Min virksomhet er franchising. Vurderinger. Suksesshistorier. Ideer. Arbeid og utdanning
Om nettstedet Kontakter
Meny
Kontakter
Nettstedsøk

hjem Arbeid og utdanning Konseptet med informasjonssikkerhet til Gazprom. Informasjonssikkerhetspolicy Gazprombank

Konseptet med informasjonssikkerhet til Gazprom. Informasjonssikkerhetspolicy Gazprombank

Send ditt gode arbeid i kunnskapsbasen er enkelt. Bruk skjemaet nedenfor

Godt jobba til nettstedet">

Studenter, hovedfagsstudenter, unge forskere som bruker kunnskapsbasen i studiene og arbeidet vil være deg veldig takknemlig.

postet på http://www.allbest.ru/

Kazan (Volga-regionen) føderale universitet

Institutt for ledelse og territoriell utvikling

Institutt for strategisk og økonomisk ledelse

FORSKNINGSARBEID

i faget "Corporate Security Management"

Analyse av bedriftssikkerheten til OAO Gazprom

Fullført av: elev av gruppe 1498-2

Mingalimova G.G.

Sjekket av: Gabdullin N.M.

Kazan 2013

  • 1. Kjennetegn ved bedriften JSC "Gazprom"

5. Analyse finansiell stabilitet av Latvias gasselskap i henhold til presentert balanse

bedriftens sikkerhet økonomisk bærekraft

1. Kjennetegn ved OAO Gazprom

OAO Gazprom er et globalt energiselskap. Hovedaktivitetene er leting, produksjon, transport, lagring, prosessering og salg av gass, gasskondensat og olje, samt produksjon og salg av varme og elektrisitet OAO Gazprom. -[ Elektronisk ressurs] .

Gazprom ser sitt oppdrag i pålitelig, effektiv og balansert forsyning av naturgass, andre typer energiressurser og produkter fra deres prosessering til forbrukerne.

Gazprom har de rikeste reservene i verden naturgass. Dens andel av verdens gassreserver er 18%, på russisk - 70%. Gazprom står for 15 % av verden og 78 % russisk produksjon gass. Selskapet gjennomfører for tiden aktivt store prosjekter for å utvikle gassressursene på Yamal-halvøya, den arktiske sokkelen, Øst-Sibir og Langt øst, samt en rekke prosjekter for leting og produksjon av hydrokarboner i utlandet.

Gazprom er en pålitelig gassleverandør til russiske og utenlandske forbrukere. Selskapet eier verdens største gassoverføringsnett -- ett system gassforsyning til Russland, hvis lengde overstiger 161 tusen km. På Innenlandsmarked Gazprom selger over halvparten av gassen de selger. I tillegg leverer selskapet gass til 30 land nær og fjernt i utlandet.

Gazprom er den eneste produsenten og eksportøren av flytende naturgass i Russland og står for omtrent 5 % av verdens LNG-produksjon.

Selskapet er på topp fem største produsenter olje i den russiske føderasjonen, og er også den største eieren av å generere eiendeler på sitt territorium. Deres totale installerte kapasitet er 17 % av den totale installerte kapasiteten til det russiske energisystemet.

Det strategiske målet er å etablere OAO Gazprom som en leder blant globale energiselskaper gjennom utvikling av nye markeder, diversifisering av aktiviteter og sikring av forsyningssikkerheten.

2. Konstruksjonsfunksjoner integrert system sikkerheten til OAO Gazprom

En analyse av gassmarkedet viser at det i de kommende årene og tiårene er spådd en betydelig økning i gassetterspørselen, noe som betyr at rollen til Gazprom, som et moderne energiselskap på verdensmarkedet, vil øke.

I møte med økende etterspørsel etter gass, den viktigste strategisk mål bedrifter i gassindustrien - øke effektiviteten og dynamisk vekst i produksjonen i forbrukernes interesse, forbedre dens organisasjonsstruktur.

Økende krav til kvaliteten på informasjonsutvekslingen og beskyttelsesnivået bestemmes først og fremst av konkurransen i gass- og finansmarkedene. Gazprom Security Service følger også nøye med på dette problemet. Dette er selvfølgelig også diktert av produksjonsspesifikasjonene. teknologiske prosesser transport og lagring av gass, som stiller økte krav til beskyttelse mot "informasjonsterrorisme" av operative ekspedisjonskontrollsystemer.

Det er hensiktsmessig å sitere flere fakta som bekrefter relevansen av informasjonsbeskyttelsesarbeid - opptil 6000 forsøk på å infisere Gazproms dataoverføringsnettverk med ulike virus skjer i året, som alle fører til langsiktig svikt i automatiserte arbeidsstasjoner i selskapets bedriftsinformasjonssystem. . Økonomisk tap av tid for nedetid, lønnskostnader for restaurering, og tatt i betraktning mulig tapt fortjeneste, kan beløpe seg til hundretusenvis av amerikanske dollar.

Generelt bør det slås fast at truslene om virusinfeksjon og trusler fra innsidere fortsatt er ekstremt relevante for Gazproms virksomheter.

I samsvar med bestemmelsene i " spesielle krav og anbefalinger om teknisk beskyttelse av konfidensiell informasjon vedtatt av OAO Gazprom, dets datterselskaper og organisasjoner (STR-K) for ledelse og implementering, ligger ansvaret for å sikre kravene til teknisk beskyttelse av konfidensiell informasjon hos avdelingslederne.

Det er åpenbart at bestemmelsen informasjonssikkerhet krever integrert tilnærming, som bør være basert på et informasjonssikkerhetssystem, inkludert organisatoriske (utdannet personell og forskriftsdokumenter) og tekniske (informasjonssikkerhetsverktøy) komponenter.

Hovedstadiene for å lage et integrert informasjonssikkerhetssystem bør være:

organisasjonsundersøkelse.

Å utføre inforkan være enten indre krefter, og med involvering av en tredjepartsorganisasjon;

· Utforme et informasjonssikkerhetssystem (Utført basert på resultatene av en informasjonssikkerhetsrevisjon);

· Implementering av informasjonssikkerhetssystem.

Det utføres som regel av en tredjepartsorganisasjon med deltakelse av ansatte i for å sikre kvalitetskontroll;

vedlikehold av informasjonssikkerhetssystemet.

Teknisk støtte for det integrerte IS-systemet utføres av en tredjepartsorganisasjon, og drift og administrasjon av sikkerhet av IS-avdelingen;

opplæring aver.

Trening gjennomføres på en planlagt måte i henhold til tidsplanen godkjent av Gazprom sikkerhetssystem.

Som regel er et gassoverføringsselskap en geografisk distribuert organisasjon med et stort antall filialer og datterselskaper lokalisert geografisk fjernt fra sentralkontoret.

Informasjons- og telekommunikasjonssystemet til en slik virksomhet er geografisk distribuert og har evnen til å samhandle med eksterne informasjonssystemer - føderale utøvende myndigheter, føderale fag, lokale myndigheter, samt forskjellige åpne nettverk (Internett, Reuters, etc.).

Også ved OAO Gazprom legger stor vekt på industriell sikkerhet.

Ledelsen i Gazprom vurderer styringssystemet for industrisikkerhet, arbeidsbeskyttelse og miljø et essensielt element i effektiv produksjonsstyring og erklærer sitt ansvar for vellykket håndtering av yrkesrisiko knyttet til påvirkningen på liv og helse til arbeidere, utstyr, eiendom og miljø.

Ingen hensyn av økonomisk, teknisk eller annen art kan ivaretas dersom de strider mot behovet for å ivareta arbeidstakernes sikkerhet i produksjonen, befolkningen og naturmiljøet.

Gazprom garanterer sine ansatte anstendige og trygge arbeidsforhold ved å strengt overholde lisenskravene for å sikre industriell sikkerhet. Arbeidsforholdene overvåkes kontinuerlig, arbeidsplasser attesteres, og et risikoforsikringsprogram implementeres.

For å sikre en enhetlig tilnærming til industrielle sikkerhetsspørsmål, søker alle bedrifter i Gazprom Group « Politikk i industrisikkerhet, arbeidsvern og miljø». Blant selskapets forpliktelser, bekreftet i dette dokumentet, er kontinuerlig forbedring av arbeidsforholdene og økningen i nivået av industriell og miljømessig sikkerhet, introduksjonen effektivt system ledelse, presentasjon av enhetlige krav på sikkerhetsområdet overfor ansatte og entreprenører.

Å diskutere de viktigste spørsmålene innen industrisikkerhet og dannelse av nye strategiske mål, samt tilpasninger til nåværende, har selskapet opprettet og driver kollegialt organ- Rådet for industrisikkerhet, arbeidsvern og miljø. Rådet inkluderer lederne for funksjonelle avdelinger i Industrisikkerhetsavdelingen og lederne for HMS-, HMS- og CP-tjenestene for selskapets hovedaktiva.

Å oppnå de uttalte målene for alle foretak i gruppen er umulig uten standardisering, derfor har alle foretak i gruppen siden 2008 implementert det integrerte styringssystemet for industri- og miljøsikkerhet, arbeidsbeskyttelse og miljø (HMS, OH&S), som overholder de internasjonale standardene OHSAS 1800, ISO 14001 og ISO 9001. Samtidig implementerer alle Gazprom-bedrifter én enkelt standard for å identifisere, vurdere og minimere yrkesrisiko. Overvåking av implementering av nye standarder utføres i sanntid vha datasystem"Azimut". Den lar deg gjennomføre online overvåking av situasjonen ved selskapets virksomheter og motta umiddelbare varsler om hendelser.

Selskapet søker å sikre en konstant økning i sikkerhetsnivået, en konsekvent reduksjon i ulykkestall, arbeidsskader og yrkessykdommer.

Selskapet har en bedriftsstandard som bestemmer prosedyren for å tilføre ansatte midler personlig beskyttelse(PPE). Kjeledresser, som kjøpes av selskapet, overholder nasjonale og europeiske sikkerhetskrav.

Arbeidssikkerhet og helse for ansatte er en sfære av gjensidig ansvar og konstruktivt samspill mellom bedriftens ledelse og fagforeninger. Gjensidige forpliktelser i disse spørsmålene gjenspeiles i tariffavtaler og programmer for forbedring av ansatte.

