки текущих, в компании создан и функционирует коллегиальный орган -- Совет по промышленной безопасности, охране труда и окружающей среды. В состав Совета входят руководители функциональных подразделений Департамента производственной безопасности и руководители служб ПЭБ, ОТ и ГЗ крупных активов компании.

Достижение заявленных целей на всех предприятиях группы невозможно без стандартизации, поэтому с 2008 года на всех предприятиях группы ведется внедрение Интегрированной системы управления промышленной и экологической безопасностью, охраной труда и окружающей среды (ПЭБ, ОТ и ГЗ), соответствующей международным стандартам OHSAS 1800, ISO 14001 и ISO 9001. Одновременно на всех предприятиях «Газпром» идет внедрение единого стандарта по выявлению, оценке и минимизации профессиональных рисков. Контроль внедрения новых стандартов осуществляется в режиме реального времени при помощи компьютерной системы «Азимут». Она позволяет вести онлайн-мониторинг ситуации на предприятиях компании и получать оперативные оповещения о происшествиях.

Компания стремится обеспечить постоянное повышение уровня безопасности, последовательное снижение показателей аварийности, производственного травматизма, профессиональных заболеваний.

В компании действует корпоративный стандарт, определяющий порядок обеспечения работников средствами индивидуальной защиты (СИЗ). Спецодежда, которая закупается компанией, соответствует отечественным и европейским требованиям к безопасности.

Охрана труда и здоровья работников -- сфера взаимной ответственности и конструктивного взаимодействия руководства компании и профсоюзов. Взаимные обязательства по этим вопросам отражаются в коллективных договорах и программах по оздоровлению сотрудников.

В компании продолжается реализация комплекса мероприятий, направленных на обеспечение транспортной безопасности, включающих разработку нормативных документов, проведение месячников безопасности, организацию обучения персонала.

Политика и стандарты компании «Газпром» в области ПЭБ, ОТ и ГЗ ориентируют на минимизацию рисков, предупреждение аварий. Важным направлением в этой работе остается создание должностей работников, уполномоченных на решение задач в области гражданской обороны, повышение квалификации руководящего состава, обучение персонала действиям в условиях чрезвычайной ситуации, поддержание высокого уровня готовности к нештатным ситуациям. Для обеспечения готовности к действиям при возникновении чрезвычайных ситуаций в ДЗО созданы резервы финансовых средств и материальных ресурсов. Готовность ДЗО к действиям по ликвидации чрезвычайных ситуаций проверяется в ходе регулярных учений и тренировок.

Проанализировав информационную безопасность предприятия можно сделать вывод о том, что информационной безопасности нужно уделять большое внимание, т.к. ОАО «Газпром» очень большое предприятие. Поэтому, мне кажется, для достижения защиты должно обеспечиваться эффективное решение следующих задач:

· защита от вмешательства в процесс функционирования предприятия посторонних лиц;

· защита от несанкционированных действий с информационными ресурсами предприятия посторонних лиц и сотрудников, не имеющих соответствующих полномочий;

· обеспечение полноты, достоверности и оперативности информационной поддержки принятия управленческих решений руководством предприятия;

· обеспечение физической сохранности технических средств и программного обеспечения предприятия и защита их от действия техногенных и стихийных источников угроз;

· регистрация событий, влияющих на безопасность информации, обеспечения полной подконтрольности и подотчетности выполнения всех операций, совершаемых на предприятии;

· своевременное выявление, оценка и прогнозирование источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба интересам субъектов, нарушению нормального функционирования и развития предприятия;

Таким образом, можно сказать, что полностью предприятие невозможно защитить от угроз внешнего и внутреннего характера. Но с помощью таких мер можно достичь высокого уровня защиты ОАО «Газпром».

4. Определение индекса рейдерпригодности предприятия ОАО «Газпром»

Итак, найдем индекс рейдер пригодности для компании ОАО «Газпром».

1. Государство является собственником контрольного пакета акций «Газпрома» -- 50,002%, т.е. меньше половины акций компании рассеяно между множеством акционеров. Из этого следует, что К1= 0,5. (т.к. распыленность 25-51%).

2. Основные средства компании = 3621565477тыс. руб., валюта баланса = 7433141940 тыс. руб.

К2= 3621565477/7433141940= 0,49=0,5. Это означает, что доля основных средств в валюте баланса превышает 50%.

3. Кредиторская задолженность = 502161023 тыс. руб, валюта баланса = 7433141940 тыс. руб.

К3 = 502161023/7433141940 = 0,067=0,1. Это означает, что кредиторская задолженность компании не превышает валюты баланса и экономическое состояние предприятия стабильно.

4. К4=0, т.к. ОАО «Газпром» выплачивает систематические дивиденды своим акционерам.

5. К5= 0,3, т.к. рентабельность отрасли больше 15% (т.е. 34%).

6. К6= 0,3, т.к. предприятия ОАО «Газпром» находятся в Москве, Санкт-Петербурге и в других районах.

Итак, по компании ОАО «Газпром» сумма коэффициентов составило:

К1+К2+К3+К4+К5+К6= 0,5+0,5+0,1+0+0,3+0,3=1,7.

Максимальное значение, которое можно получить, если у компании все значения максимальны:

К1+К2+К3+К4+К5+К6= 0,7+0,5+0,5+0,3+0,3+0,3= 2,6.

Таким образом, у компании ОАО «Газпром» получился индекс рейдер пригодности меньше максимального значения (1,7<2,6). Это говорит о том, что вероятность враждебного поглощения компании минимальна.

5. Анализ финансовой устойчивости компании Латвия газпо представленному балансу

Латвия газ (Latvijas Gaze) -- газовая компания Латвии. Штаб квартира в Риге. Она является партнером ОАО «Газпром».

Служба безопасности ОАО «Газпром» проверяет финансовую устойчивость компании, смогут ли они вовремя расплатиться по долгам.

Был проведен анализ финансовой устойчивости компании Латвия газ по следующей схеме:

1 этап - были получены необходимые документы от исследуемой компании за 2011 год - это:

баланс (форма № 1);

отчет о прибылях и убытках (форма № 2);

отчет о движении капитала (форма № 3).

2 этап - проверены подлинности представленных документов, т.е. на всех документах расписался руководитель компании и главный бухгалтер и имеется электронная подпись.

3 этап - сделан предварительный анализ баланса в виде соответствия следующих показателей:

сумма «итого по разделам» = сумма строк внутри разделов;

строка 300 «баланс» = строка 700 «баланс» = 7827957711 руб.;

строка 470 «нераспределенная прибыль отчетного года» (форма № 1) = строка 170 «нераспределенная прибыль (убытки) отчетного периода» (форма № 2) = 2292965777 руб.;

строка 010 «уставной капитал» (форма № 3) = строка 410 «уставной капитал» (форма № 1) = 118367564 руб.;

все представленные данные условия выполняются, значит, представленные документы составлены правильно.

4 этап - оценка финансовой устойчивости компании производится по следующей схеме:

строка 010 «уставной капитал» (форма № 3) должна быть меньше строки 200 «чистые активы» (форма № 3)и на самом деле это так, т.е.:

118367564 руб.< 6189150344 руб.

Данное соотношение предусматривается ФЗ «Об акционерных обществах» и если у нас не было выполнено, то это говорило о том, что возможен финансовый крах компании.

1. Высчитываем коэффициент автономии, который показывает, насколько компания способна расплачиваться собственными средствами с инвесторами или акционерами при наступлении соответствующих сроков и должен быть не менее 0,5.

· строки (590+640+650-490)/строку 700 (форма № 1) = (6189150344+0+2134381-1003898769)/ 7827957711= 0,66>0,5

590 - «итого по разделу III» = 6189150344 руб.;

650 - «фонды потребления» = 2134381руб.;

490 - «итого по разделу IV» = 1003898769 руб.;

700 - «баланс» = 7827957711 руб.

Таким образом, коэффициент автономии = 0,66>0,5, т.е. рост коэффициента автономии свидетельствует об увеличении финансовой независимости компании.

2. Вычисляем коэффициент покрытия, который показывает, насколько предприятие способно расплатиться всеми своими активами по долгам и должно быть не менее 2.

· строки (290-230-244-252)/(690-630+640+650) (форма № 1) =

(235682 3254-703918072-0-0)/(634908598- 722068+0+2134381)= 2,59>0 ,2 .

