SetTitle("policy12345"); ?>
Содержание
1 Назначение и область применения ..................................................................................... 2
2 Термины и сокращения ........................................................................................................ 2
3 Принципы и условия обработки персональных данных ..................................................... 3
4 Права субъекта персональных данных ............................................................................... 6
5 Обеспечение безопасности персональных данных ........................................................... 7
6 Обеспечение безопасности персональных данных при их автоматизированной обработке 7
7 Обязанности работников, осуществляющих обработку персональных данных ............... 9
8 Ответственность ................................................................................................................. 11
9 Контроль за исполнением Политики ................................................................................. 11
1 Назначение и область применения
Настоящая Политика обработки персональных данных (далее – Политика) определяет порядок обработки персональных данных и
меры по обеспечению их безопасности в ООО «Евразия Ассистанс» (далее Компания) с целью защиты прав и свобод человека и
гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную
тайну.
Требования настоящей Политики являются обязательными для исполнения работниками всех структурных подразделений
Компании, подрядчиков и контрагентов, допущенных к активам Компании
2 Термины и сокращения
В настоящей Политике используются следующие термины с соответствующими определениями:
«автоматизированная обработка персональных данных» обработка персональных данных с помощью средств вычислительной
техники;
«блокирование персональных данных» временное прекращение обработки персональных данных (за исключением случаев, если
обработка необходима для уточнения персональных данных);
«информационная система перональных данных» совокупность содержащихся в базах данных персональных данных и
обеспечивающих их обработку информационных технологий и технических средств;
«обезличивание персональных данных» действия, в результате которых невозможно определить без использования
дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
«информационная безопасность» – сохранение конфиденциальности, целостности и доступности информации;
«информационная система» совокупность содержащейся в базах данных информации и обеспечивающих ее обработку
информационных технологий и технических средств;
«информация» – сведения (сообщения, данные) независимо от формы их представления;
«обработка персональных данных» любое действие (операция) или совокупность действий (операций), совершаемых с
использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение,
предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
«оператор персональных данных» государственный орган, муниципальный орган, юридическое или физическое лицо,
самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также
определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции),
совершаемые с персональными данными;
«персональные данные» - любая информация, относящаяся к прямо или косвенно определенному, или определяемому
физическому лицу (субъекту персональных данных);
«предоставление персональных данных» - действия, направленные на раскрытие персональных данных определенному лицу или
определенному кругу лиц;
«распространение персональных данных» - действия, направленные на раскрытие персональных данных неопределенному кругу
лиц;
«трансграничная передача персональных данных» - передача персональных данных на территорию иностранного государства
органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
«уничтожение персональных данных» - действия, в результате которых невозможно восстановить содержание персональных
данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители
персональных данных.
В тексте документа использованы следующие сокращения:
ИБ
ПДн
- Информационная безопасность
- Персональные данные
3 Принципы и условия обработки персональных данных
3.1 Принципы обработки персональных данных
Обработка ПДн в Компании осуществляется на основе следующих принципов:
законности и справедливой основы;
ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей;
недопущения обработки ПДн, несовместимой с целями сбора ПДн;
недопущения объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых
между собой;
обработки только тех ПДн, которые отвечают целям их обработки;
соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;
недопущения обработки ПДн, избыточных по отношению к заявленным целям их обработки;
обеспечения точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн;
уничтожения либо обезличивания ПДн по достижении целей их обработки или в случае утраты необходимости в достижении
этих целей, при невозможности устранения Компанией допущенных нарушений обработки ПДн, если иное не предусмотрено федеральным
законом.
3.2 Условия обработки персональных данных
Компания производит обработку ПДн при наличии хотя бы одного из следующих условий:
обработка ПДн осуществляется с согласия субъекта ПДн или его законного представителя на обработку его ПДн;
обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации
или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций,
полномочий и обязанностей;
обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по
которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн
будет являться выгодоприобретателем или поручителем;
осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его
просьбе (общедоступные персональные данные);
обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если
получение согласия субъекта ПДн невозможно;
осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным
законодательством.
3.3 Конфиденциальность персональных данных
Компания и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия
субъекта персональных данных, если иное не предусмотрено федеральным законодательством.
3.4 Общедоступные источники персональных данных
В целях информационного обеспечения в Компании могут создаваться общедоступные источники ПДн субъектов, в том числе
справочники, адресные книги. В общедоступные источники ПДн с письменного согласия субъекта могут включаться: его фамилия, имя,
отчество, дата рождения, должность, номера контактных телефонов, адрес электронной почты, фотография и иные ПДн, сообщаемые
субъектом ПДн.
Сведения о субъекте должны быть исключены из общедоступных источников ПДн по требованию субъекта либо по решению суда
или иных уполномоченных государственных органов.
3.5 Специальные категории персональных данных
Обработка Компанией специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов,
религиозных или философских убеждений, состояния здоровья, интимной жизни, данных об имуществе допускается в случаях, если:
субъект ПДн дал согласие в письменной форме на обработку этих ПДн;
обработка ПДн осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым
законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых
пенсиях.
