• Главная
  • Экспертиза
  • Операционная надежность финансовых организаций: выстраивание взаимодействия с поставщиками услуг
10 января 2025
Поделиться
Операционная надежность финансовых организаций: выстраивание взаимодействия с поставщиками услуг
Александр Моисеев
Ведущий консультант по информационной
безопасности AKTIV.CONSULTING
Как внедрить процессы операционной надежности при взаимодействии с поставщиками услуг в финансовых организациях? Этой теме был посвящен доклад ведущего консультанта по ИБ AKTIV.CONSULTING Александра Моисеева на конференции по регуляторике ИБ АБИСС. Основные тезисы доклада Александр изложил в статье для портала CISOClub.

Осенью 2024 года в Москве прошла Третья межотраслевая конференция по регуляторике в сфере информационной безопасности, организованная Ассоциацией пользователей стандартов по информационной безопасности (АБИСС). Обсуждались актуальные вопросы организации процессов ИБ, безопасной разработки ПО, аудита ИБ и управления рисками.

В этом обзоре мы рассмотрим доклад Александра Моисеева, ведущего консультанта по информационной безопасности AKTIV.CONSULTING. Его выступление было посвящено практике внедрения процессов операционной надежности при взаимодействии с поставщиками услуг в финансовых организациях (далее – «ФО») по требованиям Банка России, детально изложенным в «Процессе 4» ГОСТ Р 57580.4. Александр рассказал о действующих законодательных требованиях, а также дал рекомендации интеграции их реализации в процессы ФО.

Цепочки поставок в финансовой отрасли

Ответим на вопрос: кто чаще всего выступает в роли подрядчиков по предоставлению ИТ-услуг для кредитных и некредитных финансовых организаций (далее – «КО» и «НФО» соответственно), и какие услуги они оказывают? Обычно это услуги облачных сервисов, ЦОД, техническое обслуживание ПАК и ПО, консалтинг, заказная разработка, а также предоставление специфичных финансовых сервисов, таких как процессинг, обслуживание банкоматов и предоставление информации – системы противодействия отмыванию доходов (ПОД/ФТ/ФРОМУ) или же готовые информационные системы (далее – «ИС») и приложения (к примеру, ДБО, АБС и т.д.).

Интересно, что КО среднего размера традиционно более сдержанны в использовании облачных сервисов и вычислительных ресурсов ЦОД. Как правило, они используют их для хостинга некритичных информационных ресурсов вроде сайта или продуктовых лендингов или же для организации резервной ИТ-инфраструктуры, тестовых зон, развертывания решений Disaster Recovery и т.п. НФО же, наоборот, охотно используют арендуемые ресурсы и managed-сервисы для развертывания своих высоконагруженных приложений, т.к. зачастую основой их бизнес-модели является передача всей непрофильной деятельности поставщикам, а усилия внутренней команды сосредоточены на ключевых бизнес-функциях.

Эти и другие внешние сервисы и услуги образуют цепочки поставок, которые можно разделить на две категории: «Взаимодействие ИТ-инфраструктур» и «Взаимодействие программных компонент».

В первой цепочке происходит подключение к ИТ-инфраструктуре заказчика из инфраструктуры поставщика с целью обеспечения технической поддержки ИТ-решений и пользователей. Это может происходить посредством различных технологий, таких как: «site-to-site» или «remote access» VPN, всевозможных программ удаленного администрирования, различных видов интеграций ИС: API-шлюзов, файловых интеграций, шин данных, веб-сервисов и т.п).