Название строк баланса следующие:

290 - «итого по разделу II» =2356823254 руб.;

230 - дебиторская задолженность (платежи по которой ожидаются более чем через 12 месяцев после отчетной даты)»= 703918072 руб.;

244 - «задолженность участников (учредителей) по взносам в уставной капитал»= 0;

252 - «собственные акции, выкупленные у акционеров»= 0;

690 - «итого по разделу V» = 634908598руб.;

630 - «расчеты по дивидендам» = 722068 руб.;

640 - «доходы будущих периодов» = 0;

650 - «фонды потребления» = 2134381 руб.

Таким образом, коэффициент покрытия =2,59>0,2, а это значит,что предприятие способно расплатиться всеми своими активами по долгам.

3. Вычисляем коэффициент эффективности управления предприятием, который показывает, сколько прибыли приходится на единицу реализованной продукции

· строка 050/строку 010 (форма № 2) = 553268909/2486940618= 0,22

Название строк следующие:

050 - «прибыль от реализации»= 553268909 руб.;

010 - «выручка (нетто) от реализации товаров, продукции, работ, услуг (за минусом налога на добавленную стоимость, акцизов и аналогичных обязательных платежей)»= 2486940618 руб.

Таким образом, коэффициент эффективности управления предприятием = 0,22. Здесь мы видим рост рентабельности производства, что свидетельствует об увеличения прибыльности и укреплении финансового благополучия компании.

Итак, финансовая устойчивость компании Латвия газ стабильно и служба безопасности ОАО «Газпром» может доверять.

Выводы исследовательской работы

После исследования компании ОАО «Газпром», можно сделать вывод:

1. У компании индекс рейдер пригодности меньше максимального значения. Это говорит о том, что вероятность поглощения ОАО другими компаниями минимально.

2. После анализа финансовой устойчивости компании Латвия газ по представленному балансу, мы видим:

А) компания способна расплачиваться собственными средствами с инвесторами или акционерами при наступлении соответствующих сроков, т.е. рост финансовой независимости компании;

Б) предприятие способно расплатиться всеми своими активами по долгам;

В) рост рентабельности производства, что свидетельствует об увеличения прибыльности и укреплении финансового благополучия компании.

Все это говорит о том, что компании Латвия газ можно доверять и он может оставаться потенциальным партнером ОАО «Газпром».

Размещено на Allbest.ru

Подобные документы

    Краткая характеристика ПАО "Газпром", анализ внутренней и внешней корпоративной социальной ответственности (КСО) предприятия. Оценка степени развития КСО ПАО "Газпром", полнота и реализация всех ее направлений, рекомендации по совершенствованию.

    курсовая работа , добавлен 20.01.2016

    Краткая характеристика организации. Миссия и цели организации. Анализ факторов внутренней и внешней среды. Структура управления организацией. Позиция основных видов продукции на рынке. Рекомендации по совершенствованию системы управления ООО "Газпром".

    курсовая работа , добавлен 24.11.2009

    История создания и направления хозяйственной деятельности ООО "Газпром" как глобальной энергетической компаний, являющейся мировым лидером отрасли. PEST-анализ компании. Модель пяти конкурентных сил Майкла Портера, стратегия управленческой деятельности.

    презентация , добавлен 09.12.2014

    Характеристика сущности, задач и форм деятельности служб безопасности предприятия. Особенности построения организационной структуры службы безопасности. Анализ направлений деятельности: юридическая, физическая, информационно-коммерческая безопасность.

    лекция , добавлен 10.06.2010

    Вопросы безопасности при приеме персонала на работу. Принципы организации профессионального отбора персонала в коммерческие предприятия. Основные этапы и процедуры профотбора персонала. Рекомендации при организации проверки и отбора кандидатов на работу.

    дипломная работа , добавлен 05.01.2003

    Теоретические подходы к определению эффективности деятельности предприятий. Показатели рентабельности затрат, продаж, собственного капитала. Анализ эффективности деятельности предприятия ОАО "Газпром". Факторы, влияющие на эффективность деятельности.

    реферат , добавлен 10.11.2013

    Теоретический анализ сущности и методов управления в сфере обеспечения безопасности предпринимательства. Особенности построения оптимальной системы безопасности, в наибольшей степени отвечающей задачам и стратегии фирмы, а также условиям внешней среды.

    реферат , добавлен 10.06.2010

    курсовая работа , добавлен 06.06.2016

    Организация как объект управления. Понятие управленческой структуры. Ее взаимосвязь с организационной структурой. Миссия и основные цели ООО "Газпром". Анализ факторов внутренней и внешней среды. Рекомендации по совершенствованию системы управления.

    курсовая работа , добавлен 28.08.2012

    Общие сведения о компании, история ее развития и особенности организационной структуры. Нормативно-правовая база, регулирующая газовый рынок России. Инновационная деятельность и маркетинг в компании "ГАЗПРОМ", оценка ее стратегии и дальнейших перспектив.

В данном топике я попытаюсь составить манул по разработке нормативной документации в области информационной безопасности для коммерческой структуры, опираясь на личный опыт и материалы из сети.

Здесь вы сможете найти ответы на вопросы:

  • для чего нужна политика информационной безопасности;
  • как ее составить;
  • как ее использовать.

Необходимость наличия политики ИБ
В этом разделе описана необходимость внедрения политики ИБ и сопутствующих ей документов не на красивом языке учебников и стандартов, а на примерах из личного опыта.
Понимание целей и задач подразделения информационной безопасности
Прежде всего политика необходима для того, чтобы донести до бизнеса цели и задачи информационной безопасности компании. Бизнес должен понимать, что безопасник это не только инструмент для расследования фактов утечек данных, но и помощник в минимизации рисков компании, а следовательно - в повышении прибыльности компании.
Требования политики - основание для внедрения защитных мер
Политика ИБ необходима для обоснования введения защитных мер в компании. Политика должна быть утверждена высшим административным органом компании (генеральный директор, совет директоров и т.п.)

Любая защитная мера есть компромисс между снижением рисков и удобством работы пользователя. Когда безопасник говорит, что процесс не должен происходить каким-либо образом по причине появления некоторых рисков, ему всегда задают резонный вопрос: «А как он должен происходить?» Безопаснику необходимо предложить модель процесса, в которой эти риски снижены в какой-то мере, удовлетворительной для бизнеса.

При этом любое применение любых защитных мер, касающихся взаимодействия пользователя с информационной системой компании всегда вызывает отрицательную реакцию пользователя. Они не хотят переучиваться, читать разработанные для них инструкции и т.п. Очень часто пользователи задают резонные вопросы:

  • почему я должен работать по вашей придуманной схеме, а не тем простым способом, который я использовал всегда
  • кто это все придумал
Практика показала, что пользователю плевать на риски, вы можете долго и нудно ему объяснять про хакеров, уголовный кодекс и прочее, из этого не получится ничего, кроме растраты нервных клеток.
При наличии в компании политики ИБ вы можете дать лаконичный и емкий ответ:
данная мера введена для исполнения требований политики информационной безопасности компании, которая утверждена высшим административным органом компании

Как правило после энергия большинства пользователей сходит на нет. Оставшимся же можно предложить написать служебную записку в этот самый высший административный орган компании. Здесь отсеиваются остальные. Потому что даже если записка туда уйдет, то мы всегда сможем доказать необходимость принятых мер перед руководством. Мы ведь не зря свой хлеб едим, да? При разработке политики следует помнить о двух моментах.
  • Целевая аудитория политики ИБ - конечные пользователи и топ-менеджмент компании, которые не понимают сложных технических выражений, однако должны быть ознакомлены с положениями политики.
  • Не нужно пытаться впихнуть невпихуемое включить в этот документ все, что можно! Здесь должны быть только цели ИБ, методы их достижения и ответственность! Никаких технических подробностей, если они требуют специфических знаний. Это все - материалы для инструкций и регламентов.


Конечный документ должен удовлетворять следующим требованиям:
  • лаконичность - большой объем документа отпугнет любого пользователя, ваш документ никто никогда не прочитает (а вы не раз будете употреблять фразу: «это нарушение политики информационной безопасности, с которой вас ознакомили»)
  • доступность простому обывателю - конечный пользователь должен понимать, ЧТО написано в политике (он никогда не прочитает и не запомнит слова и словосочетания «журналирование», «модель нарушителя», «инцидент информационной безопасности», «информационная инфраструктура», «техногенный», «антропогенный», «риск-фактор» и т.п.)
Каким образом этого добиться?