Selskapet fortsetter å iverksette et sett med tiltak rettet mot å sikre transportsikkerhet, inkludert utviklingen normative dokumenter, gjennomføre sikkerhetsmåneder, organisere opplæring av personalet.

Retningslinjene og standardene til Gazprom innen HMS, arbeidsbeskyttelse og sivilbeskyttelse er fokusert på å minimere risiko og forebygge ulykker. En viktig retning i dette arbeidet er fortsatt opprettelsen av stillinger for ansatte som er autorisert til å løse problemer innen sivilforsvaret, avansert opplæring av lederstab, opplæring av personell i aksjoner i en nødsituasjon, opprettholde høy level beredskap for nødssituasjoner. For å sikre aksjonsberedskap ved nødstilfeller har SDE opprettet økonomiske reserver og materielle ressurser. Beredskapen til datterselskaper og tilknyttede selskaper til å reagere på nødstilfeller kontrolleres under vanlige øvelser og øvelser.

Etter å ha analysert informasjonssikkerheten til virksomheten, kan vi konkludere med at informasjonssikkerhet må vies stor oppmerksomhet, fordi. OAO Gazprom er en veldig stor bedrift. Derfor ser det ut til at for å oppnå beskyttelse, bør en effektiv løsning av følgende oppgaver gis:

Beskyttelse mot innblanding i prosessen med virksomhetens funksjon av uautoriserte personer;

beskyttelse mot uautoriserte handlinger med informasjonsressursene til bedriften fra uautoriserte personer og ansatte som ikke har riktig myndighet;

Sikre fullstendighet, pålitelighet og effektivitet informasjonsstøtte ta ledelsesbeslutninger av ledelsen i bedriften;

Sikre fysisk sikkerhet tekniske midler og programvare bedrifter og deres beskyttelse mot handlingen fra menneskeskapte og naturlige kilder til trusler;

registrering av hendelser som påvirker informasjonssikkerheten, og sikrer full kontroll og ansvarlighet for gjennomføringen av alle operasjoner som utføres i bedriften;

rettidig identifisering, vurdering og prognose av kilder til trusler mot informasjonssikkerhet, årsaker og forhold som bidrar til skade på fagets interesser, forstyrrelse av normal funksjon og utvikling av virksomheten;

Dermed kan vi si at det er umulig å fullstendig beskytte virksomheten mot eksterne og interne trusler. Men ved hjelp av slike tiltak er det mulig å oppnå et høyt beskyttelsesnivå for OAO Gazprom.

4. Bestemmelse av raider-egnethetsindeksen til et foretak i OAO Gazprom

Så la oss finne egnethetsraider-indeksen for Gazprom OJSC.

1. Staten er eier av en kontrollerende eierandel i Gazprom - 50,002 %, dvs. mindre enn halvparten av selskapets aksjer er spredt på flere aksjonærer. Av dette følger det at K1 = 0,5. (fordi spredning er 25-51%).

2. Anleggsmidler til selskapet = 3621565477 th. rubler, balanse = 7433141940 tusen rubler.

K2= 3621565477/7433141940= 0,49=0,5. Dette betyr at andelen anleggsmidler i balansen overstiger 50 %.

3. Leverandørgjeld = 502161023 tusen rubler, balanse = 7433141940 tusen rubler.

K3 = 502161023/7433141940 = 0,067=0,1. Dette betyr at selskapets leverandørgjeld ikke overstiger balansevaluta og økonomisk tilstand bedriftene er stabile.

4. K4=0, fordi OAO Gazprom betaler regelmessig utbytte til sine aksjonærer.

5. K5= 0,3, fordi industriens lønnsomhet er mer enn 15 % (dvs. 34 %).

6. K6= 0,3, fordi Gazproms virksomheter er lokalisert i Moskva, St. Petersburg og andre regioner.

Så for OAO Gazprom var summen av koeffisientene:

K1+K2+K3+K4+K5+K6= 0,5+0,5+0,1+0+0,3+0,3= 1,7.

Den maksimale verdien som kan oppnås hvis selskapet har alle maksimalverdiene:

K1+K2+K3+K4+K5+K6= 0,7+0,5+0,5+0,3+0,3+0,3= 2,6.

Dermed oppnådde OAO Gazprom en egnethetsraider-indeks mindre enn maksimalverdien (1,7)<2,6). Это говорит о том, что вероятность враждебного поглощения компании минимальна.

5. Analyse av den økonomiske stabiliteten til Latvias gasselskap i henhold til den presenterte balansen

Latvia gass (Latvijas Gaze) er gasselskapet i Latvia. Hovedkvarter i Riga. Det er en partner av OAO Gazprom.

Sikkerhetstjenesten til JSC "Gazprom" sjekker den økonomiske stabiliteten til selskapet, om de kan betale ned gjelden i tide.

En analyse av den økonomiske stabiliteten til Latvija gasselskap ble utført i henhold til følgende skjema:

Trinn 1 - de nødvendige dokumentene ble mottatt fra selskapet under utredning for 2011 - disse er:

balanse (skjema nr. 1);

resultatregnskap (skjema nr. 2);

kapitalflytoppgave (skjema nr. 3).

Trinn 2 - autentisiteten til de innsendte dokumentene verifiseres, dvs. Alle dokumenter er signert av selskapets leder og regnskapssjef og har elektronisk signatur.

Trinn 3 - en foreløpig analyse av balansen ble gjort i form av overholdelse av følgende indikatorer:

sum av "totalt etter seksjoner" = summen av rader i seksjoner;

linje 300 "balanse" = linje 700 "balanse" = 7827957711 rubler;

linje 470 "opptjent inntekt for rapporteringsåret" (skjema nr. 1) = linje 170 "opptjent inntekt (tap) for rapporteringsperioden" (skjema nr. 2) = 2292965777 rubler;

linje 010" autorisert kapital"(skjema nr. 3) \u003d linje 410 "autorisert kapital" (skjema nr. 1) \u003d 118367564 rubler;

alle disse vilkårene er oppfylt, noe som betyr at innsendte dokumenter er korrekt utformet.

Trinn 4 - vurderingen av den finansielle stabiliteten til selskapet utføres i henhold til følgende ordning:

linje 010 "autorisert kapital" (skjema nr. 3) bør være mindre enn linje 200 "netto aktiva" (skjema nr. 3) og faktisk er det, dvs.:

118367564 rub.< 6189150344 руб.

Dette forholdet er gitt av den føderale loven "On Joint Stock Companies", og hvis vi ikke fulgte, indikerte dette at selskapets økonomiske kollaps var mulig.

1. Vi beregner autonomikoeffisienten, som viser hvor mye selskapet er i stand til å betale med egne midler til investorer eller aksjonærer når passende frister og må være minst 0,5.

· linjer (590+640+650-490)/linje 700 (skjema nr. 1) = (6189150344+0+2134381-1003898769)/ 7827957711= 0,66>0,5

590 - "totalt for Seksjon III» = 6189150344 rubler;

650 - "forbruksmidler" = 2134381 rubler;

490 - "totalt for seksjon IV" = 1003898769 rubler;

700 - "balanse" = 7827957711 rubler.

Dermed er autonomikoeffisienten = 0,66>0,5, dvs. en økning i autonomikoeffisienten indikerer en økning i selskapets økonomiske uavhengighet.

2. Vi beregner dekningsgraden, som viser hvor mye selskapet er i stand til å betale ned alle eiendeler for gjeld og må være minst 2.

· linjer (290-230-244-252)/(690-630+640+650) (skjema #1) =

(235682 3254-703918072-0-0)/(634908598- 722068+0+2134381)= 2,59>0 ,2 .

Navnene på balansene er som følger:

290 - "totalt for seksjon II" = 2356823254 rubler;

230 - fordringer (betalinger som forventes mer enn 12 måneder etter rapporteringsdatoen) "= 703918072 rubler;

244 - "gjeld til deltakere (gründere) på bidrag til den autoriserte kapitalen" = 0;

252 - "egne aksjer kjøpt fra aksjonærer" = 0;

690 - "totalt for seksjon V" = 634908598 rubler;

630 - "beregninger på utbytte" = 722068 rubler;

640 - "utsatt inntekt" = 0;

650 - "forbruksmidler" = 2134381 rubler.

Dermed er dekningsgraden = 2,59> 0,2, som betyr at selskapet er i stand til å betale ned alle eiendelene for gjeld.

3. Vi beregner koeffisienten for bedriftsstyringseffektivitet, som viser hvor mye fortjeneste per enhet solgte produkter

linje 050/linje 010 (skjema nr. 2) = 553268909/2486940618= 0,22

Linjenavnene er som følger:

050 - "fortjeneste fra salg" = 553268909 rubler;

010 - "inntekt (netto) fra salg av varer, produkter, verk, tjenester (minus merverdiavgift, avgifter og lignende obligatoriske betalinger)" = 2486940618 rubler.

Dermed er koeffisienten for bedriftsledelseseffektivitet = 0,22. Her ser vi en økning i lønnsomheten i produksjonen, noe som indikerer en økning i lønnsomheten og styrking av den økonomiske velstanden i bedriften.

Så den økonomiske stabiliteten til Latvias gasselskap er stabil, og sikkerhetstjenesten til OAO Gazprom kan stole på.

Funn av forskningsarbeidet

Etter en studie av selskapet JSC "Gazprom", kan vi konkludere:

1. Selskapets egnethetsraider-indeks er mindre enn maksimalverdien. Dette antyder at sannsynligheten for at OJSC blir overtatt av andre selskaper er minimal.

2. Etter å ha analysert den økonomiske stabiliteten til Latvias gasselskap i henhold til den presenterte balansen, ser vi:

A) selskapet er i stand til å betale med egne midler til investorer eller aksjonærer når passende tidspunkt kommer, dvs. vekst av selskapets økonomiske uavhengighet;

B) selskapet er i stand til å betale alle sine eiendeler for gjeld;

C) en økning i lønnsomheten til produksjonen, noe som indikerer en økning i lønnsomheten og styrking av selskapets økonomiske velvære.

Alt dette tyder på at Latvia-gass kan stoles på og kan forbli potensiell partner Gazprom".

