1. Назначение и область применения
1.1. Настоящая Политика по работе с конфиденциальной информацией (далее — Политика) разработана в целях регламентации основных принципов работы с Конфиденциальной Информацией, устанавливаемых в АКРА, и ответственности работников АКРА по обеспечению её безопасности.
1.2. АКРА обеспечивает защиту Конфиденциальной Информации, в том числе полученной от Рейтингуемого Лица, полученной в процессе деятельности АКРА, а также персональных данных, в соответствии с требованиями законодательства Российской Федерации и нормативных актов Банка России.
1.3. Для обеспечения безопасности Конфиденциальной Информации АКРА использует организационные и технологические меры её защиты.
1.4. Настоящая Политика разработана в соответствии с требованиями Федерального закона от 13.07.2015 № 222-ФЗ «О деятельности кредитных Рейтинговых агентств в Российской Федерации, о внесении изменений в статью 76.1 Федерального закона «О Центральном банке Российской Федерации (Банке России)» и признании утратившими силу отдельных положений законодательных актов Российской Федерации» и Положения Банка России от 17.10.2022 N 808-П «О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций, обязательных для лиц, оказывающих профессиональные услуги на финансовом рынке, к обеспечению бюро кредитных историй защиты информации, указанной в статье 4 Федерального закона "О кредитных историях", при ее обработке, хранении и передаче сертифицированными средствами защиты, а также к сохранности информации, полученной в процессе деятельности кредитного рейтингового агентства».
1.5. Настоящая Политика является внутренним документом АКРА и подлежит публикации в информационно-телекоммуникационной сети Интернет на официальном сайте АКРА.
2. Термины и определения
2.1. АКРА — Аналитическое Кредитное Рейтинговое Агентство (Акционерное общество).
2.2. Конфиденциальная Информация — информация, доступ к которой ограничен в соответствии с международными правовыми нормами (применимыми для Российской Федерации), законодательством Российской Федерации и внутренними нормативными документами АКРА.
2.3. Обработка КИ — любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без их использования с конфиденциальной информацией (в том числе персональными данными), включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение данных.
2.4. Офицер ИБ — работник АКРА, назначенный приказом Генерального директора, отвечающий за осуществление мероприятий по информационной безопасности, соблюдение в АКРА Режима конфиденциальности информации, требований законодательства Российской Федерации, а также требований Банка России к сохранности и защите информации, полученной в процессе деятельности кредитного рейтингового агентства.
2.5. Предоставление КИ — действия, направленные на получение КИ определенным кругом лиц или передачу информации определенному кругу лиц.
2.6. Разглашение КИ — действие или бездействие, в результате которых нарушается конфиденциальность информации в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств), в связи с чем информация становится известной неуполномоченным работникам АКРА или третьим лицам без согласия владельца информации при нарушении установленных в АКРА правил и норм обращения с КИ либо вопреки заключенному договору.
2.7. Рейтинговые Действия — любое из перечисленных событий, производимых в отношении Кредитного Рейтинга Рейтингуемого Лица: присвоение, подтверждение, пересмотр, утверждение и отзыв, а также присвоение или изменение прогноза по Кредитному Рейтингу.
2.8. Режим Конфиденциальности Информации (Режим защиты) — комплекс правовых, организационных, технических и иных мероприятий, установленных АКРА для охраны КИ, которые определяют правила конфиденциальности, допуска, обработки и ответственность за Разглашение КИ. Нарушением Режима защиты являются умышленные или непреднамеренные действия, или бездействие работников АКРА и (или) контрагентов, представителей третьих лиц, приведшие к Разглашению КИ АКРА либо к утрате (уничтожению) документов (как бумажных, так и электронных), содержащих такую информацию.
2.9. Рейтингуемое Лицо — юридическое лицо или публично-правовое образование, способность исполнять принятые на себя финансовые обязательства которых (кредитоспособность, финансовая надежность, финансовая устойчивость) прямо или косвенно оценена в Кредитном Рейтинге АКРА в результате произведенных АКРА Рейтинговых Действий в отношении данного лица.
2.10. Служба комплаенса и внутреннего контроля (СКиВК) — подразделение АКРА, являющееся органом внутреннего контроля АКРА и выполняющее функции внутреннего контроля в соответствии с Законом о рейтинговых агентствах и подзаконными актами Банка России.
3. Цели обработки Конфиденциальной Информации
3.1. Обработка и использование Конфиденциальной Информации осуществляется работниками АКРА исключительно в целях оказания рейтинговых услуг или осуществления бизнес-деятельности АКРА.
