ВРЕМЯ СВЕРШЕНИЙ

10. Общие сведения о деятельности НКЦ

EN/RU

10.3. Раскрытие информации

НКЦ осуществляет раскрытие информации как кредитная организация, клиринговый дом и центральный контрагент, а также как оператор товарных поставок в соответствии с требованиями Федерального закона от 07.02.2011 № 7-ФЗ «О клиринге, клиринговой деятельности и центральном контрагенте», Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности» и другими нормативными актами и регуляторными документами.

Основным каналом раскрытия является сайт НКЦ, на котором в специально созданном разделе «Раскрытие информации» размещается информация, достаточная для формирования объективного представления о существенных аспектах деятельности НКЦ, а также учитываются требования законодательства по составу и перечню раскрываемой информации. На сайте, в частности, публикуется информация, отражающая результаты, статистику и иные данные об Обществе, включая   корпоративное управление, годовые итоги НКЦ, финансовую отчетность, управление рисками и клиринговую деятельность, тарифы, защиту информации и т.д.  

НКЦ предоставляет круглосуточный доступ к ознакомлению с раскрываемой информацией всем заинтересованным лицам без взимания платы и иных ограничений. Раскрытие существенных событий или действий НКЦ, как правило, сопровождается выпуском пресс-релизов.

При раскрытии информации общество также следует международным стандартам — требованиям к раскрытию информации институтами финансовой инфраструктуры, разработанными   Комитетом по платежным и расчетным системам Банка международных расчетов (CPSS) совместно с Техническим комитетом Международной организации комиссий по ценным бумагам (IOSCO). В соответствии с этим требованиями НКЦ регулярно раскрывает на своем сайте количественные показатели своей деятельности.

НКЦ раскрывает бухгалтерскую (финансовую) отчетность не только в соответствии с российскими, но и международными стандартами, а также дополнительную информацию о своей деятельности, которая может являться существенной для акционера и иных заинтересованных лиц, с соблюдением разумного баланса между открытостью Общества и защитой его коммерческих интересов.

Наполнение Интернет-сайта осуществляется в соответствии с регламентом взаимодействия подразделений НКЦ в процессе информационного наполнения сайта. Этот документ определяет порядок действий должностных лиц/работников/структурных подразделений и их взаимодействие в процессе наполнения (раскрытие/размещение) информацией официального сайта НКЦ и ее изменения в информационно-телекоммуникационной сети Интернет, компетенцию и ответственность подразделений по вопросам информационного наполнения и сопровождения сайта.

10.4. Обеспечение информационной безопасности

НКЦ в отчетном году обеспечивала информационную безопасность Общества, руководствуясь нормативными актами и внутренними документами НКЦ. 

В соответствии с требованиями 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» НКЦ провел плановую оценку соответствия установленным требованиям участков платежной системы с участием независимого аудитора – компании Deloitte. Качественный результат оценки – «удовлетворительно», уровень соответствия за прошедшие 2 года – требуемый.

Введение режима самоизоляции в Москве с конца марта 2020 года потребовало резкого изменения подходов к обеспечению защиты информации при дистанционной работе. В связи с этим подразделение информационной безопасности активно участвовало в процессе построения систем организации удаленного доступа, проведения регулярных тестов безопасности доступов, организации непрерывной работы организации в условиях самоизоляции, а также в разработке концепции «гибкого офиса» с точки зрения обеспечения безопасности. Режим самоизоляции также оказал существенное влияние на процессы обеспечения непрерывной работы юридически значимого электронного документооборота, а также ускорил процессы перевода бумажного документооборота в электронный вид с одновременным обеспечением юридической значимости, защиты целостности и конфиденциальности документов.

 Изменение окружающей среды привело к появлению потребности НКЦ в создании более гибкой инфраструктуры. Результатом этого стала разработка вместе с ИТ планов по модернизации ИТ инфраструктуры с учетом обеспечения уровня защиты информации не ниже существующего. Планы предполагают поэтапную модернизацию инфраструктуры сроком на 2 года.

В отчетный период проведена серия тестирований на защищенность НКЦ от проникновения в инфраструктуру Общества при участии сторонней компании. Данные мероприятия проводятся в НКЦ ежегодно, однако в 2020 году область исследования была существенно увеличена и распространялась, в том числе на участки платежных систем, основные бэкофисные системы. По результатам тестирований выявлено меньшее количество уязвимостей, чем в предыдущие года. Все они были закрыты. По результатам тестирований поставлены задачи  по разработке порядка обновления информационных систем в части настроек безопасности. Запланировано также создание системы непрерывного тестирования на проникновение с использованием специализированных автоматизированных систем.

В 2020 году успешно проведена оценка соответствия требованиям «SWIFT security assessment». Оценка показала полное соответствие требованиям SWIFT, что отражено на портале SWIFT customer и доступно всем участникам сообщества SWIFT.

Помимо этого, в отчетном году выполнен ряд задач, направленных на повышение информационной безопасности, а именно: 

  • проведены исследования и по их результатам начато введение 2-х факторной аутентификации в продуктовой среде на основании регистрации пользователей в контролере домена. В результате, сотрудники, переведенные на дистанционную работу, используют обязательную 2-х факторную аутентификацию;
  • разработана и внедрена Политика управления техническими учетными записями и разработана технология проведения таких обновлений на регулярной основе.
  • внедрена новая версия ПО Kaspersky Security Center, обладающего сертификатами ФСБ и ФСТЭК. Выполнен перевод всей инфраструктуры НКЦ на Kaspersky Endpoint Security 11 и Kaspersky For Windows Servers 10.6.;
  • в рамках осуществления требований политик информационной безопасности и Банка России внедрена новая технология файлового шлюза между двумя физически разделенными сетевыми сегментами сети и настроена возможность независимых для подразделений НКЦ файловых каталогов;
  • настроен аудит изменения членства в группах домена.

Основные усилия по дальнейшему совершенствованию системы информационной безопасности будут направлены на реализацию Дорожной карты деятельности подразделения информационной безопасности, которая включает в себя:

  • Выполнение требований по обеспечению защиты информации, сформулированных в Указании 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» и Указании  684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций». При этом принимается во внимание тот факт, что к НКЦ как к кредитной организации и центральному контрагенту предъявляются повышенные требования по надлежащему обеспечению уровней защиты.
  • Участие в модернизации ИТ инфраструктуры в соответствии с инициативами бизнеса и ИТ подразделений для обеспечения сохранения уровня защиты.
  • Дальнейшее усиление мер информационной безопасности с учетом изменяющихся угроз, усовершенствование цикла безопасной разработки информационных систем НКЦ