Головна Робота та освіта Концепція інформаційної безпеки газпрому. Політика інформаційної безпеки «Газпромбанк»

Концепція інформаційної безпеки газпрому. Політика інформаційної безпеки «Газпромбанк»

Надіслати свою гарну роботу до бази знань просто. Використовуйте форму нижче

Студенти, аспіранти, молоді вчені, які використовують базу знань у своєму навчанні та роботі, будуть вам дуже вдячні.

Розміщено на http://www.allbest.ru/

Казанський (приволзький) федеральний університет

Інститут управління та територіального розвитку

Кафедра стратегічного та фінансового менеджменту

ДОСЛІДНИЦЬКА РОБОТА

з дисципліни «Керування корпоративною безпекою»

Аналіз корпоративної безпеки ВАТ "Газпром"

Виконав: студент гурту 1498-2

Мінгалімова Г.Г.

Перевірив: Габдуллін Н.М.

Казань 2013

1. Характеристика підприємства ВАТ "Газпром"

5. Аналіз фінансової стійкостікомпанії Латвія газ за поданим балансом

корпоративна безпека фінансова стійкість

1. Характеристика ВАТ "Газпром"

ВАТ "Газпром" - глобальна енергетична компанія. Основні напрямки діяльності - геологорозвідка, видобуток, транспортування, зберігання, переробка та реалізація газу, газового конденсату та нафти, а також виробництво та збут тепло- та електроенергії. ВАТ «Газпром». - [ Електронний ресурс] .

«Газпром» бачить свою місію у надійному, ефективному та збалансованому забезпеченні споживачів природним газом, іншими видами енергоресурсів та продуктів їх переробки.

«Газпром» має у своєму розпорядженні найбагатші у світі запаси природного газу. Його частка у світових запасах газу становить 18%, у російських - 70%. На «Газпром» припадає 15% світової та 78% російського видобуткугазу. В даний час компанія активно реалізує масштабні проекти щодо освоєння газових ресурсів півострова Ямал, арктичного шельфу, Східного Сибіру та Далекого Сходу, а також низку проектів з розвідки та видобутку вуглеводнів за кордоном.

"Газпром" - надійний постачальникгазу російським та зарубіжним споживачам. Компанії належить найбільша у світі газотранспортна мережа єдина системагазопостачання Росії, довжина якої перевищує 161 тис. км. на внутрішньому ринку«Газпром» реалізує понад половину газу, що продається. Крім того, компанія постачає газ до 30 країн ближнього та далекого зарубіжжя.

«Газпром» є єдиним у Росії виробником та експортером зрідженого природного газу та забезпечує близько 5% світового виробництва ЗПГ.

Компанія входить до п'ятірки найбільших виробниківнафти до, і навіть є найбільшим власником генеруючих активів її території. Їхня сумарна встановлена потужність становить 17% від загальної встановленої потужності російської енергосистеми.

Стратегічною метою є становлення ВАТ «Газпром» як лідера серед глобальних енергетичних компаній у вигляді освоєння нових ринків, диверсифікації видів діяльності, забезпечення надійності постачання.

2. Особливості побудови комплексної системибезпеки ВАТ «Газпром»

Аналіз газового ринку показує, що найближчими роками та десятиліттями прогнозується суттєве зростання попиту на газ, а значить і роль «Газпрому», як сучасної енергетичної компанії на світовому ринку, зростатиме.

В умовах зростання попиту на газ головна стратегічна метапідприємств газової галузі - підвищення ефективності та динамічне зростання виробництва на користь споживачів, удосконалення його організаційної структури.

Зростання вимог до якості обміну інформацією та рівнем її захисту визначається, насамперед, конкуренцією на газовому та фінансовому ринках. Пильну увагу цьому питанню приділяє і Служба безпеки ВАТ "Газпром". Безперечно, це диктується ще й виробничою специфікою технологічних процесівтранспортування та зберігання газу, що висуває підвищені вимоги до захисту від «інформаційного тероризму» систем оперативно-диспетчерського управління.

Доречно навести кілька фактів, що підтверджують актуальність роботи із захисту інформації - на рік відбувається до 6 000 спроб зараження мереж передачі даних ВАТ «Газпром» різними вірусами, все це призводить до виходу з експлуатації на тривалі терміни автоматизованих робочих місць у корпоративній інформаційній системі Товариства. Фінансові втрати часу на простий, трудовитрати на відновлення та з урахуванням можливо недоотриманого прибутку можуть становити сотні тисяч доларів США.

Загалом слід констатувати, що загрози вірусного зараження та загрози з боку внутрішніх порушників продовжують залишатися вкрай актуальними для підприємств ВАТ «Газпром».

Відповідно до положень « Спеціальних вимогта рекомендацій щодо технічного захисту конфіденційної інформації», прийнятими у ВАТ «Газпром», його дочірніх товариствах та організаціях (СТР-К) до керівництва та виконання відповідальності за забезпечення вимог щодо технічного захисту конфіденційної інформації покладається на керівників підрозділів.

Очевидно, що забезпечення інформаційної безпекивимагає комплексного підходу, в основі якого має лежати система забезпечення інформаційної безпеки, що включає організаційну (підготовлений персонал та нормативні документи) та технічну (засоби захисту інформації) складові.

Основними етапами створення комплексної системи захисту інформації мають бути:

· Обстеження організації.

Виконання робіт з аудиту інформаційної безпеки може бути як внутрішніми силами, і із залученням сторонньої організації;

· Проектування системи захисту інформації. (Виконується за результатами проведеного аудиту інформаційної безпеки);

· Впровадження системи захисту інформації.

Здійснюється, як правило, силами сторонньої організації за участю співробітників відділу інформаційної безпеки для забезпечення контролю за якістю;

· Супровід системи інформаційної безпеки.

Технічний супровід комплексної системи ІБ здійснюється силами сторонньої організації, а експлуатація та адміністрування безпеки силами відділу ІБ;

· Навчання фахівців із захисту інформації.

Навчання проводиться у плановому порядку за графіком, затвердженим системою безпеки ВАТ «Газпром».

Як правило, газотранспортне підприємство є територіально-розподіленою організацією, яка має велику кількість територіально віддалених від центрального офісу філій та дочірніх організацій.

Інформаційно-телекомунікаційна система такого підприємства має територіально-розподілений характер і має можливість взаємодії із зовнішніми інформаційними системами - федеральних органів виконавчої влади, суб'єктів федерації, місцевих органів влади, а також різними відкритими мережами (Інтернет, Рейтер та ін.).

Також на ВАТ «Газпром» приділяє велику увагу промислової безпеки.

Керівництво «Газпром» вважає систему управління промисловою безпекою, охороною праці та довкіллянеобхідним елементом ефективного управліннявиробництвом та заявляє про свою відповідальність за успішне управління професійними ризиками, пов'язаними з впливом на життя та здоров'я працівників, обладнання, майно та навколишнє середовище.

Жодні міркування економічного, технічного чи іншого характеру не можуть бути прийняті до уваги, якщо вони суперечать необхідності забезпечення безпеки працюючих на виробництві, населення та навколишнього природного середовища.

«Газпром» гарантує своїм співробітникам гідні та безпечні умови праці, неухильно виконуючи ліцензійні вимоги щодо забезпечення виробничої безпеки. У постійному режимі проводиться моніторинг умов праці, проводиться атестація робочих місць, реалізується програма страхування ризиків.

Для забезпечення єдиного підходу до питань промислової безпеки на всіх підприємствах групи "Газпром" застосовується « Політика в галузі промислової безпеки, охорони праці та довкілля». Серед зобов'язань компанії, підтверджених у цьому документі - безперервне покращення умов праці та підвищення рівня промислової та екологічної безпеки, впровадження ефективної системиуправління, пред'явлення єдиних вимог у сфері безпеки до працівників та підрядників.

Для обговорення найважливіших питань у галузі забезпечення виробничої безпеки та формування нових стратегічних завдань, а також коригування поточних, у компанії створено та функціонує колегіальний орган- Рада з промислової безпеки, охорони праці та навколишнього середовища. До складу Ради входять керівники функціональних підрозділів Департаменту виробничої безпеки та керівники служб ПЕБ, ВІД та ДЗ великих активів компанії.

Досягнення заявлених цілей на всіх підприємствах групи неможливе без стандартизації, тому з 2008 року на всіх підприємствах групи ведеться впровадження Інтегрованої системи управління промисловою та екологічною безпекою, охороною праці та навколишнього середовища (ПЕБ, ВІД та ДЗ), що відповідає міжнародним стандартам OHSAS 1800, ISO 14001 та ISO 9001. Одночасно на всіх підприємствах «Газпром» йде запровадження єдиного стандарту з виявлення, оцінки та мінімізації професійних ризиків. Контроль запровадження нових стандартів здійснюється в режимі реального часу за допомогою комп'ютерної системи"Азімут". Вона дозволяє вести онлайн-моніторинг ситуації на підприємствах компанії та отримувати оперативні сповіщення про події.

Компанія прагне забезпечити постійне підвищення рівня безпеки, послідовне зниження аварійності, виробничого травматизму, професійних захворювань.

У компанії діє корпоративний стандарт, який визначає порядок забезпечення працівників засобами індивідуального захисту(ЗІЗ). Спецодяг, який закуповується компанією, відповідає вітчизняним та європейським вимогам до безпеки.

Охорона праці та здоров'я працівників - сфера взаємної відповідальності та конструктивної взаємодії керівництва компанії та профспілок. Взаємні зобов'язання з цих питань відображаються у колективних договорах та програмах з оздоровлення працівників.

