+7 (495) 988 98 21
Кабинет
+7 (495) 988 98 21
Тренды информационной безопасности финансовых систем
08.06.2017

7 июня 2017 года в московском отеле «Золотое кольцо» состоялась конференция «Информационная безопасность в финансовом секторе», на которой выступил директор ИТ-департамента группы компаний QBF Иван Августон.

Конференция «Информационная безопасность в финансовом секторе», организованная CNews, собрала множество экспертов в области IT-технологий. Большинство из них - представители крупнейших отечественных банков, что и определило повестку мероприятия. Спикеры представили на конференции сообщения о том, как изменилась модель угроз для банков за последнее время, какие ресурсы обычно выделяются отечественными кредитно-финансовыми структурами на безопасность ИТ-систем, как меняется спрос на инструменты создания информационной безопасности со стороны банков. Также, на встрече обсудили возможность передачи на аутсорсинг работы в сфере Интернет-безопасности.

Круглый стол открыл Алексей Плешков, независимый эксперт по информационной безопасности. Он сосредоточился на нетиповых инцидентах в области защиты информации в финансовых организациях в 2016-2017 годах. Среди них следует назвать появление вредоносной программы WannaCry. Её массовое распространение началось лишь 12 мая 2017 года, но вирус уже успел нанести вред более 500 тысячам компьютеров в 150 странах мира.

Следующим слово взял представитель Центра компетенций облачных решений МРФ «Центр» ПАО «Ростелеком» Эдуард Горбунов. Он сделал обзор продуктовой линейки компании и рассказал о наиболее перспективных направлениях, в которых сейчас работает «Ростелеком».

Третьим спикером стал Иван Августон, единственный специалист в области IT- безопасности, который представлял на мероприятии инвестиционную компанию. Он выступил с докладом «Защита от конкурентной разведки, или Как найти инсайдера». Эксперт познакомил участников мероприятия с программами, которые используются ГК QBF для обеспечения безопасности. 

В ДОКЛАДЕ СПИКЕРА БЫЛ ПРЕДСТАВЛЕН ПЕРЕЧЕНЬ ДЕЙСТВИЙ СОТРУДНИКА КОМПАНИИ, КОТОРЫЕ ДОЛЖНЫ НАСТОРОЖИТЬ ПРЕДСТАВИТЕЛЕЙ СЛУЖБЫ БЕЗОПАСНОСТИ. НАПРИМЕР, О ПОДГОТОВКЕ КИБЕРАТАКИ МОЖЕТ СВИДЕТЕЛЬСТВОВАТЬ ПОПЫТКА ПОЛЬЗОВАТЕЛЯ СИСТЕМЫ ПОЛУЧИТЬ ДОСТУП К БАЗАМ ДАННЫХ, СЕРВЕРАМ CRM AD, ОХРАННЫМ СИСТЕМАМ ВИДЕОНАБЛЮДЕНИЯ, СКУД И ТАК ДАЛЕЕ. 

Иван Августон рассказал об эксперименте, позволившем сделать вывод о наиболее вероятных каналах кибератак в финансовой компании. В частности, злоумышленники могут действовать через взлом локального учётной записи, сетевое оборудование и социальную инженирию. О потенциальной опасности может говорить несанкционированное подключение устройства, проникновение через Wi-Fi, а также атаки типа mitm. Наконец, спикер подробно остановился на том, что ищут мошенники. «Мотивация инсайдера - один из основных ключей к его выявлению и обезвреживанию. Без анализа мотивов, побудивших того или иного сотрудника распространять закрытую корпоративную информацию, достаточно трудно вывести его «на чистую воду» в сжатые сроки», - заключил эксперт. Докладчик закончил своё выступление анализом маркеров подозрительной активности.

С последними тенденциями в области аутентификации гостей конференции познакомил Андрей Бажин, директор по информационной безопасности ВТБ Капитал. Тему, поднятую Иваном Августоном, продолжил таке главный специалист Отдела информационной безопасности ГЛОБЭКСБАНКа Андрей Алябьев. Он рассмотрел особенности современных методов и приёмов, позволяющих бороться с инсайдерами. Ведущий разработчик Совкомбанка Андрей Бухтияров рассказал на конференции об Интернет- Банке с самым большим количеством элементов безопасности в России.

Завершила встречу дискуссия на тему «Рынок информационной безопасности в финансовом секторе», участниками которой стали начальник службы информационной безопасности «Морского банка» Александр Тимофеев и начальник Управления информационной безопасности Интерпрогрессбанк Алексей Свириденко. Отметим, что многие доклады на круглом столе были встречены вопросами, в комментариях гости встречи охотно делились собственным опытом минимизации киберугроз.

