Персональные Данные

                     ТРЕБУЕТСЯ КОРРЕКТИРОВКА!

Политика в отношении обработки персональных данных

    1. Общие положения
      1. Настоящая политика (далее — Политика) разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о ПДн) и является основополагающим внутренним регулятивным документом Общество с ограниченной ответственностью «Аплэб»(далее — Общество), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее — ПДн), оператором которых является Общество.
      2. Политика разработана в целях реализации требований законодательства в области обработки и защиты ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Обществе, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.
      3. Положения Политики распространяются на отношения по обработке и защите ПДн, полученных Обществом как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.
    1. Основания обработки и состав персональных данных, обрабатываемых в Обществе
      1. Обработка ПДн в Обществе осуществляется в ходе служебных и иных непосредственно связанных с ними отношений, в которых представитель нанимателя выступает в качестве стороны трудового договора.
      2. В связи со служебными и иными непосредственно связанными с ними отношениями, в которых представитель нанимателя выступает в качестве стороны трудового договора, обрабатываются ПДн лиц, претендующих на замещение вакантных должностей.
      3. В связи с реализацией своих прав и обязанностей, Обществом обрабатываются ПДн физических лиц, являющихся контрагентами по гражданско-правовым договорам, а также граждан, письменно обращающихся по вопросам уставной деятельности Общества.
      4. Специальные категории персональных данных, а также биометрические персональные данные Обществом не обрабатываются.
      5. ПДн получаются и обрабатываются Обществом на основании федеральных законов, а в необходимых случаях — при наличии письменного согласия субъекта ПДн.
      6. Обществом не производится обработка ПДн, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПДн, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Предприятием ПНд уничтожатся или обезличиваются.
      7. При обработке ПДн обеспечиваются их точность, достаточность, а при необходимости — и актуальность по отношению к целям обработки. Общество принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.
    1. Принципы обеспечения безопасности персональных данных
      1. Основной задачей обеспечения безопасности ПДн при их обработке в Обществе является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.
      2. Для обеспечения безопасности ПДн Общество руководствуется следующими принципами:
        • законность: защита ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПДн;
        • системность: обработка ПДн в Обществе осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн;
        • комплексность: защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Общества (далее — ИС) и других имеющихся систем и средств защиты;
        • непрерывность: защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ;
        • своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;
        • преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты ПДн осуществляется на основании результатов анализа практики обработки ПДн в Обществе с учетом выявления новых способов и средств реализации угроз безопасности ПДн, отечественного и зарубежного опыта в сфере защиты информации;
        • персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на сотрудников в пределах их обязанностей, связанных с обработкой и защитой ПДн;
        • минимизация прав доступа: доступ к ПДн предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;
        • гибкость: обеспечение выполнения функций защиты ПДн при изменении характеристик функционирования информационных систем персональных данных Общества, (далее — ИСПДн), а также объема и состава обрабатываемых ПДн;
        • открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты ПДн Общества (далее — СЗПДн) не дают возможности преодоления имеющихся в Обществе систем защиты возможными нарушителями безопасности ПДн;
        • научная обоснованность и техническая реализуемость: уровень мер по защите ПДн определяется современным уровнем развития информационных технологий и средств защиты информации;
        • специализация и профессионализм: реализация мер по обеспечению безопасности ПДн и эксплуатация СЗПДн осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;
        • эффективность процедур отбора кадров и выбора контрагентов: кадровая политика предусматривает тщательный подбор персонала и мотивацию работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПДн; минимизация вероятности возникновения угрозы безопасности ПДн, источники которых связаны с человеческим фактором;
        • наблюдаемость и прозрачность: меры по обеспечению безопасности ПДн должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;
        • непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПДн, а результаты контроля регулярно анализируются.
    1. Доступ к обрабатываемым персональным данным
      1. Доступ к обрабатываемым в Обществе ПДн имеют лица, уполномоченные приказом генерального директора, а также лица, чьи ПДн подлежат обработке.
      2. Доступ к ПДн, обрабатываемым в ходе реализации полномочий, закрепленных за конкретным структурным подразделением Общества, могут иметь только сотрудники этого структурного подразделения. Работники допускаются к ПДн, связанным с деятельностью другого структурного подразделения, только для чтения и подготовки обобщенных материалов в части вопросов, касающихся структурного подразделения этих работников.
      3. Доступ работников к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Общества. Допуск работников к обработке ПДн осуществляется согласно перечню типовых полномочий (ролей пользователей), утверждаемых приказом генерального директора.
    1. Реализация Политики
      1. Общество принимает необходимые и достаточные меры для защиты обрабатываемых ПДн от неправомерного или случайного доступа к ним, от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.
      2. Ответственность за организацию обработки ПДн в Обществе несет специалист по кадровому делопроизводству.Ответственный за организацию обработки ПДн, в частности, обязан:
        • осуществлять внутренний контроль за соблюдением в Обществе требований нормативных правовых актов и внутренних регулятивных документов в области обработки и защиты ПДн;
        • доводить до сведения сотрудников положения нормативных правовых актов и внутренних регулятивных документов в области обработки и защиты ПДн;
        • организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
      3. Общество осуществляет обработку ПДн без использования средств автоматизации, а также с использованием таких средств.
      4. При обработке ПДн без использования средств автоматизации, в соответствии с положениями нормативных правовых актов в области обработки и защиты ПДн, реализует комплекс организационных и технических мер, обеспечивающих:
        • обособление ПДн от информации, не содержащей ПДн;
        • раздельную обработку и хранение каждой категории ПДн (фиксация на отдельных материальных носителях ПДн, цели обработки которых заведомо несовместимы);
        • соответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн, установленным требованиям;
        • сохранность материальных носителей ПДн;
        • условия хранения, исключающие несанкционированный доступ к ПДн, а также смешение ПДн (материальных носителей), обработка которых осуществляется в различных целях;
        • надлежащее уточнение, уничтожение или обезличивание ПДн.
      5. В соответствии с требованиями нормативных правовых актов в области обработки и защиты ПДн обработки ПДн с использованием средств автоматизации в Обществе создаются ИСПДн.Все ИСПДн проходят периодическую классификацию и аттестацию в соответствии с требованиями нормативных правовых актов в области обеспечения безопасности ПДн.

