9 марта 2023
Поделиться
Уральский форум глазами участников Эксперты AKTIV.CONSULTING поделились на страницах «Банковского обозрения» ключевыми тезисами самых интересных, на их взгляд, сессий Уральского форума.
Уральский форум глазами участников

С 15 по 17 февраля в Екатеринбурге проходил Уральский форум «Кибербезопасность в финансах». Организатором мероприятия стал Банк России в партнерстве с лидерами рынка информационной безопасности

15 февраля

Сессия «Управление киберриском»

По мнению докладчиков, управление рисками информационных угроз необходимо в первую очередь для расстановки приоритетов как внутри функции ИБ, так и на уровне всей организации. Помимо этого, управление рисками позволяет определить четкие регламенты действий во время внештатных ситуаций. К сожалению, многие организации до сих пор относятся к управлению киберрисками, как к части комплаенса. В то же время это возможность для службы ИБ начать диалог с топ-менеджментом на языке бизнеса, то есть на языке денег и моделей, что повышает прозрачность функции ИБ и встраивает ее в процесс управления организацией.

Поднимались на сессии и «неудобные» вопросы, например об острой нехватке российских методологий в области оценки киберрисков, а также о необходимости отраслевого обмена информацией по инцидентам для определения вероятностей их реализации. При этом все участники сошлись во мнении, что самостоятельно рынок не сможет организовать этот процесс и обеспечить его защищенность, а значит, необходимо непосредственное участие регулятора.

Сессия «Информационная безопасность некредитных финансовых организаций»

Примечательно, что отдельная сессия для некредитных финансовых организаций (НФО) проводилась на Уральском Форуме впервые. Эксперты обсудили основные тренды последних нескольких лет.

НФО почувствовали значительный приток розничных клиентов — физических лиц, появились новые задачи по защите прав клиентов. В то же время во многих НФО пока еще нет выделенной службы ИБ либо она не очень зрелая по сравнению с такими службами кредитных организацияй. Как результат регулятор ввел новые требования по информационной безопасности для НФО, где риски ИБ включил в систему управления рисками организаций. Поддержка этих требований нуждается в значительных ресурсах, и большая часть организаций не готова к таким затратам.

Хотя регуляторика для НФО и копирует банковские нормативно-правовые акты, однако риски некредитных и кредитных организаций сильно различаются. НФО, со своей стороны, поддерживают инициативы по введению практики аттестации аудита информационной безопасности Банком России, отрасль нуждается в доверенной среде аудита.

Сессия «Аудит информационной безопасности»

Спикерами стали представители Банка России и эксперты ИБ-отрасли, модератором выступила Анастасия Харыбина, председатель АБИСС и руководитель AKTIV.CОNSULTING. Участники сошлись во мнении, что в ближайшее время финансовые организации и экспертное сообщество должны пересмотреть роль внешнего аудита ИБ.

Внешний аудит информационной безопасности должен стать инструментом обеспечения операционной надежности, а значит, необходимо контролировать качество и сопоставимость его результатов. При этом нужно понимать, что при сегодняшних темпах развития количество обязательных аудитов будет увеличиваться. Все это требует разработки стандартов, регулирующих данную сферу, а также создания системы добровольной сертификации для аудиторских компаний.

Отдельным важным вопросом участники сессии назвали регламентирование действий внешних аудиторов. В пользу скорейшей подготовки соответствующих стандартов высказывались сами аудиторы. В этой связи Банк России запланировал изменения в существующий отраслевой стандарт СТО БР ИББС, а также разработку стандарта по оценке качества работы аудиторов, который будет гармонизирован со стандартами серии ISO/ИСО 27000.

Анастасия Харыбина

Руководитель AKTIV.CОNSULTING и председатель Ассоциации АБИСС

Мастер-класс «Стандарты по информационной безопасности,операционной надежности и управлению рисками»

В рамках сессии участники узнали о ключевых активностях Технического комитета по стандартизации «Стандарты финансовых операций» ТК 122.

  1. Разрабатываются стандарты идентификации и аутентификации с привлечением третьих сторон — Сбер id, Яндекс id. Планируется включение требований в Профиль защиты по линии безопасной разработки.
  2. Разрабатываются стандарты безопасности для протоколов открытых API.
  3. Разрабатываются стандарты безопасности QR-кодов совместно с НСПК.
  4. Идет переработка стандарта взаимодействия с ФинЦЕРТ.