У компанії продовжується реалізація комплексу заходів, спрямованих на забезпечення транспортної безпеки, що включають розробку нормативних документівпроведення місячників безпеки, організацію навчання персоналу

Політика та стандарти компанії «Газпром» у галузі ПЕБ, ВІД та ДЗ орієнтують на мінімізацію ризиків, попередження аварій. Важливим напрямом у цій роботі залишається створення посад працівників, уповноважених на вирішення завдань у галузі цивільної оборони, підвищення кваліфікації керівного складу, навчання персоналу діям в умовах надзвичайної ситуації, підтримка високого рівняготовності до позаштатних ситуацій. Для забезпечення готовності до дій у разі виникнення надзвичайних ситуацій у ДЗО створено резерви фінансових коштів та матеріальних ресурсів. Готовність ДЗО до дій з ліквідації надзвичайних ситуацій перевіряється під час регулярних навчань та тренувань.

Проаналізувавши інформаційну безпеку підприємства можна дійти невтішного висновку у тому, що інформаційної безпеки треба приділяти велику увагу, т.к. ВАТ "Газпром" дуже велике підприємство. Тому, на мою думку, для досягнення захисту має забезпечуватися ефективне вирішення наступних завдань:

· Захист від втручання в процес функціонування підприємства сторонніх осіб;

· Захист від несанкціонованих дій з інформаційними ресурсами підприємства сторонніх осіб та співробітників, які не мають відповідних повноважень;

· Забезпечення повноти, достовірності та оперативності інформаційної підтримкиухвалення управлінських рішень керівництвом підприємства;

· Забезпечення фізичної безпеки технічних засобіві програмного забезпеченняпідприємства та захист їх від дії техногенних та стихійних джерел загроз;

· Реєстрація подій, що впливають на безпеку інформації, забезпечення повної підконтрольності та підзвітності виконання всіх операцій, що здійснюються на підприємстві;

· Своєчасне виявлення, оцінка та прогнозування джерел загроз безпеці інформації, причин та умов, що сприяють завданню шкоди інтересам суб'єктів, порушенню нормального функціонування та розвитку підприємства;

Таким чином, можна сказати, що повністю підприємство неможливо захистити від загроз зовнішнього та внутрішнього характеру. Але за допомогою таких заходів можна досягти високого рівня захисту ВАТ "Газпром".

4. Визначення індексу рейдерпридатності підприємства ВАТ "Газпром"

Отже, знайдемо індекс рейдера придатності для компанії ВАТ «Газпром».

1. Держава є власником контрольного пакета акцій «Газпрому» - 50,002%, тобто. менше половини акцій компанії розпорошено між безліччю акціонерів. На цьому випливає, що К1= 0,5. (т.к. розпорошення 25-51%).

2. Основні засоби підприємства = 3621565477тис. руб., Валюта балансу = 7433141940 тис. руб.

К2 = 3621565477 / 7433141940 = 0,49 = 0,5. Це означає, частка основних засобів у валюті балансу перевищує 50%.

3. Кредиторська заборгованість = 502161023 тис. руб., Валюта балансу = 7433141940 тис. руб.

К3 = 502161023/7433141940 = 0,067 = 0,1. Це означає, що кредиторська заборгованість компанії не перевищує валюти балансу та економічний станпідприємства стабільно.

4. К4=0, т.к. ВАТ "Газпром" виплачує систематичні дивіденди своїм акціонерам.

5. К5 = 0,3, т.к. рентабельність галузі більше 15% (тобто 34%).

6. К6 = 0,3, т.к. підприємства ВАТ «Газпром» перебувають у Москві, Санкт-Петербурзі та інших районах.

Отже, щодо компанії ВАТ «Газпром» сума коефіцієнтів склала:

К1+К2+К3+К4+К5+К6= 0,5+0,5+0,1+0+0,3+0,3= 1,7.

Максимальне значення, яке можна отримати, якщо у компанії всі значення максимальні:

К1+К2+К3+К4+К5+К6= 0,7+0,5+0,5+0,3+0,3+0,3= 2,6.

Таким чином, у компанії ВАТ «Газпром» вийшов індекс рейдер придатності менше максимального значення (1,7<2,6). Это говорит о том, что вероятность враждебного поглощения компании минимальна.

5. Аналіз фінансової стійкості компанії Латвія газпо представленому балансу

Латвія газ (Latvijas Gaze) – газова компанія Латвії. Штаб квартира у Ризі. Вона є партнером ВАТ "Газпром".

Служба безпеки ВАТ "Газпром" перевіряє фінансову стійкість компанії, чи зможуть вони вчасно розплатитися за боргами.

Було проведено аналіз фінансової стійкості компанії Латвія за наступною схемою:

1 етап – були отримані необхідні документи від досліджуваної компанії за 2011 рік – це:

баланс (форма №1);

звіт про прибутки та збитки (форма № 2);

звіт про рух капіталу (форма №3).

2 етап - перевірено справжності поданих документів, тобто. на всіх документах розписався керівник компанії та головний бухгалтер та є електронний підпис.

3 етап - зроблено попередній аналіз балансу у вигляді відповідності наступних показників:

сума «Разом за розділами» = сума рядків усередині розділів;

рядок 300 "баланс" = рядок 700 "баланс" = 7827957711 руб.;

рядок 470 "нерозподілений прибуток звітного року" (форма № 1) = рядок 170 "нерозподілений прибуток (збитки) звітного періоду" (форма № 2) = 2292965777 руб.;

рядок 010 « статутний капітал»(Форма № 3) = рядок 410 «статутний капітал» (форма № 1) = 118367564 руб.;

всі подані дані умови виконуються, отже, подані документи складено правильно.

4 етап – оцінка фінансової стійкості компанії проводиться за наступною схемою:

рядок 010 «статутний капітал» (форма № 3) має бути меншим за рядок 200 «чисті активи» (форма № 3) і насправді це так, тобто:

118367564 руб.< 6189150344 руб.

Дане співвідношення передбачається ФЗ «Про акціонерні товариства» і якщо в нас не було виконано, це говорило про те, що можливий фінансовий крах компанії.

1. Вираховуємо коефіцієнт автономії, який показує, наскільки компанія здатна розплачуватися власними коштамиз інвесторами або акціонерами при настанні відповідних строків та має бути не менше 0,5.

· рядки (590+640+650-490)/рядок 700 (форма № 1) = (6189150344+0+2134381-1003898769)/ 7827957711= 0,66>0,5

590 - «Разом по розділу III» = 6189150344 руб.;

650 - «фонди споживання» = 2134381руб.;

490 - «Разом за розділом IV» = 1003898769 руб.;

700 - "баланс" = 7827957711 руб.

Отже, коефіцієнт автономії = 0,66>0,5, тобто. зростання коефіцієнта автономії свідчить про збільшення фінансової незалежностікомпанії.

2. Обчислюємо коефіцієнт покриття, який показує, наскільки підприємство здатне розплатитися всіма своїми активами за боргами та має бути не менше ніж 2.

· рядки (290-230-244-252)/(690-630+640+650) (форма № 1) =

(235682 3254-703918072-0-0)/(634908598- 722068+0+2134381)= 2,59>0 ,2 .

Назва рядків балансу наступні:

290 - «Разом за розділом II» = 2356823254 руб.;

230 - дебіторська заборгованість (платежі за якою очікуються більш ніж через 12 місяців після звітної дати)» = 703918072 руб.;

244 - «заборгованість учасників (засновників) із внесків до статутного капіталу» = 0;

252 - « власні акції, Викуплені в акціонерів »= 0;

690 - «Разом за розділом V» = 634908598руб.;

630 - «розрахунки з дивідендів» = 722068 руб.;

640 – «доходи майбутніх періодів» = 0;

650 – «фонди споживання» = 2134381 руб.

Таким чином, коефіцієнт покриття = 2,59> 0,2, а це означає, що підприємство здатне розплатитися всіма своїми активами за боргами.

3. Обчислюємо коефіцієнт ефективності управління підприємством, який показує, скільки прибутку посідає одиницю реалізованої продукції

· Рядок 050/рядок 010 (форма № 2) = 553268909/2486940618 = 0,22

Назва рядків такі:

050 - «прибуток від» = 553268909 руб.;

010 - «виручка (нетто) від товарів, продукції, робіт, послуг (за мінусом податку додану вартість, акцизів та аналогічних обов'язкових платежів)»= 2486940618 крб.

Отже, коефіцієнт ефективності управління підприємством = 0,22. Тут ми бачимо зростання рентабельності виробництва, що свідчить про збільшення прибутковості та зміцнення фінансового благополуччя компанії.

Отже, фінансова стійкість компанії Латвія стабільно газ і служба безпеки ВАТ «Газпром» може довіряти.

Висновки дослідницької роботи

Після дослідження компанії ВАТ «Газпром», можна дійти невтішного висновку:

1. У компанії індекс рейдер придатності менший за максимальне значення. Це свідчить, що ймовірність поглинання ВАТ іншими компаніями мінімально.

2. Після аналізу фінансової стійкості компанії Латвія газ за поданим балансом, ми бачимо:

А) компанія здатна розплачуватися власними коштами з інвесторами чи акціонерами у разі настання відповідних термінів, тобто. зростання фінансової незалежності компанії;

Б) підприємство здатне розплатитися всіма своїми активами за боргами;

В) зростання рентабельності виробництва, що свідчить про збільшення прибутковості та зміцнення фінансового благополуччя компанії.

Все це говорить про те, що компанії Латвія газ можна довіряти, і він може залишатися. потенційним партнеромВАТ "Газпром".

Розміщено на Allbest.ru

Подібні документи

коротка характеристикаПАТ "Газпром", аналіз внутрішньої та зовнішньої корпоративної соціальної відповідальності(КСВ) підприємства. Оцінка ступеня розвитку КСВ ПАТ "Газпром", повнота та реалізація всіх її напрямів, рекомендації щодо вдосконалення.

курсова робота, доданий 20.01.2016

Коротка характеристика організації. Місія та цілі організації. Аналіз факторів внутрішньої та зовнішнього середовища. Структура управління організацією. Позиція основних видів продукції над ринком. Рекомендації щодо вдосконалення системи управління ТОВ "Газпром".