При этом зачастую из-за стремления поставщиков снизить себестоимость работ, из-за повышения стоимости средств защиты информации (далее – «СЗИ») или из-за кадрового дефицита на рынке труда могут возникнуть следующие риски:

  • «Низкий уровень зрелости ИБ». У поставщика услуг процессы ИБ могут быть значительно ниже, чем у заказчика (к примеру, нет оптимального состава СЗИ или же они не настроены должным образом). Соответственно, такой поставщик услуг становится легкой добычей и транзитной точкой для атакующего перед целевой атакой на ИТ-инфраструктуру заказчика.
  • «Скрытый подряд». Подрядчик без ведома заказчика может привлекать сторонних, внештатных работников, работающих без каких-либо договоров и соглашений, а также выполнять подключение с домашних компьютеров, где, разумеется, нет никаких корпоративных политик безопасности и СЗИ. Даже если сам подрядчик обеспечивает защиту информации в периметре своей организации, такие сторонние работники им меньше контролируются. Они могут работать ещё с 5-10 такими же организациями и быть подключены к их сетям, что увеличивает вероятность реализации таких негативных сценариев, как распространение вирусного заражения, проведение компьютерных атак (далее – «КА») из недоверенных сетей и социальная инженерия.
  • «Небезопасная» передача/хранение секретов. Всевозможная аутентификационная информация (пароли, токены, сертификаты) может передаваться от заказчика к подрядчику или внутри подрядчика в небезопасном виде. Это, в свою очередь, может привести к её утечке и дальнейшему её использованию злоумышленниками.

Вторая цепочка предполагает взаимодействие программных компонент различного происхождения и разной степени доверия к их надежности и безопасности. В современных корпоративных приложениях и ИС используются как программные модули собственной разработки, так и привнесенные в проект извне компоненты и зависимости: от внешних организаций, команд разработки или комьюнити «open source». Этот подход во многом оптимизирует и удешевляет разработку: не надо заново разрабатывать такие стандартные компоненты, как журналирование событий, аутентификация, брокеры сообщений, мониторинг и т.п. При таком подходе собственная команда разработки заказчика может сфокусироваться на реализации бизнес-функций или бизнес-логике, отдав при этом на подряд реализацию специфичной математики. Однако подход также несет в себе риски привнести в свой проект чужие уязвимости, недекларированные возможности (НДВ), вредоносные зависимости, политические банеры, раскрытие секретов в публичных репозиториях и т.п.

Действующие требования Банка России

За последний год к требованиям Положений Банка России №787-П и №779-П добавились требования Методических рекомендаций того же регулятора №7-МР, которые предписывают на протяжении нескольких лет осуществить внедрение требований ГОСТ Р 57580.4 по обеспечению операционной надежности, где рассматриваемому аспекту отдан целый раздел «Процесс 4. Взаимодействие с поставщиками услуг». Требования «Процесса 4» описывают меры по управлению различными рисками операционной надежности: рисками реализации информационных угроз и рисками технологической зависимости.

Вдобавок к существующим требованиям в техническом комитете №122 Банка России ведется разработка специализированного стандарта организационных и технических мер при аутсорсинге ИТ и использовании облачных услуг. Кроме того, существует огромное количество международных стандартов и фреймворков, которые можно использовать в качестве референсов, к примеру: ISO/IEC 27036, NIST SP 800-161, SCS 9001, NCSC Supply chain security, NIST SP 800-218 SSDF, BSIMM, IEC 62443, OWASP SAMM, PCI SSLC, CNCF Software Supply Chain Best Practices и т.п.

Меры по управлению рисками реализации информационных угроз направлены, по сути, на предотвращение вторжений и компьютерных атак на ИТ-инфраструктуру заказчика из ИТ-инфраструктуры поставщика. Тезисно данные требования можно описать следующим образом:

1. Организация защиты от компьютерных атак.

2. Меры по обеспечению безопасности цепочки поставок:

  • оценка репутации и благонадежности поставщиков;
  • обеспечение транспарентности и оценки уровня зрелости процессов поставщиков;
  • проведение независимого аудита;
  • оценка программ безопасности на этапах жизненного цикла объектов информационной инфраструктуры (далее – «ОИИ»), в т.ч. контроль отсутствия НДВ.