Спикеры подчеркнули, что Россия остается участником международного рынка платежных систем и соблюдает требования стандартов. Также НСПК участвует в разработке новой версии стандарта PCI DSS, и уже в скором времени ожидается принятие PCI DSS 4.0. Что касается требования по внешнему аудиту, то его проведение остается необходимым для участников платежных систем.

16 февраля

Сессия «Основные направления развития информационной безопасности в кредитно-финансовой сфере»

Второй день Уральского форума стартовал с доклада Германа Зубарева, заместителя председателя Банка России, который рассказал об основных направлениях развития информационной безопасности в кредитно-финансовой сфере.

Он обозначил три ключевые цели ведомства в сфере ИБ на ближайшие три года:

  • защита прав потребителей финансовых услуг и повышение доверия к цифровым технологиям;
  • безопасные цифровые и платежные технологии, обеспечение технологического суверенитета;
  • контроль рисков ИБ для непрерывного оказания финансовых услуг.

Представитель Банка России отметил, что для достижения перечисленных целей необходимо соблюдать баланс интересов граждан, бизнеса и государства.

Панельная дискуссия «Противодействие мошенничеству и социальной инженерии»

В рамках панельной дискуссии выступила председатель Банка России Эльвира Набиуллина. Она подчеркнула, что ЦБ будет уделять больше внимания развитию информационной безопасности. Это связано с тремя основными трендами:

  • развитием технологий;
  • развитием экосистем и переходом приложений в единый интерфейс;
  • значительным рост кибератак.

Также Эльвира Набиуллина отметила, что банки обязаны блокировать денежные переводы на мошеннические счета. Глава ЦБ допустила создание единой централизованной базы данных мошенников, которая будет способствовать ускорению обмена информацией между банками. По мнению главы ЦБ, кредитные организации должны нести ответственность перед клиентами и возмещать ущерб. Это станет стимулом для развития антифрода, потому что системы защиты могут создать только сами финансовые институты.

17 февраля

Сессия «Технологическая независимость: миф или реальность?»

В рамках сессии участники обсуждали проблемы импортозамещения средств защиты информации в финансовой отрасли. Они подтвердили, что импортозамещение средств защиты информации находится сейчас на высоком уровне — практически по каждому классу есть аналоги. Основная проблема, которая пока находится в стадии решения, связана с сетевой безопасностью.

Государство стимулирует переход на российские решения «кнутом и пряником»: с одной стороны, установлены жесткие сроки по переходу — 1 января 2025 года, с другой — выделено 75 млрд рублей на поддержку разработки, а также созданы все условия для организаций и самих разработчиков (налоговые льготы, отсрочка от мобилизации и прочие).

Вносятся изменения и в действующую регуляторику: на весенней сессии ожидается принятие Госдумой поправок в федеральные законы, которые скорректируют критерии отнесения программного обеспечения к отечественному. Также за федеральными органами исполнительной власти закрепят функции по утверждению планов по импортозамещению и контролю их реализации (для финансовой отрасли это будет возложено на Банк России).

Помимо этого, в 2023 году планируется создание российского репозитория опенсорсного кода, где будут выстроены процессы анализа уязвимостей ПО, а также контроля обновлений.

Сессия «Реализация жизненного цикла безопасной разработки программного обеспечения (DEVSECOPS)»

По различным оценкам, в финансовой отрасли используется 70–80% open source ПО, и риски атак на него оценивались и раньше. Уязвимости и закладки в крупных библиотеках быстро выявлялись самим комьюнити. В связи с изменением ситуации в 2022 году стали актуальны два вектора: зависимость от «мелких» библиотек и действия удаленных команд разработки.

При общей готовности к рискам open source эксперты отметили фактор «capacity», т.е. нехватку ресурса сотрудников «в моменте» во время пиковой нагрузки. И здесь организациям может помочь риск-ориентированный подход, когда часть персонала переводят с менее критичных работ на проверку кода.

50% компаний с собственной разработкой начинают внедрять процедуры безопасной разработки ПО. Помимо стандартных инструментов SAST, DAST, IAST начинается применение продвинутых инструментов, таких как:

  • динамическое конфигурирование среды исполнения;
  • software bill of materials (SBOM), средства инвентаризации состава ПО и выявления известных уязвимостей, определение лицензионной политики на сторонние компоненты и библиотеки;
  • security by design, концепция своеобразной цифровой иммунной системы программного комплекса с самых ранних стадий его жизненного цикла.

