направленные на предотвращение несанкционированного доступа в компьютерную и телекоммуникационную системы и предполагающие наличие у подразделения информационного обеспечения системы проверки уровня допуска при входе и выходе из автоматизированной системы и устанавливающие ответственность подразделения информационного обеспечения по контролю важных ключей, в том числе электронных ключей к информационным базам данных;
направленные на выполнение плановых мероприятий, в том числе при форс-мажорных обстоятельствах по обеспечению сохранности информационных систем баз данных, предусматривающих:
наличие обособленных помещений для технических комплексов информационных баз данных, отвечающих требованиям пожарной безопасности и сейсмоустойчивости, автономного электропитания, резервных компьютеров и сетевых коммуникаций, регулярного формирования резервных копий системно-важных программных файлов и файлов данных;
делегирование полномочий и ответственности в случае возникновения форс-мажорных обстоятельств;
определение действий при наступлении форс-мажорных обстоятельств, предусматривающих правила и руководства для компьютерного центра в случае чрезвычайного сбоя в работе системы;
предотвращение сбоев с помощью регулярных инспекций оборудования и проверки отчетов о работе подразделением информационного обеспечения;
установление порядка планирования, разработки и функционирования систем электронной обработки данных.
7. Правила обеспечения информационной безопасности включают процедуры по обеспечению сохранности сведений, составляющих коммерческую тайну на рынке ценных бумаг, тайну пенсионных накоплений, и недопущению их использования в собственных интересах Фонда или ДНПФ, их работников или третьих лиц.
Правила обеспечения информационной безопасности определяют:
перечень информации, относящейся к коммерческой и (или) иной охраняемой законами тайне (далее – конфиденциальная информация);
порядок составления, оформления, регистрации, учета и хранения документов, содержащих конфиденциальную информацию;
порядок допуска к конфиденциальной информации, с указанием должностей лиц, которые допускаются к данной информации;
механизмы предотвращения утечки конфиденциальной информации и искажения информационных данных, предусматривающие:
перечень информационных данных, имеющих ограниченный доступ;
порядок получения доступа;
порядок контроля доступа к информационным данным, перечня должностей лиц, имеющих доступ к информационным данным;
мероприятия по предотвращению несанкционированного доступа к базе данных посредством осуществления подразделением информационного обеспечения мониторинга и идентификации пользователей базы данных и обеспечения системой, позволяющей идентифицировать пользователя информационной системы.
8. Процедуры осуществления внутреннего аудита определяют:
1) состав службы внутреннего аудита, ее функции, полномочия и обязанности;
2) требования к работникам, осуществляющим внутренний аудит;
3) предмет и объект внутреннего аудита;
4) масштаб и частоту проведения проверок службой внутреннего аудита;
5) обязательную к использованию при проведении внутреннего аудита систему оценки;
6) требования к составлению плана проведения внутреннего аудита;
7) сроки и форму представления службой внутреннего аудита отчетов о результатах проверок совету директоров и правлению Фонда или ДНПФ.
9. Процедуры осуществления внутреннего контроля определяют:
1) требования к работникам, осуществляющим внутренний контроль;
2) предмет и объект внутреннего контроля.
10. Политика управления существующим и потенциальным конфликтом интересов включает:
1) определение ситуаций, при которых интересы должностного лица или работника Фонда или ДНПФ влияют на объективность и независимость принятия ими решений и исполнения обязанностей, а также вступают в противоречие с их обязательством действовать в интересах вкладчиков (получателей пенсионных выплат) Фонда или ДНПФ и (или) акционера (акционеров) Фонда или ДНПФ;
2) принципы деятельности должностных лиц и работников Фонда или ДНПФ при возникновении ситуаций, указанных в подпункте 1) настоящего пункта;
3) порядок осуществления сбора, хранения и мониторинга сведений в целях выявления и описания ситуаций, указанных в подпункте 1) настоящего пункта, в процессе деятельности органов, структурных подразделений, должностных лиц и работников Фонда или ДНПФ;
4) процедуры принятия решений органами Фонда или ДНПФ, направленные на обеспечение независимости и объективности принимаемых решений, включая ограничение права участия в принятии решений должностных лиц и работников Фонда или ДНПФ, при возникновении ситуаций, указанных в подпункте 1) настоящего пункта.
11. Инструкция по охране труда включает:
1) основные требования по пожарной безопасности;
2) описание действий работников Фонда или ДНПФ при наступлении форс-мажорных обстоятельств;
3) порядок использования программно-технических комплексов и иного оборудования работниками Фонда или ДНПФ;
4) последовательность осмотра помещений Фонда или ДНПФ перед их закрытием.
12. Внутренние документы ДНПФ включают пенсионные правила, разработанные в соответствии со статьей 44 Социального кодекса.