Обработка специальных категорий ПДн должна быть незамедлительно прекращена, если устранены причины, вследствие которых
осуществлялась их обработка, если иное не установлено федеральным законом.
Обработка ПДн о судимости осуществляется Компанией исключительно в случаях и в порядке, которые определяются
федеральными законами.
3.6 Биометрические персональные данные
Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно
установить его личность (биометрические персональные данные) и которые используются Компанией для установления личности субъекта
персональных данных, могут обрабатываться только при наличии согласия субъекта в письменной форме.
3.7 Поручение обработки персональных данных от других лиц
Компания осуществляет обработку ПДн по поручению организаций-партнеров, медицинских учреждений с согласия субъекта ПДн,
если иное не предусмотрено федеральным законом, на основании заключаемых с этими организациями договоров. Компания при
осуществлении обработки ПДн по поручению других лиц, обязано соблюдать правила обработки и защиты ПДн, предусмотренные
Федеральным законом.
3.8 Трансграничная передача персональных данных
При трансграничной передачи данных, Компания осуществляет проверку того, что иностранным государством, на территорию
которого осуществляется передача ПДн, обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления
трансграничной передачи ПДн.
Трансграничная передача ПДн может осуществляться в случаях:
Иностранное государство является стороной Конвенции Совета Европы - уполномоченный орган по защите прав субъектов
ПДн утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при
автоматизированной обработке ПДн и обеспечивающих адекватную защиту прав субъектов ПДн. Государство, не являющееся
стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, может быть включено в перечень
иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, при условии соответствия положениям
указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности ПДн.
Иностранное государство не является стороной Конвенции Совета – в таком случае передача возможна в случаях:
o наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его ПДн;
o предусмотренных международными договорами Российской Федерации;
o предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской
Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного
функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от
актов незаконного вмешательства;
o исполнения договора, стороной которого является субъект ПДн;
o защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получения
согласия в письменной форме субъекта ПДн.
4 Права субъекта персональных данных
4.1 Согласие субъекта персональных данных на обработку его персональных данных
Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем
интересе. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт
его получения форме, если иное не установлено федеральным законом.
Обязанность предоставить доказательство получения согласия субъекта на обработку его ПДн или доказательство наличия
оснований, указанных в Федеральном законе, возлагается на Компании.
4.2 Права субъекта персональных данных
Субъект ПДн имеет право на получение у Компании информации, касающейся обработки его ПДн, если такое право не ограничено
в соответствии с федеральными законами. Субъект ПДн вправе требовать от Компании уточнения его ПДн, их блокирования или
уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не
являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным
потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного
согласия субъекта ПДн. Указанная обработка ПДн признается осуществляемой без предварительного согласия субъекта ПДн, если
Компания не докажет, что такое согласие было получено. Компания обязана немедленно прекратить по требованию субъекта ПДн
обработку его ПДн в вышеуказанных целях.
Запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические
последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев,
предусмотренных федеральным законодательством, или при наличии согласия в письменной форме субъекта ПДн.
Если субъект ПДн считает, что Компания осуществляет обработку его ПДн с нарушением требований Федерального закона или
иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Компании в уполномоченном
органе по защите прав субъектов ПДн или в судебном порядке.
Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию
морального вреда в судебном порядке.
5 Обеспечение безопасности персональных данных
Безопасность ПДн, обрабатываемых Компанией, обеспечивается реализацией правовых, организационных и технических мер,
необходимых для обеспечения требований федерального законодательства в области защиты ПДн.
Для предотвращения несанкционированного доступа к ПДн Компанией применяются следующие организационно-технические
меры:
назначение должностных лиц, ответственных за организацию обработки и защиты ПДн;
ограничение состава лиц, имеющих доступ к ПДн;
ознакомление работников с требованиями федерального законодательства и нормативных документов Компании по
обработке и защите ПДн;
организация учета, хранения и обращения носителей информации;
определение угроз безопасности ПДн при их обработке в процессе ежегодного анализа рисков ИБ;
разработка, внедрение и модификация системы защиты ПДн;
разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки и
защиты информации;
применение необходимых для обеспечения безопасности ПДн средств защиты информации, в том числе криптографических
средств;
обеспечение восстановления ПДн, уничтоженных или модифицированных вследствие несанкционированного доступа к ним;
обеспечение контроля за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности
информационных систем ПДн;
обеспечение пропускного режима на территорию офиса Компании, охраны помещений с техническими средствами обработки
ПДн.
6 Обеспечение безопасности персональных данных при их автоматизированной обработке
6.1 Требования к системе защиты персональных данных
Безопасность ПДн при их обработке в информационных системах обеспечивается с помощью системы защиты, реализованной
организационными и техническими мерами.
