Отчет об устойчивом развитии АО «Эксперт РА» за 2023 год
en

Кибербезопасность и защита персональных данных

Существенная тема:

защита персональных данных

GRI: 3-3; 418-1; SV-PS-230a.1; SV-PS-230a.2

Кибербезопасность

В АО «Эксперт РА» действует Система обеспечения информационной безопасности, цели которой — создание и постоянное соблюдение в Агентстве условий, при которых риски нарушения информационной безопасности (ИБ) постоянно контролируются и находятся на допустимом (приемлемом) уровне риска в соответствии с Положением об обеспечении информационной безопасности Агентства. АО «Эксперт РА» определяет следующие основные принципы обеспечения ИБ.

Своевременность обнаружения проблем, относящихся к ИБ, прогнозируемость их развития и оценка влияния на бизнес-цели Агентства
Основные документы, регламентирующие подход Агентства к кибербезопасности и защите персональных данных:
  • Положение об обеспечении информационной безопасности АО «Эксперт РА»;
  • Положение об обеспечении режима конфиденциальности и работе с конфиденциальной информацией АО «Эксперт РА»;
  • Положение по организации пропускного и внутриобъектового режима в АО «Эксперт РА»;
  • Политика в отношении персональных данных;
  • Положение об обработке и защите персональных данных;
  • Положение об инсайдерской информации и защите ее конфиденциальности в АО «Эксперт РА».

В Агентстве осуществляются постоянный мониторинг и аудит Системы обеспечения ИБ, по результатам которых проводится анализ эффективности принятых мер с учетом изменений информационной сферы, появления новых угроз, инцидентов ИБ и проблем; планирование и внедрение дополнительных мер защиты. Это позволяет обеспечить непрерывность реализации принципов безопасного функционирования.

Проводится обучение сотрудников в области повышения осведомленности в вопросах ИБ, программа обучения корректируется с учетом актуальных угроз, в любой момент сотрудники могут обратиться в Службу защиты активов (СЗА) и получить консультацию по вопросам ИБ. При необходимости СЗА сообщает сотрудникам о текущих угрозах посредством информационных писем.

Персональные данные

Основной целью обеспечения безопасности персональных данных является минимизация физического, материального, финансового или морального ущерба — как непосредственного, так и опосредованного, возникающего вследствие возможной реализации угроз безопасности персональных данных.

Агентство ответственно относится к обращению с персональными данными и конфиденциальной информацией, получаемой от сотрудников и клиентов, а также поставщиков и подрядчиков.

Принимаемые АО «Эксперт РА» меры для повышения информационной безопасности:

  • Агентство включено в реестр операторов персональных данных (рег. номер 77-23-153368);
  • организована обработка персональных данных в соответствии с законодательством;
  • принимается и постоянно актуализируется ряд документов в области обработки персональных данных;
  • проводятся мероприятия по повышению надежности хранения данных;
  • проведен аудит соответствия обработки персональных данных сторонней компанией;
  • сотрудники регулярно информируются о правилах работы с персональными данными.

Контроль обеспечения безопасности обращения с персональными данными производит Служба защиты активов, руководство осуществляет директор по безопасности — член Правления как ответственный за организацию обработки персональных данных в Агентстве. В рамках обращения с персональными данными и инсайдерской информацией работники руководствуются внутренними регламентирующими документами, в том числе моделью угроз для информационных систем персональных данных.

Утвержден перечень документов, содержащих персональные данные, и систем обработки персональных данных, а также ограниченный список работников, имеющих доступ к обработке персональных данных.

100% сотрудников ознакомлено с действующими законодательными и другими нормативно-правовыми актами в области защиты персональных данных. В Агентстве систематически проводятся проверки сотрудников, обрабатывающих персональные данные, на предмет знания и соблюдения требований нормативных документов по защите конфиденциальных сведений. Осуществляются мероприятия по обеспечению безопасности обработки персональных данных в соответствии с Планом внутреннего контроля соблюдения законодательства и локальных актов в области персональных данных Агентства.

Инсайдерская информация клиентов

В Агентстве производятся регистрация и контроль конфиденциальной информации, полученной от клиентов (инсайдерской информации), строго в соответствии с действующим законодательством Российской Федерации. Осуществляются мероприятия по предотвращению, выявлению и пресечению неправомерного использования инсайдерской информации и манипулирования рынком в соответствии с Правилами внутреннего контроля по предотвращению, выявлению и пресечению неправомерного использования инсайдерской информации и (или) манипулирования рынком АО «Эксперт РА».

Закупочная деятельностьПриложения