ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Настоящее Положение разработано в соответствии с Конституцией РФ, Гражданским кодексом, Федеральным законом от 27.07.2006 № 152-ФЗ и иными нормативно-правовыми актами, действующими на территории России.
1.2 Настоящее Положение определяет порядок обеспечения безопасности персональных данных, обрабатываемых Обществом с ограниченной ответственностью Компания « Ай Пи Ар Медиа», (далее — «Оператор»), и меры по недопущению несанкционированного доступа, утраты, модификации, раскрытия, распространения, а также иных неправомерных действий и гарантии конфиденциальности предоставленных сведений.
1.3 Цель настоящего Положения – защита персональных данных, обрабатываемых Оператором в целях деятельности, от несанкционированного доступа и разглашения. Предоставляемые Оператору персональные данные являются конфиденциальной, строго охраняемой информацией.
1.4 Для целей настоящего Положения используются следующие термины и определения:
- Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
- Оператор – юридическое лицо, которое самостоятельно или совместно с другими лицами организует и осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, и действия, совершаемые с персональными данными;
- Защита персональных данных – комплекс правовых, организационных и технических мер, применяемый для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных;
- Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2. ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 Законность и справедливость обеспечения безопасности.
2.2 Применение такого комплекса мер защиты, который позволяет обеспечить предотвращение угроз по неправомерному или случайному доступу к персональным данным, их уничтожения, изменения, блокирования, копирования, предоставления и распространения.
2.3 Превентивность мер защиты, достигаемая путем своевременное выявление, предупреждение и минимизация рисков нарушения безопасности персональных данных.
2.4 Ответственность Оператора за соблюдение конфиденциальности и безопасности хранения персональных данных.
3. КАТЕГОРИИ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 В целях настоящего Положения угрозами безопасности персональных данных считаются:
3.1.1 несанкционированный (в том числе случайный) доступ к персональным данным;
3.1.2 противоправные действия, влияющие на целостность и структурность персональных данных, а именно: утрата, модификация, блокировка, копирование, распространение персональным данных;
3.1.3 техническая неисправность, связанная с неконтролируемым воздействием на доступность персональных данных (утечка) через сети связи или физические носители;
3.1.4 действия вредоносных программ.
3.1.5 Противоправные действия сотрудников ООО Компания «АйПиАр Медиа», направленные на нарушение режима безопасности хранения персональных данных.
3.2 С целью профилактики предотвращения вышеуказанных угроз и их недопущения проводится регулярный анализ и проверка работоспособности всего комплекса защиты персональных данных.
4. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Организационные меры:
4.1.1 Назначение Оператором отдельных ответственных лиц за доступ, хранение и обеспечение безопасности персональных данных посредством издания локальных нормативных актов (приказов о назначении);
4.1.2 Определение актуальных угроз безопасности персональных данных при их обработке и разработка мер, мероприятий по защите персональных данных;
4.1.3 Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных;
4.1.4 Регламентация доступа к персональным данным в локальных нормативных актах;
4.1.5 Осуществление внутреннего контроля и аудита.
4.2. Технические меры:
4.2.1 Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;
4.2.2 Установление правил доступа к персональным данным, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными, в специальном журнале учета;
4.2.3 Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4.2.4 Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;
4.2.5 Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
4.2.6 Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
4.2.7 Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
4.2.8 Оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений.
4.3. Правовые меры:
4.3.1 Уведомление Роскомнадзора о начале обработки персональных данных;
4.3.1 Ведение учета инцидентов и уведомление субъектов персональных данных в случае несанкционированного или случайного распространения персональных данных.
5. УРОВЕНЬ ЗАЩИЩЕННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
5.1. Уровень защищённости определяется на основании актуальных угроз и категорий персональных данных в соответствии с классификацией, установленной Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
5.2. Применяемый уровень защиты — 2-й уровень защищенности согласно классификации, установленной Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
6. РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ
6.1. В случае обнаружения нарушений в режиме безопасности персональных данных Оператор:
6.1.1 Незамедлительно проводит устранение источника и последствий, приведших к нарушению режима безопасности;
6.1.2 Оператором проводится внутренняя проверка для установления причин и ответственных лиц за нарушение режима безопасности;
6.1.3 Уведомляются субъекты персональных данных и Роскомнадзор о нарушении режима безопасности и возможности его восстановления, предпринятых действиях и результатах внутренней проверки.
7. ОТВЕТСТВЕННОСТЬ
7.1 Все ответственные лица, имеющие доступ к персональным данным, обрабатываемым в ходе деятельности Оператора, обязаны соблюдать требования настоящего Положения.
7.1.2 Оператор не несет ответственности за причинённый ущерб субъектам персональных данных в случае, если утечка или иное нарушение конфиденциальности персональных данных произошло не по вине Оператора, в том числе:
7.1.2.1 в результате действий (бездействия) самого субъекта персональных данных, повлекших раскрытие его данных третьим лицам;
7.1.2.2 вследствие неправомерных действий третьих лиц, направленных на взлом технических средств Оператора, если Оператор предпринял достаточные меры защиты, установленные законодательством Российской Федерации;
7.1.2.3 в случаях наступления форс-мажорных обстоятельств, повлекших нарушение функционирования информационных систем (стихийные бедствия, аварии, перебои в электроснабжении, военные действия и т.д.);
7.1.2.4 при использовании субъектом персональных данных незащищённых каналов связи или программного обеспечения, способствующего утечке данных;
7.1.2.5 Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
8.1 Настоящее Положение расположено в открытом доступе на сайте: https://www.iprbookshop.ru/.
Общество с ограниченной ответственностью Компания «Ай Пи Ар Медиа»
ИНН: 6454085119
ОГРН: 1076454002305
Юридический адрес: 143405, МОСКОВСКАЯ ОБЛАСТЬ, Г.О. КРАСНОГОРСК, Г. КРАСНОГОРСК, Ш. ИЛЬИНСКОЕ, Д. 1А, ПОМЕЩ. 17,17
Контактные данные: e-mail: adm@iprmedia.ru, телефон: 8 800 555-22-35