Vert på Allbest.ru

Lignende dokumenter

    en kort beskrivelse av PJSC "Gazprom", analyse av interne og eksterne bedrifter samfunnsansvar(CSR) bedrifter. Vurdering av graden av CSR-utvikling av PJSC Gazprom, fullstendighet og implementering av alle dets områder, anbefalinger for forbedring.

    kursarbeid, lagt til 20.01.2016

    Kort beskrivelse av organisasjonen. Oppdrag og mål for organisasjonen. Analyse av faktorer av interne og eksternt miljø. Organisasjonsledelsesstruktur. Posisjonen til hovedtypene produkter i markedet. Anbefalinger for å forbedre styringssystemet til "Gazprom" LLC.

    semesteroppgave, lagt til 24.11.2009

    Skapelseshistorie og retning Økonomisk aktivitet LLC "Gazprom" som et globalt energiselskap, en verdensledende i bransjen. PEST-analyse av selskapet. Michael Porters fem konkurransekraftsmodell, strategi ledelsesaktiviteter.

    presentasjon, lagt til 12.09.2014

    Kjennetegn på essensen, oppgaver og aktivitetsformer for bedriftssikkerhetstjenester. Funksjoner ved å bygge organisasjonsstrukturen til sikkerhetstjenesten. Analyse av aktiviteter: juridisk, fysisk, informasjon og kommersiell sikkerhet.

    foredrag, lagt til 06.10.2010

    Sikkerhetsproblemer ved ansettelse av personale. Organisasjonsprinsipper profesjonelt utvalg personell i kommersielle virksomheter. Hovedstadier og prosedyrer for faglig utvelgelse av personell. Anbefalinger for organisering av verifisering og utvelgelse av kandidater til arbeid.

    avhandling, lagt til 01.05.2003

    Teoretiske tilnærminger for å bestemme effektiviteten til bedrifter. Indikatorer for avkastning på kostnader, salg, egenkapital. Analyse av effektiviteten til bedriften JSC "Gazprom". Faktorer som påvirker effektiviteten til aktiviteter.

    abstrakt, lagt til 11.10.2013

    Teoretisk analyse av essensen og metoder for ledelse innen forretningssikkerhet. Egenskaper ved å bygge et optimalt sikkerhetssystem som best oppfyller målene og strategien til selskapet, samt miljøforhold.

    abstrakt, lagt til 06.10.2010

    semesteroppgave, lagt til 06.06.2016

    Organisasjon som et objekt for ledelse. Konseptet med ledelsesstruktur. Dens forhold til organisasjonsstrukturen. Oppdrag og hovedmål for LLC "Gazprom". Analyse av faktorer i det indre og ytre miljøet. Anbefalinger for forbedring av styringssystemet.

    semesteroppgave, lagt til 28.08.2012

    Generell informasjon om selskapet, historien om dets utvikling og trekk ved organisasjonsstrukturen. Juridisk og regulatorisk rammeverk som styrer det russiske gassmarkedet. Innovasjonsaktivitet og markedsføring i selskapet "GAZPROM", evaluering av dets strategi og fremtidsutsikter.

I dette emnet vil jeg prøve å lage en utviklingsmanual normativ dokumentasjon innen informasjonssikkerhet for kommersiell struktur, Avhenger av personlig erfaring og materialer fra nettet.

Her kan du finne svar på spørsmål:

  • Hvorfor trengs en informasjonssikkerhetspolicy?
  • hvordan komponere den;
  • Hvordan bruke det.

Behovet for en informasjonssikkerhetspolicy
Denne delen beskriver behovet for å implementere informasjonssikkerhetspolicyen og dens medfølgende dokumenter, ikke på det vakre språket i lærebøker og standarder, men ved å bruke eksempler fra personlig erfaring.
Forstå målene og målene for
For det første er policyen nødvendig for å formidle til virksomheten målene og målene for selskapets informasjonssikkerhet. En bedrift bør forstå at en sikkerhetsansvarlig ikke bare er et verktøy for å undersøke datalekkasjer, men også en assistent for å minimere selskapets risiko, og følgelig øke selskapets lønnsomhet.
Policykrav er grunnlaget for å implementere sikkerhetstiltak
Informasjonssikkerhetspolicyen er nødvendig for å begrunne innføring av beskyttelsestiltak i virksomheten. Policyen må godkjennes av selskapets øverste administrative organ (daglig direktør, styre, etc.)

Enhver sikring er et kompromiss mellom risikoreduksjon og brukeropplevelse. Når en sikkerhetsperson sier at en prosess ikke bør skje på noen måte på grunn av tilsynekomsten av noen risikoer, blir han alltid stilt et rimelig spørsmål: "Hvordan skal det skje?" Sikkerhetsansvarlig må foreslå en prosessmodell der disse risikoene reduseres til en viss grad som er tilfredsstillende for virksomheten.

Samtidig forårsaker enhver bruk av beskyttelsestiltak angående brukerens interaksjon med informasjonssystemet til selskapet alltid en negativ reaksjon fra brukeren. De ønsker ikke å bli omskolert, les instruksjoner laget for dem, og så videre. Svært ofte stiller brukere rimelige spørsmål:

  • hvorfor skal jeg jobbe i henhold til din oppfunne ordning, og ikke de på en enkel måte som jeg alltid har brukt
  • som kom på alt dette
Praksis har vist at brukeren ikke bryr seg om risikoen, du kan forklare ham i lang tid og kjedelig om hackere, straffeloven, og så videre, det kommer ikke noe ut av dette enn sløsing med nerveceller.
Hvis selskapet har en informasjonssikkerhetspolicy, kan du gi et kort og konsist svar:
dette tiltaket ble innført for å overholde kravene i selskapets informasjonssikkerhetspolicy, som ble godkjent av selskapets øverste administrative organ

Som regel kommer energien til de fleste brukere til intet. Resten kan tilbys å skrive et notat til dette aller øverste administrative organet i selskapet. Her er resten eliminert. For selv om notatet går der, kan vi alltid bevise behovet for tiltakene overfor ledelsen. Vi spiser vel ikke brødet vårt forgjeves? Det er to ting du må huske på når du utarbeider en policy.
  • Målgruppen for informasjonssikkerhetspolicyen er sluttbrukere og toppledelsen i bedriften som ikke forstår komplekse tekniske uttrykk, men bør være kjent med bestemmelsene i policyen.
  • Du trenger ikke å prøve å skyve det utenkelige for å inkludere alt som er mulig i dette dokumentet! Det skal kun være IB-mål, metoder for å nå dem og ansvar! Ingen tekniske detaljer hvis de krever spesifikk kunnskap. Alt dette er materiell for instruksjoner og forskrifter.


Det endelige dokumentet må oppfylle følgende krav:
  • kortfattethet - et stort volum av dokumentet vil skremme bort enhver bruker, ingen vil noen gang lese dokumentet ditt (og du vil bruke uttrykket mer enn én gang: "dette er et brudd på retningslinjene for informasjonssikkerhet som du har blitt introdusert for")
  • tilgjengelighet for en enkel lekmann - sluttbrukeren må forstå HVA som er skrevet i policyen (han vil aldri lese og huske ordene og uttrykkene "logging", "overtredelsesmodell", "informasjonssikkerhetshendelse", " informasjonsinfrastruktur", "teknologisk", "antropogen", "risikofaktor" osv.)
Hvordan oppnå dette?

Faktisk er alt veldig enkelt: Informasjonssikkerhetspolicyen skal være et førstenivådokument, den bør utvides og suppleres med andre dokumenter (forskrifter og instruksjoner), som allerede vil beskrive noe spesifikt.
Det er mulig å trekke en analogi med staten: dokumentet på første nivå er grunnloven, og doktrinene, konseptene, lovene og andre normative handlinger som eksisterer i staten, supplerer og regulerer bare gjennomføringen av dens bestemmelser. Omtrentlig opplegg vist i figuren.

For ikke å smøre grøt på en tallerken, la oss bare se på eksempler på informasjonssikkerhetspolicyer som finnes på Internett.

Brukbart antall sider* Vilkår lastet Total poengsum
JSC "Gazprombank" 11 Veldig høy
JSC "Entreprenørskapsutviklingsfond "Damu" 14 høy Et komplekst dokument for gjennomtenkt lesing, lekmannen vil ikke lese, og hvis han leser, vil han ikke forstå og vil ikke huske
JSC NC KazMunayGas 3 Lav Et lettfattelig dokument som ikke er overlesset med faguttrykk
JSC "Radioteknisk institutt oppkalt etter akademiker A. L. Mints" 42 Veldig høy Vanskelig dokument for gjennomtenkt lesing, lekmannen vil ikke lese - for mange sider

* Nyttig jeg kaller antall sider uten innholdsfortegnelse, tittelside og andre sider som ikke inneholder spesifikk informasjon

Sammendrag

Informasjonssikkerhetspolicyen skal passe inn på flere sider, være lett å forstå for lekmannen, beskrive i generelt syn IS-mål, metoder for å nå dem og ansattes ansvar.
Implementering og bruk av informasjonssikkerhetspolicy
Etter at IS-policyen er godkjent, er det nødvendig å:
  • gjøre alle eksisterende ansatte kjent med policyen;
  • gjøre alle nyansatte kjent med policyen (hvordan dette gjøres er et tema for en egen diskusjon, vi har et introduksjonskurs for nyankomne, hvor jeg snakker med forklaringer);
  • analysere eksisterende forretningsprosesser for å identifisere og minimere risikoer;
  • ta del i etableringen av nye forretningsprosesser, for ikke å løpe etter toget;
  • utvikle forskrifter, prosedyrer, instruksjoner og andre dokumenter som supplerer policyen (instruksjoner for å gi tilgang til Internett, instruksjoner for å gi tilgang til begrensede områder, instruksjoner for arbeid med bedriftens informasjonssystemer, etc.);
  • gjennomgå IS-policyen og andre IS-dokumenter minst en gang i kvartalet for å oppdatere dem.

For spørsmål og forslag, velkommen til kommentarene og PM.