курсова робота , доданий 24.11.2009

Історія створення та напрямки господарської діяльностіТОВ "Газпром" як глобальної енергетичної компанії, що є світовим лідером галузі. PEST-аналіз компанії. Модель п'яти конкурентних сил Майкла Портера, стратегія управлінської діяльності.

презентація , додано 09.12.2014

Характеристика сутності, завдань та форм діяльності служб безпеки підприємства. Особливості побудови організаційної структури служби безпеки. Аналіз напрямів діяльності: юридична, фізична, інформаційно-комерційна безпека.

лекція, доданий 10.06.2010

Питання безпеки прийому персоналу працювати. Принципи організації професійного відборуперсоналу в комерційні підприємства. Основні етапи та процедури профвідбору персоналу. Рекомендації щодо організації перевірки та відбору кандидатів на роботу.

дипломна робота , доданий 05.01.2003

Теоретичні підходи щодо визначення ефективності діяльності підприємств. Показники рентабельності витрат, продажів, власного капіталу. Аналіз ефективності діяльності підприємства ВАТ "Газпром". Чинники, що впливають ефективність діяльності.

реферат, доданий 10.11.2013

Теоретичний аналіз сутності та методів управління у сфері забезпечення безпеки підприємництва. Особливості побудови оптимальної системибезпеки, що найбільше відповідає завданням і стратегії фірми, а також умовам зовнішнього середовища.

реферат, доданий 10.06.2010

курсова робота , доданий 06.06.2016

Організація як об'єкт управління. Концепція управлінської структури. Її взаємозв'язок із організаційною структурою. Місія та основні цілі ТОВ "Газпром". Аналіз факторів внутрішнього та зовнішнього середовища. Рекомендації щодо вдосконалення системи керування.

курсова робота , доданий 28.08.2012

Загальні відомостіпро компанію, історію її розвитку та особливості організаційної структури. Нормативно-правова база, що регулює газовий ринок Росії. Інноваційна діяльністьта маркетинг у компанії "ГАЗПРОМ", оцінка її стратегії та подальших перспектив.

У даному топіку я спробую скласти манул з розробки нормативної документаціїв галузі інформаційної безпеки для комерційної структури, спираючись на особистий досвідта матеріали з мережі.

Тут ви зможете знайти відповіді на запитання:

навіщо потрібна політика інформаційної безпеки;
як її скласти;
як її використати.

Необхідність наявності політики ІБ

У цьому розділі описано необхідність впровадження політики ІБ та супутніх їй документів не гарною мовою підручників і стандартів, а на прикладах з особистого досвіду.

Розуміння цілей та завдань підрозділу інформаційної безпеки

Насамперед політика необхідна для того, щоб донести до бізнесу цілі та завдання інформаційної безпеки компанії. Бізнес повинен розуміти, що безпека це не тільки інструмент для розслідування фактів витоків даних, але й помічник у мінімізації ризиків компанії, а отже - у підвищенні прибутковості компанії.

Вимоги політики - основа для впровадження захисних заходів

Політика ІБ необхідна для обґрунтування запровадження захисних заходів у компанії. Політика має бути затверджена вищим адміністративним органом компанії (генеральний директор, рада директорів тощо)

Будь-який захисний захід є компроміс між зниженням ризиків та зручністю роботи користувача. Коли безпечник каже, що процес не повинен відбуватися якимось чином через появу деяких ризиків, йому завжди ставлять резонне запитання: «А як він має відбуватися?» Безпеку необхідно запропонувати модель процесу, в якій ці ризики знижені певною мірою задовільною для бізнесу.

При цьому будь-яке застосування будь-яких захисних заходів щодо взаємодії користувача з інформаційною системою компанії завжди викликає негативну реакцію користувача. Вони хочуть переучуватися, читати розроблені їм інструкції тощо. Дуже часто користувачі запитують:

чому я повинен працювати за вашою вигаданою схемою, а не тим простим способом, який я використовував завжди
хто це все вигадав

Практика показала, що користувачеві начхати на ризики, ви можете довго і нудно йому пояснювати про хакерів, кримінальний кодекс та інше, з цього не вийде нічого, крім розтрати нервових клітин.
За наявності в компанії політики ІБ ви можете дати коротку та ємну відповідь:

цей захід введено для виконання вимог політики інформаційної безпеки компанії, яка затверджена вищим адміністративним органом компанії

Як правило, після енергія більшості користувачів сходить нанівець. А тим, хто залишився, можна запропонувати написати службову записку в цей найвищий адміністративний орган компанії. Тут відсіваються решта. Тому що навіть якщо записка туди піде, ми завжди зможемо довести необхідність вжитих заходів перед керівництвом. Адже ми не дарма свій хліб їмо, так? Під час розробки політики слід пам'ятати про два моменти.

Цільова аудиторія політики ІБ – кінцеві користувачі та топ-менеджмент компанії, які не розуміють складних технічних виразів, однак мають бути ознайомлені з положеннями політики.
Не потрібно намагатися впхнути невпинне включити в цей документ все, що можна! Тут мають бути лише цілі ІБ, методи їх досягнення та відповідальність! Жодних технічних подробиць, якщо вони вимагають специфічних знань. Це все – матеріали для інструкцій та регламентів.

Кінцевий документ повинен відповідати таким вимогам:

лаконічність - великий обсяг документа відлякає будь-якого користувача, ваш документ ніхто ніколи не прочитає (а ви не раз вживатимете фразу: «це порушення політики інформаційної безпеки, з якою вас ознайомили»)
доступність простому обивателю - кінцевий користувач повинен розуміти, ЩО написано в політиці (він ніколи не прочитає і не запам'ятає слова та словосполучення «журналювання», «модель порушника», «інцидент інформаційної безпеки», «інформаційна інфраструктура», «техногенний», «антропогенний» », «Ризик-фактор» і т.п.)

Яким чином цього досягти?

Насправді все дуже просто: політика ІБ має бути документом першого рівня, її мають розширювати та доповнювати інші документи (положення та інструкції), які вже описуватимуть щось конкретне.
Можна провести аналогію з державою: документом першого рівня є конституція, а доктрини, концепції, закони та інші нормативні акти, що існують у державі, лише доповнюють і регламентують виконання її положень. Зразкова схемапредставлена малюнку.

Щоб не розмазувати кашу по тарілці, просто подивимося приклади політик ІБ, які можна знайти на просторах інтернету.

	Корисна кількість сторінок*	Завантаженість термінами	Загальна оцінка
ВАТ „Газпромбанк“	11	Дуже висока
АТ „Фонд розвитку підприємництва “Даму”	14	Висока	Складний документ для вдумливого читання обиватель не прочитає, а якщо прочитає, то не зрозуміє і не запам'ятає
АТ НК "КазМунайГаз"	3	Низька	Простий для розуміння документ, не перевантажений технічними термінами
ВАТ «Радіотехнічний інститут імені академіка А. Л. Мінця»	42	Дуже висока	Складний документ для вдумливого читання, обиватель не читатиме - надто багато сторінок

* Корисним я називаю кількість сторінок без змісту, титульного листата інших сторінок, які не несуть конкретної інформації

Резюме

Політика ІБ повинна вміщатися на кілька сторінок, бути легкою розуміння обивателя, описувати в загальному виглядіцілі ІБ, методи їх досягнення та відповідальність співробітників.

Впровадження та використання політики ІБ

Після затвердження політики ІБ необхідно:

ознайомити з політикою всіх працівників, які вже працюють;
ознайомлювати з політикою всіх нових співробітників (як це краще робити – тема окремої розмови, у нас для новачків є вступний курс, на якому я виступаю з роз'ясненнями);
проаналізувати існуючі бізнес-процеси з метою виявлення та мінімізації ризиків;
брати участь у створенні нових бізнес-процесів, щоб згодом не бігти за потягом;
розробити положення, процедури, інструкції та інші документи, що доповнюють політику (інструкція з надання доступу до Інтернету, інструкція з надання доступу до приміщень з обмеженим доступом, інструкції з роботи з інформаційними системами компанії тощо);
не рідше, ніж раз на квартал переглядати політику ІБ та інші документи щодо ІБ з метою їхньої актуалізації.

З питань та пропозицій ласкаво просимо в коментарі та особі.

Запитання %username%

Щодо політики, то начальству не подобається, що я хочу простими словами. Мені кажуть: «У нас тут окрім мене і тебе та ще 10 ІТ-співробітників, які самі всі знають і розуміють, є 2 сотні, що нічого в цьому не розуміють, половина взагалі пенсіонери».
Я пішов шляхом, середньої стислості описів, наприклад, правила антивірусного захисту, а нижче пишу типу є політика антивірусного захисту і т.д. Але не зрозумію, якщо за політику користувач розписується, але знову йому треба читати купу інших документів, начебто скоротив політику, а начебто й ні.

Я б тут пішов шляхом саме аналізу процесів.
Припустимо, антивірусний захист. За логікою має бути так.

Які ризики мають нам віруси? Порушення цілісності (пошкодження) інформації, порушення доступності (простих серверів або ПК) інформації. При правильної організаціїмережі, користувач не повинен мати права локального адміністратора в системі, тобто він не повинен мати права установки ПЗ (а отже, і вірусів) в систему. Таким чином, пенсіонери відвалюються, бо вони тут не роблять.

Хто може зменшити ризики, пов'язані з вірусами? Користувачі з правами адміну домену. Адмін домену - роль педантична, видається співробітникам ІТ-відділів тощо. Відповідно, і встановлювати антивіруси мають вони. Виходить, що за діяльність антивірусної системи несуть відповідальність також вони. Відповідно, і підписувати інструкцію про організацію антивірусного захисту мають вони. Власне, цю відповідальність слід прописати в інструкції. Наприклад, безпечник кермує, адміни виконують.

Запитання %username%

Тоді питання, а що до інструкції Антивірусної ЗІ не має включатися відповідальність за створення та використання вірусів (або є стаття і можна не згадувати)? Або що вони зобов'язані повідомити про вірус чи дивну поведінку ПК у Help Desk чи ІТишникам?

