2.1. Положение разработано в целях выполнения требований законодательства Российской Федерации в области защиты персональных данных.
2.2. Положение определяет порядок и правила организации и проведения работ по обеспечению безопасности персональных данных Оператором.
2.3. В связи с тем, что Оператор осуществляет сбор персональных данных с использованием информационно-телекоммуникационных сетей, в частности, сети Интернет, Положение постоянно размещено в свободном доступе в сети Интернет по адресу
http://maxsokolov.ru/pds/PD_Security_Statement.pdf.
2.4.1. Закона;
2.4.2. Постановления Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в Информационных системах персональных данных»;
2.4.3. Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
2.4.4. Приказа ФСТЭК Российской Федерации № 55, ФСБ Российской Федерации № 86, Мининформсвязи Российской Федерации № 20 от 13.02.2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
2.4.5. Нормативных актов ФСТЭК Российской Федерации:
2.4.5.1. «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной Заместителем директора ФСТЭК России 15 февраля 2008 г.;
2.4.5.2. «Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной Заместителем директора ФСТЭК России 14 февраля 2008 г.;
2.4.5.3. «Положения о методах и способах защиты информации в информационных системах персональных данных», утверждено приказом ФСТЭК России от 5 февраля 2010 г. № 58 (зарегистрированного в Минюсте Российской Федерации 19.02.2010 N 16456);
2.4.6. Нормативных актов ФСБ России:
2.4.6.1. «Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных руководством 8 Центра ФСБ России 21 февраля 2008 г. № 149/6/6-622;
2.4.6.2. «Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденных руководством 8 Центра ФСБ России 21 февраля 2008 г. № 149/54-144.
2.5. Положение предназначено для всех работников Оператора, а также лиц, получающих временный доступ к обрабатываемым Оператором Персональным данным на законном основании. Ознакомление с Положением осуществляется под роспись в Журнале ознакомления с организационно-распорядительной документацией и требованиями законодательства Российской Федерации в области персональных данных.
2.6. Положение вступает в силу с момента его утверждения уполномоченным лицом Оператора и действует до замены его новым Положением.
2.7. Плановая актуализация настоящего Положения проводится не реже, чем два раза в год. Внеплановая актуализация проводится при возникновении одного из следующих условий:
2.7.1. изменение целей и/или состава обрабатываемых Персональных данных;
2.7.2. возникновение условий существенно влияющих на процессы обработки Персональных данных и не регламентированных настоящим документом;
2.7.3. по результатам мероприятий и проверок уполномоченных органов исполнительной власти Российской Федерации, выявивших несоответствия требованиям по обеспечению безопасности Персональных данных;
2.7.4. при появлении новых требований к обеспечению безопасности Персональных данных со стороны законодательства и уполномоченных органов исполнительной власти Российской Федерации.
2.8. Ответственным за пересмотр Положения и составление рекомендаций по его изменению является Администратор информационной безопасности.
2.9. Внесение изменений в Положение производится на основании соответствующего приказа уполномоченного лица Оператора.
3. Общие положения
3.1. Оператор осуществляет обработку Персональных данных следующих категорий субъектов Персональных данных: работников Оператора, контрагентов по заключенным договорам (физических лиц и представителей юридических лиц), данные которых получены Оператором в процессе осуществления своей деятельности.
3.2. Обрабатываемые Персональные данные могут быть отнесены к общедоступным Персональным данным на основании федеральных законов Российской Федерации, которые не распространяют на них требования по соблюдению конфиденциальности, или с согласия субъекта Персональных данных. Кроме того, при совершении субъектом Персональных данных определенных действий, включая, но, не ограничиваясь, внесением Персональных данных в регистрационную форму, расположенную на сайте Оператора, внесением Персональных данных в форму заказа, а равно и внесением Персональных данных на сайт Оператора в сети Интернет, субъект Персональных данных самостоятельно делает свои Персональные данные общедоступными.
3.4. Оператор осуществляет обработку Персональных данных с использованием средств автоматизации и без использования таких средств.
3.5. Сроки хранения Персональных данных определяются в соответствие со сроком действия договора с субъектом Персональных данных, а также требованиями законодательства Российской Федерации, устанавливающими сроки хранения документов.
4. Организация работ по обеспечению безопасности Персональных данных
4.1. Под организацией работ по обеспечению безопасности Персональных данных понимается формирование и всестороннее обеспечение реализации совокупности согласованных по цели, задачам, месту и времени организационных и технических мероприятий, направленных на минимизацию как непосредственного, так и опосредованного ущерба от реализации угроз безопасности Персональных данных, и осуществляемых в целях:
4.1.1. предотвращения возможных (потенциальных) угроз безопасности Персональных данных;
4.1.2. нейтрализации и/или парирования реализуемых угроз безопасности Персональных данных;
4.1.3. ликвидации последствий реализации угроз безопасности Персональных данных.предотвращения возможных (потенциальных) угроз безопасности Персональных данных;
4.2. Организация работ по обеспечению безопасности Персональных данных Оператора должна осуществляться в соответствии с действующими нормативными правовыми актами и разработанными для этих целей организационно-распорядительными документами по защите Персональных данных Оператора.
4.3. Задачи по приведению деятельности и внутренних документов Оператора в соответствие с требованиями законодательства Российской Федерации в области защиты Персональных данных возлагаются на специально создаваемую для этих целей комиссию.
4.4. В случаях, когда Оператор на основании договора поручает обработку Персональных данных другому лицу/сторонней организации, необходимо выполнить одно из следующих условий:
4.1.1. предотвращения возможных (потенциальных) угроз безопасности Персональных данных;
4.4.2. в случае невозможности или нецелесообразности изменения текста договора оформить дополнительное соглашение к договору или соглашение о конфиденциальности, в которых прописать обязанность обеспечения контрагентом конфиденциальности персональных данных и безопасности Персональных данных при их обработке.
4.6. Работы по обеспечению безопасности Персональных данных, обрабатываемых без использования средств автоматизации, ведутся по следующим направлениям:
4.6.1. определение перечня лиц, осуществляющих неавтоматизированную обработку Персональных данных;
4.6.2. информирование работников Оператора об установленных правилах обработки Персональных данных и требований по их защите, повышение осведомленности в вопросах обеспечения безопасности Персональных данных;
4.6.3. учет и защита носителей Персональных данных;
4.6.4. разграничение доступа к носителям Персональных данных;
4.6.5. уничтожение Персональных данных.
4.7. Организация и выполнение мероприятий по обеспечению безопасности Персональных данных, обрабатываемых в информационных системах Персональных данных, осуществляются в рамках системы защиты персональных данных информационной системы, развертываемой в информационной системе в процессе ее создания или модернизации.
4.8. Система защиты Персональных данных представляет собой совокупность организационных мер и технических средств защиты информации, а также используемых в информационных системах Персональных данных информационных технологий, функционирующих в соответствии с определенными целями и задачами обеспечения безопасности Персональных данных.
4.9. Система защиты Персональных данных должна являться неотъемлемой составной частью каждой вновь создаваемой информационной системы Персональных данных.
4.10. Для существующих Информационных систем Персональных данных, в которых в процессе их создания не были предусмотрены меры по обеспечению безопасности Персональных данных должен быть проведен комплекс организационных и технических мероприятий по разработке и внедрению соответствующей системы защиты.
4.11. Структура, состав и основные функции системы защиты Персональных данных определяются в соответствии с классом Информационной системы Персональных данных и моделью угроз безопасности персональных данных при их обработке в Информационной системе Персональных данных.