        Для каждой ИСПДн формируется модель угроз безопасности ПДн и на ее основе проводятся мероприятия по обеспечению безопасности информации в соответствии с требованиями, предъявляемыми к установленному классу ИСПДн.

        Пересмотр моделей угроз для каждой ИСПДн осуществляется:

        • в плановом порядке для существующих ИСПДн — ежегодно;
        • в случае существенных изменений в инфраструктуре или порядке обработки ПДн в ИСПДн — в течение трех месяцев с даты фиксации изменений;
        • в случае создания новой ИСПДн (выделения части из существующей ИСПДн) — в течение одного месяца с даты создания (выделения) ИСПДн.
      6. Обработка ПДн в Обществе с использованием средств автоматизации ведется только в ИСПДн. В Обществе запрещается обработка ПДн с целями, не соответствующими целям создания ИСПДн, эксплуатация ИСПДн в составе, отличном от указанного при создании ИСПДн.
      7. В целях обеспечения управления информационной безопасностью ПДн в Обществе создается СЗПДн.Объектами защиты СЗПДн являются информация, обрабатываемая Обществом и содержащая ПДн, а также инфраструктура, содержащая и поддерживающая указанную информацию.
      8. СЗПДн реализуется комплексом правовых, режимных, организационных и программно-технических мер, которые включают:
            • подготовку внутренних регулятивных документов Общества по вопросам обработки и защиты ПДн, контроль за исполнением в Обществе требований нормативных правовых актов и внутренних регулятивных документов Общества в области обработки и защиты ПДн, а также внесение соответствующих изменений в имеющиеся внутренние регулятивные документы;
            • оформление письменных обязательств сотрудников о неразглашении ПДн;
            • доведение до сведения сотрудников информации об установленных законодательством Российской Федерации санкциях за нарушения, связанные с обработкой и защитой ПДн;
            • разработку и введение в действие внутренних регулятивных документов Общества по обеспечению информационной безопасности ИСПДн;
            • регламентацию процедур создания и осуществление документирования действующих инженерных и информационных систем, программных комплексов, порядка внесения в них изменений и своевременной актуализации эксплуатационной документации;
            • ознакомление сотрудников с положениями нормативных правовых актов и внутренних регулятивных документов Общества в области обработки и защиты ПДн, а также обучение сотрудников правилам обработки и защиты ПДн;
            • проведение мероприятий по регламентации, установлению, поддержанию и осуществлению контроля за состоянием:
              а) физической охраны, контрольно-пропускного режима, перемещением технических средств и носителей информации;
              б) защиты технологических процессов, информационных ресурсов, информации и поддерживающей их инфраструктуры от угроз техногенного характера и внешних неинформационных воздействий;
            • регламентацию обработки ПДн, в том числе хранения и передачи информации как внутри Общества, так и при взаимодействии с контрагентами, государственными органами и организациями, обращения с документами (включая электронные документы) и носителями, порядка их учета, хранения и уничтожения;
            • установление правил доступа на объекты, в помещения, в ИС, применению в этих целях систем охраны и управления доступом;
            • формирование участков (выделение в отдельные VLAN (виртуальные локальные компьютерные сети) технических средств) администрирования безопасности, мониторинга и аудита, управления доступом к защищаемым ресурсам;
            • организацию технического оснащения объектов и ИСПДн в соответствии с существующими требованиями к информационной безопасности;
            • формирование условий и технологических процессов обработки, хранения и передачи информации в Обществе (включая условия хранения документов в архивах), обеспечивающих реализацию требований нормативных правовых актов, методических документов уполномоченных государственных органов и внутренних регулятивных документов Общества в области обработки и защиты ПДн;
            • установление полномочий пользователей и форм представления информации пользователям ИСПДн;
            • организацию непрерывного процесса контроля (мониторинга) событий безопасности для своевременного выявления и пресечения попыток несанкционированного доступа к защищаемой информации;
            • организацию необходимых мероприятий с Работниками, а также собеседование с лицами, претендующими на работу в Обществе, изучение их биографии и проверку предоставляемых сведений;
            • осуществление контроля эффективности организационных мер защиты;
            • разработку защитных технических решений:
              а) при стратегическом планировании архитектуры ИС;
              б) выборе технических средств обработки информации;
              в) разработке и (или) приобретении программного обеспечения;
            • применение следующих компонентов программно-технических мер защиты:

          а) защищенных средств (систем) обработки информации, содержащей ПДн;

