Положение об организации защиты конфиденциальной информации профессиональными участниками рынка ценных бумаг (Утверждено Приказом гендиректора ЦККФРЦБ от 24.12.2009 г. N 2009-52, зарегистрированным МЮ 19.02.2010 г. N 2079)

Функция недоступна

ПРИЛОЖЕНИЕ

к Приказу гендиректора ЦККФРЦБ

от 24.12.2009 г. N 2009-52,

зарегистрированному МЮ

19.02.2010 г. N 2079

ПОЛОЖЕНИЕ

об организации защиты конфиденциальной

информации профессиональными участниками

рынка ценных бумаг

Настоящее Положение в соответствии с Законом Республики Узбекистан "О рынке ценных бумаг" (Собрание законодательства Республики Узбекистан, 2008 г., N 29-30, ст. 278) определяет порядок организации защиты конфиденциальной информации профессиональными участниками рынка ценных бумаг.

Требования настоящего Положения не распространяются на коммерческие банки и страховщиков.

I. ОБЩИЕ ПОЛОЖЕНИЯ

1. В настоящем Положении применяются следующие основные понятия:

конфиденциальная информация - сведения о клиентах профессиональных участников рынка ценных бумаг, состоянии их счетов и проведенных операциях, а также содержании сделок с ценными бумагами (за исключением наименования ценных бумаг, количества, цены, даты, времени заключения, а в случаях проведения биржевых торгов - лиц, участвовавших в торгах);

профессиональный участник рынка ценных бумаг (далее - профессиональный участник) - юридическое лицо, которое осуществляет профессиональную деятельность на рынке ценных бумаг.

2. Защита конфиденциальной информации профессиональными участниками осуществляется в целях предотвращения утечки, хищения, утраты, искажения, блокировки, подделки конфиденциальной информации и иного несанкционированного доступа к ним, а также предотвращения несанкционированных действий по уничтожению, блокированию, копированию, искажению конфиденциальной информации и других форм вмешательства в информационные ресурсы и информационные системы профессиональных участников.

3. Организация и осуществление контроля за обеспечением защиты конфиденциальной информации возлагается на контролера профессионального участника (далее - контролер), назначаемого в соответствии с Положением о внутреннем контроле профессионального участника рынка ценных бумаг (peг. N 1899 от 6 февраля 2009 года) (Собрание законодательства Республики Узбекистан, 2009 г., N 6, ст. 66).

4. Организация защиты конфиденциальной информации осуществляется путем:

разработки и соблюдения инструкции об информационной безопасности профессионального участника (далее - Инструкция);

использования технических средств и программных продуктов по защите конфиденциальной информации;

принятия иных мер, предусмотренных законодательством.

5. Инструкция разрабатывается контролером и утверждается руководителем профессионального участника.

6. Инструкция должна содержать:

требования к помещениям, где располагаются технические средства, обрабатывающие конфиденциальную информацию;

требования к хранилищам, где обеспечивается надлежащее хранение документов, содержащих конфиденциальную информацию;

требования к программному обеспечению;

требования к техническому обеспечению;

требования к контролю по защите конфиденциальной информации;

перечень конфиденциальной информации;

ответственность сотрудников профессионального участника (далее - сотрудники).

Инструкция может содержать иные положения, регламентирующие осуществление защиты конфиденциальной информации.

7. Профессиональный участник принимает необходимые меры по обеспечению защиты конфиденциальной информации в соответствии с законодательством.

II. ОРГАНИЗАЦИЯ УЧЕТА, ХРАНЕНИЯ И ЗАЩИТЫ

КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

8. Учет документов, содержащих конфиденциальную информацию, ведется в соответствующих журналах в бумажном и (или) электронном видах.

9. Документы, содержащие конфиденциальную информацию, должны храниться в металлических шкафах и (или) сейфах, которые должны иметь прочные засовы и во внерабочее время опечатываться (пломбироваться).

10. Запрещается хранить документы, содержащие конфиденциальную информацию, в местах, не предназначенных для хранения подобного рода документов.

11. Выдача сотрудникам архивных документов, содержащих конфиденциальную информацию, осуществляется только на основании утвержденного приказом руководителя профессионального участника списка лиц, имеющих допуск к архивным документам, содержащим конфиденциальную информацию.

12. Работа с документами, содержащими конфиденциальную информацию, осуществляется только в служебных помещениях.

13. Отправка документа, содержащего конфиденциальную информацию, по почте осуществляется в порядке, предусмотренном законодательством.

14. Размножение, копирование, тиражирование либо раскрытие содержания документа, содержащего конфиденциальную информацию, осуществляется только в случаях, предусмотренных законодательством, на основании письменного разрешения руководителя профессионального участника.

15. Отобранные к уничтожению документы, содержащие конфиденциальную информацию, перед сдачей на переработку в качестве макулатуры должны измельчаться до степени, исключающей возможность прочтения текста, или должны быть сожжены в специально отведенном месте.

16. После уничтожения документов, содержащих конфиденциальную информацию, в журнале учета проставляется соответствующая отметка.

17. Профессиональный участник должен предпринимать необходимые меры для обеспечения защиты конфиденциальной информации от утечки и несанкционированного доступа при использовании информационно-коммуникационных технологий (далее - ИКТ).

18. Доступ в помещения, где размещены ИКТ и базы данных, обрабатывающие конфиденциальную информацию, разрешается только лицам, имеющим соответствующий допуск.

Доступ других лиц в помещения, указанные в абзаце первом настоящего пункта, осуществляется только с письменного разрешения руководителя профессионального участника.