Практически все эксперты сошлись в том, что на создании кибербезопасности экономить нельзя, тем более финансовым компаниям, ведь они не имеют права рисковать капиталом своих клиентов и партнёров. Группа компаний QBF всегда уделяла вопросам защиты IT-систем особое внимание, и это, безусловно, принесло определённые плоды. Система безопасности QBF и впредь продолжит совершенствоваться, чтобы отвечать постоянно меняющимся реалиям современного информационного пространства.

final
Отправить заявку
на консультацию по стратегиям управления активами
Настоящим подтверждаю свое согласие на обработку ООО ИК «КьюБиЭф» моих персональных данных и факт ознакомления с Политикой конфиденциальности

ООО ИК «КьюБиЭф»

Лицензия на осуществление брокерской деятельности № 045-12805-100000, Лицензия на осуществление дилерской деятельности № 045-12816-010000, Лицензия на осуществление деятельности по управлению ценными бумагами № 045-12828-001000, выданы ФСФР России 24 декабря 2009 года без ограничения срока действия.

Стоимость активов может увеличиваться и уменьшаться, результаты инвестирования в прошлом не определяют доходы в будущем. Прежде чем заключить договор доверительного управления следует внимательно ознакомиться с условиями договора доверительного управления. Любые инвестиции в объекты инвестирования, определенные инвестиционной декларацией, являются высокорискованными по своему характеру. Все сделки и операции с имуществом, переданным учредителем управления в доверительное управление, совершаются без поручений учредителя управления. Все решения об инвестировании в конкретные объекты инвестирования принимаются управляющим по собственному усмотрению, исходя из условий инвестиционной декларации.

Получить информацию о продуктах, ознакомиться с условиями договора доверительного управления и иными документами, предусмотренными нормативными актами в сфере финансовых рынков, можно по адресу: Россия, 123317, г. Москва, Пресненская набережная, дом 8, строение 1, тел.: +7 (495) 988-98-21, а также в информационно-телекоммуникационной сети Интернет по адресу: https://qbfin.ru.

Общие положения

Назначение документа

Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с п.2 ч.1 ст.18.1 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет основные принципы, цели, условия и способы обработки персональных данных (далее – ПДн), категории субъектов ПДн и обрабатываемых ПДн, права и обязанности Общества с ограниченной ответственностью Инвестиционная Компания «КьюБиЭф» (далее – Компания) при обработке ПДн, права субъектов ПДн, а также реализуемые в Компании меры по обеспечению безопасности ПДн при осуществлении установленных в Уставе видов деятельности.

Положения настоящей Политики служат основой для разработки локальных актов, регламентирующих в Компании вопросы обработки ПДн.

Нормативные ссылки

Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»). Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Область действия

Действие настоящей Политики распространяется на все процессы Компании, в рамках которых осуществляется обработка ПДн, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.

Использование услуг Компании означает согласие субъекта ПДн с настоящей Политикой и указанными в ней условиями обработки его персональных данных.

Используемые сокращения

ИСПДн — информационная система персональных данных.
ПДн — персональные данные.
РФ — Российская Федерация.

Используемые термины и определения

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Субъект персональных данных — физическое лицо, обладающее персональными данными прямо или косвенно его определяющими.

Утверждение и пересмотр

Настоящая Политика вступает в силу с момента ее утверждения Генеральным директором Компании и действует бессрочно. Компания проводит пересмотр положений настоящей Политики и их актуализацию по мере необходимости, но не реже одного раза в год, а также:

  • при изменении положений законодательства РФ в области ПДн;
  • в случаях выявления несоответствий, затрагивающих обработку и (или) защиту ПДн;
  • по результатам контроля выполнения требований по обработке и (или) защите ПДн;
  • по решению руководства Компании.

При внесении изменений указывается дата последнего обновления редакции. Новая редакция вводится в действие приказом Генерального директора Компании. Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на сайте Компании в сети «Интернет» либо иным способом.

Принципы обработки персональных данных субъектов персональных данных

Общий порядок обработки

При организации обработки ПДн Компания руководствуется следующими принципами:

  • обработка ПДн осуществляется на законной и справедливой основе;
  • обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
  • не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только ПДн, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки;
  • при обработке ПДн обеспечивается точность ПДн, их достаточность и актуальность по отношению к целям обработки ПДн;
  • хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен Федеральным законом «О персональных данных», договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. 

Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей. Компания в своей деятельности исходит из того, что субъект ПДн предоставляет точную и достоверную информацию, во время взаимодействия с Компанией, извещает представителей Компании об изменении своих ПДн.

Цели сбора и обработки персональных данных субъектов компании

Компания производит обработку ПДн, в соответствии с договорными обязательствами (исполнение соглашений, договоров и обязательств), общехозяйственной деятельностью Компании, а также в соответствии с требованиями законодательства РФ в области ПДн.