3. Обеспечение операционной надёжности технологических процессов, переданных на аутсорсинг:

  • заключение соглашений о конфиденциальности и уровне сервиса (т.н. «NDA» и «SLA» соответственно);
  • заблаговременная проработка альтернативных поставщиков и гарантий технической поддержки.

Меры по управлению рисками технологической зависимости направлены прежде всего на диверсификацию рисков между несколькими поставщиками. Формула проста и не теряет своей актуальности: «Не храним все яйца в одной корзине»:

1. Диверсификация риска по государственной (страновой) принадлежности.

2. Обеспечение гарантийной технической поддержки (далее – «ТП») на весь срок эксплуатации ОИИ (к примеру, т.н. уровень поддержки «next business day»).

3. Установление требований защиты информации (далее – «ЗИ») и операционной надежности (далее – «ОН») к приобретаемым ОИИ.

4. Выявление ОИИ с близким сроком завершения жизненного цикла (т.н. «end-of-life»).

5. Организация самостоятельной технической поддержки применяемых ОИИ.

6. Организация технического обслуживания (далее – «ТО») ОИИ прикладного и инфраструктурного уровней, а именно:

  • регистрация всех событий безопасности при ТО;
  • проведение ТО в соответствии с техническими требованиями;
  • тестирование работоспособности ОИИ после завершения ТО.

7. Контроль удаленной ТП:

  • применение многофакторной аутентификации (МФА);
  • регистрация всех событий безопасности при ТП;
  • гарантированное завершение сессий по завершении ТП;
  • подключение через VPN с ОИИ с аналогичным уровнем защиты, что и у ОИИ заказчика.

8. Определение квалификационных требований к ТП.

Данная работа должна выстраиваться системно, начиная от установки требований по ЗИ и ОН в явном виде, требований к квалификации персонала, и заканчивая усиленным контролем за действиями конкретного инженера ТП поставщика, регистрацией всех событий безопасности, контролем за его действиями. Участвовать в данных процессах должны многие подразделения ФО, как основные структурные подразделения, так и специализированные (обеспечивающие экономическую безопасность и финансовый контроль).

Рекомендации по реализации требований «Процесса 4»

Разумеется, каждое требование можно реализовать десятком способов, исходя из имеющегося стека ИТ-технологий, кадровых и финансовых ресурсов. Мы же в данной статье ограничимся пятью рекомендациями, содержащими правовые, организационные и технические меры, которые по правилу Парето способны дать 80% результата.

Прежде всего необходимо создать правильные правовые основы для обмена конфиденциальной информации с поставщиком: перед взаимодействием, во время исполнения договорных обязательств и после их завершения. В хорошем соглашении о конфиденциальности (NDA) однозначно должны определяться четыре вещи:

  • Перечень конфиденциальной информации для обмена, правила ее классификации и маркировки (в т.ч при отображении в интерфейсе ИС или отчуждении на носителях различного рода);
  • Требование о трансляции персональных обязательств о соблюдении конфиденциальности на конкретных исполнителей, сотрудников поставщика. Необходимо выработать механизмы учета и актуализации этих обязательств;
  • Порядок предоставления и прекращения доступа к конфиденциальной информации, а также его учета и аудируемости;
  • Наличие удобных каналов обмена конфиденциальной информации. Это будет хорошей профилактикой появления различного рода «теневых ИТ», которые зачастую появляются по инициативе сотрудников самого заказчика при недостаточном контроле или форс-мажорных обстоятельствах по проектам.