На самом деле все очень просто: политика ИБ должна быть документом первого уровня, ее должны расширять и дополнять другие документы (положения и инструкции), котрые уже будут описывать что-то конкретное.
Можно провести аналогию с государством: документом первого уровня является конституция, а существующие в государстве доктрины, концепции, законы и прочие нормативные акты лишь дополняют и регламентируют исполнение ее положений. Примерная схема представлена на рисунке.

Чтобы не размазывать кашу по тарелке, давайте просто посмотрим примеры политик ИБ, которые можно найти на просторах интернета.

Полезное количество страниц* Загруженность терминами Общая оценка
ОАО „Газпромбанк“ 11 Очень высокая
АО „Фонд развития предпринимательства “Даму» 14 Высокая Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит
АО НК «КазМунайГаз» 3 Низкая Простой для понимания документ, не перегруженный техническими терминами
ОАО «Радиотехнический институт имени академика А. Л. Минца» 42 Очень высокая Сложный документ для вдумчивого чтения, обыватель не станет читать - слишком много страниц

* Полезным я называю количество страниц без оглавления, титульного листа и других страниц, не несущих конкретной информации

Резюме

Политика ИБ должна умещаться в несколько страниц, быть легкой для понимания обывателя, описывать в общем виде цели ИБ, методы их достижения и ответственность сотрудников.
Внедрение и использование политики ИБ
После утверждения политики ИБ необходимо:
  • ознакомить с политикой всех уже работающих сотрудников;
  • ознакамливать с политикой всех новых сотрудников (как это лучше делать - тема отдельного разговора, у нас для новичков есть вводный курс, на котором я выступаю с разъяснениями);
  • проанализировать существующие бизнес-процессы с целью выявления и минимизации рисков;
  • принимать участие в создании новых бизнес-процессов, чтобы впоследствии не бежать за поездом;
  • разработать положения, процедуры, инструкции и прочие документы, дополняющие политику (инструкция по предоставлению доступа к сети интернет, инструкция по предоставлению доступа в помещения с ограниченным доступом, инструкции по работе с информационными системами компании и т.п.);
  • не реже, чем раз в квартал пересматривать политику ИБ и прочие документы по ИБ с целью их актуализации.

По вопросам и предложениям добро пожаловать в комментарии и личку.

Вопрос %username%

Что касается политики, то начальству не нравится, что я хочу простыми словами. Мне говорят: «У нас тут кроме меня и тебя и еще 10 ИТ-сотрудников, которые сами все знают и понимают, есть 2 сотни ничего в этом не понимающих, половина вообще пенсионеры».
Я пошел по пути, средней краткости описаний, например, правила антивирусной защиты, а ниже пишу типа есть политика антивирусной защиты и т.д. Но не пойму если за политику пользователь расписывается, но опять ему надо читать кучу других документов, вроде сократил политику, а вроде бы и нет.

Я бы здесь пошел по пути именно анализа процессов.
Допустим, антивирусная защита. По логике долно быть так.

Какие риски несут нам вирусы? Нарушение целостности (повреждение) информации, нарушение доступности (простой серверов или ПК) информации. При правильной организации сети, пользователь не должен иметь прав локального администратора в системе, то есть он не должен иметь прав установки ПО (а следовательно, и вирусов) в систему. Таким образом, пенсионеры отваливаются, так как они тут дел не делают.

Кто может снизить риски, связанные с вирусами? Пользователи с правами админа домена. Админ домена - роль щепетильная, выдается сотрудникам ИТ-отделов и т.п. Соответственно, и устанавливать антивирусы должны они. Получается, что за деятельность антивирусной системы несут ответственность тоже они. Соответственно, и подписывать инструкцию об организации антивирусной защиты должны они. Собственно, эту ответственность необходимо прописать в инструкции. Например, безопасник рулит, админы исполняют.

Вопрос %username%

Тогда вопрос, а что в инструкцию Антивирусной ЗИ не должна включаться ответственность за создание и использование вирусов(или есть статья и можно не упоминать)? Или что они обязаны сообщить о вирусе или странном поведении ПК в Help Desk или ИТишникам?

Опять же, я бы смотрел со стороны управления рисками. Здесь попахивает, так сказать, ГОСТом 18044-2007.
В вашем случае «странное поведение» это еще необязательно вирус. Это может быть тормоз системы или гпошек и т.п. Соответственно, это не инцидент, а событие ИБ. Опять же, согласно ГОСТу, заявить о событии может любой человек, а вот понять инцидент это или нет можно только после анализа.

Таким образом, этот ваш вопрос выливается уже не в политику ИБ, а в управление инцидентами. Вот в политике у вас должно быть прописано, что в компании должна присутствовать система обработки инцидентов .

То есть, как видите, административное исполнение политики возлагается, в основном, на админов и безопасников. Пользователям же остается пользовательское.

Следовательно, вам необходимо составить некий «Порядок использования СВТ в компании», где вы должны указать обязанности пользователей. Этот документ должен кореллировать с политикой ИБ и быть ее, так сказать, разъяснением для пользователя.

В данном документе можно указать, что пользователь обязан уведомлять о ненормальной активности компьютера соответствующую инстанцию. Ну и все остальное пользовательское вы можете туда добавить.

Итого, у вас появляется необходимость ознакомить юзера с двумя документами:

  • политикой ИБ (чтобы он понимал, что и зачем делается, не рыпался, не ругался при внедрении новых систем контроля и т.п.)
  • этим «Порядком использования СВТ в компании» (чтобы он понимал, что конкретно делать в конкретных ситуациях)

Соответственно, при внедрении новой системы, вы просто добавляете что-то в «Порядок» и уведомляете сотрудников об этом посредством рассылки порядка по электропочте (либо через СЭД, если таковая имеется).

Теги:

  • информационная безопасность
  • управление рисками
  • политика безопасности
Добавить метки

Транскрипт

1 (Открытое акционерное общество) УТВЕРЖДЕНА решением Правления ГПБ (ОАО) «24» сентября 2008 г. (протокол 35) С изменениями, утвержденными решением Правления ГПБ (ОАО) «30» сентября 2009 г. (протокол 41), «10» ноября 2010 г. (протокол 49), «22» марта 2012 г. (протокол 11) Политика информационной безопасности «Газпромбанк» (Открытое акционерное общество) МОСКВА 2008

2 2 Содержание 1. Общие положения Список терминов и определений Описание объекта защиты Цели и задачи деятельности по обеспечению информационной безопасности Угрозы информационной безопасности Модель нарушителя информационной безопасности Основные положения по обеспечению информационной безопасности Организационная основа деятельности по обеспечению информационной безопасности10 9. Ответственность за соблюдение положений Политики Контроль за соблюдением положений Политики Заключительные положения... 13

3 3 1. Общие положения 1.1. Настоящая Политика разработана в соответствии с законодательством Российской Федерации и нормами права в части обеспечения информационной безопасности, требованиями нормативных актов Центрального банка Российской Федерации, федерального органа исполнительной власти, уполномоченного в области безопасности, федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, и основывается в том числе на: Доктрине информационной безопасности Российской Федерации (от Пр-1895); Стандарте Банка России СТО БР ИББС «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» Настоящая Политика является документом, доступным любому сотруднику Банка и пользователю его ресурсов, и представляет собой официально принятую руководством «Газпромбанк» (Открытое акционерное общество) (далее Банк) систему взглядов на проблему обеспечения информационной безопасности, и устанавливает принципы построения системы управления информационной безопасностью на основе систематизированного изложения целей, процессов и процедур информационной безопасности Банка Руководство Банка осознает важность и необходимость развития и совершенствования мер и средств обеспечения информационной безопасности в контексте развития законодательства и норм регулирования банковской деятельности, а также развития реализуемых банковских технологий и ожиданий клиентов Банка и других заинтересованных сторон. Соблюдение требований информационной безопасности позволит создать конкурентные преимущества Банку, обеспечить его финансовую стабильность, рентабельность, соответствие правовым, регулятивным и договорным требованиям и повышение имиджа Требования информационной безопасности, которые предъявляются Банком, соответствуют интересам (целям) деятельности Банка и предназначены для снижения рисков, связанных с информационной безопасностью, до приемлемого уровня. Факторы рисков в информационной сфере Банка имеют отношение к его корпоративному управлению (менеджменту), организации и реализации бизнес-процессов, взаимоотношениям с контрагентами и клиентами, внутрихозяйственной деятельности. Факторы рисков в информационной сфере Банка составляют значимую часть операционных рисков Банка, а также имеют отношение и к иным рискам основной и управленческой деятельности Банка Стратегия Банка в области обеспечения информационной безопасности и защиты информации наряду с прочим включает выполнение в практической деятельности требований: российского законодательства в области безопасности, безопасности информационных технологий и защиты информации, безопасности персональных данных, банковской тайны и других правовых актов; нормативных актов федеральных органов исполнительной власти, уполномоченных в области обеспечения физической безопасности и технической защиты информации, противодействия техническим разведкам и обеспечения информационной безопасности и приватности; нормативных актов Банка России и стандартов Банка России по обеспечению информационной безопасности из комплекса стандартов «СТО БР ИББС»; нормативных актов Банка России и документов Банка России в области стандартизации «Обеспечение информационной безопасности организаций банковской системы Российской Федерации», утвержденных распоряжением Банка России от 21 июня 2010

