ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Настоящее Положение разработано в соответствии с Конституцией РФ, Гражданским кодексом, Федеральным законом от 27.07.2006 № 152-ФЗ и иными нормативно-правовыми актами, действующими на территории России.

1.2 Настоящее Положение определяет порядок обеспечения безопасности персональных данных, обрабатываемых Обществом с ограниченной ответственностью Компания « Ай Пи Ар Медиа», (далее — «Оператор»), и меры по недопущению несанкционированного доступа, утраты, модификации, раскрытия, распространения, а также иных неправомерных действий и гарантии конфиденциальности предоставленных сведений.

1.3 Цель настоящего Положения – защита персональных данных, обрабатываемых Оператором в целях деятельности, от несанкционированного доступа и разглашения. Предоставляемые Оператору персональные данные являются конфиденциальной, строго охраняемой информацией.

1.4 Для целей настоящего Положения используются следующие термины и определения:

• Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
• Оператор – юридическое лицо, которое самостоятельно или совместно с другими лицами организует и осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, и действия, совершаемые с персональными данными;
• Защита персональных данных – комплекс правовых, организационных и технических мер, применяемый для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных;
• Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2. ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1 Законность и справедливость обеспечения безопасности.

2.2 Применение такого комплекса мер защиты, который позволяет обеспечить предотвращение угроз по неправомерному или случайному доступу к персональным данным, их уничтожения, изменения, блокирования, копирования, предоставления и распространения.

2.3 Превентивность мер защиты, достигаемая путем своевременное выявление, предупреждение и минимизация рисков нарушения безопасности персональных данных.

2.4 Ответственность Оператора за соблюдение конфиденциальности и безопасности хранения персональных данных.

3. КАТЕГОРИИ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 В целях настоящего Положения угрозами безопасности персональных данных считаются:

3.1.1 несанкционированный (в том числе случайный) доступ к персональным данным;

3.1.2 противоправные действия, влияющие на целостность и структурность персональных данных, а именно: утрата, модификация, блокировка, копирование, распространение персональным данных;

3.1.3 техническая неисправность, связанная с неконтролируемым воздействием на доступность персональных данных (утечка) через сети связи или физические носители;

3.1.4 действия вредоносных программ.

3.1.5 Противоправные действия сотрудников ООО Компания «АйПиАр Медиа», направленные на нарушение режима безопасности хранения персональных данных.

3.2 С целью профилактики предотвращения вышеуказанных угроз и их недопущения проводится регулярный анализ и проверка работоспособности всего комплекса защиты персональных данных.

4. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Организационные меры:

4.1.1 Назначение Оператором отдельных ответственных лиц за доступ, хранение и обеспечение безопасности персональных данных посредством издания локальных нормативных актов (приказов о назначении);

4.1.2 Определение актуальных угроз безопасности персональных данных при их обработке и разработка мер, мероприятий по защите персональных данных;

4.1.3 Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных;

4.1.4 Регламентация доступа к персональным данным в локальных нормативных актах;

4.1.5 Осуществление внутреннего контроля и аудита.

4.2. Технические меры:

4.2.1 Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;

4.2.2 Установление правил доступа к персональным данным, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными, в специальном журнале учета;

4.2.3 Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4.2.4 Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;

4.2.5 Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;

4.2.6 Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

4.2.7 Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

4.2.8 Оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений.

4.3. Правовые меры:

4.3.1 Уведомление Роскомнадзора о начале обработки персональных данных;

4.3.1 Ведение учета инцидентов и уведомление субъектов персональных данных в случае несанкционированного или случайного распространения персональных данных.

5. УРОВЕНЬ ЗАЩИЩЕННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

5.1. Уровень защищённости определяется на основании актуальных угроз и категорий персональных данных в соответствии с классификацией, установленной Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

5.2. Применяемый уровень защиты — 2-й уровень защищенности согласно классификации, установленной Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

6. РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ

6.1. В случае обнаружения нарушений в режиме безопасности персональных данных Оператор:

6.1.1 Незамедлительно проводит устранение источника и последствий, приведших к нарушению режима безопасности;

6.1.2 Оператором проводится внутренняя проверка для установления причин и ответственных лиц за нарушение режима безопасности;

6.1.3 Уведомляются субъекты персональных данных и Роскомнадзор о нарушении режима безопасности и возможности его восстановления, предпринятых действиях и результатах внутренней проверки.

7. ОТВЕТСТВЕННОСТЬ

7.1 Все ответственные лица, имеющие доступ к персональным данным, обрабатываемым в ходе деятельности Оператора, обязаны соблюдать требования настоящего Положения.

7.1.2 Оператор не несет ответственности за причинённый ущерб субъектам персональных данных в случае, если утечка или иное нарушение конфиденциальности персональных данных произошло не по вине Оператора, в том числе:

7.1.2.1 в результате действий (бездействия) самого субъекта персональных данных, повлекших раскрытие его данных третьим лицам;

7.1.2.2 вследствие неправомерных действий третьих лиц, направленных на взлом технических средств Оператора, если Оператор предпринял достаточные меры защиты, установленные законодательством Российской Федерации;

7.1.2.3 в случаях наступления форс-мажорных обстоятельств, повлекших нарушение функционирования информационных систем (стихийные бедствия, аварии, перебои в электроснабжении, военные действия и т.д.);

7.1.2.4 при использовании субъектом персональных данных незащищённых каналов связи или программного обеспечения, способствующего утечке данных;

7.1.2.5 Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

8.1 Настоящее Положение расположено в открытом доступе на сайте: https://www.iprbookshop.ru/.