Spørsmål %brukernavn%

Når det kommer til politikk, liker ikke sjefer det jeg vil med enkle ord. De forteller meg: "Foruten meg og deg og 10 IT-ansatte til, som selv vet og forstår alt, er det 200 som ikke forstår noe om dette, halvparten av dem er pensjonister."
Jeg fulgte veien med middels korte beskrivelser, for eksempel antivirusbeskyttelsesregler, og nedenfor skriver jeg som om det er en antivirusbeskyttelsespolicy, etc. Men jeg forstår ikke om brukeren signerer for policyen, men igjen må han lese en haug med andre dokumenter, det ser ut til å ha redusert policyen, men det ser ut til å ikke være det.

Her ville jeg følge veien til prosessanalyse.
La oss si antivirusbeskyttelse. Logisk sett burde det være slik.

Hvilke risikoer utgjør virus for oss? Krenkelse av integriteten (skaden) av informasjon, brudd på tilgjengeligheten (nedetid på servere eller PC-er) av informasjon. På riktig organisering nettverk, skal brukeren ikke ha lokale administratorrettigheter i systemet, det vil si at han ikke skal ha rettighetene til å installere programvare (og følgelig virus) i systemet. Dermed faller pensjonister fra, fordi de ikke driver virksomhet her.

Hvem kan redusere risikoen forbundet med virus? Brukere med domeneadministratorrettigheter. Domeneadministrator - en sensitiv rolle, utstedt til ansatte i IT-avdelinger, etc. Følgelig bør de installere antivirus. Det viser seg at de også er ansvarlige for aktiviteten til antivirussystemet. Følgelig må de signere instruksjonen om organisering av antivirusbeskyttelse. Egentlig må dette ansvaret presiseres i instruksjonene. For eksempel sikkerhetsansvarlig regler, administratorene utfører.

Spørsmål %brukernavn%

Så er spørsmålet, hva skal ikke ansvaret for opprettelsen og bruken av virus inkluderes i instruksjonene til Anti-virus SI (eller er det en artikkel og du kan ikke nevne den)? Eller at de er pålagt å rapportere virus eller merkelig PC-adferd til Help Desk eller IT-personalet?

Igjen, jeg ville se fra siden av risikostyring. Det lukter så å si GOST 18044-2007.
I ditt tilfelle er ikke "rar oppførsel" nødvendigvis et virus. Det kan være en systembrems eller en gp osv. Dette er følgelig ikke en hendelse, men en informasjonssikkerhetshendelse. Igjen, ifølge GOST, kan enhver person erklære en hendelse, men det er mulig å forstå hendelsen eller ikke bare etter analyse.

Dermed blir dette spørsmålet ditt ikke lenger oversatt til informasjonssikkerhetspolitikk, men til hendelseshåndtering. Det bør stå i politikken din at virksomheten skal ha et hendelseshåndteringssystem.

Det vil si, som du kan se, er den administrative utførelsen av policyen hovedsakelig tildelt administratorer og sikkerhetsvakter. Brukere forblir tilpassede.

Derfor må du utarbeide en slags "Prosedyre for bruk av CBT i bedriften", der du må spesifisere brukernes ansvar. Dette dokumentet skal samsvare med informasjonssikkerhetspolicyen og være så å si en forklaring for brukeren.

I dette dokumentet kan du spesifisere at brukeren er forpliktet til å varsle den aktuelle myndigheten om unormal dataaktivitet. Vel, du kan legge til alt annet tilpasset der.

Totalt må du gjøre brukeren kjent med to dokumenter:

  • informasjonssikkerhetspolicy (slik at han forstår hva som gjøres og hvorfor, ikke vugger båten, ikke banner ved innføring av nye kontrollsystemer osv.)
  • denne "Prosedyre for bruk av CBT i bedriften" (slik at han forstår hva han skal gjøre i spesifikke situasjoner)

Følgelig ved implementering nytt system, du legger ganske enkelt til noe i "Bestillingen" og varsler ansatte om det ved å sende bestillingen på e-post (eller gjennom EDMS, hvis noen).

Tagger:

  • Informasjonssikkerhet
  • Håndtering av risiko
  • Sikkerhetspolitikk
Legg til merkelapper

transkripsjon

1 (Open Joint Stock Company) GODKJENT ved vedtak fra styret i GPB (OJSC) 24. september 2008 (protokoll 35) Som endret ved vedtak fra styret i GPB (OJSC) 30. september 2009 (protokoll 41) , 10. november 2010 (minutter 49), 22. mars 2012 (minutter 11) Informasjonssikkerhetspolicy Gazprombank (Open Joint Stock Company) MOSKVA 2008

2 2 Innhold 1. Generelle bestemmelser Liste over begreper og definisjoner Beskrivelse av beskyttelsesobjektet Mål og formål med aktiviteter for å ivareta informasjonssikkerhet Trusler mot informasjonssikkerhet Modell av krenker av informasjonssikkerhet Grunnleggende bestemmelser for å ivareta informasjonssikkerhet Organisatorisk grunnlag for å sikre informasjonssikkerhet10 9. Ansvar for etterlevelse av informasjonssikkerheten. bestemmelser i policyovervåkingen samsvar med bestemmelsene i de endelige policybestemmelsene ... 13

3 3 1. Generelle bestemmelser 1.1. Denne policyen er utviklet i samsvar med loven Den russiske føderasjonen og juridiske normer når det gjelder å sikre informasjonssikkerhet, kravene til reguleringshandlinger fra sentralbanken i Den russiske føderasjonen, det føderale utøvende organet autorisert innen sikkerhet, det føderale utøvende organet som er autorisert innen bekjempelse av teknisk etterretning og teknisk beskyttelse av informasjon, og er blant annet basert på: Den russiske føderasjonens doktrine om informasjonssikkerhet (fra Pr-1895); Standard for Bank of Russia STO BR IBBS "Sikre informasjonssikkerhet for organisasjoner i banksystemet i Den russiske føderasjonen. Generelle bestemmelser” Denne policyen er et dokument tilgjengelig for alle ansatte i banken og brukere av dens ressurser, og representerer et system med synspunkter på problemet med å sikre informasjonssikkerhet som er offisielt vedtatt av ledelsen i Gazprombank (Open Joint Stock Company) (heretter referert til til som banken), og fastsetter prinsippene for å bygge et styringssystem for informasjonssikkerhet sikkerhet basert på en systematisk presentasjon av mål, prosesser og prosedyrer for informasjonssikkerheten i banken. Bankens ledelse er klar over viktigheten og nødvendigheten å utvikle og forbedre tiltakene og midlene for å sikre informasjonssikkerhet i sammenheng med utviklingen av lover og forskrifter banktjenester, samt utvikling av pågående bankteknologier og forventninger til bankens kunder og andre interessenter. Overholdelse av krav til informasjonssikkerhet vil skape konkurransefortrinn til banken, for å sikre dens finansielle stabilitet, lønnsomhet, overholdelse av juridiske, regulatoriske og kontraktsmessige krav og forbedre dens image. Kravene til informasjonssikkerhet satt av banken samsvarer med interessene (målene) for bankens virksomhet og er utformet for å redusere risikoen. knyttet til informasjonssikkerhet til et akseptabelt nivå. Risikofaktorer i informasjonsområdet til banken er relevante for bankens eierstyring og selskapsledelse(ledelse), organisering og gjennomføring av forretningsprosesser, relasjoner til entreprenører og kunder, interne forretningsaktiviteter. Risikofaktorer på informasjonsområdet til banken utgjør en vesentlig del av bankens operasjonelle risiko, og er også knyttet til andre risikoer ved bankens kjerne- og forvaltningsvirksomhet Bankens strategi innen informasjonssikkerhet og informasjonsbeskyttelse, blant annet sikkerhet, sikkerhet informasjonsteknologier og beskyttelse av informasjon, sikkerhet for personopplysninger, bankhemmeligheter og andre rettslige handlinger; normative handlinger fra føderale utøvende organer autorisert innen sikring av fysisk sikkerhet og teknisk beskyttelse av informasjon, motvirke teknisk etterretning og sikring av informasjonssikkerhet og personvern; forskrifter fra Bank of Russia og standarder fra Bank of Russia for å sikre informasjonssikkerhet fra settet med standarder "STO BR IBBS"; forskrifter fra Bank of Russia og dokumenter fra Bank of Russia innen standardisering "Sikre informasjonssikkerheten til organisasjoner i banksystemet i Den russiske føderasjonen", godkjent etter ordre fra Bank of Russia datert 21. juni 2010

4 4 år Р-705 og akseptert som obligatorisk for utførelse i banken i henhold til ordre datert 27. desember 2010 Krav sikring av bankens informasjonssikkerhet må følges strengt av bankens personell og andre parter som bestemt av bestemmelsene i bankens interne regulatoriske dokumenter, samt kravene i kontrakter og avtaler som banken er part i. Denne policyen gjelder for Bankens forretningsprosesser og er obligatorisk for alle ansatte og ledelse i banken, så vel som brukere av informasjonsressurser. Bestemmelsene i denne policyen bør tas i betraktning ved utvikling av retningslinjer for informasjonssikkerhet i datterselskaper og tilknyttede organisasjoner Retningslinjer for dokumentasjon innen informasjonssikkerhet i samsvar med kravene i STO BR IBBS 1.0, vedtatt og satt i kraft ved ordre fra Bank of Russia datert 28. april 2007. R-348 er et selskapsdokument på førstenivå IS Dokumentene som beskriver bestemmelsene i selskapspolicyen i forhold til ett eller flere områder av IS, typer og teknologier for bankens aktiviteter er private IS-politikker (heretter kalt Private Policies), som er dokumenter om IS på andre nivå, er utarbeidet som separate interne reguleringsdokumenter for banken, utviklet og avtalt i samsvar med prosedyren fastsatt av banken, godkjent av kuratoren. 2. Liste over termer og definisjoner Denne policyen bruker termer med tilsvarende definisjoner i samsvar med STO BR IBBS “Sikre informasjonssikkerhet for organisasjoner i banksystemet i den russiske føderasjonen. Generelle bestemmelser” Forretningsprosess er en sekvens av teknologisk relaterte operasjoner for levering av bankprodukter og/eller implementering av spesifikk type sikre aktivitetene til bankens informasjonssikkerhet i banken (IS) i denne policyen, sikkerhetstilstanden til de teknologiske og forretningsmessige prosessene til banken, ved å kombinere bankens ansatte, tekniske og programvareverktøy for behandling av informasjon, informasjon i bankens sammensetning. ansiktet til trusler i informasjonssfæren Bankens informasjonssystem er et sett med programvare- og maskinvaresystemer i banken som brukes til å sikre bankens forretningsprosesser. Minibanker i dette settet betraktes ikke som enheter som er svært forskjellige fra andre komponenter i bankens informasjonssystem og har sine egne unike egenskaper når det gjelder informasjonssikkerhet eller tilgjengelighet av informasjonsmidler og infrastruktur og skaping av en trussel mot informasjonssikkerhet IT blokk er et sett med uavhengige strukturelle enheter i banken som er ansvarlig for utvikling, drift og vedlikehold av informasjonsbanksystemer.