Говоря о содержимом соглашений об уровне сервиса с поставщиками (т.н. «SLA»), лучше вспомнить об опроснике Банка России, который не так давно был направлен в поднадзорные организации. Можно выделить ряд аспектов, на которых делает акцент регулятор:

  • Предоставление доступов и осуществление обработки конфиденциальной информации, как охраняемой законом, так и являющейся коммерческой тайной самой ФО, в т.ч. описание механизмов ее гарантированного удаления.
  • Проработка «Стратегии разрыва отношений», т.е. определение процедуры выхода из договорных отношений с поставщиком: по обоюдному решению, в одностороннем порядке по инициативе поставщика или в одностороннем порядке по инициативе заказчика, а, возможно, и из-за каких-либо недопустимых инцидентов ЗИ и ОН. Также важно заранее продумать то, как ФО будет отключаться от сервиса, заменять программные компоненты или переключаться на другого поставщика, перемещать оборудование, за какую временную дельту эти процессы будут завершены.
  • Закрепление обязательств поставщика об уведомлении заказчика о привлечении к работам субподрядчиков, т.е. третьей стороны во взаимоотношениях, и, соответственно, транслирование им всех требований и обязательств.
  • Закрепление обязательств поставщика о привлечении к надзорным мероприятиям регуляторов (Банк России, РКН, ФСТЭК и ФСБ России), предоставлении им свидетельств по процессам, взаимодействии при реагировании и расследовании инцидентов ЗИ и ОН (к примеру, передача дампов данных из системы источника).
  • Регламентация правил удаленного подключения и формирование перечня ресурсов удаленного доступа.

Дополнительно рекомендуем проверить в SLA наличие: глоссария, описания сервисов, параметров сервисов, порядка обращений и эскалации. Это позволит лишний раз убедиться, что все стороны однозначно трактуют параметры SLA, и тем самым повышается обозначенная транспарентность. Нелишним будет также наличие «антикоррупционной оговорки», которая позволит митигировать репутационные риски от внутреннего фрода, аффилированности, недобросовестной конкуренции и т.п.

Заказчик имеет возможность предъявлять к сервисам широкий спектр требований, причем даже небольшие КО и НФО могут предъявлять специфические требования. К примеру, при выборе поставщиков перед рассмотрением ТКП можно требовать оформлять т.н. «security appendix», т.е. концептуальное описание мер и процессов безопасности, функционирующих у поставщика.

Теперь перейдем к организационным мерам, а именно к процессу выбора поставщика. Он, как правило, разделен на две фазы: «предконтроль», на которой формируется шорт-лист финалистов, и «постконтроль», когда по мере движения к завершению договора отслеживается состояние поставщика.

Проверки, которые можно применить на фазе предконтроля:

  • На самых ранних этапах должна быть выполнена т.н. проверка на «должную осмотрительность». Это хорошо знакомая по требованиям ФНС проверка финансового состояния компании. Она выполняется как по данным специализированных сервисов проверок контрагентов, так и при запросе комплекта документации и аудиторской отчетности. В ходе этой проверки можно понять, какие у контрагента обороты; соответствуют ли они «истории успеха», которую он транслирует рынку; нет ли риска кассового разрыва; какова среднесписочная численность персонала; нет ли аномальных финансовых показателей и т.п. Выполняют ее, как правило, финансово-экономические подразделения.
  • Далее рекомендуем обратить внимание на историю арбитражей, особенно на те, где поставщик был ответчиком по ненадлежащему исполнению обязательств. Эти данные, как правило, проверяются юридическими службами.

Описанные шаги будут хорошим базовым минимумом для данной фазы. Далее, по мере отбора поставщиков, могут быть добавлены следующие дополнительные проверки:

  • Анализ истории изменений в юридическом лице: кем были учредители, кто владельцы сейчас, как распределяются доли, какие управляющие органы, как часто меняются и т.д. Тут обычно действуют уже подразделения экономической безопасности.
  • При необходимости можно подключать специалистов по ИБ, которые методами OSINT и конкурентной разведки смогут поискать упоминание подрядчика в СМИ, осуществить поиск по выдаче поисковых систем с новостями об инцидентах, партнерстве, успехах и неудачах.
  • Также на данном этапе могут подключаться команды ИТ и бизнеса для проведения пресейл-встреч, во время которых важно выяснить опыт, компетенцию исполнителей контрагента, обсудить кейсы и даже в игровой форме проговорить, как бы они реагировали на нештатные ситуации и инциденты, как бы взаимодействовали с заказчиком. Это, на самом деле, и есть та самая транспарентность, при которой, общаясь с командой ИТ поставщика, узнавая об их процессах и практиках, можно сделать выводы об обеспечении надежности и безопасности. Особенно важно понимать, как у поставщика устроены процессы администрирования, управления изменениями и конфигурацией, управление уязвимостями, как осуществляется мониторинг ИТ-инфраструктуры и т.п.