4 4 года Р-705 и принятых обязательными для исполнения в Банке в соответствии с приказом от 27 декабря 2010 года Необходимые требования обеспечения информационной безопасности Банка должны неукоснительно соблюдаться персоналом Банка и другими сторонами как это определяется положениями внутренних нормативных документов Банка, а также требованиями договоров и соглашений, стороной которых является Банк Настоящая Политика распространяется на бизнес - процессы Банка и обязательна для применения всеми сотрудниками и руководством Банка, а также пользователями его информационных ресурсов Положения настоящей Политики должны быть учтены при разработке политик информационной безопасности в дочерних и аффилированных организациях Настоящая Политика в соответствии с рекомендациями в области стандартизации Банка России РС БР ИББС «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС 1.0», принятыми и введенными в действие распоряжением Банка России от 28 апреля 2007г. Р-348, является корпоративным документом по ИБ первого уровня Документами, детализирующими положения корпоративной Политики применительно к одной или нескольким областям ИБ, видам и технологиям деятельности Банка, являются частные политики по обеспечению ИБ (далее Частные политики), которые являются документами по ИБ второго уровня, оформляются как отдельные внутренние нормативные документы Банка, разрабатываются и согласовываются в соответствии с установленным в Банке порядком, утверждаются Куратором. 2. Список терминов и определений В настоящей Политике использованы термины с соответствующими определениями согласно СТО БР ИББС «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» Бизнес-процесс последовательность технологически связанных операций по предоставлению банковских продуктов и/или осуществлению конкретного вида обеспечивающей деятельности Банка Информационная безопасность Банка (ИБ) в настоящей Политике состояние защищенности технологических и бизнес - процессов Банка, объединяющих в своем составе сотрудников Банка, технические и программные средства обработки информации, информацию в условиях угроз в информационной сфере Информационная система Банка совокупность программно-аппаратных комплексов Банка, применяемых для обеспечения бизнес - процессов Банка. Банкоматы в данной совокупности не рассматриваются как устройства, сильно отличающиеся от остальных компонентов информационной системы Банка и обладающие своими уникальными свойствами с точки зрения информационной безопасности Инцидент информационной безопасности это появление одного или нескольких нежелательных рисковых событий информационной безопасности, с которыми связана значительная вероятность нарушения конфиденциальности, целостности или доступности информационных активов и инфраструктуры и создания угрозы информационной безопасности ИТ-блок совокупность самостоятельных структурных подразделений Банка, ответственных за развитие, эксплуатацию и сопровождение информационных банковских систем.

5 Конфиденциальная информация (далее КИ) информация, в отношении которой Банком установлен режим конфиденциальности Куратор заместитель Председателя Правления Банка, курирующий вопросы безопасности Банка, в том числе вопросы информационной безопасности Модель угроз описательное представление свойств или характеристик угроз безопасности информации Модель нарушителя описательное представление опыта, знаний, доступных ресурсов возможных нарушителей ИБ, необходимых им для реализации угрозы ИБ, и возможной мотивации действий Ответственное подразделение Служба (департамент) безопасности. Основные функции в указанной сфере внедрение настоящей Политики, разработка, внедрение и поддержка систем обеспечения информационной безопасности Пользователь информационной системы - физическое лицо, обладающее возможностью доступа к информационной системе Банка Режим конфиденциальности информации организационно-технические мероприятия по защите информации, позволяющие обладателю КИ при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду, и реализующие меры по охране КИ, включающие в себя: определение перечня информации, составляющей КИ в соответствии с «Перечнем информации, в отношении которой ГПБ (ОАО) установлен режим конфиденциальности», утвержденным приказом от); ограничение доступа к КИ путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; учет лиц, получивших доступ к КИ, и (или) лиц, которым такая информация была предоставлена или передана; регулирование отношений по использованию КИ работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров и соглашений Рисковое событие информационной безопасности это событие, обусловленное операционным риском, повлекшее или способное повлечь за собой потери Банка и произошедшее по причине ошибочности или сбоя банковских процессов, действий людей и систем, а также по причине внешних событий Угроза информационной безопасности операционный риск, влияющий на нарушение одного (или нескольких) свойств информации целостности, конфиденциальности, доступности объектов защиты. 3. Описание объекта защиты Основными объектами защиты системы информационной безопасности в Банке являются: информационные ресурсы, содержащие коммерческую тайну, банковскую тайну, персональные данные физических лиц, сведения ограниченного распространения, а также открыто распространяемая информация, необходимая для работы Банка, независимо от формы и вида ее представления; информационные ресурсы, содержащие конфиденциальную информацию, включая персональные данные физических лиц, а также открыто распространяемая информация, необходимая для работы Банка, независимо от формы и вида ее представления;

6 6 сотрудники Банка, являющиеся разработчиками и пользователями информационных систем Банка; информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены такие системы. 4. Цели и задачи деятельности по обеспечению информационной безопасности Целью деятельности по обеспечению информационной безопасности Банка является снижение угроз информационной безопасности до приемлемого для Банка уровня. Основные задачи деятельности по обеспечению информационной безопасности Банка: выявление потенциальных угроз информационной безопасности и уязвимостей 1 объектов защиты; предотвращение инцидентов информационной безопасности; исключение либо минимизация выявленных угроз. 5. Угрозы информационной безопасности Все множество потенциальных угроз безопасности информации делится на три класса по природе их возникновения: антропогенные, техногенные и естественные (природные) Возникновение антропогенных угроз обусловлено деятельностью человека. Среди них можно выделить угрозы, возникающие вследствие как непреднамеренных (неумышленных) действий: угрозы, вызванные ошибками в проектировании информационной системы и ее элементов, ошибками в действиях персонала и т.п., так и угрозы, возникающие в силу умышленных действий, связанные с корыстными, идейными или иными устремлениями людей. К антропогенным угрозам относятся угрозы, связанные с нестабильностью и противоречивостью требований регуляторов деятельности Банка и контрольных органов, с действиями в руководстве и управлении (менеджменте), неадекватными целям и сложившимся условиям, с потребляемыми услугами, с человеческим фактором Возникновение техногенных угроз обусловлено воздействиями на объект угрозы объективных физических процессов техногенного характера, технического состояния окружения объекта угрозы или его самого, не обусловленных напрямую деятельностью человека. К техногенным угрозам могут быть отнесены сбои, в том числе в работе, или разрушение систем, созданных человеком Возникновение естественных (природных) угроз обусловлено воздействиями на объект угрозы объективных физических процессов природного характера, стихийных природных явлений, состояний физической среды, не обусловленных напрямую деятельностью человека. 1 В настоящем документе под уязвимостью понимается слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами (ГОСТ Р ИСО/МЭК, статья 2.26). 2 Данная классификация осуществляется независимо от классификации операционных рисков по рискфакторам, предусмотреной «Политикой по управлению операционном риском в АБ «Газпромбанк» (ЗАО)» 25-П от г.

