Глава 2. Отдельные меры по обеспечению доступа к инсайдерской информации, ее защиты и сохранности. Методические рекомендации Банка России от 14.09.2018 N 23-МР "По разработке и утверждению порядка доступа к инсайдерской информации и правил охраны ее конфиденциальности"

Глава 2. Отдельные меры по обеспечению доступа к инсайдерской информации, ее защиты и сохранности

2.1. Организациям рекомендуется включать в разрабатываемые и утверждаемые ими порядок доступа к инсайдерской информации и правила охраны ее конфиденциальности меры, предусмотренные пунктом 2.2 настоящих Методических рекомендаций.

2.2. Организациям рекомендуется принимать следующие меры по обеспечению доступа к инсайдерской информации, ее защиты и сохранности:

2.2.1. Обеспечение недопущения осуществления функций структурными подразделениями, указанными в подпунктах 1.1.15 - 1.1.16 пункта 1.1 настоящих Методических рекомендаций, не входящих в компетенцию таких структурных подразделений.

2.2.2. Установление рабочих мест работников структурных подразделений, имеющих доступ к инсайдерской информации организации, а также работников структурных подразделений, указанных в подпункте 1.1.15 пункта 1.1 настоящих Методических рекомендаций, в помещениях, отделенных друг от друга, а также от помещений, в которых находятся рабочие места работников иных структурных подразделений организации.

При невозможности разделения рабочих мест организациям рекомендуется разработать иные доступные и разумные меры, направленные на защиту и сохранность инсайдерской информации.

2.2.3. Обеспечение расположения мониторов компьютеров работников, имеющих доступ к инсайдерской информации организации, а также работников структурных подразделений, указанных в подпунктах 1.1.15 - пункта 1.1 настоящих Методических рекомендаций, исключающее риски ознакомления с инсайдерской информацией иными лицами, в том числе, в случае если в организации не предусмотрено закрепление компьютеров непосредственно за определенным работником.

2.2.4. Разграничение прав доступа к базам данных работников, осуществляющих ввод инсайдерской информации в базы данных, и работников, осуществляющих последующую обработку инсайдерской информации.

2.2.5. Обеспечение исключения несанкционированного доступа к рабочим местам, компьютерам, машинным носителям информации работников организации, имеющих доступ к инсайдерской информации организации, а также работников структурных подразделений организации, указанных в подпункте 1.1.15 пункта 1.1 настоящих Методических рекомендаций, работниками иных структурных подразделений, в том числе должностными лицами, указанными в абзаце третьем пункта 2.2.12 настоящих Методических рекомендаций, посредством средств идентификации и аутентификации субъектов доступа и объектов доступа, в том числе присвоение субъектам и объектам доступа уникального признака (идентификатора).

2.2.6. Обеспечение контроля за передачей средств идентификации и аутентификации работников организации, имеющих доступ к инсайдерской информации организации, работников (структурного подразделения) структурных подразделений организации, указанных в подпункте 1.1.15 пункта 1.1 настоящих Методических рекомендаций, а также ОДЛ, иным лицам.

Организациям рекомендуется при обеспечении доступа к инсайдерской информации руководствоваться главой 7 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" в части процесса 1 "Обеспечение защиты информации при управлении доступом".

2.2.7. Установление копировальных машин, принтеров и аналогичных устройств, используемых работниками организации, имеющими доступ к инсайдерской информации организации, а также работниками структурных подразделений, указанных в подпункте 1.1.15 пункта 1.1 настоящих Методических рекомендаций, в местах, не доступных иным лицам.

2.2.8. Обеспечение соблюдения ограничений на использование личных средств связи, компьютеров, машинных носителей информации работниками структурных подразделений, указанными в подпункте 1.1.16 пункта 1.1 настоящих Методических рекомендаций, при осуществлении своих должностных обязанностей.

2.2.9. Проведение переговоров, в том числе переговоров с клиентами организации, в отдельных помещениях (комнатах переговоров), обеспечивающих исключение возможности неправомерного распространения информации о факте и содержании указанных переговоров, в случае наличия риска неправомерного использования инсайдерской информации.

2.2.10. Хранение документов, содержащих сведения, составляющие инсайдерскую информацию, в местах, доступ к которым ограничен (для документов на бумажном носителе, машинных носителях информации рекомендуется предусмотреть запираемые места (сейфы, шкафы, помещения и т.п.).

2.2.11. Обеспечение исключения конфликта интересов и получения согласия ОДЛ или иного уполномоченного лица, полученного в порядке и сроки, установленные порядком доступа к инсайдерской информации и правилами охраны ее конфиденциальности, при передаче (в случае возникновения такой необходимости) инсайдерской информации клиентов организации структурным подразделениям, совершающим операции в собственных интересах организации, а также лицам, принимающим решения о совершении таких операций, и лицам, осуществляющим предварительную оценку условий сделок, заключаемых организацией, в том числе на их соответствие требованиям законодательства Российской Федерации (если такая оценка осуществляется.

2.2.12. Обеспечение возможности передачи инсайдерской информации без согласия ОДЛ или иного уполномоченного лица в следующих случаях:

при передаче инсайдерской информации внутри рабочих (проектных) групп;

при передаче инсайдерской информации должностным лицам, определенным организацией;

При передаче инсайдерской информации, полученной рабочей (проектной) группой, лицам, в должностные обязанности которых не входит получение инсайдерской информации, а также при передаче инсайдерской информации рабочей (проектной) группе рекомендуется руководствоваться пунктом 2.2.11 настоящих Методических рекомендаций.

2.2.13. Доведение в уведомительном порядке до сведения ОДЛ или иного уполномоченного лица информацию о создании рабочей (проектной) группы, включая предмет и период деятельности, ее состав.

2.2.14. Определение должностных лиц, инсайдерская информация которым передается без согласия ОДЛ или иного уполномоченного лица, из числа работников осуществляющих следующие функции:

административно-распорядительные функции;

функции внутреннего контроля за деятельностью организации;

функции управления рисками организации;

функции внутреннего аудита организации;

функции правового сопровождения деятельности организации;

функции обеспечения информационной и экономической безопасности деятельности организации.

2.2.15. Обеспечение соблюдения запрета на совершение операций организацией в собственных интересах с финансовыми инструментами, входящими (эмитенты которых входят) в стоп-лист.

2.2.16. Обеспечение своевременного ознакомления работников организации и ее органов управления с порядком доступа к инсайдерской информации и правилами охраны ее конфиденциальности.

2.2.17. Регулярное обучение лиц, указанных в настоящих Методических рекомендациях, в целях повышения уровня их знаний в области обеспечения доступа, защиты и сохранности инсайдерской информации.