По сути, если на фазе «предконтроля» вы проверяете гипотезу «способен ли выполнить обязательства контрагент в принципе», то на фазе «постконтроля» проверяется гипотеза «не произошли ли у контрагента такие изменения, которые ставят под угрозу выполнение обязательств перед нами». То есть фактически осуществляется мониторинг сообщений об изменениях у контрагента в специализированных информационных системах проверки контрагентов, оценка рисков и, при необходимости, реагирование.

Далее, ещё одним важным аспектом является управление требованиями. Это краеугольный камень многих процессов, и в стандарте TOGAF по управлению корпоративной архитектурой, упоминаемом в ГОСТ 57580.4, он занимает центральное место. Подавляющее большинство неудач, инцидентов и потерь бизнеса связано как раз с недостатками в данном процессе.

Существуют отечественные и зарубежные стандарты по управлению требованиями, в их основе лежит одна простая идея – разделение бизнес-требований на «первичные», понятные и простые потребности, и преобразование их в «проектные» требования, понятные ИТ-специалистам. К привычным ролям «администратора ИБ» и «администратора ИТ» настоятельно рекомендуем добавлять роль «бизнес- администратора» ИС. Соответственно, требования валидируются (происходит оценка, покрывают ли они все потребности) и верифицируются (происходит проверка, качественно ли разработаны и сформулированы сами требования). Также происходит и с итоговыми ИТ-системами и ОИИ. Ведение записей по процессам управления требованиями осуществляется в различных ИС, с присвоением атрибутивной информации о статусах жизненного цикла. Быстрая адаптация требований под конкретную ситуацию: финансовую, технологическую и т.п. способствует формированию палитры вариантов архитектур ИС.

И последнее, о чем стоит упомянуть, это технические меры «укрепления защищенности» ОИИ. К ним можно отнести, прежде всего, базовую ИТ- и ИБ- гигиену. Она достигается зачастую не столько вендорскими решениями, сколько хорошим пониманием собственной ИТ-инфраструктуры: какое состояние системы изначально задумано (спроектировано), какие порты должны быть открыты, какие сервисы на них работают, какие процессы их запускают, какие интерфейсы имеются. Далее регулярно средствами ИТ-мониторинга собирается актуальная статистика, контролируется целостность этих данных, осуществляется их профилирование. И в дальнейшем уже можно какими-либо средствами автоматизации сравнивать эти данные с текущей картиной в системе, с данными со средств инвентаризации или сканеров, выявлять аномалии и несанкционированые изменения.

Далее уже можно проводить «харденинг», зная, как он повлияет на работоспособность и надежность системы. К данным мероприятиям можно отнести укрепление УЗ и доступов, ужесточение сетевых политик, журналирование событий безопасности и т.п. Сюда же следует отнести «управление поверхностью атаки», когда мы производим тираж уязвимостей, и, конечно, «реагирование». Важно постоянно проводить тренинги по реагированию и улучшать эти процессы по результатам. Кроме того, важно заблаговременно готовить многие рабочие процедуры и мероприятия реагирования. К примеру, в организации следует заблаговременно подготовить детальные описания процедур съема дампов оперативной памяти и изменений файловой системы, дампов траффика, политики изоляции атакующего – блокировку средствами СЗИ или добавлением в обособленный VLAN, отключением порта коммутатора и т.д.