5 Konfidensiell informasjon (heretter kalt CI) informasjon som banken har etablert et konfidensialitetsregime for Kurator Nestleder i bankens styre med ansvar for bankens sikkerhetsspørsmål, herunder informasjonssikkerhetsspørsmål Trusselmodell beskrivende presentasjon av egenskapene eller kjennetegn ved informasjonssikkerhetstrusler Violatormodell beskrivende presentasjon av erfaring, kunnskap , tilgjengelige ressurser til potensielle IS-krenkere, nødvendig for at de skal implementere IS-trusselen, og mulig motivasjon for handlinger Ansvarlig enhet Sikkerhetstjeneste (avdeling). Hovedfunksjonene på dette området er implementeringen av denne policyen, utvikling, implementering og støtte av informasjonssikkerhetssystemer. Brukeren av informasjonssystemet er en person som har muligheten til å få tilgang til bankens informasjonssystem for å øke inntektene, unngå uberettigede utgifter, opprettholde en posisjon i markedet for varer, verk, tjenester eller oppnå andre kommersielle fordeler, og iverksette tiltak for å beskytte CI, inkludert: å bestemme listen over informasjon som utgjør CI i samsvar med "Liste over informasjon i forhold som GPB (OJSC) har etablert et konfidensialitetsregime for”, godkjent ved ordre datert); begrense tilgangen til CI ved å etablere en prosedyre for håndtering av denne informasjonen og overvåke overholdelse av en slik prosedyre; regnskap for personer som har fått tilgang til CI, og (eller) personer som slik informasjon ble gitt eller overført til; regulering av forhold om bruk av CI av ansatte på grunnlag av arbeidskontrakter og motparter på grunnlag av sivilrettslige kontrakter og avtaler En infoer en hendelse forårsaket av en operasjonell risiko som forårsaket eller kan forårsake bankens tap og oppstod på grunn av feil eller svikt i bankprosesser, handlinger fra mennesker og systemer, så vel som på grunn av eksterne hendelser Informasjonssikkerhetstrussel er en operasjonell risiko som påvirker brudd på en (eller flere) egenskaper for informasjonsintegritet, konfidensialitet, tilgjengelighet av beskyttede objekter. 3. Beskrivelse av beskyttelsesobjektet Hovedobjektene for beskyttelse av informasjonssikkerhetssystemet i banken er: informasjonsressurser som inneholder forretningshemmeligheter, bankhemmeligheter, personopplysninger enkeltpersoner, informasjon med begrenset distribusjon, samt åpent distribuert informasjon som er nødvendig for driften av banken, uavhengig av form og type presentasjon; informasjonsressurser som inneholder konfidensiell informasjon, inkludert personopplysninger om enkeltpersoner, samt åpent distribuert informasjon som er nødvendig for driften av banken, uavhengig av form og type presentasjon;

6 6 Bankansatte som er utviklere og brukere av bankens informasjonssystemer; informasjonsinfrastruktur, inkludert informasjonsbehandlings- og analysesystemer, tekniske og programvareverktøy for behandling, overføring og visning, inkludert informasjonsutveksling og telekommunikasjonskanaler, informasjonssikkerhetssystemer og midler, fasiliteter og lokaler der slike systemer er plassert. 4. Mål og mål for inFormålet med bankens er å redusere informasjonssikkerhetstrusler til et nivå som er akseptabelt for banken. Hovedmålene for aktiviteter for å sikre informasjonssikkerheten til banken: identifisere potensielle trusler mot informasjonssikkerhet og sårbarheter 1 til beskyttede objekter; forebygging av hendelser med informasjonssikkerhet; ekskludering eller minimering av identifiserte trusler. 5. Trusler mot informasjonssikkerhet Hele settet med potensielle trusler mot informasjonssikkerhet er delt inn i tre klasser etter arten av deres forekomst: menneskeskapt, menneskeskapt og naturlig (naturlig) Fremveksten av menneskeskapte trusler er forårsaket av menneskelig aktivitet. Blant dem kan man skille ut trusler som oppstår fra både utilsiktede (utilsiktede) handlinger: trusler forårsaket av feil i utformingen av informasjonssystemet og dets elementer, feil i handlingene til personell etc., og trusler som oppstår fra tilsiktede handlinger knyttet til leiesoldat, ideologiske eller andre ambisjoner til mennesker. Menneskeskapte trusler inkluderer trusler knyttet til ustabilitet og inkonsistens i kravene til regulatorene av bankens aktiviteter og kontrollorganer, med handlinger i styring og forvaltning (ledelse), utilstrekkelige mål og rådende forhold, med tjenestene som forbrukes, med den menneskelige faktoren. fysiske prosesser av menneskeskapt natur, den tekniske tilstanden til miljøet til trusselobjektet eller seg selv, ikke direkte forårsaket av menneskelig aktivitet. Teknogene trusler kan omfatte feil, inkludert i drift, eller ødeleggelse av systemer laget av mennesker. fysisk miljø ikke direkte forårsaket av menneskelig aktivitet. 1 I dette dokumentet refererer en sårbarhet til en svakhet i en eller flere eiendeler som kan utnyttes av en eller flere trusler (GOST R ISO/IEC, artikkel 2.26). 2 Denne klassifiseringen utføres uavhengig av klassifiseringen av operasjonelle risikoer etter risikofaktorer, gitt av Operational Risk Management Policy ved JSB Gazprombank (CJSC) 25-P datert

7 7 Naturlige (naturlige) trusler inkluderer trusler om meteorologiske, atmosfæriske, geofysiske, geomagnetiske, etc., inkludert ekstreme klimatiske forhold, meteorologiske fenomener, naturkatastrofer. Kilder til trusler mot bankens infrastruktur kan være både eksterne og interne. 6. InforI forhold til banken kan lovbrytere deles inn i eksterne og interne lovbrytere Interne lovbrytere. Banken anser som potensielle innsidere: registrerte brukere av bankens informasjonssystemer; ansatte i banken som ikke er registrerte brukere og ikke har tilgang til ressursene i bankens informasjonssystemer, men som har tilgang til bygninger og lokaler; personell som betjener de tekniske midlene til bankens bedriftsinformasjonssystem; ansatte i uavhengige strukturelle divisjoner i banken involvert i utvikling og vedlikehold av programvare; ansatte i uavhengige strukturelle enheter som sikrer bankens sikkerhet; ledere på ulike nivåer Eksterne inntrengere. Følgende anses av banken som potensielle eksterne lovbrytere: tidligere ansatte i banken; representanter for organisasjoner som samhandler om saker teknisk støtte Krukke; Bankkunder; besøkende til bankens bygninger og lokaler; konkurrerer med banken kredittorganisasjoner; medlemmer av kriminelle organisasjoner, etterretningsoffiserer eller personer som handler etter deres instrukser; personer som ved et uhell eller med vilje har penetrert bankens bedriftsinformasjonssystem fra eksterne telekommunikasjonsnettverk (hackere) Følgende begrensninger og forutsetninger om arten av deres mulige handlinger aksepteres med hensyn til interne og eksterne overtredere: overtrederen skjuler sine uautoriserte handlinger for andre ansatte i banken; uautoriserte handlinger fra overtrederen kan være et resultat av feil fra brukere, drifts- og vedlikeholdspersonell, samt mangler i den aksepterte teknologien for behandling, lagring og overføring av informasjon; i sin virksomhet kan en sannsynlig inntrenger bruke alle tilgjengelige midler for å avskjære informasjon, påvirke informasjon og informasjon

8 8 systemer, tilstrekkelige økonomiske midler til å bestikke personell, utpressing, sosiale ingeniørmetoder og andre midler og metoder for å nå sine mål; en ekstern inntrenger kan opptre i samspill med en intern inntrenger. 7. Grunnleggende bestemmelser for å sikre informasjonssikkerhet 7.1. Bankens informasjonssikkerhetskrav er obligatoriske for alle ansatte i banken og brukere av informasjonssystemer Bankens ledelse ønsker velkommen og oppfordrer etter hvert aktiviteter til bankens ansatte og brukere av informasjonssystemer for å ivareta informasjonssikkerhet Svikt eller dårlig ytelse av bankens ansatte og brukere av informasjonssystemer av deres forpliktelser til å ivareta informasjonssikkerhet kan medføre fratakelse av tilgang til informasjonssystemer, samt applikasjonen av administrative tiltak for påvirkning av de skyldige, hvis grad bestemmes av prosedyren fastsatt av Banken eller kravene i gjeldende lovgivning Bankens strategi når det gjelder å motvirke informasjonssikkerhetstrusler består i en balansert implementering av komplementære sikkerhetstiltak: fra organisatoriske tiltak på nivå med bankens ledelse til spesialiserte informasjonssikkerhetstiltak for hver risiko identifisert i banken, basert på en vurdering av informasjonssikkerhetsrisikoer.ved å opprettholde et gitt sikkerhetsnivå, følger banken en prosesstilnærming i å bygge en informasjon styringssystem sikkerhet. Bankens styringssystem for informasjonssikkerhet er basert på implementering av følgende hovedprosesser (planlegging, implementering og drift av beskyttelsestiltak, verifisering (overvåking og analyse), forbedring) som oppfyller kravene til Bank of Russia-standarden STO BR IBBS 1.0 og bestemmelsene internasjonale standarder for å sikre informasjonssikkerhet. Implementeringen av disse prosessene utføres i form av en kontinuerlig syklus av "planlegging implementering verifikasjon forbedring planlegging" rettet mot kontinuerlig forbedring av aktiviteter for å sikre informasjonssikkerheten til banken og øke effektiviteten. På alle stadier Livssyklus informasjonssikkerheten til banken styres i samsvar med regulatoriske dokumenter som definerer prosessene for styring av bankens operasjonelle risiko Ved planlegging av tiltak for å sikre informasjonssikkerhet utfører banken: Fastsettelse og fordeling av rollene til bankens personell relatert å sikre informasjonssikkerhet (informasjonssikkerhetsroller) Vurdering av viktigheten av informasjonsmidler, med hensyn til behovet for å sikre deres egenskaper fra et informasjonssikkerhetssynspunkt Informasjonssikkerhetsrisikostyring, inkludert: analyse av innvirkningen på bankens informasjonssikkerhet av teknologiene som brukes i bankens virksomhet, samt eksterne hendelser i forhold til banken; identifisering av informasjonssikkerhetsproblemer, analyse av deres årsaker og prognoser for utviklingen deres; definisjon av trusselmodeller for informasjonssikkerhet; identifisering, analyse og vurdering av informasjonssikkerhetstrusler som er viktige for banken;