Приложение 4
к Правилам формирования системы
управления рисками и внутреннего
контроля единого накопительного
пенсионного фонда, добровольных
накопительных пенсионных фондов
Требования к организации системы информационного обмена
1. Совет директоров Фонда или ДНПФ в целях эффективного выполнения возложенных обязанностей осуществляет мониторинг и контроль за вопросами управления рисками, аудита посредством анализа:
1) информации о соблюдении (использовании) требований системы управления рисками, полученной от структурного подразделения Фонда или ДНПФ, осуществляющего управление рисками, - на ежеквартальной основе по форме, установленной внутренними документами Фонда или ДНПФ;
2) отчетов о результатах операционной (текущей) деятельности Фонда или ДНПФ в сравнении с тем же периодом за прошлый отчетный период и с запланированными показателями деятельности, полученных от структурного подразделения Фонда или ДНПФ, осуществляющего анализ и планирование бюджета, - на ежеквартальной основе;
3) отчетов по результатам проверок, содержащих выводы об имеющихся недостатках и рекомендации по улучшению деятельности Фонда или ДНПФ, полученных от службы внутреннего аудита Фонда или ДНПФ - по мере подготовки отчетов;
4) отчетов о результатах осуществления контроля за выполнением рекомендаций службы внутреннего аудита по улучшению деятельности Фонда или ДНПФ, полученных от правления Фонда или ДНПФ, - на ежеквартальной основе.
Информация, представляемая совету директоров, включается в повестку заседания совета директоров или направляется членам совета директоров сопроводительным письмом, заверенным подписью первого руководителя Фонда или ДНПФ, либо лицом, его замещающим.
2. Правление Фонда или ДНПФ для осуществления своих функций анализирует:
1) отчеты о результатах деятельности Фонда или ДНПФ в сравнении с тем же периодом за прошлый отчетный период и с запланированными показателями деятельности, полученные от структурного подразделения Фонда или ДНПФ, осуществляющего анализ и планирование бюджета - на ежеквартальной основе;
2) отчеты о доходах (расходах) Фонда или ДНПФ с приложением плановых показателей операционной (текущей) деятельности (включая динамику по видам деятельности) структурных подразделений, филиалов, представительств, полученные от структурного подразделения Фонда или ДНПФ, контролирующего доходы (расходы) Фонда или ДНПФ - на ежемесячной основе;
3) отчеты по результатам проверок, содержащие выводы об имеющихся недостатках и рекомендации по улучшению деятельности Фонда или ДНПФ, полученные от службы внутреннего аудита Фонда или ДНПФ - по мере подготовки отчетов;
4) информацию, полученную от структурного подразделения информационного обеспечения Фонда или ДНПФ о:
состоянии аппаратно-программных технических комплексов;
технических проблемах, обнаруженных в течение отчетного периода;
выявленных несоответствиях внутренним процедурам Фонда или ДНПФ;
мерах, принятых для устранения и предотвращения повторного возникновения проблем и несоответствий - раз в квартал;
5) информацию о нарушении структурными подразделениями либо работниками требований Социального кодекса в области пенсионного обеспечения и Закона о рынке ценных бумаг, а также внутренних документов Фонда или ДНПФ, а также отчеты о самостоятельном выявлении нарушений и принятых мерах по устранению выявленных нарушений от всех структурных подразделений Фонда или ДНПФ - по мере возникновения информации.
3. Служба внутреннего аудита Фонда или ДНПФ получает любые документы и информацию, необходимые для осуществления своих функций от всех структурных подразделений, филиалов, представительств и работников Фонда или ДНПФ, в сроки, указанные в запросах службы внутреннего аудита.
4. Структурное подразделение Фонда или ДНПФ, осуществляющее управление рисками, для осуществления своих функций получает документы и информацию, необходимые для осуществления своих функций, от всех структурных подразделений и работников Фонда или ДНПФ в сроки, указанные в запросах подразделения, осуществляющего управление рисками.
5. Информационный обмен между структурными подразделениями Фонда или ДНПФ осуществляется в соответствии с внутренними документами Фонда или ДНПФ.
Приложение 5
к Правилам формирования системы
управления рисками и внутреннего
контроля единого накопительного
пенсионного фонда, добровольных
накопительных пенсионных фондов
Требования к программно-техническому обеспечению, используемому для поддержания системы управления рисками
1. Автоматизации подлежат следующие виды операционной деятельности Фонда или ДНПФ:
1) сбор информации, необходимой для функционирования системы управления рисками;
2) учет пенсионных активов и накоплений.
2. Подразделение информационного обеспечения Фонда или ДНПФ ведет учет фактических системных проблем и применяет незамедлительные меры по разработке мер безопасности с целью предотвращения повторного возникновения проблем, посредством проведения следующих мероприятий:
1) заполнение листов учета технических проблем и ведения по ним отчетности;
2) отслеживание причин возникновения проблемы, извещение о них изготовителя информационной системы и принятие коррективных мер для предотвращения их повторного возникновения;
3) проведение не менее, чем раз в квартал, проверок технических комплексов, обеспечивающих функционирование автоматизированной базы данных;
4) осуществление мониторинга и идентификации пользователей терминалов управления автоматизированной базой данных, в том числе контроля видов и объема проведенных ими операций на предмет их соответствия функциональным обязанностям пользователя.