Знову ж таки, я б дивився з боку управління ризиками. Тут пахне, так би мовити, ГОСТом 18044-2007.
У вашому випадку "дивна поведінка" це ще необов'язково вірус. Це може бути гальмо системи чи гпошок тощо. Відповідно, це не інцидент, а подія ІБ. Знову ж таки, згідно з ГОСТом, заявити про подію може будь-яка людина, а ось зрозуміти інцидент це чи ні можна лише після аналізу.

Таким чином, це ваше питання виливається вже не в політику ІБ, а в управління інцидентами. Ось у політиці у вас має бути прописано, що у компанії має бути присутня система обробки інцидентів.

Тобто, як бачите, адміністративне виконання політики покладається здебільшого на адмінів та безпечників. Користувачам залишається користувальницьке.

Отже, вам необхідно скласти якийсь "Порядок використання СВТ у компанії", де ви повинні вказати обов'язки користувачів. Цей документ має корелювати з політикою ІБ і бути її, так би мовити, роз'ясненням користувача.

У цьому документі можна зазначити, що користувач зобов'язаний повідомляти про ненормальну активність комп'ютера відповідну інстанцію. Ну і все інше користувальницьке ви можете додати туди.

Разом, у вас виникає необхідність ознайомити користувача з двома документами:

політикою ІБ (щоб він розумів, що й навіщо робиться, не рипався, не лаявся при впровадженні нових систем контролю тощо)
цим «Порядком використання СВТ у компанії» (щоб він розумів, що робити в конкретних ситуаціях)

Відповідно, при впровадженні нової системи, Ви просто додаєте щось в «Порядок» і повідомляєте співробітників про це за допомогою розсилки порядку по електрошті (або через СЕД, якщо така є).

Теги:

інформаційна безпека
управління ризиками
політика безпеки

Додати теги

Транскрипт

1 (Відкрите акціонерне товариство) ЗАТВЕРДЖЕНО рішенням Правління ДПБ (ВАТ) «24» вересня 2008 р. (протокол 35) Зі змінами, затвердженими рішенням Правління ДПБ (ВАТ) «30» вересня 2009 р. (протокол 41), «10» листопада 2010 р. (протокол 49), «22» березня 2012 р. (протокол 11) Політика інформаційної безпеки «Газпромбанк» (Відкрите акціонерне товариство) МОСКВА 2008

2 2 Зміст 1. загальні положенняСписок термінів та визначень Опис об'єкта захисту Цілі та завдання діяльності щодо забезпечення інформаційної безпеки Загрози інформаційної безпеки Модель порушника інформаційної безпеки Основні положення щодо забезпечення інформаційної безпеки Організаційна основа діяльності щодо забезпечення інформаційної безпеки10 9. Відповідальність за дотримання положень Політики Контроль за дотриманням положень Політи. .. 13

3 3 1. Загальні засади 1.1. Ця Політика розроблена відповідно до законодавства Російської Федераціїі нормами права в частині забезпечення інформаційної безпеки, вимогами нормативних актів Центрального банку Російської Федерації, федерального органу виконавчої влади, уповноваженого в галузі безпеки, федерального органу виконавчої влади, уповноваженого в галузі протидії технічним розвідкам та технічного захисту інформації, та ґрунтується в тому числі на: Доктрині інформаційної безпеки Російської Федерації (від Пр-1895); Стандарт Банку Росії СТО БР ІХБС «Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Загальні положення» Ця Політика є документом, доступним будь-якому співробітнику Банку та користувачу його ресурсів, і є офіційно прийнятою керівництвом «Газпромбанк» (Відкрите акціонерне товариство) (далі Банк) систему поглядів на проблему забезпечення інформаційної безпеки, і встановлює принципи побудови системи управління інформаційною безпекою на основі систематизованого викладу цілей, процесів та процедур інформаційної безпеки Банку Керівництво Банку усвідомлює важливість та необхідність розвитку та вдосконалення заходів та засобів забезпечення інформаційної безпеки у контексті розвитку законодавства та норм регулювання банківської діяльності, а також розвитку реалізованих банківських технологійта очікувань клієнтів Банку та інших зацікавлених сторін. Дотримання вимог інформаційної безпеки дозволить створити конкурентні перевагиБанку, забезпечити його фінансову стабільність, рентабельність, відповідність правовим, регулятивним та договірним вимогам та підвищення іміджу Вимоги інформаційної безпеки, що пред'являються Банком, відповідають інтересам (цілям) діяльності Банку та призначені для зниження ризиків, пов'язаних з інформаційною безпекою, до прийнятного рівня. Фактори ризиків в інформаційній сфері Банку стосуються його корпоративного управління(менеджменту), організації та реалізації бізнес-процесів, взаємовідносин з контрагентами та клієнтами, внутрішньогосподарської діяльності. Фактори ризиків в інформаційній сфері Банку складають значну частину операційних ризиків Банку, а також мають відношення і до інших ризиків основної та управлінської діяльності Банку Стратегія Банку в галузі забезпечення інформаційної безпеки та захисту інформації поряд з іншим включає виконання у практичній діяльності вимог: російського законодавства безпеки, безпеки інформаційних технологійта захисту інформації, безпеки персональних даних, банківської таємниці та інших правових актів; нормативних актів федеральних органів виконавчої влади, уповноважених у сфері забезпечення фізичної безпеки та технічного захисту інформації, протидії технічним розвідкам та забезпечення інформаційної безпеки та приватності; нормативних актів Банку Росії та стандартів Банку Росії щодо забезпечення інформаційної безпеки з комплексу стандартів «СТО БР ІХБС»; нормативних актів Банку Росії та документів Банку Росії в галузі стандартизації «Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації», затверджених розпорядженням Банку Росії від 21 червня 2010 року

4 4 роки Р-705 та прийнятих обов'язковими для виконання у Банку відповідно до наказу від 27 грудня 2010 року Необхідні вимогизабезпечення інформаційної безпеки Банку повинні неухильно дотримуватися персоналом Банку та іншими сторонами як це визначається положеннями внутрішніх нормативних документів Банку, а також вимогами договорів та угод, стороною яких є Банк. а також користувачами його інформаційних ресурсів Положення цієї Політики повинні бути враховані при розробці політик інформаційної безпеки в дочірніх та афілійованих організаціях. Методичні рекомендації щодо документації у сфері забезпечення інформаційної безпеки відповідно до вимог СТО БР ІББС 1.0», прийнятими та введеними в дію розпорядженням Банку Росії від 28 квітня 2007р. Р-348, є корпоративним документом щодо ІБ першого рівня Документами, що деталізують положення корпоративної Політики стосовно однієї або кількох областей ІБ, видів та технологій діяльності Банку, є приватні політики щодо забезпечення ІБ (далі Приватні політики), які є документами щодо ІБ другого рівня , оформлюються як окремі внутрішні нормативні документи Банку, розробляються та погоджуються відповідно до встановленого в Банку порядку, затверджуються Куратором. 2. Список термінів та визначень У цій Політиці використані терміни з відповідними визначеннями згідно з СТО БР ІББС «Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Загальні положення» Бізнес-процес послідовність технологічно пов'язаних операцій з надання банківських продуктів та/або здійснення конкретного видузабезпечення діяльності Банку Інформаційна безпека Банку (ІБ) у цій Політиці стан захищеності технологічних та бізнес-процесів Банку, які об'єднують у своєму складі співробітників Банку, технічні та програмні засоби обробки інформації, інформацію в умовах загроз в інформаційній сфері Інформаційна система Банку сукупність програмно-апаратних комплексів Банку, що застосовуються для забезпечення бізнес-процесів Банку. Банкомати в даній сукупності не розглядаються як пристрої, що сильно відрізняються від інших компонентів інформаційної системиБанку та володіють своїми унікальними властивостями з погляду інформаційної безпеки Інцидент інформаційної безпеки це поява однієї або кількох небажаних ризикових подій інформаційної безпеки, з якими пов'язана значна ймовірність порушення конфіденційності, цілісності або доступності інформаційних активів та інфраструктури та створення загрози інформаційній безпеці ІТ-блоково структурних підрозділів Банку, відповідальних за розвиток, експлуатацію та супровід інформаційних банківських систем.

5 Конфіденційна інформація (далі КІ) інформація, щодо якої Банком встановлено режим конфіденційності Куратор заступник Голови Правління Банку, який займається питаннями безпеки Банку, в тому числі питання інформаційної безпеки Модель загроз описове подання властивостей або характеристик загроз безпеки інформації Модель порушника описове подання досвіду, знань , доступних ресурсів можливих порушників ІБ, необхідних їм для реалізації загрози ІБ, та можливої мотивації дій Відповідальний підрозділ Служба (департамент) безпеки. Основні функції у зазначеній сфері впровадження цієї Політики, розробка, впровадження та підтримка систем забезпечення інформаційної безпеки Користувач інформаційної системи - фізична особа, яка має можливість доступу до інформаційної системи Банку Режим конфіденційності інформації організаційно-технічні заходи щодо захисту інформації, що дозволяють власнику КІ при існуючих обставинах збільшити доходи, уникнути невиправданих витрат, зберегти становище на ринку товарів, робіт, послуг або отримати іншу комерційну вигоду та реалізуючі заходи з охорони КВ, що включають: визначення переліку інформації, що становить КВ відповідно до «Переліку інформації, щодо якої ДПБ (ВАТ) встановлено режим конфіденційності», затвердженим наказом від); обмеження доступу до КВ шляхом встановлення порядку поводження з цією інформацією та контролю за дотриманням такого порядку; облік осіб, які отримали доступ до КІ, та (або) осіб, яким така інформація була надана або передана; регулювання відносин щодо використання КВ працівниками на підставі трудових договорівта контрагентами на підставі цивільно-правових договорів та угод Ризикова подія інформаційної безпеки ця подія, обумовлена операційним ризиком, що спричинила або здатна спричинити втрати Банку і сталася через помилковість або збій банківських процесів, дій людей та систем, а також через зовнішні події Загроза інформаційної безпеки операційний ризик, що впливає порушення одного (чи кількох) властивостей інформації цілісності, конфіденційності, доступності об'єктів захисту. 3. Опис об'єкта захисту Основними об'єктами захисту системи інформаційної безпеки у Банку є: інформаційні ресурси, що містять комерційну таємницю, банківську таємницю, персональні дані фізичних осіб, відомості обмеженого поширення, а також відкрито розповсюджувана інформація, необхідна для роботи Банку, незалежно від форми та виду її подання; інформаційні ресурси, що містять конфіденційну інформацію, включаючи персональні дані фізичних осіб, а також відкрито розповсюджувану інформацію, необхідну для роботи Банку, незалежно від форми та виду її подання;