9 9 identifisering av mulige negative konsekvenser for banken som følge av manifestasjon avorer, inkludert de som er forbundet med brudd på sikkerhetsegenskapene til bankens informasjonsmidler; identifikasjon og analyse avelser; vurdere omfanget av informasjonssikkerhetsrisikoer og identifisere risikoer blant dem som er uakseptable for banken; behandle resultatene av inforbasert på operasjonelle risikostyringsmetoder definert av Banken; optimalisering av informasjonssikkerhetsrisikoer gjennom valg og anvendelse av beskyttelsestiltak som motvirker manifestasjoner av risikofaktorer og minimerer mulige negative konsekvenser for banken ved risikohendelser; vurdering av virkningen av beskyttelsestiltak på målene for bankens kjernevirksomhet; vurdering av kostnader for gjennomføring av beskyttelsestiltak; vurdering og evaluering av ulike alternativer for å løse problemer for å sikre informasjonssikkerhet; utvikling av risikostyringsplaner som sørger for ulike beskyttelsestiltak og alternativer for deres anvendelse, og å velge en av dem, hvis implementering vil ha den mest positive innvirkningen på målene for bankens kjernevirksomhet og vil være optimal med tanke på påløpte kostnader og forventet effekt; dokumentere mål og mål for å sikre informasjonssikkerheten til banken, opprettholde oppdatert regelverk metodisk støtte aktiviteter innen informasjonssikkerhet Som et ledd i gjennomføringen av aktiviteter for å sikre informasjonssikkerhet, utfører banken: Håndtering av informasjonssikkerhetshendelser, herunder: innsamling av informasjon om informasjonssikkerhetshendelser; identifikasjon og analyse av informasjonssikkerhetshendelser; etterforskning av informasjonssikkerhetshendelser; raskt svar til en informasjonssikkerhetshendelse; minimere de negative konsekvensene av informasjonssikkerhetshendelser; rask kommunikasjon til bankens ledelse av informasjon om de viktigste og rask beslutningstaking om dem, inkludert regulering av prosedyren for å reagere på informasjonssikkerhetshendelser; implementering av beslutninger tatt om alle informasjonssikkerhetshendelser på en rettidig måte; revisjon av gjeldende krav, tiltak og mekanismer for å sikre informasjonssikkerhet basert på resultatene av vurdering av informasjonssikkerhetshendelser; øke kunnskapsnivået til bankens personell i spørsmål om informasjonssikkerhet; sikre regulering og styring av tilgang til programvare og programvare og maskinvareverktøy og tjenester automatiserte systemer Bank og informasjon behandlet i dem;

10 10 anvendelse av midler for kryptografisk beskyttelse av informasjon; sikre uavbrutt drift av automatiserte systemer og kommunikasjonsnettverk; sikre gjenopptakelse av driften av automatiserte systemer og kommunikasjonsnettverk etter avbrudd og nødsituasjoner; bruk av anti-malware-verktøy; sikre informasjonssikkerhet i stadiene av livssyklusen til bankens automatiserte systemer knyttet til design, utvikling, anskaffelse, forsyning, igangkjøring, vedlikehold ( kundeservice); sikre informasjonssikkerhet ved bruk av Internett-tilgang og tjenester E-post; kontroll av tilgang til bankens bygninger og lokaler Sikre beskyttelse av informasjon mot lekkasje gjennom tekniske kanaler, inkludert: bruk av tiltak og tekniske midler som reduserer sannsynligheten for uautorisert mottak av informasjon i muntlig form - passiv beskyttelse; bruk av tiltak og tekniske midler som forstyrrer uautorisert mottak av informasjon - aktiv beskyttelse; anvendelse av tiltak og tekniske midler som gjør det mulig å identifisere kanaler for uautorisert mottak av informasjon - søk For å verifisere iutfører banken: kontroll over korrekt implementering og drift av beskyttelsestiltak; kontroll av endringer i konfigurasjonen av systemer og undersystemer til banken; overvåke risikofaktorer 3 og vurdere dem deretter; kontroll over implementeringen og overholdelse av kravene fra bankens ansatte til gjeldende interne reguleringsdokumenter for å sikre informasjonssikkerheten til banken; kontroll over aktivitetene til ansatte og andre brukere av bankens informasjonssystemer, rettet mot å identifisere og forhindre interessekonflikter i bankens kjernevirksomhet). 8. Organisatorisk grunnlag for i8.1. For å oppfylle oppgavene med å sikre informasjonssikkerheten til banken, i samsvar med anbefalingene fra internasjonale og Russiske standarder på sikkerhet i banken bør følgende roller defineres: Kurator; Ansvarlig avdeling; 3 Begrepet "risikofaktor" er definert i Operational Risk Management Policy hos JSB Gazprombank (CJSC) datert PR.

11 11 Bankansatt. Ved behov kan andre informasjonssikkerhetsroller defineres Operasjonelle aktiviteter og planleggingsaktiviteter for å sikre informasjonssikkerheten i banken utføres og koordineres av Ansvarlig enhet. Ansvarlig enhets oppgaver er: å fastsette bankens behov for anvendelse av informasjonssikkerhetstiltak, bestemt både av interne bedriftskrav og av regelverkskrav; overholdelse av gjeldende føderal lovgivning, forskrifter fra føderale utøvende myndigheter autorisert innen sikkerhet og motarbeid mot teknisk etterretning og teknisk beskyttelse av informasjon, forskrifter fra Bank of Russia og Bank of Russia standarder for å sikre informasjonssikkerhet, forskrifter for å sikre informasjonssikkerhet, personvern og ikke-avsløring, markedene akseptert av regulatorene der bankens interesser og virksomhet er representert; utvikling og revisjon av interne regulatoriske dokumenter for å sikre informasjonssikkerheten til banken, inkludert planer, retningslinjer, reguleringer, reguleringer, instruksjoner, metoder, lister over informasjon og andre typer interne regulatoriske dokumenter; overvåke relevansen og konsistensen av interne reguleringsdokumenter (policyer, planer, metoder, etc.) som påvirker informasjonssikkerheten til banken; opplæring, kontroll og direkte arbeid med bankens personell innen informasjonssikkerhet; planlegging av søknad, deltakelse i levering og drift av informasjonssikkerhetsverktøy for fasiliteter og systemer i banken; identifisering og forebygging av implementering av trusler mot informasjonssikkerhet; identifisere og svare på informasjonssikkerhetshendelser; informere i god tid ansvarlige personer(Department of Analysis and Control of Banking Risks) om trusler og risikofylte hendelser innen informasjonssikkerhet; prognoser og forebygging av informasjonssikkerhetshendelser; undertrykkelse av uautoriserte handlinger fra brudd på informasjonssikkerhet; vedlikehold av databasen over informasjonssikkerhetshendelser, analyse, utvikling av optimale prosedyrer for respons på hendelser og opplæring av personell; typifisering av vedtak om anvendelse av tiltak og virkemidler for å sikre informasjonssikkerhet og formidling standardløsninger til filialer og representasjonskontorer til banken; å sikre driften av midler og mekanismer for å sikre informasjonssikkerhet; overvåking og evaluering av informasjonssikkerhet, inkludert vurdering av fullstendigheten og tilstrekkeligheten av beskyttelsestiltak og aktiviteter for å sikre informasjonssikkerheten til banken;

12 12 kontroll av informasjonssikkerheten til banken, inkludert på grunnlag av informasjon om informasjonssikkerhetshendelser, resultater av overvåking, evaluering og revisjon av informasjonssikkerhet; informere bankens ledelse og lederne for bankens uavhengige strukturelle avdelinger om informasjonssikkerhetstrusler som påvirker bankens virksomhet. Ansvarlig avdeling kan opprette arbeidsgrupper for å gjennomføre undersøkelser av informasjonssikkerhetshendelser, ledet av en ansatt i Ansvarlig avdeling , og kan, dersom det er rimelig behov, etter avtale med lederne for de aktuelle avdelingene, involvere ansatte i andre selvstendige strukturelle avdelinger i banken til arbeid i disse på grunnlag av å kombinere arbeid i konsernet med deres hovedavdelinger. offisielle oppgaver Finansiering for implementering av bestemmelsene i denne policyen utføres både innenfor målbudsjettet til bankens ansvarlige enhet, og innenfor budsjettene til forretningsenheter og enheter i IT-blokken. Kuratorens hovedfunksjoner i spørsmål om informasjonssikkerhet er : sikkerhet i banken Hovedoppgavene til bankens ansatte i utførelsen av sine oppgaver og som del av deres deltakelse i operasjonelle aktiviteter for å sikre informasjonssikkerheten til banken er: overholdelse av informasjonssikkerhetskravene fastsatt i forskriftsdokumentene til banken Bank; identifisering og forebygging av implementering av trusler mot informasjonssikkerhet innenfor dens kompetanse; identifisere og svare på informasjonssikkerhetshendelser; informere, i samsvar med den etablerte prosedyren, ansvarlige personer (avdeling for analyse og kontroll av bankrisiko) om identifiserte trusler og risikohendelser for informasjonssikkerhet; prognoser og forebygger informasjonssikkerhetshendelser innenfor sin kompetanse; overvåking og evaluering av informasjonssikkerhet innenfor sitt arbeidsområde (arbeidsplass, strukturell enhet) og innenfor dens kompetanse; informere ledelsen og ansvarlig avdeling om den identifiserte trusselen i informasjonsmiljøet til banken. 9. Ansvar for overholdelse av bestemmelsene i retningslinjene Generell styring av informasjonssikkerhet i banken utføres av kuratoren. Ansvaret for å holde bestemmelsene i denne policyen oppdatert, opprette, implementere, koordinere og endre prosessene i bankens styringssystem for informasjonssikkerhet ligger hos ledelsen av den ansvarlige enheten.