Подходы DevSecOps прежде всего способствуют реализации требований к отказоустойчивости информационных систем. Что изменилось за 2022 год: если раньше все крупные репозитории считались доверенной средой, то с прошлого года компании стали организовывать свои локальные «чистые» репозитории. В такие «чистилища», как в шутку их называют между собой специалисты, попадает только проверенный на безопасность код, в том числе повторно при его обновлении.

Участники встречи также рассказали о своем отношении к государственному регулированию вопросов безопасной разработки. Некоторые эксперты отметили, что иногда первые редакции требований невыполнимы, но необходимо вступать в диалог с регулятором и искать баланс между развитием ПО и поиском уязвимостей в нем. Финансовый сектор развивается конкурентными темпами, отставать нельзя даже на полгода. Выход — предлагать регулятору свою встречную концепцию.

Сессия «Аутсорсинг на финансовом рынке: оптимизация расходов или новые риски?»

Участники отметили, что аутсорсинг IT в финансовой отрасли нужен и полезен, особенно для тестирования разработанных сервисов в облаках, но говорить о передаче «core-функций» (АБС, процессинг и т.п.) пока рано. Основные риски аутсорсинга, с которыми могут столкнуться организации, касаются регуляторики и операционной надежности (от ошибок конфигурации не раз страдали даже крупные сервис- и интернет-провайдеры). При этом эксперты согласились с тем, что на услуги аутсорсинга IT и ИБ существует большой спрос, особенно у банков с базовой лицензией и малых/средних НФО.

На сессии стало известно, что Банк России готовит проекты положений, которые полностью опишут процесс аутсорсинга IT и ИБ для финансовой отрасли, а также возможные поправки в закон.

Основные сложные моменты, которые необходимо проработать:

  • обозначить правовой статус аутсорсинговой компании;
  • указать полномочия ЦБ по определению порядка передачи данных;
  • сформулировать ответственность аутсорсеров.

Регулятор предлагает сосредоточиться прежде всего не на разделении уголовной и административной ответственностью между финансовой организацией и аутсорсером, а на выстраивании системы защиты информации и обеспечения операционной надежности у последнего.

В процессе сессии стало очевидно, что необходимо проработать аспекты создания реестра доверенных провайдеров, их сертификацию и, возможно, аудит. Все это Банк России возьмет в проработку, и он надеется в ближайшее время поделиться с рынком своими наработками.

Сессия «Идентификация, аутентификация. Единая биометрическая система»

Эксперты подняли проблему определения конечных бенефициаров юридических лиц. На текущий момент есть два подхода: самодекларация и государственные информационные ресурсы. С точки зрения надзорных органов пока лидирует второй подход (исходя из практики Росфинмониторинга и ФНС).

Обсуждался вопрос отдельных реестров бенефициаров, в работе которых сегодня обозначены две проблемы: поддержание реестра в актуальном состоянии и вопросы обработки персональных данных.

Участники обсудили принятый федеральный закон об обороте биометрических данных для целей идентификации и аутентификации. Важным изменением, которое планируется внедрить, является хранение биометрии только у регулятора. Коммерческим организациям разрешат осуществлять только сбор биометрии, а работать уже с преобразованными данными.

В рамках сессии также была рассмотрена зарубежная практика:

  • «европейский подход», который реализуется с 2007 года и заключается в использовании цифрового паспорта с машиночитаемой доверенностью и электронной подписью, обеспечивающими широкий спектр применения;
  • «азиатский подход», который подразумевает создание единой централизованной информационной системы, что позволит уже к 2025 году использовать приложения для идентификации и аутентификации.

Сессия «Взаимодействие организаций финансовой сферы с правоохранительными органами»

В 2022 году, по данным МВД, было зафиксировано 522 тыс. преступлений с использованием информационных технологий, в особенности с помощью социальной инженерии.

Участники сессии отметили одну из проблем раскрываемости — низкую скорость отработки цифровых следов. Преступления происходят в цифровой плоскости, а процессы правоохранительных органов — аналоговые.

В связи с этим Банк России предложил новую схему взаимодействия финансовых организаций с правоохранительными органами:

  • пострадавший обращается в банк, который направляет его в МВД;
  • МВД делает запрос в ФинЦЕРт по операциям без согласия;
  • информация из банка отправляется через ФинЦЕРТ в МВД.