6 6 співробітники Банку, які є розробниками та користувачами інформаційних систем Банку; інформаційна інфраструктура, що включає системи обробки та аналізу інформації, технічні та програмні засоби її обробки, передачі та відображення, у тому числі канали інформаційного обміну та телекомунікації, системи та засоби захисту інформації, об'єкти та приміщення, в яких розміщені такі системи. 4. Цілі та завдання діяльності щодо забезпечення інформаційної безпеки Метою діяльності щодо забезпечення інформаційної безпеки Банку є зниження загроз інформаційній безпеці до прийнятного для Банку рівня. Основні завдання діяльності щодо забезпечення інформаційної безпеки Банку: виявлення потенційних загроз інформаційній безпеці та вразливості 1 об'єктів захисту; запобігання інцидентам інформаційної безпеки; виняток чи мінімізація виявлених небезпек. 5. Загрози інформаційної безпеки Все безліч потенційних загроз безпеці інформації ділиться на три класи за природою їх виникнення: антропогенні, техногенні та природні Виникнення антропогенних загроз обумовлено діяльністю людини. Серед них можна виділити загрози, що виникають внаслідок як ненавмисних (ненавмисних) дій: загрози, спричинені помилками у проектуванні інформаційної системи та її елементів, помилками у діях персоналу тощо, так і загрози, що виникають унаслідок навмисних дій, пов'язані з корисливими , ідейними чи іншими устремліннями людей До антропогенних загроз належать загрози, пов'язані з нестабільністю та суперечливістю вимог регуляторів діяльності Банку та контрольних органів, з діями в керівництві та управлінні (менеджменті), неадекватними цілям та умовам, що склалися, з споживаними послугами, з людським фактором. об'єктивних фізичних процесів техногенного характеру, технічного стану оточення об'єкта загрози чи його самого, не обумовлених безпосередньо діяльністю людини. До техногенних загроз можуть бути віднесені збої, в тому числі в роботі, або руйнування систем, створених людиною. фізичного середовища, не обумовлених безпосередньо діяльністю людини 1 У цьому документі під уразливістю розуміється слабкість одного або кількох активів, яка може бути використана однією або декількома загрозами (ГОСТ Р ИСО/МЭК, стаття 2.26). 2 Ця класифікація здійснюється незалежно від класифікації операційних ризиків по ризикфакторам, передбаченої «Політикою з управління операційним ризиком в АБ «Газпромбанк» (ЗАТ)» 25-П від р.

7 7 До природних (природних) загроз належать загрози метеорологічні, атмосферні, геофізичні, геомагнітні та ін., включаючи екстремальні кліматичні умови, метеорологічні явища, стихійні лиха. Джерела загроз щодо інфраструктури Банку можуть бути як зовнішніми, так і внутрішніми. 6. Модель порушника інформаційної безпеки По відношенню до Банку порушники можуть бути поділені на зовнішніх та внутрішніх порушників Внутрішні порушники. Як потенційні внутрішні порушники Банком розглядаються: зареєстровані користувачі інформаційних систем Банку; співробітники Банку, які не є зареєстрованими користувачами та не допущені до ресурсів інформаційних систем Банку, але мають доступ до будівель та приміщень; персонал, який обслуговує технічні засоби корпоративної інформаційної системи Банку; співробітники самостійних структурних підрозділів Банку, задіяні у розробці та супроводі програмного забезпечення; співробітники самостійних структурних підрозділів, які забезпечують безпеку Банку; Керівники різних рівнів Зовнішні порушники. Як потенційні зовнішні порушники Банком розглядаються: колишні співробітники Банку; представники організацій, що взаємодіють з питань технічного забезпеченняБанку; клієнти Банку; відвідувачі будівель та приміщень Банку; конкуруючі з Банком кредитні організації; члени злочинних організацій, співробітники спецслужб або особи, які діють за їх завданням; особи, які випадково або навмисне проникли в корпоративну інформаційну систему Банку із зовнішніх телекомунікаційних мереж (хакери) Щодо внутрішніх та зовнішніх порушників приймаються такі обмеження та припущення про характер їх можливих дій: порушник приховує свої несанкціоновані дії від інших співробітників Банку; несанкціоновані дії порушника можуть бути наслідком помилок користувачів, що експлуатує та обслуговуючого персоналу, а також недоліків прийнятої технології обробки, зберігання та передачі інформації; у своїй діяльності ймовірний порушник може використовувати будь-який засіб перехоплення інформації, впливу на інформацію та інформаційні

8 8 системи, адекватні фінансові засоби для підкупу персоналу, шантаж, методи соціальної інженерії та інші засоби та методи для досягнення мети, що стоять перед ним; зовнішній порушник може діяти у змові з внутрішнім порушником. 7. Основні положення щодо забезпечення інформаційної безпеки 7.1. Вимоги щодо забезпечення інформаційної безпеки Банку обов'язкові до дотримання всіма працівниками Банку та користувачами інформаційних систем Керівництво Банку вітає та заохочує до установленому порядкудіяльність працівників Банку та користувачів інформаційних систем щодо забезпечення інформаційної безпеки Невиконання або неякісне виконання співробітниками Банку та користувачів інформаційних систем обов'язків щодо забезпечення інформаційної безпеки може спричинити позбавлення доступу до інформаційних систем, а також застосування до винних адміністративних заходів впливу, ступінь яких визначається встановленим у Банку порядком. або вимогами чинного законодавства Стратегія Банку щодо протидії загрозам інформаційної безпеки полягає у збалансованій реалізації взаємодоповнюючих заходів щодо забезпечення безпеки: від організаційних заходів на рівні керівництва Банку до спеціалізованих заходів інформаційної безпеки по кожному виявленому в Банку ризику, заснованих на оцінці ризиків інформаційної безпеки. Підтримка заданого рівня захищеності Банк дотримується процесного підходу у побудові системи менеджменту інформаційної безпеки. Система менеджменту інформаційної безпеки Банку ґрунтується на здійсненні наступних основних процесів (планування, реалізація та експлуатація захисних заходів, перевірка (моніторинг та аналіз), удосконалення) відповідних вимог стандарту Банку Росії СТО БР ІХБС 1.0 та положенням міжнародних стандартівіз забезпечення інформаційної безпеки. Реалізація цих процесів здійснюється у вигляді безперервного циклу «планування та перевірка вдосконалення планування», спрямованого на постійне вдосконалення діяльності щодо забезпечення інформаційної безпеки Банку та підвищення її ефективності. На всіх етапах життєвого циклууправління інформаційною безпекою Банку здійснюється з дотриманням нормативних документів, що визначають процеси управління операційними ризиками Банку При плануванні заходів щодо забезпечення інформаційної безпеки в Банку здійснюються: Визначення та розподіл ролей персоналу Банку, пов'язаного із забезпеченням інформаційної безпеки (ролей інформаційної безпеки) потреби в забезпеченні їх властивостей з погляду інформаційної безпеки Менеджмент ризиків інформаційної безпеки, що включає: аналіз впливу на інформаційну безпеку Банку технологій, що застосовуються в діяльності Банку, а також зовнішніх стосовно Банку подій; виявлення проблем забезпечення інформаційної безпеки, аналіз причин їх виникнення та прогнозування їх розвитку; визначення моделей загроз інформаційній безпеці; виявлення, аналіз та оцінка значимих для Банку загроз інформаційній безпеці;

9 9 виявлення можливих негативних наслідків для Банку, що настають внаслідок прояву факторів ризику інформаційної безпеки, у тому числі пов'язаних із порушенням властивостей безпеки інформаційних активів Банку; ідентифікацію та аналіз ризикових подій інформаційної безпеки; оцінку величини ризиків інформаційної безпеки та визначення серед них ризиків, неприйнятних для Банку; обробку результатів оцінки ризиків інформаційної безпеки, що базується на методах управління операційними ризиками, визначеними у Банку; оптимізацію ризиків інформаційної безпеки за рахунок вибору та застосування захисних заходів, що протидіють проявам факторів ризику та мінімізують можливі негативні наслідки для Банку у разі настання ризикових подій; оцінку впливу захисних заходів на цілі основної діяльності Банку; оцінку витрат за захисних заходів; розгляд та оцінку різних варіантів вирішення завдань щодо забезпечення інформаційної безпеки; розробку планів управління ризиками, що передбачають різні захисні заходи та варіанти їх застосування, та вибір з них такого, реалізація якого максимально позитивно позначиться з метою основної діяльності Банку та буде оптимальною з точки зору вироблених витрат та очікуваного ефекту; документальне оформленняцілей та завдань забезпечення інформаційної безпеки Банку, підтримка в актуальному стані нормативно методичного забезпеченнядіяльності у сфері інформаційної безпеки У рамках реалізації діяльності щодо забезпечення інформаційної безпеки у Банку здійснюються: Менеджмент інцидентів інформаційної безпеки, що включає: збір інформації про події інформаційної безпеки; виявлення та аналіз інцидентів інформаційної безпеки; розслідування інцидентів інформаційної безпеки; оперативне реагуванняна інцидент інформаційної безпеки; мінімізація негативних наслідків інцидентів інформаційної безпеки; оперативне доведення до керівництва Банку інформації щодо найбільш значущих інцидентів інформаційної безпеки та оперативне прийняття рішень щодо них, включаючи регламентування порядку реагування на інциденти інформаційної безпеки; виконання прийнятих рішень щодо всіх інцидентів інформаційної безпеки у встановлені терміни; перегляд застосовуваних вимог, заходів та механізмів щодо забезпечення інформаційної безпеки за результатами розгляду інцидентів інформаційної безпеки; підвищення рівня знань персоналу Банку щодо забезпечення інформаційної безпеки; забезпечення регламентації та управління доступом до програмних та програмно-технічних засобів та сервісів автоматизованих системБанку та інформації, що обробляється в них;