7 7 К естественным (природным) угрозам относятся угрозы метеорологические, атмосферные, геофизические, геомагнитные и пр., включая экстремальные климатические условия, метеорологические явления, стихийные бедствия. Источники угроз по отношению к инфраструктуре Банка могут быть как внешними, так и внутренними. 6. Модель нарушителя информационной безопасности По отношению к Банку нарушители могут быть разделены на внешних и внутренних нарушителей Внутренние нарушители. В качестве потенциальных внутренних нарушителей Банком рассматриваются: зарегистрированные пользователи информационных систем Банка; сотрудники Банка, не являющиеся зарегистрированными пользователями и не допущенные к ресурсам информационных систем Банка, но имеющие доступ в здания и помещения; персонал, обслуживающий технические средства корпоративной информационной системы Банка; сотрудники самостоятельных структурных подразделений Банка, задействованные в разработке и сопровождении программного обеспечения; сотрудники самостоятельных структурных подразделений, обеспечивающие безопасность Банка; руководители различных уровней Внешние нарушители. В качестве потенциальных внешних нарушителей Банком рассматриваются: бывшие сотрудники Банка; представители организаций, взаимодействующих по вопросам технического обеспечения Банка; клиенты Банка; посетители зданий и помещений Банка; конкурирующие с Банком кредитные организации; члены преступных организаций, сотрудники спецслужб или лица, действующие по их заданию; лица, случайно или умышленно проникшие в корпоративную информационную систему Банка из внешних телекоммуникационных сетей (хакеры) В отношении внутренних и внешних нарушителей принимаются следующие ограничения и предположения о характере их возможных действий: нарушитель скрывает свои несанкционированные действия от других сотрудников Банка; несанкционированные действия нарушителя могут быть следствием ошибок пользователей, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки, хранения и передачи информации; в своей деятельности вероятный нарушитель может использовать любое имеющееся средство перехвата информации, воздействия на информацию и информационные

8 8 системы, адекватные финансовые средства для подкупа персонала, шантаж, методы социальной инженерии и другие средства и методы для достижения стоящих перед ним целей; внешний нарушитель может действовать в сговоре с внутренним нарушителем. 7. Основные положения по обеспечению информационной безопасности 7.1. Требования об обеспечении информационной безопасности Банка обязательны к соблюдению всеми работниками Банка и пользователями информационных систем Руководство Банка приветствует и поощряет в установленном порядке деятельность работников Банка и пользователей информационных систем по обеспечению информационной безопасности Неисполнение или некачественное исполнение сотрудниками Банка и пользователей информационных систем обязанностей по обеспечению информационной безопасности может повлечь лишение доступа к информационным системам, а также применение к виновным административных мер воздействия, степень которых определяется установленным в Банке порядком либо требованиями действующего законодательства Стратегия Банка в части противодействия угрозам информационной безопасности заключается в сбалансированной реализации взаимодополняющих мер по обеспечению безопасности: от организационных мер на уровне руководства Банка, до специализированных мер информационной безопасности по каждому выявленному в Банке риску, основанных на оценке рисков информационной безопасности С целью поддержки заданного уровня защищенности Банк придерживается процессного подхода в построении системы менеджмента информационной безопасности. Система менеджмента информационной безопасности Банка основывается на осуществлении следующих основных процессов (планирование, реализация и эксплуатация защитных мер, проверка (мониторинг и анализ), совершенствование) соответствующих требованиям стандарта Банка России СТО БР ИББС 1.0 и положениям международных стандартов по обеспечению информационной безопасности. Реализация этих процессов осуществляется в виде непрерывного цикла «планирование реализация проверка совершенствование планирование», направленного на постоянное совершенствование деятельности по обеспечению информационной безопасности Банка и повышение ее эффективности. На всех этапах жизненного цикла управление информационной безопасностью Банка осуществляется с соблюдением нормативных документов, определяющих процессы управления операционными рисками Банка При планировании мероприятий по обеспечению информационной безопасности в Банке осуществляются: Определение и распределение ролей персонала Банка, связанного с обеспечением информационной безопасности (ролей информационной безопасности) Оценка важности информационных активов с учетом потребности в обеспечении их свойств с точки зрения информационной безопасности Менеджмент рисков информационной безопасности, включающий: анализ влияния на информационную безопасность Банка применяемых в деятельности Банка технологий, а также внешних по отношению к Банку событий; выявление проблем обеспечения информационной безопасности, анализ причин их возникновения и прогнозирование их развития; определение моделей угроз информационной безопасности; выявление, анализ и оценка значимых для Банка угроз информационной безопасности;

9 9 выявление возможных негативных последствий для Банка, наступающих в результате проявления факторов риска информационной безопасности, в том числе связанных с нарушением свойств безопасности информационных активов Банка; идентификацию и анализ рисковых событий информационной безопасности; оценку величины рисков информационной безопасности и определение среди них рисков, неприемлемых для Банка; обработку результатов оценки рисков информационной безопасности, базирующейся на методах управления операционными рисками, определенных в Банке; оптимизацию рисков информационной безопасности за счет выбора и применения защитных мер, противодействующих проявлениям факторов риска и минимизирующих возможные негативные последствия для Банка в случае наступления рисковых событий; оценку влияния защитных мер на цели основной деятельности Банка; оценку затрат на реализацию защитных мер; рассмотрение и оценку различных вариантов решения задач по обеспечению информационной безопасности; разработку планов управления рисками, предусматривающих различные защитные меры и варианты их применения, и выбор из них такого, реализация которого максимально положительно скажется на целях основной деятельности Банка и будет оптимальна с точки зрения произведенных затрат и ожидаемого эффекта; документальное оформление целей и задач обеспечения информационной безопасности Банка, поддержка в актуальном состоянии нормативно методического обеспечения деятельности в сфере информационной безопасности В рамках реализации деятельности по обеспечению информационной безопасности в Банке осуществляются: Менеджмент инцидентов информационной безопасности, включающий: сбор информации о событиях информационной безопасности; выявление и анализ инцидентов информационной безопасности; расследование инцидентов информационной безопасности; оперативное реагирование на инцидент информационной безопасности; минимизация негативных последствий инцидентов информационной безопасности; оперативное доведение до руководства Банка информации по наиболее значимым инцидентам информационной безопасности и оперативное принятие решений по ним, включая регламентирование порядка реагирования на инциденты информационной безопасности; выполнение принятых решений по всем инцидентам информационной безопасности в установленные сроки; пересмотр применяемых требований, мер и механизмов по обеспечению информационной безопасности по результатам рассмотрения инцидентов информационной безопасности; повышение уровня знаний персонала Банка в вопросах обеспечения информационной безопасности; обеспечение регламентации и управления доступом к программным и программно-техническим средствам и сервисам автоматизированных систем Банка и информации, обрабатываемой в них;

10 10 применение средств криптографической защиты информации; обеспечение бесперебойной работы автоматизированных систем и сетей связи; обеспечение возобновления работы автоматизированных систем и сетей связи после прерываний и нештатных ситуаций; применение средств защиты от вредоносных программ; обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных систем Банка, связанных с проектированием, разработкой, приобретением, поставкой, вводом в действие, сопровождением (сервисным обслуживанием); обеспечение информационной безопасности при использовании доступа в сеть Интернет и услуг электронной почты; контроль доступа в здания и помещения Банка Обеспечение защиты информации от утечки по техническим каналам, включающее: применение мер и технических средств, снижающих вероятность несанкционированного получения информации в устной форме - пассивная защита; применение мер и технических средств, создающих помехи при несанкционированном получении информации - активная защита; применение мер и технических средств, позволяющих выявлять каналы несанкционированного получения информации - поиск В целях проверки деятельности по обеспечению информационной безопасности в Банке осуществляются: контроль правильности реализации и эксплуатации защитных мер; контроль изменений конфигурации систем и подсистем Банка; мониторинг факторов рисков 3 и соответствующий их пересмотр; контроль реализации и исполнения требований сотрудниками Банка действующих внутренних нормативных документов по обеспечению информационной безопасности Банка; контроль деятельности сотрудников и других пользователей информационных систем Банка, направленный на выявление и предотвращение конфликтов интересов В целях совершенствования деятельности по обеспечению информационной безопасности в Банке осуществляется периодическое, а при необходимости оперативное, уточнение/пересмотр целей и задач обеспечения информационной безопасности (при изменениях целей и задач основной деятельности Банка). 8. Организационная основа деятельности по обеспечению информационной безопасности 8.1. В целях выполнения задач по обеспечению информационной безопасности Банка, в соответствии с рекомендациями международных и российских стандартов по безопасности в Банке должны быть определены следующие роли: Куратор; Ответственное подразделение; 3 Термин «фактор риска» определен в «Политике по управлению операционным риском в АБ «Газпромбанк» (ЗАО)» от ПР.