13 13 Ansvaret til bankens ansatte for manglende overholdelse av denne policyen er bestemt av de relevante bestemmelsene som er inkludert i kontrakter med bankens ansatte, samt bestemmelsene i bankens interne regulatoriske dokumenter. 10. Overvåke overholdelse av bestemmelsene i retningslinjene Generell kontroll Bankens informasjonssikkerhet utføres av kuratoren. Gjeldende kontroll over overholdelse av denne policyen utføres av den ansvarlige avdelingen. Kontroll utføres ved å overvåke og håndtere informasjonssikkerhetshendelser i banken, basert på resultatene av en informasjonssikkerhetsvurdering, samt innenfor rammen av andre kontrolltiltak. Avdeling indre kontroll overvåker overholdelse av denne policyen på grunnlag av en intern revisjon av informasjonssikkerhet. 11. Sluttbestemmelser Kravene i denne policyen kan utvikles av andre interne forskriftsdokumenter fra banken, som supplerer og klargjør den. forskrifter og bankens charter. I dette tilfellet er den ansvarlige avdelingen forpliktet til umiddelbart å sette i gang innføringen av passende endringer.Endringer i denne policyen utføres på en periodisk og uplanlagt basis: periodiske endringer i denne policyen må gjøres minst en gang hver 24. måned; ikke-planlagte endringer i denne policyen kan gjøres basert på resultatene av en analyse av informasjonssikkerhetshendelser, relevansen, tilstrekkeligheten og effektiviteten til informasjonssikkerhetstiltakene som brukes, resultatene av interne og andre kontrolltiltak Lederen for Ansvarlig Enheten er ansvarlig for å gjøre endringer i denne policyen.

14 14 Ansvarlig utførende Leder for avdeling for informasjonsteknologisikkerhet i Direktoratet for informasjonssikkerhet i sikkerhetstjenesten (avdeling) A.K. Plesjkov


1 Liste over tester med beskrivelse Mappe: Generelle tester => Bankprøver => INFORMASJONSSIKKERHET Generelle tester Bankprøver Mappe INFORMASJONSSIKKERHET Antall tester Demo

GODKJENT av styret for ING BANK (EURASIA) ZAO Protokoll 10-2011 datert 16. desember 2011 RUSSISK ING BANK (EURASIA) ZAO (LUKKET AKTIESELSKAP) Forskrifter om organisering av risikostyring

PRIVAT POLITIK VEDRØRENDE BEHANDLING AV PERSONDATA Bank "Taatta" JSC Yakutsk 2016 Innhold 1. Generelle bestemmelser ... 3 2. Konseptet og sammensetningen av personopplysninger ... 3

GODKJENT av styret for ING BANK (EURASIA) ZAO Protokoll 10-2011 datert 16. desember 2011 RUSSISK ING BANK (EURASIA) ZAO (LUKKET AKTIESELSKAP)

Godkjent av: Styrets vedtak Protokoll 499 datert "18"07. 2005 Informasjonssikkerhetspolicy V.23 Irkutsk 2005 Innhold: 1. Introduksjon..3 2. Omfang..3 3. Normative referanser. 3

FEDERAL SERVICE FOR TEKNISK OG EKSPORTKONTROLL (FSTEC of Russia) ORDRE 11. februar 2013 Moskva 17

GODKJENT ved bestilling 06-12OD datert 25. januar 2012 Retningslinjer for behandling av personopplysninger hos Goldman Sachs Bank LLC Moscow 2012 1 INNLEDNING Denne politikken for behandling av personopplysninger hos Goldman LLC

FEDERAL JERNBANETRANSPORTBYRÅ Ukhta College jernbanetransport- gren av den føderale statens budsjettutdannelsesinstitusjon for høyere profesjonelle

Nasjonal standard for den russiske føderasjonen GOST R 50922-2006 "Informasjonssikkerhet. Grunnleggende vilkår og definisjoner" (godkjent etter ordre fra Federal Agency for Technical Regulation and Metrology datert 27. desember

FEDERAL SERVICE FOR TEKNISK OG EKSPORTKONTROLL (FSTEC OF RUSSIA) Godkjent av FSTEC i Russland 2015

GODKJENT etter ordre av ",? / /" U / 20 / t. Regissør M A U D ZH C / IG "Harmony" Yarmolyuk J1.B. om prosedyre for organisering og gjennomføring av arbeid med ytterligere data i MAUDOD CDT "Harmony" g a 1. Generelle bestemmelser

SENTRALBANK I DEN RUSSISKE FØDERASJON BREV nr. 36-T datert 31. mars 2008 OM ANBEFALINGER OM ORGANISERING AV STYRING AV RISIKO SOM OPPSTÅR NÅR KREDITTINSTUTJONER UTFØRER OPERASJONER VED HENVISNING

ETISKE RETNINGSLINJER FOR VNESHECONOMBANK UTFØRER AKTIVITETER KNYTTET TIL OPPLYSNINGER OG INVESTERING AV PENSJONSSPARING 2 INNHOLD I. GENERELLE BESTEMMELSER...3 II. PRINSIPPER FOR PROFESSIONAL

Promsvyazbank Open Joint Stock Company U P E R ZH D E N Etter ordre fra presidenten for Promsvyazbank OJSC datert 24. desember 2012 245/6 12-67-01 POLICY angående behandling av personopplysninger (versjon

2 UDC 347.775(075.8) A19 Fagfellebedømmere: Institutt for programvare informatikk og informasjonssikkerhetssystemer i Kurgan statlig universitet; doktor i teknisk

(Som endret ved ordre fra JSC "Rosselkhozbank" datert 17. august 2015 708-OD) AKSJESELSKAP "RUSSIAN AGRICULTURAL BANK" (JSC "ROSselkhozbank") GODKJENT ved avgjørelsen fra styret i JSC "Rosselkhozbank" (protokoller

REGULERING OM INFORMASJONSPOLITIKKEN TIL OJSC MMC NORILSK NICKEL GODKJENT ved vedtak fra styret i OJSC MMC Norilsk Nickel Protokoll datert mai 2009

VII Vitenskapelig konferanse"Forsikring mot utfordringene i det XXI århundre", Ridzina, Polen, 20.-22. mai 2013 REINSURSURER RISK MANAGEMENT (VED EKSEMPEL PÅ TRANSSIBERIAN REINSURANCE CORPORATION OJSC, RUSSIA) I.

Ark 2 Forord Målene og prinsippene for standardisering i den russiske føderasjonen er fastsatt av den føderale loven av 27. desember 2002 184-FZ "On Technical Regulation" Informasjon om den dokumenterte prosedyren 1

VIRKSOMHETSSTANDARD Miljøstyringssystem. Miljøpolitikk for OAO Irkutskenergo Introdusert for å erstatte STP 001.114.112-2007 GODKJENT av generaldirektør for OAO Irkutskenergo O. N. Prichko (dato)

ÅPENT AKTIESELSKAP "SBERBANK OF RUSSIA" GODKJENT generalforsamling aksjonærer i OJSC Sberbank of Russia (protokoll nr. 27 datert 10. juni 2014) aksjeselskap

"GODKJENT" daglig leder V.I. Stefan REGULERINGER OM ANTIKORRUPSJONSPOLITIKKEN TIL DET ÅPNE AKSESELSKAPET "Voronezh undersøkelser Vega Institute, Voronezh 1 Innhold 1 Introduksjon...2

ÑÒÀÍÄÀÐÒ ÁÀÍÊÀ ÐÎÑÑÈÈ ÑÒÎ ÁÐ ÈÁÁÑ-1.0-2010 ÎÁÅÑÏÅ ÅÍÈÅ ÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈ ÎÐÃÀÍÈÇÀÖÈÉ ÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛ ÐÎÑÑÈÉÑÊÎÉ ÔÅÄÅÐÀÖÈÈ ÎÁÙÈÅ ÏÎËÎÆÅÍÈß Дата введения: 2010-06-21 Издание официальное Ìîñêâà

UDDANNELSES- OG VITENSKAPSMINISTERIET I DEN RUSSISKE FØDERASJONEN Føderale statsbudsjett utdanningsinstitusjon høyere yrkesopplæring"Pacific i State University"

GODKJENT av vedtak fra styret for AEDC JSC datert 29. desember 2014 protokoll 15 FORSKRIFT om administrerende direktør Aksjeselskap "Akmola Elektrisitetsdistribusjonsselskap" introdusert

ÐÅÊÎÌÅÍÄÀÖÈÈ Â ÎÁËÀÑÒÈ ÑÒÀÍÄÀÐÒÈÇÀÖÈÈ ÁÀÍÊÀ ÐÎÑÑÈÈ ÐÑ ÁÐ ÈÁÁÑ-3-200 ÎÁÅÑÏÅ ÅÍÈÅ ÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈ ÎÐÃÀÍÈÇÀÖÈÉ ÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛ ÐÎÑÑÈÉÑÊÎÉ ÔÅÄÅÐÀÖÈÈ ÒÐÅÁÎÂÀÍÈß ÏÎ ÎÁÅÑÏÅ ÅÍÈÞ ÁÅÇÎÏÀÑÍÎÑÒÈ ÏÅÐÑÎÍÀËÜÍÛÕ

Rapport: Regulatorisk regulering av RBS i Russland Evgeny Tsarev http://www.ruscrypto.ru/conference/ Generell struktur av regulatoriske dokumenter 161 FZ Om det nasjonale betalingssystemet 115-FZ Om motarbeid

ADMINISTRASJON AV BYEN SMOLENSK RESOLUTION (som endret ved resolusjoner fra administrasjonen av byen Smolensk datert 12/02/2014 2094, 284-adm datert 23/12/2015, 394-adm datert 12/29/20) /30/2010 920-adm

Vedlegg til vedtak 16/4 Utkast til konseptuell bestemmelse om det enhetlige senteret for sikkerhet i cyberspace i CIS-medlemsstatene. Informasjonssfære, som er en systemdannende faktor

Krav GOST R ISO 9001-2008, 8.5.2 Korrigerende tiltak Organisasjonen skal iverksette korrigerende tiltak for å eliminere årsakene til avvik for å forhindre at de gjentar seg.