10 10 застосування засобів криптографічного захисту інформації; забезпечення безперебійної роботи автоматизованих систем та мереж зв'язку; забезпечення відновлення роботи автоматизованих систем та мереж зв'язку після переривань та позаштатних ситуацій; застосування засобів захисту від шкідливих програм; забезпечення інформаційної безпеки на стадіях життєвого циклу автоматизованих систем Банку, пов'язаних із проектуванням, розробкою, придбанням, постачанням, введенням у дію, супроводом ( сервісним обслуговуванням); забезпечення інформаційної безпеки під час використання доступу до мережі Інтернет та послуг електронної пошти; контроль доступу до будинків та приміщень Банку Забезпечення захисту інформації від витоку технічних каналів, що включає: застосування заходів та технічних засобів, що знижують ймовірність несанкціонованого отримання інформації в усній формі - пасивний захист; застосування заходів та технічних засобів, що створюють перешкоди при несанкціонованому отриманні інформації – активний захист; застосування заходів та технічних засобів, що дозволяють виявляти канали несанкціонованого отримання інформації - пошук З метою перевірки діяльності щодо забезпечення інформаційної безпеки у Банку здійснюються: контроль правильності реалізації та експлуатації захисних заходів; контроль змін конфігурації систем та підсистем Банку; моніторинг факторів ризиків 3 та відповідний їх перегляд; контроль реалізації та виконання вимог співробітниками Банку чинних внутрішніх нормативних документів щодо забезпечення інформаційної безпеки Банку; контроль діяльності співробітників та інших користувачів інформаційних систем Банку, спрямований на виявлення та запобігання конфліктам інтересів З метою вдосконалення діяльності щодо забезпечення інформаційної безпеки в Банку здійснюється періодичне, а при необхідності оперативне, уточнення/перегляд цілей та завдань забезпечення інформаційної безпеки (при змінах цілей та завдань основної діяльності Банку). 8. Організаційна основа діяльності щодо забезпечення інформаційної безпеки 8.1. З метою виконання завдань щодо забезпечення інформаційної безпеки Банку, відповідно до рекомендацій міжнародних та російських стандартівз безпеки у Банку мають бути визначені такі ролі: Куратор; Відповідальний підрозділ; 3 Термін «фактор ризику» визначено у «Політиці з управління операційним ризиком в АБ «Газпромбанк» (ЗАТ)» від ПР.

11 11 Співробітник банку. За потреби можуть бути визначені й інші ролі з інформаційної безпеки Оперативна діяльність та планування діяльності щодо забезпечення інформаційної безпеки Банку здійснюються та координуються відповідальним підрозділом. Завданнями Відповідального підрозділу є: встановлення потреб Банку щодо застосування заходів забезпечення інформаційної безпеки, що визначаються як внутрішніми корпоративними вимогами, так і вимогами нормативних актів; дотримання чинного федерального законодавства, нормативних актів федеральних органів виконавчої влади, уповноважених у сфері забезпечення безпеки та протидії технічним розвідкам та технічного захисту інформації, нормативних актів Банку Росії та стандартів Банку Росії щодо забезпечення інформаційної безпеки, нормативних актів щодо забезпечення інформаційної безпеки, приватності та нерозголошення, прийнятих регуляторами ринків, на яких представлені інтереси та бізнес Банку; розробка та перегляд внутрішніх нормативних документів щодо забезпечення інформаційної безпеки Банку, включаючи плани, політики, положення, регламенти, інструкції, методики, переліки відомостей та інші види внутрішніх нормативних документів; здійснення контролю актуальності та несуперечності внутрішніх нормативних документів (політик, планів, методик тощо), що торкаються питань інформаційної безпеки Банку; навчання, контроль та безпосередня робота з персоналом Банку в галузі забезпечення інформаційної безпеки; планування застосування, участь у постачанні та експлуатації засобів забезпечення інформаційної безпеки на об'єкти та системи в Банку; виявлення та запобігання реалізації загроз інформаційній безпеці; виявлення та реагування на інциденти інформаційної безпеки; інформування у встановленому порядку відповідальних осіб(Департамент аналізу та контролю банківських ризиків) про загрози та ризикові події інформаційної безпеки; прогнозування та попередження інцидентів інформаційної безпеки; припинення несанкціонованих дій порушників інформаційної безпеки; підтримка бази інцидентів інформаційної безпеки, аналіз, розробка оптимальних процедур реагування на інциденти та навчання персоналу; типізація рішень щодо застосування заходів та засобів забезпечення інформаційної безпеки та поширення типових рішеньна філії та представництва Банку; забезпечення експлуатації засобів та механізмів забезпечення інформаційної безпеки; моніторинг та оцінка інформаційної безпеки, включаючи оцінку повноти та достатності захисних заходів та видів діяльності щодо забезпечення інформаційної безпеки Банку;

12 12 контроль забезпечення інформаційної безпеки Банку, в тому числі, і на основі інформації про інциденти інформаційної безпеки, результати моніторингу, оцінки та аудиту інформаційної безпеки; інформування керівництва Банку та керівників його самостійних структурних підрозділів Банку про загрози інформаційній безпеці, що впливають на діяльність Банку Відповідальний підрозділ може створювати оперативні групи для проведення розслідувань інцидентів інформаційної безпеки, очолювані співробітником Відповідального підрозділу, та може, за наявності обґрунтованої необхідності за погодженням з керівниками відповідності , залучати до роботи на них співробітників інших самостійних структурних підрозділів Банку на основі поєднання роботи у групі зі своїми основними посадовими обов'язкамиФінансування робіт з реалізації положень цієї Політики здійснюється як у рамках цільового бюджету Відповідального підрозділу Банку, так і в рамках бюджетів бізнес-підрозділів та підрозділів ІТ-блоку Основними функціями Куратора у питаннях інформаційної безпеки є: призначення відповідальних осіб у галузі ІБ, координація та впровадження інформаційної безпеки в Банку Основними завданнями працівників Банку при виконанні покладених на них обов'язків та в рамках їхньої участі у оперативної діяльностіщодо забезпечення інформаційної безпеки Банку є: дотримання вимог інформаційної безпеки, які встановлюються нормативними документами Банку; виявлення та запобігання реалізації загроз інформаційній безпеці в межах своєї компетенції; виявлення та реагування на інциденти інформаційної безпеки; інформування в установленому порядку відповідальних осіб (Департамент аналізу та контролю банківських ризиків) про виявлені загрози та ризикові події інформаційної безпеки; прогнозування та попередження інцидентів інформаційної безпеки в межах своєї компетенції; моніторинг та оцінка інформаційної безпеки в рамках своєї ділянки роботи (робочого місця, структурного підрозділу) та в межах своєї компетенції; інформування свого керівництва та Відповідального підрозділу про виявлену загрозу в інформаційному середовищі Банку. 9. Відповідальність за дотримання положень Політики Загальне керівництво забезпеченням інформаційної безпеки Банку здійснює Куратор. Відповідальність за підтримання положень цієї Політики в актуальному стані, створення, впровадження, координацію та внесення змін до процесів системи управління інформаційною безпекою Банку лежить на керівництві Відповідального підрозділу.

13 13 Відповідальність працівників Банку за невиконання цієї Політики визначається відповідними положеннями, що включаються до договорів із працівниками Банку, а також положеннями внутрішніх нормативних документів Банку. 10. Контроль за дотриманням положень Політики Загальний контрольстану інформаційної безпеки Банку здійснюється Куратором. Поточний контроль за дотриманням цієї Політики здійснює Відповідальний підрозділ. Контроль здійснюється шляхом проведення моніторингу та менеджменту інцидентів інформаційної безпеки Банку за результатами оцінки інформаційної безпеки, а також у рамках інших контрольних заходів. Департамент внутрішнього контролюздійснює контроль за дотриманням цієї Політики на основі проведення внутрішнього аудиту інформаційної безпеки. 11. Прикінцеві положення Вимоги цієї Політики можуть розвиватися іншими внутрішніми нормативними документами Банку, які доповнюють та уточнюють її. іншим нормативним актам, а також Статуту Банку. У цьому випадку Відповідальний підрозділ зобов'язаний негайно ініціювати внесення відповідних змін Внесення змін до цієї Політики здійснюється на періодичній та позаплановій основі: періодичне внесення змін до цієї Політики має здійснюватися не рідше ніж один раз на 24 місяці; позапланове внесення змін до цієї Політики може здійснюватися за результатами аналізу інцидентів інформаційної безпеки, актуальності, достатності та ефективності заходів забезпечення інформаційної безпеки, що використовуються, результатам проведення внутрішніх аудитів інформаційної безпеки та інших контрольних заходів Відповідальним за внесення змін до цієї Політики є керівник Відповідального підрозділу.