11 11 Сотрудник банка. При необходимости могут быть определены и другие роли по информационной безопасности Оперативная деятельность и планирование деятельности по обеспечению информационной безопасности Банка осуществляются и координируются Ответственным подразделением. Задачами Ответственного подразделения являются: установление потребностей Банка в применении мер обеспечения информационной безопасности, определяемых как внутренними корпоративными требованиями, так и требованиями нормативных актов; соблюдение действующего федерального законодательства, нормативных актов федеральных органов исполнительной власти, уполномоченных в области обеспечения безопасности и противодействия техническим разведкам и технической защиты информации, нормативных актов Банка России и стандартов Банка России по обеспечению информационной безопасности, нормативных актов по обеспечению информационной безопасности, приватности и неразглашению, принятых регуляторами рынков, на которых представлены интересы и бизнес Банка; разработка и пересмотр внутренних нормативных документов по обеспечению информационной безопасности Банка, включая планы, политики, положения, регламенты, инструкции, методики, перечни сведений и иные виды внутренних нормативных документов; осуществление контроля актуальности и непротиворечивости внутренних нормативных документов (политик, планов, методик и т.д.), затрагивающих вопросы информационной безопасности Банка; обучение, контроль и непосредственная работа с персоналом Банка в области обеспечения информационной безопасности; планирование применения, участие в поставке и эксплуатации средств обеспечения информационной безопасности на объекты и системы в Банке; выявление и предотвращение реализации угроз информационной безопасности; выявление и реагирование на инциденты информационной безопасности; информирование в установленном порядке ответственных лиц (Департамент анализа и контроля банковских рисков) об угрозах и рисковых событиях информационной безопасности; прогнозирование и предупреждение инцидентов информационной безопасности; пресечение несанкционированных действий нарушителей информационной безопасности; поддержка базы инцидентов информационной безопасности, анализ, разработка оптимальных процедур реагирования на инциденты и обучение персонала; типизация решений по применению мер и средств обеспечения информационной безопасности и распространение типовых решений на филиалы и представительства Банка; обеспечение эксплуатации средств и механизмов обеспечения информационной безопасности; мониторинг и оценка информационной безопасности, включая оценку полноты и достаточности защитных мер и видов деятельности по обеспечению информационной безопасности Банка;

12 12 контроль обеспечения информационной безопасности Банка, в том числе, и на основе информации об инцидентах информационной безопасности, результатах мониторинга, оценки и аудита информационной безопасности; информирование руководства Банка и руководителей его самостоятельных структурных подразделений Банка об угрозах информационной безопасности, влияющих на деятельность Банка Ответственное подразделение может создавать оперативные группы для проведения расследований инцидентов информационной безопасности, возглавляемые сотрудником Ответственного подразделения, и может, при наличии обоснованной необходимости по согласованию с руководителями соответствующих подразделений, привлекать для работы в них сотрудников других самостоятельных структурных подразделений Банка на основе совмещения работы в группе со своими основными должностными обязанностями Финансирование работ по реализации положений настоящей Политики осуществляется как в рамках целевого бюджета Ответственного подразделения Банка, так и в рамках бюджетов бизнес - подразделений и подразделений ИТ-блока Основными функциями Куратора в вопросах информационной безопасности являются: назначение ответственных лиц в области ИБ, координация и внедрение информационной безопасности в Банке Основными задачами работников Банка при выполнении возложенных на них обязанностей и в рамках их участия в оперативной деятельности по обеспечению информационной безопасности Банка являются: соблюдение требований информационной безопасности, устанавливаемых нормативными документами Банка; выявление и предотвращение реализации угроз информационной безопасности в пределах своей компетенции; выявление и реагирование на инциденты информационной безопасности; информирование в установленном порядке ответственных лиц (Департамент анализа и контроля банковских рисков) о выявленных угрозах и рисковых событиях информационной безопасности; прогнозирование и предупреждение инцидентов информационной безопасности в пределах своей компетенции; мониторинг и оценка информационной безопасности в рамках своего участка работы (рабочего места, структурного подразделения) и в пределах своей компетенции; информирование своего руководства и Ответственного подразделения о выявленной угрозе в информационной среде Банка. 9. Ответственность за соблюдение положений Политики Общее руководство обеспечением информационной безопасности Банка осуществляет Куратор. Ответственность за поддержание положений настоящей Политики в актуальном состоянии, создание, внедрение, координацию и внесение изменений в процессы системы менеджмента информационной безопасности Банка лежит на руководстве Ответственного подразделения.

13 13 Ответственность работников Банка за невыполнение настоящей Политики определяется соответствующими положениями, включаемыми в договоры с работниками Банка, а также положениями внутренних нормативных документов Банка. 10. Контроль за соблюдением положений Политики Общий контроль состояния информационной безопасности Банка осуществляется Куратором. Текущий контроль соблюдения настоящей Политики осуществляет Ответственное подразделение. Контроль осуществляется путем проведения мониторинга и менеджмента инцидентов информационной безопасности Банка, по результатам оценки информационной безопасности, а также в рамках иных контрольных мероприятий. Департамент внутреннего контроля осуществляет контроль соблюдения настоящей Политики на основе проведения внутреннего аудита информационной безопасности. 11. Заключительные положения Требования настоящей Политики могут развиваться другим внутренними нормативными документами Банка, которые дополняют и уточняют ее В случае изменения действующего законодательства и иных нормативных актов, а также Устава Банка настоящая Политика и изменения к ней применяются в части, не противоречащей вновь принятым законодательным и иным нормативным актам, а также Уставу Банка. В этом случае Ответственное подразделение обязано незамедлительно инициировать внесение соответствующих изменений Внесение изменений в настоящую Политику осуществляется на периодической и внеплановой основе: периодическое внесение изменений в настоящую Политику должно осуществляться не реже одного раза в 24 месяца; внеплановое внесение изменений в настоящую Политику может производиться по результатам анализа инцидентов информационной безопасности, актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, результатам проведения внутренних аудитов информационной безопасности и других контрольных мероприятий Ответственным за внесение изменений в настоящую Политику является руководитель Ответственного подразделения.

14 14 Ответственный исполнитель Начальник Отдела защиты информационных технологий Управления защиты информации Службы (департамента) безопасности А.К. Плешков


1 Список тестов с описанием Папка: Общие тесты => Тесты по банковcкому делу => ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Общие тесты Тесты по банковcкому делу Папка ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Кол-во тестов Демонстрационные

УТВЕРЖДЕНО Советом Директоров «ИНГ БАНК (ЕВРАЗИЯ) ЗАО» Протокол 10-2011 от 16 декабря 2011 года РУССКИЙ «ИНГ БАНК (ЕВРАЗИЯ) ЗАО» (ЗАКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО) Положение об организации управления риском

ЧАСТНАЯ ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ Банк «Таатта» АО Якутск 2016 г. Оглавление 1. Общие положения... 3 2. Понятие и состав персональных данных... 3 4. Сроки обработки персональных

УТВЕРЖДЕНО Советом Директоров «ИНГ БАНК (ЕВРАЗИЯ) ЗАО» Протокол 10-2011 от 16 декабря 2011 года РУССКИЙ «ИНГ БАНК (ЕВРАЗИЯ) ЗАО» (ЗАКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО) Положение об организации управления правовым

Утверждено: Решением Правления Протокол 499 от «18»07. 2005г. Политика информационной безопасности V.23 г. Иркутск 2005 г. Содержание: 1. Введение..3 2. Область применения.. 3 3. Нормативные ссылки. 3

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК России) П Р И К А З 11 февраля 2013 г. Москва 17 Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся

УТВЕРЖДЕНО Приказом 06-12ОД от «25» января 2012 года Политика обработки персональных данных в ООО «Голдман Сакс Банк» Москва 2012 1 ВВЕДЕНИЕ Настоящая Политика обработки персональных данных в ООО «Голдман

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА Ухтинский техникум железнодорожного транспорта - филиал федерального государственного бюджетного образовательного учреждения высшего профессионального

Национальный стандарт Российской Федерации ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК РОССИИ) Утвержден ФСТЭК России 2015 г. МЕТОДИЧЕСКИЙ ДОКУМЕНТ МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

УТВЕРЖДЕНО приказом от «,?//» У / 20 / т. директор М А У Д Ж Ц / IГ «Гармония» Ярмолюк J1.B. о порядке организации и проведения работ пош ^р"^ш ^ещ альных данных в МАУДОД ЦДТ «Гармония» г а 1. Общие положения