          • б) системы криптографической защиты информации при ее передаче по каналам связи;
          • в) межсетевых экранов для логического разделения подсетей и защиты от несанкционированного доступа из внешних (открытых) информационных систем;
          г) аппаратных и программных средств защиты и контроля, устройств, технических систем и средств, используемых для обеспечения информационной безопасности, в том числе для обнаружения и нейтрализации попыток несанкционированного доступа к информации.
      9. Для всех критичных в отношении обеспечения целостности и доступности ПДн функций ИСПДн разрабатываются соответствующие планы обеспечения непрерывной работы и восстановления при авариях и стихийных бедствиях, которые не реже одного раза в квартал проходят актуализацию.
  1. Основные мероприятия по обеспечению безопасности персональных данных
    1. Мероприятия по защите ПДн реализуются в Обществе в следующих направлениях:
      • предотвращение утечки информации, содержащей ПДн, по техническим каналам связи и иными способами;
      • предотвращение несанкционированного доступа к содержащей ПДн информации, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней;
      • защита от вредоносных программ;
      • обеспечение безопасного межсетевого взаимодействия;
      • обеспечение безопасного доступа к сетям международного информационного обмена;
      • анализ защищенности ИСПДн;
      • обеспечение защиты информации с использованием шифровальных (криптографических) средств при передаче ПДн по каналам связи;
      • обнаружение вторжений и компьютерных атак;
      • осуществления контроля за реализацией системы защиты ПДн.
    2. Мероприятия по обеспечению безопасности ПДн включают в себя:
      • реализацию разрешительной системы допуска пользователей к информационным ресурсам ИС и связанным с их использованием работам, документам;
      • разграничение доступа пользователей ИСПДн и обслуживающих ИСПДн сотрудников к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
      • регистрацию действий пользователей и обслуживающих ИСПДн сотрудников, контроль несанкционированного доступа и действий пользователей, а также третьих лиц;
      • использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
      • предотвращение внедрения в ИС вредоносных программ и программных закладок, анализ принимаемой по информационно-телекоммуникационным сетям (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов;
      • ограничение доступа в помещения, где размещены технические средства, позволяющие осуществлять обработку ПДн, а также хранятся носители информации, содержащие ПДн;
      • размещение технических средств, позволяющих осуществлять обработку ПДн, в пределах охраняемой территории;
      • организацию физической защиты помещений и технических средств, позволяющих осуществлять обработку ПДн;
      • учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
      • резервирование технических средств, дублирование массивов и носителей информации;
      • реализацию требований по безопасному межсетевому взаимодействию ИС;
      • использование защищенных каналов связи, защита информации при ее передаче по каналам связи;
      • межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры ИС;
      • обнаружение вторжений в ИС, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности ПДн;
      • периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на ИС;
      • активный аудит безопасности ИС на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;
      • анализ защищенности ИС с применением специализированных программных средств (сканеров безопасности);
      • централизованное управление системой защиты ПДн в ИС.
    3. В целях организации работ по обеспечению информационной безопасности ПДн в Обществе определяются структурные подразделения, на которые возлагаются задачи:
      • по классификации, паспортизации и аттестации ИСПДн;
      • организации разработки модели угроз для каждой ИСПДн;
      • организации разработки технического проекта системы защиты информации для каждой ИСПДн;
      • закупке, установки, эксплуатации и администрирования средств защиты информации;
      • организации разрешительной системы допуска к информации, содержащей ПДн и разработке внутренних регулятивных документов по этому вопросу;
      • организации реагирования на события безопасности;
      • контролю состояния системы защиты информации и планирования соответствующих мероприятий.
    4. С целью поддержания состояния защиты ПДн на надлежащем уровне осуществляется внутренний контроль за эффективностью системы защиты ПДн и соответствием порядка и условий обработки и защиты ПДн установленным требованиям.Внутренний контроль включает:
      • мониторинг состояния технических и программных средств, входящих в состав СЗПДн;
      • контроль соблюдения требований по обеспечению безопасности ПДн (требований нормативных правовых актов и внутренних регулятивных документов в области обработки и защиты ПДн, требований договоров).
    5. В целях осуществления внутреннего контроля в Обществе проводятся периодические проверки условий обработки ПДн. Такие проверки осуществляются ответственным за организацию обработки ПДн либо комиссией, образуемой в Обществе.

ООО «АПЛЭБ»
(ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «АПЛЭБ»)

Юр. адрес:428018, Чувашская Республика, г. Чебоксары, ул. Нижегородская, дом № 6., строение 2 пом. 4

Факт. адрес:428018, Чувашская Республика, г. Чебоксары, ул. Нижегородская, дом № 6., строение 2 пом. 4

ИНН:2130062202

ОГРН:1092130009663

Поделись событием в социальных сетях!
Авторизация
*
*
Генерация пароля