14 14 Відповідальний виконавець Начальник Відділу захисту інформаційних технологій Управління захисту інформації Служби безпеки (департаменту) О.К. Плєшков

1 Список тестів з описом Папка: Загальні тести => Тести з банківської справи => ІНФОРМАЦІЙНА БЕЗПЕКА Загальні тести Тести з банківської справи Папка ІНФОРМАЦІЙНА БЕЗПЕКА Кількість тестів Демонстраційні

ЗАТВЕРДЖЕНО Радою Директорів «ІНГ БАНК (ЄВРАЗІЯ) ЗАТ» Протокол 10-2011 від 16 грудня 2011 року

ПРИВАТНА ПОЛІТИКА ЩОДО ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ Банк «Таатта» АТ Якутськ 2016 Зміст 1. Загальні положення... 3 2. Поняття та склад персональних даних... 3 4. Терміни обробки персональних даних

ЗАТВЕРДЖЕНО Радою Директорів «ІНГ БАНК (ЄВРАЗІЯ) ЗАТ» Протокол 10-2011 від 16 грудня 2011 року

Затверджено: Рішенням Правління Протокол 499 від "18"07. 2005р. Політика інформаційної безпеки V.23 р. Іркутськ 2005 Зміст: 1. Вступ..3 2. Область застосування.. 3 3. нормативні посилання. 3

ФЕДЕРАЛЬНА СЛУЖБА З ТЕХНІЧНОГО ТА ЕКСПОРТНОГО КОНТРОЛЮ (ФСТЕК Росії) П Р І К А З 11 лютого 2013 р. Москва 17 Про затвердження Вимог про захист інформації, що не становить державної таємниці, що міститься

ЗАТВЕРДЖЕНО Наказом 06-12ОД від «25» січня 2012 року Політика обробки персональних даних у ТОВ «Голдман Сакс Банк» Москва 2012 1 ВСТУП Дана Політика обробки персональних даних у ТОВ «Голдман

ФЕДЕРАЛЬНЕ АГЕНТСТВО ЗАЛІЗНИЧНОГО ТРАНСПОРТУ Ухтинський технікум залізничного транспорту- філія федеральної державної бюджетної освітньої установи вищої професійної

Національний стандарт Російської Федерації ГОСТ Р 50922-2006 "Захист інформації. Основні терміни та визначення" (утв. наказом Федерального агентства з технічного регулювання та метрології від 27 грудня

ФЕДЕРАЛЬНА СЛУЖБА З ТЕХНІЧНОГО ТА ЕКСПОРТНОГО КОНТРОЛЮ (ФСТЕК РОСІЇ) Затверджено ФСТЕК Росії 2015 р. Х СИСТЕМАХ

ЗАТВЕРДЖЕНО наказом від «,?//» У / 20 / т. директор М А У Д Ж Ц / IГ «Гармонія» Ярмолюк J1.B. про порядок організації та проведення робіт пош ^р^^ш ^ещ альних даних у МАУДОД ЦДТ «Гармонія» г а 1. Загальні положення

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ ПИСЬМО от 31 марта 2008 г. N 36-Т О РЕКОМЕНДАЦИЯХ ПО ОРГАНИЗАЦИИ УПРАВЛЕНИЯ РИСКАМИ, ВОЗНИКАЮЩИМИ ПРИ ОСУЩЕСТВЛЕНИИ КРЕДИТНЫМИ ОРГАНИЗАЦИЯМИ ОПЕРАЦИЙ С ПРИМЕНЕНИЕМ

КОДЕКС ПРОФЕСІЙНОЇ ЕТИКИ ЗОВНІШЕКОНОМБАНКУ, ЩО ЗДІЙСНЮЄ ДІЯЛЬНІСТЬ, ПОВ'ЯЗАНУ З ФОРМУВАННЯМ І ІНВЕСТУВАННЯМ ЗАСОБІВ ПЕНСІЙНИХ НАКОПЛЕНЬ 2 ОГ. ПРИНЦИПИ ПРОФЕСІЙНОЇ

Відкрите акціонерне товариство «Промзв'язокбанк» У Т В Є Р Ж Д Е Н Наказом Президента ВАТ «Промзв'язокбанк» від 24 грудня 2012 р. 245/6 12-67-01 ПОЛІТИКА щодо обробки персональних даних (редакція

2 УДК 347.775(075.8) А19 Рецензенти: кафедра програмного забезпечення обчислювальної технікита систем інформаційної безпеки Курганського державного університету; доктор технічних

(У редакції наказу АТ «Россільгоспбанк» від 17.08.2015 708-ОД) АКЦІОНЕРНЕ ТОВАРИСТВО «РОСІЙСЬКИЙ СІЛЬСЬКОГОСПОДАРСЬКИЙ БАНК» (АТ «РОСІЛЬГОСПБАНК») ЗАТВЕРДЖЕНО рішенням Правління

ПОЛОЖЕННЯ ПРО ІНФОРМАЦІЙНУ ПОЛІТИКУ ВАТ «ГМК «НОРИЛЬСЬКИЙ НІКЕЛЬ» ЗАТВЕРДЖЕНО рішенням Ради директорів ВАТ «ГМК «Норильський нікель» Протокол від травня 2009 р. Справжнє положення про інформаційну політику

VII Наукова конференція«Страхування перед викликами ХХI століття», Рідзіна, Польща, 20-22 травня 2013 р. РИЗИК-МЕНЕДЖМЕНТ ПЕРЕСТРАХУВАЛЬНИКА (НА ПРИКЛАДІ ВАТ «ТРАНСИБІРСЬКА ПЕРЕСТРАХУВАЛЬНА КОРПОРАЦІЯ», РОСІЯ).

Лист 2 Передмова Цілі та принципи стандартизації в Російській Федерації встановлені Федеральним законом від 27 грудня 2002 р. 184-ФЗ «Про технічне регулювання» Відомості про документовану процедуру 1

СТАНДАРТ ПІДПРИЄМСТВА Система екологічного менеджменту. Екологічна політика ВАТ «Іркутськенерго» Введено натомість СТП 001.114.112-2007 ЗАТВЕРДЖУЮ Генеральний директор ВАТ «Іркутськенерго» О. М. Прічко (дата)

ВІДКРИТО АКЦІОНЕРНЕ ТОВАРИСТВО «СБЕРБАНК РОСІЇ» ЗАТВЕРДЖЕНО річним Загальними зборамиакціонерів ВАТ «Сбербанк Росії» (Протокол від 10.06.2014 р. 27) ПОЛОЖЕННЯ про Правління Відкритого акціонерного товариства

«ЗАТВЕРДЖУЮ» Генеральний директор В.І. Штефан ПОЛОЖЕННЯ ПРО АНТИКОРРУПЦІЙНУ ПОЛІТИКУ ВІДКРИТОГО АКЦІОНЕРНОГО СУСПІЛЬСТВА «Воронізький науково-досліднийінститут «Вега» м. Воронеж 1 Зміст 1 Вступ...2

ÑÒÀÍÄÀÐ ÁÀÍÊÀ ÐÎÑÑÈ ÑÒÎ ÁÐ ÈÁÁÑ-1.0-2010 ÎÉ ÔÅÄÅÐÀÖÈÈ ÎÁÙÈÅ ÏÎËÎÆÅÍÈß Дата запровадження: 2010-06-21 Видання офіційне Ìîñêâà

М І НІСТЕРСТВО ПРО БРАЗ ВАНІ Я І НАУКИ РОСІЙСЬКОЇ ФЕДЕРАЦІЇ Федеральне державне бюджетне освітня установавищого професійної освіти«Тихоокеанський i державний університет»

ЗАТВЕРДЖЕНО Рішенням Ради директорів АТ «АРЕК» від 29 грудня 2014р. протокол 15 ПОЛОЖЕННЯ про Генеральному директоруАкціонерного товариства «Акмолінська розподільча електромережна компанія» Введено

ÐÅÊÎÌÅÍÄÀÖÈÈ Â ÎÁËÀÑÒÈ ÑÒÀÍÄÀÐÒÈÇÀÖÈÈ ÁÀÍÊÀ ÐÎÑÑÈÈ ÐÐ ÁÁ ÃÁÁÑ-3-200 ÎÁÅÑÏÅ ÅÍÈÅ ÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛ ÐÎÑÑÈÉÑÊÎÉ ÔÅÄÅÐÀÖÈÈ ÒÐÅÁÎÂÀÍÈß ÏÎ ÎÁÅÑÏÅ ÅÍÈÞ ÁÅÇÎÏÀÑÍÎÑÒÈ ÏÅÐÑÎÍÀËÜÍÛÕ

Доповідь: Нормативне регулювання ДБО в Росії Царьов Євген http://www.ruscrypto.ru/conference/ Загальна структура нормативних документів 161 ФЗ Про національну платіжну систему 115-ФЗ Про протидію

АДМІНІСТРАЦІЯ МІСТА СМОЛЕНСЬКА ПОСТАНОВА (зі змінами, внесеними постановами Адміністрації міста Смоленська від 02.12.2014 2094, від 23.12.2015 284-адм, від 29.12.2011 294-адм 2)

Додаток до Рішення 16/4 Проект Концептуальне положення про Єдиний центр забезпечення безпеки в кіберпросторі держав-учасниць СНД. Інформаційна сфера, будучи системоутворюючим фактором

Вимоги ГОСТ Р ИСО 9001-2008, 8.5.2 Коригувальні дії Організація повинна робити коригувальні дії з метою усунення причин невідповідностей для запобігання повторному їх виникненню.