Это позволит ускорить получение информации для восстановления цепочки вывода средств.

Для борьбы с дропперами Банк России предлагает внести поправки в Федеральный закон № 161-ФЗ. Это позволит изменить процесс взаимодействия: МВД сможет направлять информацию в ФинЦЕРТ (при наличии возбужденного дела и книги учета сообщений о происшествиях, а ФинЦЕРТ — пересылать информацию во все банки, которые будут блокировать все открытые счета дроппера.

Важным стало заявление представителей Сбера, которые рассказали о своем участии в расследовании по мошенническому колл-центру в Бердянске. По словам экспертов, в ближайшее время ожидается официальное совместное заявление Сбера и правоохранительных органов. Это дело станет первым прецедентом с реальными сроками для мошенников.

Сессия «Национальные цифровые проекты и информационная безопасность»

Эксперты подчеркнули, что финансовая отрасль является самой защищенной, число успешных атак на ее организации снизилось с 8% в 2021 году до 4% в 2022-м. Тем не менее уязвимости в финансовой отрасли остаются, в том числе по вине подрядчиков, которые предоставляют широкие возможности для проведения атак.

Пока ситуация складывается так, что IТ-аутсорсеры не поддерживают идею регулирования. Банк России не хочет брать их под контроль. Поэтому требуется внимание к данному вопросу со стороны профильных регуляторов.

Участники также констатировали изменение классического подхода к защите информации в концепции security by design. По их мнению, если распределять данные в архитектуре решений, отпадает необходимость их защищать. Лучший эффект при этом дает консолидация IT, бизнеса и ИБ.

Источник

Поделиться
Читайте также
Эксперт AKTIV.CONSULTING Алексей Филиппов рассмотрел возможные изменения в закон «О безопасности критической информационной... Алексей Филиппов
14 марта 2024 Практика расчета субъектом КИИ ущерба бюджетам РФ В данной статье эксперты рассмотрели проблематику расчета показателя, затрагивающего практически каждый субъект КИИ, который отражает...
14 марта 2024 Александр Моисеев, Алексей Филиппов
12 марта 2024 Практика подготовки периодической отчетности по операционной надежности для Банка России В I квартале 2024 года кредитным организациям необходимо впервые предоставить регулятору отчетность по операционной надежности...
12 марта 2024 Александр Моисеев
Эксперт AKTIV.CONSULTING Алексей Филиппов сделал обзор основной нормативной документации, которая поможет разобраться в процессах... Алексей Филиппов
28 февраля 2024 Сложности при проектировании системы обеспечения ИБ для значимых объектов КИИ Эксперты AKTIV.CONSULTING продолжают раскрывать способы решения задач по созданию системы обеспечения информационной безопасности на значимых...
28 февраля 2024 Ольга Зобнина, Александр Моисеев
20 февраля 2024 Планы ФСТЭК России на 2024 год Основные изменения в нормативной базе, которые анонсировала ФСТЭК России на ТБ...
20 февраля 2024
Не пропустите самые
важные
новости
и мероприятия
Если у Вас остались вопросы,
свяжитесь с нами
Заполните,
пожалуйста, форму

и мы с вами свяжемся
Отправить
Спасибо,

ваша подписка

оформлена.
Назад
Спасибо, что обратились

к нам. В ближайшее время

мы с вами свяжемся.
Назад
Спасибо за ваш интерес.

Мы будем оповещать вас

о встречах дискуссионного клуба.
Назад
Заявка
на дегустационную

консультацию
ПОЛИТИКА АО «АКТИВ-СОФТ» в отношении обработки персональных данных

1. Общие положения

Политика обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152).

Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в АО «Актив-софт» (место нахождения: 115088, г. Москва, ул. Шарикоподшипниковская, д.1, этаж 4, пом. IX, комн.11, ИНН 7729361030, ОГРН 1037700094541), далее — Оператор с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

2. Термины и определения

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Обезличивание персональных данных — действия, в результате которых без использования дополнительной информации невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;

Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Пользователь сайта (Пользователь) — лицо, имеющее доступ к сайту, посредством сети Интернет и использующее данный сайт для своих целей.

Cookies — фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.

IP-адрес — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.