Также важно учитывать различия в степени зрелости процессов ИБ: от поставщика к поставщику она может быть у кого-то «фрагментарной», а у кого-то иметь хороший базовый набор СЗИ (АВЗ, UTM/NGFW, сканер, СЗИ от НСД), но со стандартными настройками. А у кого-то зрелость позволяет расти ИБ как в ширину за счет количества СЗИ (TI, EDR, Sandbox, WAF), так и в глубину (написание своих правил, политик, детектов).

Заключение

Подводя итог всему вышесказанному, хочется еще раз подчеркнуть ключевые мысли, отраженные в данной статье:

  • С публикацией рекомендаций Банка России №7-МР внедрение ГОСТ Р 57580.4 становится все ближе.
  • Процессы операционной надежности охватывают многие подразделения ФО, не только ИТ или ИБ.
  • Проверки поставщиков должны быть не разовыми акциями, а предполагать систематический процесс, схожий с мониторингом.
  • Системное выстраивание в ФО процесса управления требованиями даст на дистанции ощутимый эффект по многим направлениям деятельности.

Источник

Поделиться
Читайте также
Банк России утвердил методические рекомендации по проведению тестирования на проникновение и анализа уязвимостей информационной...
20 января 2025 Какие изменения в регуляторике ИБ ожидаются в 2025 году? Эксперт AKTIV.CONSULTING Влад Крылов рассказал об обновлении ГОСТов, ужесточении контроля за персданными, инициативе ФСТЭК для усиления...
20 января 2025 Владислав Крылов
17 января 2025 «Защищать КИИ непросто, но возможно». Круглый стол экспертов в журнале «Информационная безопасность» Влад Крылов, эксперт по информационной безопасности AKTIV.CONSULTING, принял участие в дискуссии ИБ-экспертов на страницах журнала...
17 января 2025 Владислав Крылов
Регламентируется ли порядок обработки персональных данных? Анастасия Калиничева
10 декабря 2024 Концепция Zero Trust и перспективы её развития В чем суть концепции, какие существуют подходы к ее реализации и какие могут быть сложности при...
10 декабря 2024 Владислав Крылов
19 ноября 2024 Наиболее популярные инструменты для пентеста и OSINT Чем пользуются этичные хакеры для пентеста и сбора информации о своей цели.
19 ноября 2024 Артем Храмых
Не пропустите самые
важные
новости
и мероприятия
Если у Вас остались вопросы,
свяжитесь с нами
Заполните,
пожалуйста, форму

и мы с вами свяжемся
Отправить
Спасибо,

ваша подписка

оформлена.
Назад
Спасибо, что обратились

к нам. В ближайшее время

мы с вами свяжемся.
Назад
Спасибо за ваш интерес.

Мы будем оповещать вас

о встречах дискуссионного клуба.
Назад
Заявка
на дегустационную

консультацию
ПОЛИТИКА АО «АКТИВ-СОФТ» в отношении обработки персональных данных

1. Общие положения

Политика обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152).

Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в АО «Актив-софт» (место нахождения: 115088, г. Москва, ул. Шарикоподшипниковская, д.1, этаж 4, пом. IX, комн.11, ИНН 7729361030, ОГРН 1037700094541), далее — Оператор с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

2. Термины и определения

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Обезличивание персональных данных — действия, в результате которых без использования дополнительной информации невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;

Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Пользователь сайта (Пользователь) — лицо, имеющее доступ к сайту, посредством сети Интернет и использующее данный сайт для своих целей.

Cookies — фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.

IP-адрес — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.

Сайт — интернет-ресурсы АО «Актив-софт», включая (не ограничиваясь) www.rutoken.ru, www.guardant.ru, www.aktiv-company.ru, aktiv.consulting.ru.

АО «Актив-софт» обязано опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике обработки персональных данных в соответствии с ч.2 ст.18.1. ФЗ-152.

