Сведения о реализуемых требованиях к защите персональных данных в ООО «Спутник Трейд»

Во исполнение требований Федерального Закона Российской Федерации «О персональных данных» от 27 июля 2006 г. №152-ФЗ, постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», а также иных нормативных правовых актов, регулирующих вопросы защиты персональных данных, реализуются следующие меры по защите персональных данных:

1. Назначено лицо, ответственное за организацию обработки персональных данных.

2. Назначены администратор безопасности персональных данных в ИСПДн и администратор ИСПДн.

3. Утвержден перечень информационных систем обработки персональных данных.

4. Утвержден перечень средств защиты информации.

5. Утвержден перечень средств криптографической защиты информации.

6. Разработаны и утверждены следующие инструкции:

• должностная инструкция ответственного за обработку персональных данных в ООО «Спутник Трейд»;
• инструкция ответственного за обработку персональных данных в ООО «Спутник Трейд», касающаяся его деятельности по организации обработки персональных данных в информационных системах;
• инструкция администратора безопасности персональных данных в ИСПДн;
• инструкция администратора ИСПДн;
• инструкция о порядке работы пользователя в ИСПДн;
• инструкция по организации парольной защиты в ИСПДн;
• инструкция о действиях лиц, допущенных к работе в ИСПДн, в случае возникновения нештатных ситуаций;
• инструкция по организации резервного копирования в ИСПДн;
• инструкция по защите информации о событиях безопасности в ИСПДн;
• инструкция о порядке изменения состава и конфигурации технических и программных средств в ИСПДн;
• инструкция по организации антивирусной защиты в ИСПДн;
• инструкция по порядку уничтожения и обезличивания персональных данных в ИСПДн.

7. Разработаны и утверждены следующие учетные журналы:

• журнал фактов вскрытия и опечатывания рабочих станций и серверов, выполнения профилактических работ, установки и модификации программных средств на элементах ИСПДн;
• журнал учета действий пользователей (ведется в электронном виде);
• журнал учета машинных носителей информации;
• журнал учета проведения инструктажей;
• журнал учета средств защиты информации эксплуатационной и технической документации к ним;
• журнал проверок осведомленности;
• журнал учета средств криптографической защиты информации;
• журнал учета инцидентов;
• журнал учёта запросов (обращений) субъектов персональных данных или их представителей.

8. Разработаны и утверждены формы следующих актов:

• акт об уничтожении персональных данных;
• акт определения уровня защищенности персональных данных ИСПДн;
• акт установки и ввода в эксплуатацию средств защиты информации;
• акт установки и ввода в эксплуатацию средств криптографической защиты информации;
• акт проведения инструктажа;
• акт оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» от 27 июля 2006 г. №152-ФЗ;

9. Разработаны, утверждены и доведены до сведения работников Положение об обработке и защите персональных данных ООО «Спутник Трейд» и Политика в отношении обработки персональных данных в ООО «Спутник Трейд», затрагивающая обработку персональных данных посетителей сайта.

10. Опубликована и размещена на сайте Политика в отношении обработки персональных данных в ООО «Спутник Трейд», затрагивающая обработку персональных данных посетителей сайта.

11. Утвержден перечень информационных систем персональных данных (ИСПДн), по каждой из них разработана и утверждена модель угроз, определены актуальные угрозы безопасности информации персональных данных.

12. Применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных, в частности:

- разработаны модели угроз безопасности в информационных системах;

- производится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- разработаны соответствующие организационно-распорядительные документы по вопросам обработки персональных данных;

- работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;

- ведется учет машинных носителей персональных данных;

- производятся мероприятия по обнаружению попыток несанкционированного доступа к информационным системам персональных данных и принимаются соответствующие меры реагирования на инциденты, связанные с попытками несанкционированного доступа к информационным системам персональных данных;

- установлены правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечена регистрация событий безопасности при совершении действий с персональными данными в информационной системе персональных данных;

- разграничены уровни допуска сотрудников таким образом, чтобы они имели доступ только к тем категориям персональных данных, которые нужны им непосредственно для выполнения своих трудовых обязанностей;

- обеспечен контроль за принимаемыми мерами по обеспечению безопасности персональных данных и требованиями уровня защищенности информационных систем персональных данных;

- организован режим обеспечения безопасности помещений, в которых размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

- обеспечивается сохранность носителей персональных данных;

- утвержден документ, определяющий перечень должностей, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

- используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;

- используются средства криптографической защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.