Сайт — интернет-ресурсы АО «Актив-софт», включая (не ограничиваясь) www.rutoken.ru, www.guardant.ru, www.aktiv-company.ru, aktiv.consulting.ru.

АО «Актив-софт» обязано опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике обработки персональных данных в соответствии с ч.2 ст.18.1. ФЗ-152.

3. Принципы и условия обработки персональных данных

3.1. Принципы обработки персональных данных

Обработка персональных данных у Оператора осуществляется на основе следующих принципов:

  • законности и справедливой основы;
  • ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
  • недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
  • недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработки только тех персональных данных, которые отвечают целям их обработки;
  • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
  • недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
  • обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
  • уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.
3.2. Условия обработки персональных данных

Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — общедоступные персональные данные);
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
3.3. Конфиденциальность персональных данных

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3.4. Общедоступные источники персональных данных

В целях информационного обеспечения у Оператора могут создаваться общедоступные источники персональных данных субъектов персональных данных, в том числе справочники и адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных.

Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных либо по решению суда.

3.5. Специальные категории персональных данных

Обработка Оператором специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:

  • субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных; персональные данные сделаны общедоступными субъектом персональных данных;
  • обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
  • обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
  • обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных пунктом 4 статьи 10 ФЗ-152, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральным законом.

Обработка персональных данных о судимости может осуществляться Оператором исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.

3.6. Биометрические персональные данные

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность — биометрические персональные данные — могут обрабатываться Оператором только при наличии согласия субъекта персональных данных в письменной форме.

3.7. Поручение обработки персональных данных другому лицу

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152 и настоящей Политикой

3.8. Обработка персональных данных граждан Российской Федерации

В соответствии со статьей 2 Федерального закона от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев:

  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
  • обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
  • обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
3.9. Трансграничная передача персональных данных

Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи.

Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

  • наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
  • исполнения договора, стороной которого является субъект персональных данных.

4. Права субъекта персональных данных

4.1. Согласие субъекта персональных данных на обработку его персональных данных

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своих интересах.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Использование сайта означает согласие субъекта персональных данных на обработку его персональных данных в целях повышения осведомленности посетителей сайтов о продуктах и услугах, предоставления рекламной информации и оптимизации рекламы. Такое согласие вступает в силу с момента перехода субъекта персональных данных на сайт и действует в течение сроков, установленных действующим законодательством РФ.

Сайт осуществляет сбор статистики об IP-адресах пользователей. Данная информация используется с целью выявления и решения технических проблем, для контроля корректности проводимых операций. Отключение cookies может повлечь невозможность доступа к сайту.

АО «Актив-софт» принимает усилия по защите персональных данных, которые автоматически передаются в процессе посещения страниц сайта:

  • источника захода на сайт и информации поискового или рекламного запроса;
  • данных о пользовательском устройстве (среди которых ip-адрес, разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
  • пользовательских кликов, просмотров страниц, заполнения полей, показов и просмотров баннеров и видео;
  • данных, характеризующие аудиторные сегменты;
  • параметров сессии;
  • данных о времени посещения;
  • идентификаторов пользователя, хранимых в cookies;
  • иной пользовательской информации.
4.2. Права субъекта персональных данных

Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом персональных данных (потенциальным потребителем) с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных.

Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях.

Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.

Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.

5. Обеспечение безопасности персональных данных

Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.

Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:

  • назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
  • ограничение состава лиц, допущенных к обработке персональных данных;
  • ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;
  • организация учета, хранения и обращения носителей, содержащих информацию с персональными данными;
  • определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
  • разработка на основе модели угроз системы защиты персональных данных;
  • проверка готовности и эффективности использования средств защиты информации;
  • разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
  • регистрация и учет действий пользователей информационных систем персональных данных;
  • использование антивирусных средств и средств восстановления системы защиты персональных данных;
  • применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
  • организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных.

6. Заключительные положения

Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.

Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.


Полное наименование: Акционерное общество «Актив-софт»
Сокращенное наименование: АО «Актив-софт»
Юридический адрес: 115088, г. Москва, ул. Шарикоподшипниковская, дом 1, этаж 4, пом. IX, комн. 11
Почтовый (фактический) адрес: 115088, г. Москва, Шарикоподшипниковская ул.,д.1
ИНН 7729361030
ОГРН 1037700094541
Телефон/факс: +7 (495) 925-77-90
Адрес электронной почты: info@aktiv-company.ru