3. Принципы и условия обработки персональных данных

3.1. Принципы обработки персональных данных

Обработка персональных данных у Оператора осуществляется на основе следующих принципов:

  • законности и справедливой основы;
  • ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
  • недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
  • недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработки только тех персональных данных, которые отвечают целям их обработки;
  • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
  • недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
  • обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
  • уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.
3.2. Условия обработки персональных данных

Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — общедоступные персональные данные);
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
3.3. Конфиденциальность персональных данных

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3.4. Общедоступные источники персональных данных

В целях информационного обеспечения у Оператора могут создаваться общедоступные источники персональных данных субъектов персональных данных, в том числе справочники и адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных.

Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных либо по решению суда.

3.5. Специальные категории персональных данных

Обработка Оператором специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:

  • субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных; персональные данные сделаны общедоступными субъектом персональных данных;
  • обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
  • обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
  • обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных пунктом 4 статьи 10 ФЗ-152, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральным законом.

Обработка персональных данных о судимости может осуществляться Оператором исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.

3.6. Биометрические персональные данные

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность — биометрические персональные данные — могут обрабатываться Оператором только при наличии согласия субъекта персональных данных в письменной форме.

3.7. Поручение обработки персональных данных другому лицу

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152 и настоящей Политикой

3.8. Обработка персональных данных граждан Российской Федерации

В соответствии со статьей 2 Федерального закона от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев:

  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
  • обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
  • обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
3.9. Трансграничная передача персональных данных

Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи.

Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

  • наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
  • исполнения договора, стороной которого является субъект персональных данных.

4. Права субъекта персональных данных

4.1. Согласие субъекта персональных данных на обработку его персональных данных

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своих интересах.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Использование сайта означает согласие субъекта персональных данных на обработку его персональных данных в целях повышения осведомленности посетителей сайтов о продуктах и услугах, предоставления рекламной информации и оптимизации рекламы. Такое согласие вступает в силу с момента перехода субъекта персональных данных на сайт и действует в течение сроков, установленных действующим законодательством РФ.

Сайт осуществляет сбор статистики об IP-адресах пользователей. Данная информация используется с целью выявления и решения технических проблем, для контроля корректности проводимых операций. Отключение cookies может повлечь невозможность доступа к сайту.

АО «Актив-софт» принимает усилия по защите персональных данных, которые автоматически передаются в процессе посещения страниц сайта:

  • источника захода на сайт и информации поискового или рекламного запроса;
  • данных о пользовательском устройстве (среди которых ip-адрес, разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
  • пользовательских кликов, просмотров страниц, заполнения полей, показов и просмотров баннеров и видео;
  • данных, характеризующие аудиторные сегменты;
  • параметров сессии;
  • данных о времени посещения;
  • идентификаторов пользователя, хранимых в cookies;
  • иной пользовательской информации.
4.2. Права субъекта персональных данных

Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом персональных данных (потенциальным потребителем) с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных.

Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях.

Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.

Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.

5. Обеспечение безопасности персональных данных

Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.

Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:

  • назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
  • ограничение состава лиц, допущенных к обработке персональных данных;
  • ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;
  • организация учета, хранения и обращения носителей, содержащих информацию с персональными данными;
  • определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
  • разработка на основе модели угроз системы защиты персональных данных;
  • проверка готовности и эффективности использования средств защиты информации;
  • разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
  • регистрация и учет действий пользователей информационных систем персональных данных;
  • использование антивирусных средств и средств восстановления системы защиты персональных данных;
  • применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
  • организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных.

6. Заключительные положения

Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.

Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.


Полное наименование: Акционерное общество «Актив-софт»
Сокращенное наименование: АО «Актив-софт»
Юридический адрес: 115088, г. Москва, ул. Шарикоподшипниковская, дом 1, этаж 4, пом. IX, комн. 11
Почтовый (фактический) адрес: 115088, г. Москва, Шарикоподшипниковская ул.,д.1
ИНН 7729361030
ОГРН 1037700094541
Телефон/факс: +7 (495) 925-77-90
Адрес электронной почты: info@aktiv-company.ru