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ ПИСЬМО от 31 марта 2008 г. N 36-Т О РЕКОМЕНДАЦИЯХ ПО ОРГАНИЗАЦИИ УПРАВЛЕНИЯ РИСКАМИ, ВОЗНИКАЮЩИМИ ПРИ ОСУЩЕСТВЛЕНИИ КРЕДИТНЫМИ ОРГАНИЗАЦИЯМИ ОПЕРАЦИЙ С ПРИМЕНЕНИЕМ

КОДЕКС ПРОФЕССИОНАЛЬНОЙ ЭТИКИ ВНЕШЭКОНОМБАНКА, ОСУЩЕСТВЛЯЮЩЕГО ДЕЯТЕЛЬНОСТЬ, СВЯЗАННУЮ С ФОРМИРОВАНИЕМ И ИНВЕСТИРОВАНИЕМ СРЕДСТВ ПЕНСИОННЫХ НАКОПЛЕНИЙ 2 ОГЛАВЛЕНИЕ I. ОБЩИЕ ПОЛОЖЕНИЯ...3 II. ПРИНЦИПЫ ПРОФЕССИОНАЛЬНОЙ

Открытое акционерное общество «Промсвязьбанк» У Т В Е Р Ж Д Е Н Приказом Президента ОАО «Промсвязьбанк» от 24 декабря 2012 г. 245/6 12-67-01 ПОЛИТИКА в отношении обработки персональных данных (редакция

2 УДК 347.775(075.8) А19 Р е ц е н з е н т ы: кафедра программного обеспечения вычислительной техники и систем информационной безопасности Курганского государственного университета; доктор технических

(В редакции приказа АО «Россельхозбанк» от 17.08.2015 708-ОД) АКЦИОНЕРНОЕ ОБЩЕСТВО «РОССИЙСКИЙ СЕЛЬСКОХОЗЯЙСТВЕННЫЙ БАНК» (АО «РОССЕЛЬХОЗБАНК») УТВЕРЖДЕНА решением Правления ОАО «Россельхозбанк» (протокол

ПОЛОЖЕНИЕ ОБ ИНФОРМАЦИОННОЙ ПОЛИТИКЕ ОАО «ГМК «НОРИЛЬСКИЙ НИКЕЛЬ» УТВЕРЖДЕНО решением Совета директоров ОАО «ГМК «Норильский никель» Протокол от мая 2009 г. Настоящее положение об информационной политике

VII Научная конференция «Страхование перед вызовами ХХI века», Ридзина, Польша, 20-22 мая 2013 г. РИСК-МЕНЕДЖМЕНТ ПЕРЕСТРАХОВЩИКА (НА ПРИМЕРЕ ОАО «ТРАНССИБИРСКАЯ ПЕРЕСТРАХОВОЧНАЯ КОРПОРАЦИЯ», РОССИЯ) И.

Лист 2 Предисловие Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 184-ФЗ «О техническом регулировании» Сведения о документированной процедуре 1

СТАНДАРТ ПРЕДПРИЯТИЯ Система экологического менеджмента. Экологическая политика ОАО «Иркутскэнерго» Введен взамен СТП 001.114.112-2007 УТВЕРЖДАЮ Генеральный директор ОАО «Иркутскэнерго» О. Н. Причко (дата)

ОТКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО «СБЕРБАНК РОССИИ» УТВЕРЖДЕНО годовым Общим собранием акционеров ОАО «Сбербанк России» (Протокол от 10.06.2014 г. 27) ПОЛОЖЕНИЕ о Правлении Открытого акционерного общества

«УТВЕРЖДАЮ» Генеральный директор В.И. Штефан ПОЛОЖЕНИЕ ОБ АНТИКОРРУПЦИОННОЙ ПОЛИТИКЕ ОТКРЫТОГО АКЦИОНЕРНОГО ОБЩЕСТВА «Воронежский научно- исследовательский институт «Вега» г. Воронеж 1 Содержание 1 Введение...2

ÑÒÀÍÄÀÐÒ ÁÀÍÊÀ ÐÎÑÑÈÈ ÑÒÎ ÁÐ ÈÁÁÑ-1.0-2010 ÎÁÅÑÏÅ ÅÍÈÅ ÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈ ÎÐÃÀÍÈÇÀÖÈÉ ÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛ ÐÎÑÑÈÉÑÊÎÉ ÔÅÄÅÐÀÖÈÈ ÎÁÙÈÅ ÏÎËÎÆÅÍÈß Дата введения: 2010-06-21 Издание официальное Ìîñêâà

М И НИСТЕРСТВОО БРАЗО ВАНИ Я И НАУКИ РОССИЙСКОЙ Ф ЕДЕРАЦИИ Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Тихоокеанский i осударственный университет»

УТВЕРЖДЕНО Решением Совета директоров АО «АРЭК» от 29 декабря 2014г. протокол 15 ПОЛОЖЕНИЕ о Генеральном директоре Акционерного общества «Акмолинская распределительная электросетевая компания» Введено

ÐÅÊÎÌÅÍÄÀÖÈÈ Â ÎÁËÀÑÒÈ ÑÒÀÍÄÀÐÒÈÇÀÖÈÈ ÁÀÍÊÀ ÐÎÑÑÈÈ ÐÑ ÁÐ ÈÁÁÑ-3-200 ÎÁÅÑÏÅ ÅÍÈÅ ÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈ ÎÐÃÀÍÈÇÀÖÈÉ ÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛ ÐÎÑÑÈÉÑÊÎÉ ÔÅÄÅÐÀÖÈÈ ÒÐÅÁÎÂÀÍÈß ÏÎ ÎÁÅÑÏÅ ÅÍÈÞ ÁÅÇÎÏÀÑÍÎÑÒÈ ÏÅÐÑÎÍÀËÜÍÛÕ

Доклад: Нормативное регулирование ДБО в России Царев Евгений http://www.ruscrypto.ru/conference/ Общая структура нормативных документов 161 ФЗ О национальной платежной системе 115-ФЗ О противодействии

АДМИНИСТРАЦИЯ ГОРОДА СМОЛЕНСКА ПОСТАНОВЛЕНИЕ (с изменениями, внесенными постановлениями Администрации города Смоленска от 02.12.2014 2094, от 23.12.2015 284-адм, от 29.12.2015 394-адм) от 30.12.2010 920-адм

Приложение к Решению 16/4 Проект Концептуальное положение об Едином центре по обеспечению безопасности в киберпространстве государств участников СНГ. Информационная сфера, являясь системообразующим фактором

Требования ГОСТ Р ИСО 9001-2008, 8.5.2 Корректирующие действия Организация должна предпринимать корректирующие действия с целью устранения причин несоответствий для предупреждения повторного их возникновения.

УТВЕРЖДЕНО: Председатель Правления ЗАО «ПЕРВОУРАЛЬСКБАНК» Романов М.С. 2012г. ПОЛИТИКА в отношении обработки Персональных Данных в ЗАО «ПЕРВОУРАЬСКБАНК» г.первоуральск 1. ВВЕДЕНИЕ 1.1 Важнейшим условием

Утвержден решением Совета директоров ОАО «НОВАТЭК» Протокол 60 от 15.12.05. КОДЕКС КОРПОРАТИВНОГО ПОВЕДЕНИЯ ОТКРЫТОГО АКЦИОНЕРНОГО ОБЩЕСТВА «НОВАТЭК» г. Москва 2005 год 1. ВВЕДЕНИЕ Под корпоративным поведением

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМПАНИИ «IDPERSONNEL» Казань 2014 год www.idpersonnel.ru 1. ОБЩИЕ ПОЛОЖЕНИЯ 1.1. Настоящая Политика определяет условия и порядок действий в Компании «IDPersonnel»

УТВЕРЖДЕНО Решением Совета директоров ПАО БАНК «ЮГРА» Протокол от 18.08.2015 18.08.15/1 Председатель Совета директоров ПАО БАНК «ЮГРА» А.В.Фомин ПОЛОЖЕНИЕ О СИСТЕМЕ ВНУТРЕННЕГО КОНТРОЛЯ ПАО БАНК «ЮГРА»

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ ПИСЬМО от 24 марта 2014 г. N 49-Т О РЕКОМЕНДАЦИЯХ ПО ОРГАНИЗАЦИИ ПРИМЕНЕНИЯ СРЕДСТВ ЗАЩИТЫ ОТ ВРЕДОНОСНОГО КОДА ПРИ ОСУЩЕСТВЛЕНИИ БАНКОВСКОЙ ДЕЯТЕЛЬНОСТИ В связи с