3.2. Работники АКРА используют Конфиденциальную Информацию, полученную от Рейтингуемых Лиц, эмитентов, оригинаторов, андеррайтеров или организаторов, а также результаты анализа данной информации исключительно в целях формирования рейтинговых и иных оценок в рамках осуществления Рейтинговой Деятельности и оказания дополнительных услуг.
3.3. АКРА оставляет за собой право использования конфиденциальной статистической информации Рейтингуемого Лица без указания наименований Рейтингуемого Лица в публикациях, использующих сводные статистические данные, при отсутствии возможности выделения из сводных статистических данных конфиденциальной статистической информации третьими лицами.
4. ПредостАвление доступа к Конфиденциальной Информации
4.1. Доступ работников АКРА к Конфиденциальной Информации осуществляется на основании действующей редакции Порядка предоставления и контроля доступа к ИТ-ресурсам АКРА (АО).
4.2. Распределение прав и полномочий при предоставлении доступа работников АКРА к Конфиденциальной Информации осуществляется в минимально необходимом объеме для выполнения служебных обязанностей и поставленных задач.
4.3. Информация, в отношении которой вводится Режим Конфиденциальности Информации, определяется в рамках действующей редакции Перечня конфиденциальной информации АКРА (АО).
5. Требования при работе с Конфиденциальной Информацией
5.1. При работе с Конфиденциальной Информацией не допускается:
-
раскрытие (частичное или полное) работниками АКРА любой Конфиденциальной Информации за исключением случаев, определенных требованиями законодательства Российской Федерации;
-
раскрытие (частичное или полное) работниками АКРА любой Конфиденциальной Информации о будущих Рейтинговых Действиях АКРА;
-
раскрытие (частичное или полное) Конфиденциальной Информации в пресс-релизах, на конференциях, а также в разговорах с потенциальными работодателями, инвесторами, другими эмитентами и иными лицами;
-
распространение работниками АКРА Конфиденциальной Информации внутри АКРА, за исключением тех работников, которым она необходима для выполнения их должностных обязанностей;
-
·распространение работниками АКРА Конфиденциальной Информации, переданной АКРА Рейтингуемым Лицом или эмитентом (оригинатором, андеррайтером или организатором) между работниками аффилированных с АКРА компаний;
-
использование или раскрытие Конфиденциальной Информации, полученной от Рейтингуемых Лиц, эмитентов, оригинаторов, андеррайтеров или организаторов в нарушение условий на которых она была передана АКРА, за исключением случаев, определенных требованиями законодательства Российской Федерации.
5.2. Работники АКРА для защиты Конфиденциальной Информации обязаны:
-
выполнять требования всех внутренних политик и документов АКРА, регламентирующих обеспечение безопасности Конфиденциальной Информации;
-
предпринимать все разумные меры для защиты всей имеющейся в их распоряжении Конфиденциальной Информации от мошеннических действий, кражи, неправомерного использования или непреднамеренного раскрытия;
-
воздерживаться от обсуждения или передачи Конфиденциальной Информации недопущенным до неё работникам АКРА и иным лицам (в офисе АКРА и за его пределами);
-
не разглашать Конфиденциальную Информацию, полученную от клиентов АКРА третьим лицам без получения письменного согласия клиента или по требованию органов власти Российской Федерации;
-
использовать для хранения Конфиденциальной Информации только ИТ-ресурсы АКРА;
-
обеспечивать секретность своих персональных паролей и сохранность служебных ноутбуков, смартфонов, съемных носителей информации и смарт-карт;
-
не обсуждать Конфиденциальную Информацию в публичных местах;
-
не допускать разглашения Конфиденциальной Информации, в т.ч. при подготовке аналитических обзоров, участии в панельных дискуссиях и форумах;
-
не оставлять Конфиденциальную Информацию на физических носителях в местах общего пользования (в офисе АКРА и за его пределами);
-
обеспечивать сохранность имеющихся у работника документов, содержащих Конфиденциальную Информацию;
·в ночное время документы убирать документы в стол, шкаф или сейф работника; в дневное время - допускается оставлять документы на рабочем столе перевернутыми лицевой стороной вниз.
6. Заключительные положения
6.1. Требования настоящей Политики могут детализироваться другими внутренними нормативными документами АКРА.
6.2. Если отдельные пункты настоящей Политики вступают в противоречие с изменениями, внесенными в законодательные и нормативно-правовые акты Российской Федерации, данные пункты не применяются. До внесения изменений в соответствующие пункты необходимо руководствоваться законодательными и нормативно-правовыми актами Российской Федерации.
6.3. Настоящая Политика пересматривается в случае выявления инцидентов информационной безопасности, обнаружения новых угроз и уязвимостей, значительных изменений в организационной или технической инфраструктуре АКРА, а также в случае изменения регуляторных требований и выявления недостатков при проведении аудитов.