В Компании производится обработка ПДн следующих категорий субъектов персональных данных:

  • работников (в том числе уволенных) Компании;
  • родственников работников Компании;
  • представителей контрагентов и других физических лиц, по договорам возмездного оказания услуг, купли-продажи недвижимости;
  • физических лиц — клиентов Компании по направлению инвестиционной деятельности компании.
Для каждой категории субъектов ПДн определены цели обработки их ПДн:
  • Целями обработки ПДн работников Компании являются обеспечение соблюдения законов и иных нормативных правовых актов, содействие в трудоустройстве, обучении и продвижении по службе, осуществление кадровой и бухгалтерской деятельности организации, обеспечение личной безопасности работника и сохранности имущества организации, выполнение функций, предусмотренных должностной инструкцией и трудовым договором, контроль количества и качества выполняемой работы, обеспечение обратной связи с клиентами в части предоставления дополнительной информации о Компании.
  • Целью обработки ПДн представителей контрагентов — юридических лиц и физических лиц, осуществляющих деятельность по договорам ГПХ или купли-продажи недвижимости, является взаимодействие по вопросам выполнения условий договора, платежам и для отправки писем о наличии просроченной задолженности.
  • Целями обработки ПДн клиентов — физических лиц Компании являются оформление и работа по договорам доверительного управления, договорам на брокерское обслуживание, проведение торговых операций в интересах клиента, информирование клиентов и результатах инвестирования, обеспечение обратной связи с целью предоставления дополнительной информации о Компании, анализ степени удовлетворенности клиентов – физических лиц, изучение рынка, сбор и актуализация контактных данных для осуществления информационных рассылок.
  • Целью обработки ПДн родственников работников является достижение целей, предусмотренных законом, для осуществления и выполнения, возложенных законодательством РФ на Компанию функций, полномочий и обязанностей (5 абзац статьи 228, 11 абзац статьи 229, 6 абзац статьи 230 и др. статьи Трудового кодекса РФ).

В Компании не обрабатываются специальные категории и биометрические ПДн. Перечень обрабатываемых ПДн определяется действующим законодательством РФ, а также локальными документами Компании. В Компании осуществляется сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение ПДн при их обработке как с использованием средств автоматизации, так и без использования таковых.

Условия обработки персональных данных субъектов персональных данных
и ее передачи третьим лицам

Компания обрабатывает ПДн субъектов ПДн в соответствии с внутренними нормативными документами, разработанными в соответствии с требованиями законодательства РФ в области ПДн. При обработке ПДн субъекта, обеспечивается их конфиденциальность, целостность и доступность. Передача ПДн третьим лицам для выполнения договорных обязательств осуществляется только с согласия субъекта ПДн, а для выполнения требований законодательства РФ – в рамках установленной законодательством процедуры.

Компания может поручить обработку ПДн другому лицу при выполнении следующих условий:

  • получено согласие субъекта ПДн на поручение обработки ПДн другому лицу;
  • поручение обработки ПДн осуществляется на основании заключаемого с этим лицом договора, разработанного с учетом требований Федерального закона «О персональных данных».

Лицо, осуществляющее обработку ПДн по поручению Компании, обязано соблюдать принципы и правила обработки ПДн и несет ответственность перед Компанией. Компания несет ответственность перед субъектом ПДн за действия уполномоченного лица, которому Компания поручила обработку ПДн. При обработке ПДн субъектов, Компания руководствуется положениями Федерального закона «О персональных данных».

Права субъекта на доступ и изменение его персональных данных

Для обеспечения соблюдения установленных законодательством прав субъектов ПДн, в Компании разработан и введен порядок работы с обращениями и запросами субъектов ПДн, а также порядок предоставления субъектам ПДн информации, установленной законодательством РФ в области ПДн.

Данный порядок обеспечивает соблюдение следующих прав субъекта ПДн:

  • Право на получение информации, касающейся обработки ПДн соответствующего субъекта ПДн, в том числе содержащей:

1) подтверждение факта обработки ПДн;
2) правовые основания и цели обработки ПДн;
3) цели и применяемые Компанией способы обработки ПДн;
4) наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании иных требований Федерального закона «О персональных данных»;
5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких ПДн не предусмотрен Федеральным законом «О персональных данных»;
6) сроки обработки ПДн, в том числе сроки их хранения;
7) порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом «О персональных данных»;
8) информацию об осуществляемой или о предполагаемой трансграничной передаче ПДн;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими требованиями законодательства в области ПДн.

  • Право на уточнение, блокирование или уничтожение своих ПДн, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ в области ПДн меры по защите своих прав.

Запрос субъекта ПДн должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи казанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Компанией, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.