УТВЕРЖДЕНО Решением Совета директоров ОАО «ЗСД» Протокол 9/2011 от «27» июня 2011 года Председатель Совета директоров / Ю. В. Молчанов Положение об инсайдерской информации Открытого акционерного общества

Разработка, функционирование и сертификация систем менеджмента информационной безопасности стандарт МС ИСО/МЭК 27001-2005 Лившиц Илья Иосифович, старший эксперт Представление докладчика Саньков Александр

Стандарты менеджмента и результативности в области охраны окружающей среды, здоровья и промышленной безопасности Стандарты менеджмента Стандарт менеджмента 1: Лидерство и ответственность. В нашей компании

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСТ Р 50922 2006 Защита информации ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ Издание официальное БЗ 1 2007/378

РАЗРАБОТКА И ВНЕДРЕНИЕ СИСТЕМЫ МЕНЕДЖМЕНТА КАЧЕСТВА СИСТЕМА МЕНЕДЖМЕНТА Любая организация имеет систему менеджмента, представляющую собой совокупность организационной структуры, бизнес-процессов, методик

УТВЕРЖДЕНО Решением единственного акционера ОАО «ЭМЗ им. В. М. Мясищева» «27» июня 2011г. ПОЛОЖЕНИЕ О ЕДИНОЛИЧНОМ ИСПОЛНИТЕЛЬНОМ ОРГАНЕ (ГЕНЕРАЛЬНОМ ДИРЕКТОРЕ) открытого акционерного общества «Экспериментальный

УТВЕРЖДЕНО решением Совета директоров КБ «МИА» (АО) от 01.03.2016 г. Протокол 2 ИНФОРМАЦИОННАЯ ПОЛИТИКА Коммерческого Банка «Московское ипотечное агентство» (Акционерное Общество) (РЕДАКЦИЯ 1) Москва,

Правила Единой платежно-сервисной системы «Универсальная электронная карта» Ред.2.2.01 Правила Платежной системы «Универсальная электронная карта» Приложение ПС-13 Редакция 2.2.01 1 ОГЛАВЛЕНИЕ Введение...

ПУБЛИЧНОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО «СБЕРБАНК РОССИИ» СОГЛАСОВАНО Комитет Профсоюза работников Публичного акционерного общества «Сбербанк России» Постановление от 23.10.2015 11 УТВЕРЖДЕНО Наблюдательным советом

Приложение Концепция создания Интегрированной информационной системы внешней и взаимной торговли Таможенного союза 2 1. ВВЕДЕНИЕ... 3 1.1. Назначение и структура документа... 3 1.2. Общее содержание документа...

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСТ Р Безопасность информационных геологических ресурсов недр Основные положения Москва Стандартинформ

Д Л Я У Ч Е Б Н Ы Х Ц Е Л Е Й ОТКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО «ГАЗПРОМ» СТАНДАРТ ОРГАНИЗАЦИИ Системы менеджмента СИСТЕМЫ МЕНЕДЖМЕНТА КАЧЕСТВА Требования СТО Газпром 9001-20 Издание официальное ОТКРЫТОЕ АКЦИОНЕРНОЕ

Утверждено Советом директоров ОАО "Дальневосточная энергетическая компания" "17"_сентября 2007 г. Протокол 23 ПОЛОЖЕНИЕ о Службе Внутреннего Аудита Статья 1. Общие положения 1.1. Настоящее Положение о

1. ОБЩИЕ ПОЛОЖЕНИЯ 1.1. Настоящее Положение разработано на основании требований: Федерального закона Российской Федерации от 27.07.2006 152 «О персональных данных»; Федерального закона Российской Федерации

Политика обработки персональных данных сайта rosvakant.ru (для неограниченного доступа, опубликовано в соответствии с ч.2 ст.18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных")

УТВЕРЖДЕНО Протоколом Совета Директоров ПАО «Группа Компаний ПИК» 3 от «30» Июля 2015 г. ПОЛИТИКА В ОБЛАСТИ ВНУТРЕННЕГО КОНТРОЛЯ И УПРАВЛЕНИЯ РИСКАМИ ПАО «ГРУППА КОМПАНИЙ ПИК» Политика ПТ1001.0100.006.01-2015

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. N 781 ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ

СТО 003-2016 Министерство образования и науки Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего образования ИРКУТСКИЙ НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ТЕХНИЧЕСКИЙ

УТВЕРЖДЕН решением Правления ОАО «БайкалИнвестБанк» Протокол 4394 от 31.12.2015 КОДЕКС КОРПОРАТИВНОЙ ЭТИКИ ОАО БайкалИнвестБанк г. Иркутск 2015 г. ОГЛАВЛЕНИЕ 1. ОБЩИЕ ПОЛОЖЕНИЯ... 3 2. МИССИЯ БАНКА...

Приложение 1 к решению Наблюдательного совета 01/16з от 12.01.2016 ПАО «Лето Банк» ПОР Я Д ОК предотвращения конфликтов интересов в ПАО «Лето Банк» Москва 2016 Cодержание Стр. I. Цели и задачи.3 II. Термины

ОТКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО «КРАСНОДАРСКИЙ КРАЕВОЙ ИНВЕСТИЦИОННЫЙ БАНК» (ОАО «КРАЙИНВЕСТБАНК») УТВЕРЖДЕНО РЕШЕНИЕМ СОВЕТА ДИРЕКТОРОВ ОАО «КРАЙИНВЕСТБАНК» ПРОТОКОЛ ОТ 30.06.2015 10 АНТИКОРРУПЦИОННАЯ ПОЛИТИКА

ПРАВИТЕЛЬСТВО КУРГАНСКОЙ ОБЛАСТИ ДЕПАРТАМЕНТ ОБРАЗОВАНИЯ И НАУКИ КУРГАНСКОЙ ОБЛАСТИ ПРИКАЗ от ///. 03- Мм6 36 в г. Курган Об утверждении Политики обработки и защиты персональных данных в Департаменте образования

ОТКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО «ГАЗПРОМ» Системы менеджмента Cтандарт организации СИСТЕМЫ МЕНЕДЖМЕНТА КАЧЕСТВА. ТРЕБОВАНИЯ CТО Газпром 9001-2012 ИЗДАНИЕ ОФИЦИАЛЬНОЕ МОСКВА 2014.indd 2-3 03.07.2014 12:34:32

УТВЕРЖДЕНА Решением Совета директоров ОАО «НК «Роснефть» «30» января 2015 г. Протокол от «02» февраля 2015 г. 20 Введена в действие «18» февраля 2015 г. Приказом от «18» февраля 2015 г. 60 ПОЛИТИКА КОМПАНИИ

ÐÅÊÎÌÅÍÄÀÖÈÈ Â ÎÁËÀÑÒÈ ÑÒÀÍÄÀÐÒÈÇÀÖÈÈ ÁÀÍÊÀ ÐÎÑÑÈÈ ÐÑ ÁÐ ÈÁÁÑ-2.4-2010 ÎÁÅÑÏÅ ÅÍÈÅ ÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈ ÎÐÃÀÍÈÇÀÖÈÉ ÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛ ÐÎÑÑÈÉÑÊÎÉ ÔÅÄÅÐÀÖÈÈ ÎÒÐÀÑËÅÂÀß ÀÑÒÍÀß ÌÎÄÅËÜ ÓÃÐÎÇ ÁÅÇÎÏÀÑÍÎÑÒÈ

Политика обработки персональных данных в ООО «Мобилюкс» (для неограниченного доступа, опубликовано в соответствии с ч.2 ст.18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных")

1 1. Введение Кодекс этики и служебного поведения работников ФГУП «ЦАГИ» (далее - Кодекс), устанавливает правила, предусматривающие этические ценности и правила служебного поведения руководящих работников

Предисловие 1 РАЗРАБОТАНО Управлением стандартизации и качества 2 УТВЕРЖДЕНО И ВВЕДЕНО В ДЕЙСТВИЕ 3 ВЗАМЕН 4 Дата рассылки пользователям Приказом ректора от 14.01.16 10 Положение «Об управлении стандартизации

avtovsamare.ru - Мой бизнес - Франшизы. Рейтинги. Истории успеха. Идеи. Работа и образование

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 57771 от 18.04.2014.
Copyright © 2006-2017. Все материалы сайта защищены авторским правом
Средство массовой информации "БизнесГарант" зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций