Политика

в отношении обработки персональных данных 

1. Термины и сокращения
1.1 Принятые сокращения
1.2 Термины и определения
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных – это свойство персональных данных, при котором Операторы и иные лица, получившие доступ к таким персональным данным, обязаны не раскрывать третьим лицам и не распространять эти персональные данные без согласия субъекта персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ПДн.
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Субъект персональных данных – физическое лицо, к которому прямо или косвенно относится любая информация.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2. Общие положения
2.1. Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ
«О персональных данных».
2.2. Настоящая Политика определяет цели и состав обрабатываемых персональных данных (далее – ПДн), порядок, принципы и условия обработки ПДн, а также подходы к обеспечению безопасности ПДн в Обществе с ограниченной ответственностью «Креативный институт идей и новых профессий» (далее – Общество). Юридический адрес: 628417, Ханты - Мансийский автономный округ - Югра, г. Сургут, б-р Свободы, д. 4/2.
2.3. В настоящей Политике описываются процессы обработки ПДн, а также соблюдения конфиденциальности ПДн и обеспечения безопасности ПДн при их обработке.
2.4. Настоящая Политика действует в отношении всей информации, содержащей ПДн субъектов ПДн, которую Общество и (или) связанные с ним юридические лица могут получить о субъекте ПДн при осуществлении экономической деятельности.
2.5. Настоящая Политика публикуется на сайте Общества https://kiinp.ru/ в информационно-телекоммуникационной сети «Интернет».
2.6. Настоящий документ разработан с учетом положений следующих нормативных правовых актов Российской Федерации (далее – РФ):

• Конституция РФ;
• Доктрина информационной безопасности РФ, утвержденная Указом Президента РФ от 05.12.2016 №646 «Об утверждении Доктрины информационной безопасности Российской Федерации»;
• Федеральный закон от 19.12.2005 №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
• Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закона от 27.07.2006 №152-ФЗ «О персональных данных»
• (далее – 152-ФЗ);
• постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее – ПП-687);
• постановление Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• других нормативных правовых актов, регулирующих отношения, связанные с обработкой ПДн, в том числе в сфере обеспечения их безопасности.

2.7. Принципы, порядок обработки и меры по обеспечению безопасности ПДн описаны в Положении об обработке и обеспечении безопасности персональных данных.

3. Цели обработки персональных данных
3.1. Обработка ПДн субъектов ПДн осуществляется Обществом в заранее определенных целях.
3.2. Для каждой цели обработки ПДн в Обществе определены соответствующие категории и перечень обрабатываемых ПДн, категории субъектов ПДн, ПДн которых обрабатываются, способы, сроки обработки и хранения ПДн, порядок их уничтожения.
3.3. Цели обработки ПДн и перечень обрабатываемых ПДн, категории субъектов и действия, совершаемые с ПДн приведены в Приложение 5 к настоящей Политике.
3.4. Способы, сроки обработки и хранения ПДн, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований определяются настоящей Политикой.
3.5. ПДн подлежат уничтожению в следующих случаях:

• при достижении цели обработки ПДн или при утрате необходимости в достижении цели обработки ПДн, если иное не предусмотрено положениями 152-ФЗ или положениями иного законодательства РФ;
• в случае невозможности обеспечения правомерности обработки ПДн, в отношении которых выявлена неправомерная обработка;
• в случае отзыва субъектом ПДн согласия на обработку ПДн, если иное не предусмотрено 152-ФЗ.

3.6. ПДн не подлежат уничтожению в случае отзыва субъектом ПДн согласия на их обработку, если Общество вправе осуществлять обработку без согласия субъекта ПДН на основаниях, предусмотренных 152-ФЗ или иными Федеральными законами.
3.7. Уничтожение ПДн субъекта ПДн осуществляется комиссией, созданной на основании приказа Общества, и в соответствии с требованиями 152-ФЗ и ПП-687. Документальной фиксацией уничтожения ПДн субъекта является оформление соответствующего акта.

4. Правовые основания обработки персональных данных
4.1. Обработка ПДн в Обществе осуществляется в случае выполнения хотя бы одного из следующих условий (правовые основания обработки ПДн):

• при наличии согласия субъекта ПДн;
• для достижения целей, предусмотренных законодательством РФ, для осуществления возложенных законодательством на Общество функций и обязанностей;
• для исполнения или заключения договора, стороной которого является субъект ПДн;
• при наличии иных условий, допускающих обработку ПДн, согласно законодательству РФ.

4.2. Обработка ПДн в целях продвижения товаров, работ, услуг на рынке, в том числе путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, может осуществляться Обществом только при условии предварительного согласия субъекта ПДн и прекращается по его требованию.
4.3. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости, а также биометрических ПДн Общества возможна только на основании согласия субъекта ПДн в письменной форме и в соответствии с применимыми требованиями действующего законодательства и локальных актов.
4.4. Согласие на обработку ПДн может быть получено от субъектов ПДн следующими способами:

• в письменной форме (отдельный документ «Согласие на обработку персональных данных»);
• в электронной форме (активация субъектом ПДн специального флажка «чекбокса» при изучении документа «Согласие на обработку персональных данных» в информационных системах персональных данных Общества в информационно-телекоммуникационной сети «Интернет», при условии размещения в указанном поле гиперссылки на полный текст согласия).

4.5. ПДн могут быть получены не от субъекта ПДн (от третьего лица или из другого источника), при условии предоставления Обществу подтверждения наличия оснований, предусмотренных 152-ФЗ. При этом до начала обработки ПДн субъекту направляется уведомление об обработке его ПДн, за исключением следующих случаев:

• субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;
• ПДн получены Обществом на основании федерального закона или в связи с исполнением договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
• осуществляется обработка ПДн, разрешенных субъектом ПДн для распространения, с соблюдением запретов и условий, предусмотренных 152-ФЗ;
• осуществляется обработка ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПДн;
• предоставление субъекту ПДн сведений, содержащихся в уведомлении, нарушает права и законные интересы третьих лиц.

5. Принципы обработки персональных данных
5.1. При обработке ПДн Общество исходит из следующих принципов:

• осуществление обработки ПДн на законной и справедливой основе;
• ограничение обработки ПДн достижением конкретных, заранее определенных и законных целей;
• недопустимость обработки ПДн, несовместимой с целями сбора ПДн;
• соответствие содержания и объема обрабатываемых ПДн заявленным целям их обработки, отсутствие избыточности обрабатываемых ПДн по отношению к целям их обработки;
• обеспечение хранения ПДн в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
• недопустимость объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
• обеспечение точности ПДн, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки ПДн, принятие необходимых мер либо обеспечение их принятия по удалению или уточнению неполных или неточных данных;
• обеспечение уничтожения ПДн по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

6. Условия обработки персональных данных
6.1. Действия с ПДн включают в себя автоматизированную обработку, обработку без использования средств автоматизации и смешанную обработку. Общество выполняет следующие действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
6.2. Обработка ПДн без использования средств автоматизации осуществляется в соответствии с требованиями ПП-687.
6.3. Сроки обработки ПДн определяются с учетом заявленных целей обработки ПДн, сроков действия договоров с субъектами ПДн и согласий субъектов ПДн на обработку их ПДн. Общество устанавливает следующие сроки и условия прекращения обработки ПДн:

• в случае достижения цели обработки ПДн Общество обязано прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) и уничтожить ПДн или обеспечить их уничтожение в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки ПДн;
• в случае отзыва субъектом ПДн согласия на обработку его ПДн Общество обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва;
• в случае выявления неправомерной обработки ПДн, осуществляемой Обществом или лицом, действующим по поручению Общества, Общество в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Общества. В случае, если обеспечить правомерность обработки ПДн невозможно, Общество в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение;
• в случае подтверждения факта неточности ПДн Общество на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязано уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование ПДн.

6.4. В случае отсутствия возможности уничтожения ПДн в течение установленного срока Общество осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
6.5. Общество блокирует обрабатываемые ПДн при выявлении их недостоверности или неправомерных действий в отношении субъекта ПДн в следующих случаях:

• по требованию субъекта ПДн;
• по требованию уполномоченного органа по защите прав субъектов ПДн;
• по результатам внутренних контрольных мероприятий в соответствии с порядком, утвержденным в Обществе.

7. Конфиденциальность персональных данных
7.1. ПДн не раскрываются третьим лицам и не распространяются Обществом без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ.


8. Передача персональных данных третьим лицам
8.1. Общество при осуществлении своей деятельности может передавать ПДн субъектов третьим лицам (уполномоченным органам и контрагентам Общества) при наличии соответствующих правовых оснований, соблюдении требований законодательства РФ и при надлежащем обеспечении безопасности ПДн в случаях:

• согласия субъекта ПДн на передачу его ПДн;
• для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на Общество функций, полномочий и обязанностей;
• для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн в случае, если предмет такого договора включает в себя выполнение Обществом действий по передаче ПДн, в том числе совершаемых по распоряжению субъекта ПДн;
• для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
• в случае, если такая передача ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно.

8.2. Передача ПДн третьим лицам ограничивается передачей только тех категорий ПДн, которые необходимы для достижения соответствующей цели обработки ПДн.
8.3. Перечень лиц, которым может быть поручена обработка и могут быть переданы ПДн субъектов ПДн представлен в Приложение 6.
8.4. При поручении обработки ПДн третьим лицам ответственность за действия таких лиц несет Общество.
8.5. Общество передает обрабатываемые ПДн в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях и в случаях, предусмотренных законодательством Российской Федерации.
8.6. В процессе обработки ПДн Общество не раскрывает третьим лицам и не распространяет ПДн без согласия субъекта ПДн.
8.7. Общество вправе запрашивать достоверную информацию (и требовать подтверждения) у третьих лиц, с которыми Общество состоит в договорных отношениях, о выполняемых требованиях по обеспечению безопасности ПДн указанным лицом.

9. Трансграничная передача персональных данных
9.1. В случае осуществления трансграничной передачи проводится оценка мер соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача ПДн, конфиденциальности ПДн и обеспечения безопасности ПДн при их обработке и уведомляется уполномоченный орган по защите прав субъектов ПДн.
9.2. В случае принятия уполномоченным органом по защите прав субъектов ПДн решения о запрещении или об ограничении трансграничной передачи Общество обеспечивает уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных ПДн.

10. Взаимодействие с субъектами персональных данных
10.1. Общество способствует реализации законных прав субъектов ПДн и осуществляет реагирование на запросы и обращения субъектов ПДн, в том числе предоставление им информации, связанной с обработкой их ПДн, в соответствии с требованиями законодательства РФ.
10.2. Субъекты ПДн обязаны предоставлять Обществу полные и достоверные данные о себе. В случае изменения своих ПДн субъекты ПДн обязаны сообщать данную информацию Обществу. Все риски предоставления неполной или недостоверной информации лежат на субъекте ПДн.
10.3. Субъект ПДн вправе:

• получить доступ к своим ПДн;
• требовать от Общества уточнения своих ПДн, их блокирования или уничтожения (в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки);
• требовать от Общества обеспечения уточнения, блокирования или уничтожения ПДн, если обработка ПДн осуществляется третьими лицами по поручению Общества;
• отозвать согласие на обработку его ПДн, направив Обществу письменное уведомление об отзыве согласия на обработку его ПДн. В таком случае Общество прекращает обработку ПДн субъекта ПДн и в срок, не превышающий тридцати дней с даты поступления вышеуказанного отзыва, уничтожает ПДн субъекта ПДн, за исключением тех ПДн, сохранение которых, требуется для целей обработки ПДн в соответствии с законодательством РФ;
• требовать прекращения обработки его ПДн в целях продвижения товаров и услуг путем прямых контактов с помощью средств связи;
• в любой момент изменить (обновить, дополнить) предоставленные им ПДн или их часть путем направления уведомления Обществу;
• обжаловать действия или бездействие Общества, обратившись в уполномоченный орган по защите прав субъектов ПДн, или в судебном порядке.

10.4. Субъекты ПДн направляют запросы к Обществу в соответствии с формами, представленными в Приложениях 1-4 к настоящей Политике.
10.5. Субъект ПДн имеет право получить от Общества следующую информацию:

• подтверждение факта обработки ПДн;
• правовые основания и цели обработки ПДн;
• цели и применяемые способы обработки ПДн;
• наименование и место нахождения Общества, сведения о лицах (за исключением штатных работников Общества), которые имеют доступ к их ПДн или которым могут быть раскрыты ПДн;
• конкретные виды обрабатываемых ПДн, источник их получения;
• сроки обработки, в том числе сроки хранения ПДн;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения Обществом обязанностей, установленных статьей 18.1 152-ФЗ;
• другую информацию, предусмотренную законодательством РФ.

10.6. Субъект ПДн вправе обратиться повторно к Обществу или направить ему повторный запрос в целях получения сведений, указанных в настоящем разделе, и ознакомления с такими ПДн, но не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.
10.7. Общество обязано сообщить в порядке, предусмотренном статьей 14 152-ФЗ, субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя в течение 10 (десяти) рабочих дней с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Обществом в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
10.8. В случае отказа в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или ПДн субъекту ПДн или его представителю при их обращении либо при получении запроса субъекта ПДн или его представителя Общество обязано дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 10 (десяти) рабочих дней со дня обращения субъекта ПДн или его представителя либо с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Обществом в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
10.9. Общество обязано предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Общество обязано внести в них необходимые изменения. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество обязано уничтожить такие ПДн. Общество обязано уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры.

11. Взаимодействие с федеральными органами исполнительной власти
11.1. Взаимодействие с федеральными органами исполнительной власти, в том числе с уполномоченным органом по защите прав субъектов ПДн, по вопросам обработки Обществом ПДн и обеспечения их безопасности, осуществляется в соответствии с законодательством РФ.

12. Обеспечение безопасности персональных данных
12.1. Общество принимает необходимые правовые, организационные и технические меры для обеспечения безопасности ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования и других несанкционированных действий.
12.2. Общество реализует необходимые правовые и организационные для обеспечения безопасности ПДн:

• утверждение Обществом: Политики в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, определяющих для каждой цели обработки ПДн категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
• ознакомление работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Общества в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников;
• обнаружение фактов несанкционированного доступа к ПДн и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы ПДн и по реагированию на компьютерные инциденты в них;
• восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• оценку вреда, который может быть причинен субъектам ПДн в случае нарушения 152-ФЗ, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ

1.3. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся за пределами территории РФ, не допускаются.
1.4. Для разработки и проведения мероприятий по обеспечению безопасности ПДн в Обществе привлекается лицо, ответственные за организацию обработки ПДн и администраторы ИСПДн.
1.5. Разработка и проведение мероприятий по обеспечению безопасности ПДн в Обществе также может осуществляться на договорной основе сторонними организациями, имеющими соответствующие лицензии.
1.6. Мероприятия по обеспечению безопасности ПДн при их автоматизированной и неавтоматизированной обработке включают в себя:
· определение состава информационных систем ПДн Общества;
· определение перечня и типа угроз безопасности ПДн, актуальных для информационных систем ПДн Общества;
· определение необходимого уровня защищенности ПДн при их обработке в информационных системах ПДн Общества;
· создание системы защиты ПДн, включающей организационные и технические меры по обеспечению безопасности ПДн;
· утверждение перечня работников, доступ которых к ПДн, обрабатываемым в информационных системах ПДн, необходим для выполнения ими служебных обязанностей;
· периодическое проведение обучения работников по вопросам обработки обеспечения безопасности ПДн;
· организация режима обеспечения безопасности помещений, в которых хранятся носители ПДн и размещены технические средства информационных систем ПДн, препятствующего возможности неконтролируемого проникновения в эти помещения лиц, не имеющих права доступа в эти помещения, и обеспечение сохранности таких носителей и технических средств;
· использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
· правление доступом к информационным ресурсам информационных систем ПДн;
· резервирование технических средств, дублирование массивов и носителей ПДн; о использование защищенных каналов связи при передаче ПДн через сети связи общего пользования (Интернет);
· предотвращение внедрения в информационные системы ПДн вредоносных программ и программных закладок;
· межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационных систем ПДн;
· обнаружение вторжений в информационные системы ПДн, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности ПДн;
· анализ защищенности информационных систем ПДн, предполагающий применение специализированных программных средств;
· использование средств антивирусной защиты;
· учет мобильных технических средств;
· оценку эффективности и контроль выполнения реализованных в рамках системы защиты ПДн мер по обеспечению безопасности ПДн;
· контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн.
1.7. Определение типа угроз безопасности ПДн и необходимого уровня защищенности ПДн при их обработке в информационных системах ПДн Обществом производится Комиссией по определению уровня защищенности ПДн, обрабатываемых в информационных системах ПДн (далее – Комиссия), в соответствии с положениями постановления Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите ПДн при их обработке в информационных системах персональных данных».
1.8. Состав и полномочия Комиссии определяется приказом по Обществу.
1.9. Решение Комиссии оформляется соответствующим актом.
1.10. Оценка эффективности реализованных в рамках системы защиты ПДн мер по обеспечению безопасности ПДн проводится:
· до ввода информационной системы ПДн в эксплуатацию;
· периодически, при этом периодичность проведения такой оценки устанавливается Обществом (но не реже, чем предусмотрено действующим законодательством РФ).
1.11. Для проведения оценки эффективности реализованных мер по обеспечению безопасности могут привлекаться на договорной основе сторонние организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации.
1.12. Требования к мерам по обеспечению безопасности ПДн и способы реализации этих требований осуществляются в соответствии действующим законодательством РФ.