Обязанности и права компании

В соответствии с требованиями Федерального закона «О персональных данных» Компания обязуется:

  • осуществлять обработку ПДн с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных»;
  • не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено Федеральным законом «О персональных данных»;
  • представлять доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, в соответствии с которыми такое согласие не требуется;
  • осуществлять обработку ПДн только с согласия в письменной форме субъекта ПДн, в случаях, предусмотренных Федеральным законом «О персональных данных»;
  • представлять субъекту ПДн или его представителю по запросу информацию, касающуюся обработки ПДн соответствующего субъекта ПДн, либо предоставить мотивированный отказ в предоставлении указанной информации, содержащий ссылку на положения Федерального закона «О персональных данных», в срок, не превышающий тридцати дней со дня обращения субъекта ПДн или его представителя;
  • разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн, если предоставление ПДн является обязательным в соответствии с Федеральным законом «О персональных данных»;
  • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
  • вносить изменения в обрабатываемые ПДн по требованию субъекта ПДн или его представителя, в случае подтверждения факта неточности обрабатываемых ПДн соответствующего субъекта ПДн в течение семи рабочих дней;
  • блокировать обработку ПДн в срок, не превышающий трех рабочих дней, в случае выявления неправомерной обработки при обращении субъекта ПДн или его представителя, если блокирование ПДн не нарушает права и законные интересы соответствующего субъекта ПДн или третьих лиц;
  • уничтожать ПДн соответствующего субъекта ПДн в срок, не превышающий десяти рабочих дней, в случае, если обеспечить правомерность обработки ПДн невозможно;
  • уведомлять субъекта ПДн или его представителя обо всех изменениях, касающихся соответствующего субъекта ПДн;
  • вести журнал учета обращений субъектов ПДн, в котором фиксируются все запросы и обращения субъекта ПДн или его представителя;
  • прекращать обработку и уничтожать ПДн соответствующего субъекта ПДн, в случае достижения цели обработки ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Компанией и субъектом ПДн, либо Федеральным законом «О персональных данных» или другими федеральными законами;
  • прекращать обработку ПДн и уничтожать ПДн соответствующего субъекта ПДн, в случае отзыва субъектом ПДн согласия на обработку своих ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Компанией и субъектом ПДн.

В соответствии с положениями Федерального закона «О персональных данных» Компания имеет право:

  • осуществлять обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в ст.6, 10, 11 Федерального закона «О персональных данных»;
  • отказать субъекту ПДн в выполнении запроса/повторного запроса, в случае, если субъекту ПДн был предоставлен мотивированный ответ об отказе выполнения такого запроса;
  • осуществлять обработку ПДн без уведомления Роскомнадзора об обработке ПДн в случаях обработки ПДн:

1) в соответствии с трудовым законодательством; 2) полученных Компанией в связи с заключением договора, стороной которого является субъект ПДн, если ПДн не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются Компанией исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн; 3) включающих в себя только фамилии, имена и отчества субъектов ПДн; 4) без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ в области ПДн.

Меры, применяемые для защиты персональных данных субъектов

Компания принимает необходимые и достаточные организационные и технические меры для защиты ПДн субъектов ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

Меры по обеспечению безопасности ПДн, применяемые в Компании:

  • Назначение ответственного за организацию обработки ПДн.
  • Издание документов, определяющих политику Компании в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ в области ПДн, устранение последствий таких нарушений.
  • Оценка вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства РФ в области ПДн, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения законодательства РФ в области ПДн.
  • Ознакомление работников Компании, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ в области ПДн, в том числе  требованиями к защите ПДн, документами, определяющими политику Компании в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.
  • Определение угроз безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн).
  • Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
  • Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
  • Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн.
  • Учет машинных носителей ПДн.
  • Обнаружение фактов несанкционированного доступа к ПДн и принятие мер.
  • Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
  • Установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн.
  • Контроль принимаемых мер по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

Лица, ответственные за организацию обработки персональных данных в компании

Компания назначает лицо, ответственное за организацию обработки ПДн. Лицо, ответственное за организацию обработки ПДн, получает указания непосредственно от Генерального директора Компании.

Лицо, ответственное за организацию обработки ПДн обязано:

  • осуществлять внутренний контроль за соблюдением Компанией и ее работниками законодательства РФ в области ПДн, а также внутренних организационно- распорядительных документов Компании по вопросам обработки и защиты ПДн;
  • доводить до сведения работников Компании положения законодательства РФ в области ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
  • участвовать в пересмотре внутренних организационно-распорядительных документов Компании по вопросам обработки и защиты ПДн;
  • организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль приема и обработки таких обращений и запросов.

Ответственность за реализацию положений политики

Работники Компании, осуществляющие обработку ПДн, а также ответственные лица за организацию и обеспечение безопасности ПДн в Компании несут дисциплинарную и административную ответственность в соответствии с действующим законодательством РФ за нарушение положений настоящей Политики, локальных актов Компании, иных требований, предусмотренных законодательством РФ в области ПДн.