GODKJENT: Styreleder i CJSC "PERVOURALSKBANK" Romanov M.S. 2012 POLICY vedrørende behandling av personopplysninger i CJSC "PERVOURASKBANK", Pervouralsk 1. INNLEDNING 1.1 Den viktigste betingelsen

Godkjent ved vedtak i styret i OAO NOVATEK Protokoll 60 datert 15.12.05. NOVATEK REGLER FOR BEDRIFTSATFERD Moskva 2005 1. INNLEDNING Under bedriftens atferd

PERSONLIG DATABEHANDLING POLITIK I IDPERSONELL SELSKAP Kazan 2014 www.idpersonnel.ru 1. GENERELLE BESTEMMELSER 1.1. Denne policyen definerer betingelsene og prosedyrene for IDPersonnel Company

GODKJENT av vedtak fra styret i PJSC BANK YUGRA Protokoll datert 18.08.2015 18.08.15/1 Styreleder i PJSC BANK YUGRA A.V. Fomin REGULERINGER OM DET INTERNE KONTROLLSYSTEMET I PJSC BANK YUGRA

DEN RUSSISKE FØDERASJENS SENTRALBANK BREV nr. 49-T datert 24. mars 2014 OM ANBEFALINGER OM ORGANISERING AV ANVENDELSE AV BESKYTTELSESMIDLER MOT SKADELIG KODE VED UTFØRING AV BANKAKTIVITETER

GODKJENT ved avgjørelsen fra styret for WHSD OJSC Protokoll 9/2011 datert 27. juni 2011 Styreleder / Yu. V. Molchanov forskrifter om innsideinformasjon i det åpne aksjeselskapet

Utvikling, drift og sertifisering av styringssystemer for informasjonssikkerhet MS ISO/IEC 27001-2005 Ilya Iosifovich Livshits, seniorekspert Introduksjon Alexander Sankov

Miljø-, helse- og sikkerhetsledelse og ytelsesstandarder Ledelsesstandarder Ledelsesstandard 1: Ledelse og ansvar. I vårt selskap

FORBUNDSBYRÅ FOR TEKNISK REGULERING OG METROLOGI NASJONAL STANDARD FOR DEN RUSSISKE FEDERASJON GOST R 50922 2006 Informasjonssikkerhet GRUNNLEGGENDE VILKÅR OG DEFINISJONER Offisiell publikasjon BZ 1 2007/378

UTVIKLING OG IMPLEMENTERING AV ET LEDELSESSYSTEM FOR KVALITETSSTYRINGSSYSTEM Enhver organisasjon har et styringssystem, som er et sett med organisasjonsstruktur, forretningsprosesser, metoder

GODKJENT ved avgjørelsen fra eneaksjonæren i OJSC EMZ im. V. M. Myasishchev "" 27. juni 2011 FORSKRIFTER OM DET ENESTE UTFØRENDE ORGAN (GENERALDIREKTØR) i Open Joint Stock Company Experimental

GODKJENT ved avgjørelsen fra styret for CB "MIA" (JSC) datert 01.03.2016. Protokoll 2 INFORMASJONSPOLITIKK for Commercial Bank "Moscow Mortgage Agency" (Joint Stock Company) (Versjon 1) Moskva,

Regler for det enhetlige betalings- og servicesystemet "Universal elektronisk kort» Revisjon 2.2.01 Regler for betalingssystemet "Universalt elektronisk kort" vedlegg PS-13 Revisjon 2.2.01 1 INNHOLD Innledning...

OFFENTLIG AKSJESELSKAP "SBERBANK OF RUSSIA" GODKJENT av komiteen for fagforeningen for ansatte i offentlig aksjeselskap "Sberbank of Russia" Resolusjon datert 23.10.2015 11 GODKJENT av representantskapet

Vedlegg Konseptet med å lage et integrert informasjonssystem for utenriks- og gjensidig handel Tollunion 2 1. INNLEDNING... 3 1.1. Dokumentets formål og struktur... 3 1.2. Det generelle innholdet i dokumentet...

FORBUNDSBYRÅ FOR TEKNISK REGULERING OG METROLOGI NASJONAL STANDARD FOR DEN RUSSISKE FEDERASJON GOST R Sikkerhet for informasjonsgeologiske ressurser i undergrunnen Grunnleggende bestemmelser Moskva Standartinform

FOR UTDANNINGSFORMÅL ÅPENT AKTIERSELSKAP "GAZPROM" STANDARD FOR ORGANISASJON Styringssystem KVALITETSSTYRINGSSYSTEM Krav STO Gazprom 9001-20 Offisiell publikasjon ÅPEN FELLESLAGER

Godkjent av styret i OAO Far Eastern Energy Company 17. september 2007. Protokoll 23 REGULERINGER om tjenesten Internrevisjon Artikkel 1. Generelle bestemmelser 1.1. Denne forskrift om

1. GENERELLE BESTEMMELSER 1.1. Denne forskriften er utviklet på grunnlag av kravene: føderal lov fra den russiske føderasjonen datert 27. juli 2006 152 "Om personopplysninger"; Den russiske føderasjonens føderale lov

Retningslinjer for behandling av personopplysninger til nettstedet rosvakant.ru (for ubegrenset tilgang, publisert i samsvar med del 2 av artikkel 18.1 i den føderale loven av 27. juli 2006 N 152-FZ "Om personopplysninger")

GODKJENT av protokollen fra styret for PJSC PIK Group of Companies datert 3. juli 2015 INTERN KONTROLL OG RISIKOSTYRINGSPOLITIK PJSC PIK GROUP Policy PT1001.0100.006.01-2015

REGJERINGEN I DEN RUSSISKE FØDERASJON BESLUTNING nr. 781 av 17. november 2007 OM GODKJENNING AV FORORDNINGEN OM SIKRING AV SIKKERHETEN FOR PERSONOPPLYSNINGER UNDER DERES BEHANDLING I PERSONLIG INFORMASJONSSYSTEMER

STO 003-2016 Ministry of Education and Science of the Russian Federation Federal State Budgetary Education Institution høyere utdanning IRKUTSK NATIONAL FORSKNING TEKNISK

GODKJENT ved avgjørelsen fra styret i JSC "BaikalInvestBank" Protokoll 4394 datert 31. desember 2015 REGLER FOR SELSKAPSETIK JSC BaikalInvestBank Irkutsk 2015 INNHOLD 1. GENERELLE BESTEMMELSER... 3 2. BANKENS OPPDRAG...

Vedlegg 1 til vedtaket Representantskapet 01/16z datert 12.01.2016 PJSC "Leto Bank" POR Y D OK for å forhindre interessekonflikter i PJSC "Leto Bank" Moskva 2016 Innhold Side I. Mål og mål.3 II. Vilkår

ÅPENT AKSJESELSKAP "KRAINODAR REGIONAL INVESTMENT BANK" (JSC "KRAIINVESTBANK") GODKJENT VED BESLUTNING AV STYRET I OJSC "KRAIINVESTBANK" PROTOKOLL DATERT 30/06/2015 POSITION-10

REGJERINGEN FOR KURGAN REGIONEN DEPARTMENT OF EDUCATION OG VITENSKAP I KURGAN REGIONEN ORDRE datert ///. 03- Mm6 36 i Kurgan Ved godkjenning av retningslinjer for behandling og beskyttelse av personopplysninger i utdanningsdepartementet

ÅPENT AKTIESELSKAP "GAZPROM" Ledelsessystemer Organisasjonsstandard KVALITETSSTYRINGSSYSTEMER. KRAV STO Gazprom 9001-2012 EDITION OFFICIAL MOSKVA 2014.indd 2-3 03.07.2014 12:34:32

GODKJENT ved vedtak fra styret i Rosneft 30. januar 2015 Protokoll 02. februar 2015 20 Trådt i kraft 18. februar 2015 ved kjennelse av 18. februar 2015 60 SELSKAPSPOLICY

ÐÅÊÎÌÅÍÄÀÖÈÈ Â ÎÁËÀÑÒÈ ÑÒÀÍÄÀÐÒÈÇÀÖÈÈ ÁÀÍÊÀ ÐÎÑÑÈÈ ÐÑ ÁÐ ÈÁÁÑ-2.4-2010 ÎÁÅÑÏÅ ÅÍÈÅ ÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈ ÎÐÃÀÍÈÇÀÖÈÉ ÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛ ÐÎÑÑÈÉÑÊÎÉ ÔÅÄÅÐÀÖÈÈ ÎÒÐÀÑËÅÂÀß ÀÑÒÍÀß ÌÎÄÅËÜ ÓÃÐÎÇ ÁÅÇÎÏÀÑÍÎÑÒÈ

Retningslinjer for behandling av personopplysninger i Mobilux LLC (for ubegrenset tilgang, publisert i samsvar med del 2 av artikkel 18.1 i føderal lov av 27. juli 2006 N 152-FZ "Om personopplysninger")

1 1. Innledning Etikkreglene og offisiell oppførsel til FSUE TsAGI-ansatte (heretter referert til som retningslinjene) etablerer regler som gir etiske verdier og regler for offisiell oppførsel for ledere

Forord 1 UTVIKLET av Institutt for standardisering og kvalitet 2 GODKJENT OG INNFØRT IKRAFTTRAKT 3 ERSTATNING 4 Dato for utsendelse til brukere Etter ordre fra rektor av 14.01.16

avtovsamare.ru - Min bedrift - Franchising. Vurderinger. Suksesshistorier. Ideer. Arbeid og utdanning

Massemedieregistreringsbevis EL nr. FS 77 - 57771 datert 18. april 2014.
Copyright © 2006-2017. Alt materiale er beskyttet av opphavsrett
Massemedier "BusinessGarant" er registrert av Federal Service for Supervision of Communications, Information Technologies and Mass Communications