19. Лица, эксплуатирующие и обслуживающие ИКТ, обязаны:

выполнять установленные требования по обеспечению защиты конфиденциальной информации при использовании ИКТ;

соблюдать установленный режим разграничения доступа к конфиденциальной информации;

незамедлительно информировать контролера и руководителя профессионального участника обо всех фактах попыток несанкционированного доступа к конфиденциальной информации, утечки или порчи такой информации.

Лица, эксплуатирующие и обслуживающие ИКТ, могут нести и иные обязанности в соответствии с законодательством.

20. Подключение ИКТ к сетям общего пользования должно осуществляться исключительно при наличии производственной необходимости и только с применением средств защиты информации.

21. ИКТ профессионального участника должны соответствовать требованиям законодательства и обеспечивать защиту конфиденциальной информации.

22. При выходе из строя или списании ИКТ, обрабатывавших конфиденциальную информацию, необходимо предпринимать меры по полному уничтожению содержащейся в них информации для недопущения его восстановления.

III. ДОПУСК СОТРУДНИКОВ

К КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

23. Допуск сотрудника к конфиденциальной информации предоставляется руководителем профессионального участника при соблюдении следующих условий:

оформление письменного обязательства о сохранении и неразглашении сотрудником сведений, составляющих конфиденциальную информацию;

ознакомление сотрудника с требованиями законодательства по обеспечению защиты конфиденциальной информации.

24. Сотрудники могут получать допуск к сведениям, составляющим конфиденциальную информацию, только в пределах своих должностных обязанностей и в объеме, действительно необходимом им для их выполнения.

25. Руководитель профессионального участника несет персональную ответственность за правомерность выдачи сотрудникам допуска к сведениям, составляющим конфиденциальную информацию.

26. Допуск к конфиденциальной информации профессионального участника имеют следующие лица:

руководитель профессионального участника;

контролер;

сотрудники, получившие допуск к конфиденциальной информации в соответствии со своими должностными обязанностями;

иные лица, в случаях и порядке, предусмотренных законодательством.

27. Руководитель профессионального участника обязан:

предусмотреть в трудовом договоре и функциональных обязанностях каждого сотрудника обязательство об обеспечении защиты конфиденциальной информации;

принимать меры к предотвращению утечки, разглашения, утраты или хищения конфиденциальной информации;

своевременно лишить допуска к конфиденциальной информации сотрудника, подлежащего увольнению.

Руководитель профессионального участника может нести и иные обязанности в соответствии с законодательством.

28. Сотрудники обязаны:

строго хранить в тайне сведения, отнесенные к конфиденциальной информации;

выполнять требования законодательства по обеспечению защиты конфиденциальной информации;

работать только с теми сведениями и документами, содержащими конфиденциальную информацию, к которым получил доступ;

не использовать конфиденциальную информацию в личных целях;

незамедлительно сообщать контролеру и руководителю профессионального участника о попытках посторонних лиц получить от сотрудников конфиденциальную информацию, об утрате или недостаче бумажных и электронных носителей конфиденциальной информации, ключей от помещений, хранилищ, сейфов, где находятся документы, содержащие конфиденциальную информацию, и о других фактах, которые могут привести к разглашению конфиденциальной информации, а также о причинах и условиях утечки конфиденциальной информации;

в случае увольнения передать все бумажные и электронные носители конфиденциальной информации, которые находились в его распоряжении в связи с выполнением им функциональных обязанностей, своему непосредственному начальнику или руководителю профессионального участника.

Сотрудники могут нести и иные обязанности в соответствии с законодательством.

29. Руководитель профессионального участника должен принимать необходимые меры по исключению возможности ознакомления с конфиденциальной информацией сотрудников, которым она не требуется при выполнении ими своих должностных обязанностей.

IV. КОНТРОЛЬ ЗА ОБЕСПЕЧЕНИЕМ ЗАЩИТЫ

КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

30. Контролер регулярно осуществляет контроль за обеспечением сотрудниками защиты конфиденциальности информации.

31. Контролер обязан:

незамедлительно сообщать руководителю профессионального участника о выявленном нарушении требований законодательства по обеспечению защиты конфиденциальной информации (далее - нарушение);

устанавливать причины совершения нарушения;

контролировать устранение выявленных нарушений.

Контролер может нести и иные обязанности в соответствии с законодательством.

32. При осуществлении контроля за обеспечением защиты конфиденциальной информации контролеру следует обращать внимание:

на правильность оформления учетных данных документов, содержащих конфиденциальную информацию;

на наличие всех полученных и подготовленных сотрудниками документов, содержащих конфиденциальную информацию;

на наличие соответствующих документов, на отсутствующие (уничтоженные, утерянные, поврежденные и т. д.) документы, содержащие конфиденциальную информацию;

на порядок хранения и работы с документами, содержащими конфиденциальную информацию, на рабочих местах, а также на иные вопросы.

33. При выявлении допущенных сотрудниками нарушений контролер составляет акт о выявленном нарушении.

V. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

34. Контроль за соблюдением требований настоящего Положения осуществляет руководитель профессионального участника.

35. Лица, виновные в нарушении требований настоящего Положения, несут ответственность в соответствии с законодательством.

36. Настоящее Положение согласовано с Агентством "Узархив" при Кабинете Министров Республики Узбекистан, Узбекским агентством связи и информатизации и Государственным комитетом Республики Узбекистан по демонополизации, поддержке конкуренции и предпринимательства.

"Собрание законодательства Республики Узбекистан",

2010 г., N 6-7, ст. 60