ЗАТВЕРДЖЕНО: Голова Правління ЗАТ «ПЕРВОУРАЛЬСЬКБАНК» Романов М.С. 2012р. ПОЛІТИКА щодо обробки Персональних Даних у ЗАТ «ПЕРВОУРАСЬКБАНК» м.первоуральськ 1. ВСТУП 1.1 Найважливішою умовою

Затверджено рішенням Ради директорів ВАТ «НОВАТЕК» Протокол 60 від 15.12.05. КОДЕКС КОРПОРАТИВНОГО ПОВЕДІНКИ ВІДКРИТОГО АКЦІОНЕРНОГО СУСПІЛЬСТВА «НОВАТЕК» м. Москва 2005 1. ВСТУП Під корпоративною поведінкою

ПОЛІТИКА ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ У КОМПАНІЇ «IDPERSONNEL» Казань 2014 www.idpersonnel.ru 1. ЗАГАЛЬНІ ПОЛОЖЕННЯ 1.1. Ця Політика визначає умови та порядок дій у Компанії «IDPersonnel»

ЗАТВЕРДЖЕНО Рішенням Ради директорів ПАТ БАНК «ЮГРА» Протокол від 18.08.2015 18.08.15/1 Голова Ради директорів ПАТ БАНК «ЮГРА» А.В.Фомін ПОЛОЖЕННЯ ПРО СИСТЕМУ ВНУТРІШНЬОГО КОНТРОЛЮ

ЦЕНТРАЛЬНИЙ БАНК РОСІЙСЬКОЇ ФЕДЕРАЦІЇ ЛИСТ від 24 березня 2014 року

ЗАТВЕРДЖЕНО Рішенням Ради директорів ВАТ «ЗСД» Протокол 9/2011 від «27» червня 2011 року Голова Ради директорів / Ю. В. Молчанов Положення про інсайдерську інформацію Відкритого акціонерного товариства

Розробка, функціонування та сертифікація систем менеджменту інформаційної безпеки стандарт МС ІСО/МЕК 27001-2005 Лівшиць Ілля Йосипович, старший експерт Подання доповідача Саньков Олександр

Стандарти менеджменту та результативності в галузі охорони навколишнього середовища, здоров'я та промислової безпеки Стандарти менеджменту Стандарт менеджменту 1: Лідерство та відповідальність. У нашій компанії

ФЕДЕРАЛЬНЕ АГЕНТСТВО З ТЕХНІЧНОГО РЕГУЛЮВАННЯ ТА МЕТРОЛОГІЇ НАЦІОНАЛЬНИЙ СТАНДАРТ РОСІЙСЬКОЇ ФЕДЕРАЦІЇ ГОСТ Р 50922 2006 Захист інформації ОСНОВНІ ТЕРМІНИ0

РОЗРОБКА І ВПРОВАДЖЕННЯ СИСТЕМИ МЕНЕДЖМЕНТУ ЯКОСТІ СИСТЕМА МЕНЕДЖМЕНТУ Будь-яка організація має систему менеджменту, що є сукупністю організаційної структури, бізнес-процесів, методик

ЗАТВЕРДЖЕНО Рішенням єдиного акціонера ВАТ «ЕМЗ ім. В. М. Мясищева» «27» червня 2011р. ПОЛОЖЕННЯ ПРО ОДНООСИБНИЙ ВИКОНАВЧИЙ ОРГАН (ГЕНЕРАЛЬНИЙ ДИРЕКТОР) відкритого акціонерного товариства «Експериментальний

ЗАТВЕРДЖЕНО рішенням Ради директорів КБ «МІА» (АТ) від 01.03.2016 р. Протокол 2 ІНФОРМАЦІЙНА ПОЛІТИКА Комерційного Банку «Московське іпотечне агентство» (Акціонерне товариство) (РЕДАКЦІЯ 1) Москва,

Правила Єдиної платіжно-сервісної системи «Універсальна електронна картка» Ред.2.2.01 Правила Платіжної системи «Універсальна електронна карта» Додаток ПС-13 Редакція 2.2.01 1 ЗМІСТ Вступ...

ПУБЛІЧНЕ АКЦІОНЕРНЕ ТОВАРИСТВО «СБЕРБАНК РОСІЇ» ПОГОДЖЕНО Комітет Профспілки працівників Публічного акціонерного товариства «Сбербанк Росії» Постанова від 23.10.2015 11 ЗАТВЕРДЖЕНО Наглядовою радою

Додаток Концепція створення Інтегрованої інформаційної системи зовнішньої та взаємної торгівлі Митного союзу 2 1. ВСТУП... 3 1.1. Призначення та структура документа... 3 1.2. Загальний зміст документа...

ФЕДЕРАЛЬНЕ АГЕНТСТВО З ТЕХНІЧНОГО РЕГУЛЮВАННЯ ТА МЕТРОЛОГІЇ НАЦІОНАЛЬНИЙ СТАНДАРТ РОСІЙСЬКОЇ ФЕДЕРАЦІЇ ГОСТ Р Безпека інформаційних геологічних ресурсів надр Основні положення Москва Стандартінформ

Д Л Я У ЧЕ Б Н Ы Х Ц ЕЛ Й ВІДКРИТО АКЦІОНЕРНЕ ТОВАРИСТВО «ГАЗПРОМ» СТАНДАРТ ОРГАНІЗАЦІЇ Системи менеджменту СИСТЕМИ МЕНЕДЖМЕНТУ ЯКОСТІ Вимоги СТО Газпром 9001-2

Затверджено Радою директорів ВАТ "Далекосхідна енергетична компанія" "17"_вересня 2007 р. Протокол 23 ПОЛОЖЕННЯ про Службу Внутрішнього аудитуСтаття 1. Загальні засади 1.1. Це Положення про

1. ЗАГАЛЬНІ ПОЛОЖЕННЯ 1.1. Це Положення розроблено на підставі вимог: Федерального законуРосійської Федерації від 27.07.2006 152 «Про персональні дані»; Федерального закону Російської Федерації

Політика обробки персональних даних сайту rosvakant.ru (для необмеженого доступу, опубліковано відповідно до ч.2 ст.18.1 Федерального закону від 27 липня 2006 р. N 152-ФЗ "Про персональні дані")

ЗАТВЕРДЖЕНО Протоколом Ради Директорів ПАТ «Група Компаній ПІК» 3 від «30» Липня 2015 р. ПОЛІТИКА В ОБЛАСТІ ВНУТРІШНЬОГО КОНТРОЛЮ ТА УПРАВЛІННЯ РИЗИКАМИ ПАТ «ГРУПА КОМПАНІЙ ПІК000 Політика0.

УРЯД РОСІЙСЬКОЇ ФЕДЕРАЦІЇ ПОСТАНОВЛЕННЯ від 17 листопада 2007 р. N 781 ПРО ЗАТВЕРДЖЕННЯ ПОЛОЖЕННЯ ПРО ЗАБЕЗПЕЧЕННЯ ПЕРСОНАЛЬНИХ ДАНИХ ПРИХОДІВ НИХ

СТО 003-2016 Міністерство освіти і науки Російської Федерації Федеральна державна бюджетна освітня установа вищої освітиІРКУТСЬКИЙ НАЦІОНАЛЬНИЙ ДОСЛІДНИЙ ТЕХНІЧНИЙ

ЗАТВЕРДЖЕНИЙ рішенням Правління ВАТ «БайкалІнвестБанк» Протокол 4394 від 31.12.2015 КОДЕКС КОРПОРАТИВНОЇ ЕТИКИ ВАТ БайкалІнвестБанк м. Іркутськ 2015 р. ЗМІСТ 1. ЗАГАЛЬНІ ПОЛОЖЕННЯ...

Додаток 1 до рішення Наглядової ради 01/16з від 12.01.2016 ПАТ «Літо Банк» ПОР Я Д ОК запобігання конфліктам інтересів у ПАТ «Літо Банк» Москва 2016 Зміст Стор. I. Цілі та задачі.3 II. Терміни

ВІДКРИТО АКЦІОНЕРНЕ ТОВАРИСТВО «КРАСНОДАРСЬКИЙ КРАЄВИЙ ІНВЕСТИЦІЙНИЙ БАНК» (ВАТ «КРАЙІНВЕСТБАНК») ЗАТВЕРДЖЕНО РІШЕННЯМ РАДИ ДИРЕКТОРІВ ВАТ «КРАЙІНВЕСТ00. КОРУПЦІЙНА ПОЛІТИКА

УРЯД КУРГАНСЬКОЇ ОБЛАСТІ ДЕПАРТАМЕНТ ОСВІТИ І НАУКИ КУРГАНСЬКОЇ ОБЛАСТІ НАЗАК від ///. 03- Мм6 36 у м. Курган Про затвердження Політики обробки та захисту персональних даних у Департаменті освіти

ВІДКРИТО АКЦІОНЕРНЕ ТОВАРИСТВО «ГАЗПРОМ» Системи менеджменту Cтандарт організації СИСТЕМИ МЕНЕДЖМЕНТУ ЯКОСТІ. ВИМОГИ CТО Газпром 9001-2012 ВИДАННЯ ОФІЦІЙНЕ МОСКВА 2014.indd 2-3 03.07.2014 12:34:32

ЗАТВЕРДЖЕНА Рішенням Ради директорів ВАТ «НК «Роснефть» «30» січня 2015 р. Протокол від «02» лютого 2015 р. 20 Введено в дію «18» лютого 2015 р. Наказом від «18» лютого 2015 р.

ÐÅÊÎÌÅÍÄÀÖÈÈ Â ÎÁËÀÑÒÈ ÑÒÀÍÄÀÐÒÈÇÀÖÈÈ ÁÀÍÊÀ ÐÎÑÑÈÈ ÐÑ ÁÁ ÃÁÁÑ-2.4-2010 ÎÁÅÑÏÅ ÅÍÈÅ ÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛ ÐÎÑÑÈÉÊÊÎÉ ÔÅÄÅÐÀÖÈÈ ÎÒÐÀÑËÅÂÀß ÀÑÒÍÀß ÌÎÄÅËÜ ÓÃÐÎÇ ÁÅÇÎÏÀÑÍÎÑÒÈ

Політика обробки персональних даних у ТОВ «Мобілюкс» (для необмеженого доступу, опубліковано відповідно до ч.2 ст.18.1 Федерального закону від 27 липня 2006 р. N 152-ФЗ "Про персональні дані")

1 1. Вступ Кодекс етики та службової поведінки працівників ФГУП «ЦАГІ» (далі - Кодекс), встановлює правила, що передбачають етичні цінності та правила службової поведінки керівних працівників

Передмова 1 РОЗРОБЛЕНО Управлінням стандартизації та якості 2 ЗАТВЕРДЖЕНО І ВВЕДЕНО В ДІЮ 3 ВЗАМІН 4 Дата розсилки користувачам Наказом ректора від 14.01.16 10 Положення «Про управління стандартизації