Система защиты ПДн Компании должна обеспечивать:
нейтрализацию актуальных угроз безопасности ПДн;
проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их
лицам, не имеющим права доступа к такой информации;
своевременное обнаружение фактов несанкционированного доступа к ПДн;
недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть
нарушено их функционирование;
возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие
несанкционированного доступа к ним;
постоянный контроль обеспечения уровня защищенности ПДн.
Мероприятия по обеспечению безопасности ПДн включаются в ежегодно утверждаемый План мероприятий по обеспечению
информационной безопасности в Компании.
6.2 Порядок создания системы защиты персональных данных
Для создания (модернизации) системы защиты ПДн, как правило, проводятся следующие мероприятия и работы:
обследование порядка обработки ПДн в информационных системах;
определение угроз и нарушителя безопасности ПДн при их обработке в информационных системах;
установление уровня защищенности ПДн;
определение состава и содержания мер по обеспечению безопасности ПДн;
проектирование системы защиты ПДн;
закупка и внедрение средств защиты информации;
оценка соответствия информационной системы ПДн требованиям безопасности информации;
ввод системы защиты ПДн в эксплуатацию.
Обследование обработки ПДн в информационных системах проводится с целью определения (актуализации) состава, структуры
информационных систем, принятых мер безопасности, содержания и объема обрабатываемых ПДн, а также взаимодействия
информационных систем с иными системами и телекоммуникационными сетями общего пользования. На основании обследования
вырабатываются рекомендации по совершенствованию существующей системы защиты ПДн.
Модель угроз и нарушителя формируется в соответствии с методическими документами ФСТЭК России и ФСБ России. Актуальные
угрозы безопасности ПДн при их обработке в информационных системах определяются исходя из наличия вероятного нарушителя,
возможных способов и средств реализации угроз. Модель угроз и нарушителя содержит также описание совокупности предположений о
возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и определение на этой основе и с
учетом типа актуальных угроз требуемого класса криптографического средства.
Моделью угроз и нарушителя необходимо руководствоваться на всех этапах жизненного цикла информационной системы ПДн:
при проектировании;
при вводе в эксплуатацию;
в режиме эксплуатации;
при модернизации;
при проведении регламентных и ремонтно-профилактических работ.
Выбор мер по защите ПДн в информационной системе осуществляется на основе уровня ее защищенности с учетом структуры
информационной системы, применяемых технических средств и информационных технологий, а также актуальных угроз безопасности
ПДн.
Система защиты ПДн в соответствии с требованиями приказа ФСТЭК России от 18.02.2013 21 «Об утверждении Состава и
содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн»
должна быть, как правило, реализована следующими группами мер (подсистемами):
идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации, на которых хранятся и (или) обрабатываются ПДн;
регистрация событий безопасности;
антивирусная защита;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности ПДн;
обеспечение целостности информационной системы и ПДн;
обеспечение доступности ПДн;
защита среды виртуализации;
защита технических средств;
защита информационной системы, ее средств, систем связи и передачи данных;
выявление инцидентов и реагирование на них;
управление конфигурацией информационной системы и системы защиты ПДн.
7 Обязанности работников, осуществляющих обработку персональных данных
Работник обязан:
использовать рабочую станцию только для выполнения разрешенных процедур автоматизированной обработки
информации;
знать и соблюдать установленные правила обеспечения безопасности ПДн при их обработке в информационной системе;
знать и соблюдать правила эксплуатации аппаратных средств, входящих в состав информационной системы ПДн;
знать и соблюдать правила обеспечения безопасности ПДн при доступе к информационно-телекоммуникационным сетям
международного информационного обмена (сетям связи общего пользования);
обеспечить размещение экрана монитора на своем рабочем месте так, чтобы исключалась возможность
несанкционированного просмотра отображаемой на нем информации;
хранить в тайне свой пароль и периодически менять его в соответствии с установленной парольной политикой;
обеспечить надежное хранение персональных идентификаторов;
соблюдать правила антивирусной защиты рабочей станции;
обеспечить сохранность используемых машинных носителей информации с ПДн;
проверять все съемные носители информации при подключении к рабочей станции на отсутствие вирусов и вредоносных
программ;
осуществлять резервное копирование, уничтожение и восстановление информации в рамках выделенных полномочий
самостоятельно, либо через Менеджера по ИТ.
при оставлении своего рабочего места блокировать рабочую станцию для предотвращения несанкционированного доступа
к обрабатываемой информации;
сообщать Менеджеру по ИБ о ставших известными каналах утечки информации, способах обхода системы защиты ПДн;
контролировать пребывание третьих лиц (посетителей, обслуживающего персонала) в помещениях Компании для
предотвращения несанкционированного доступа таких лиц к ПДн;
Работнику запрещается:
передавать (предоставлять) ПДн при телефонных переговорах по незащищенным каналам связи;
передавать ПДн в составе сообщений электронной почты в незащищенном (незашифрованном) виде;
осуществлять запись ПДн на неучтенные установленным порядком носители информации;
выносить за пределы служебных помещений Компании учтенные носители информации, а также документы, содержащие
ПДн, без разрешения уполномоченных лиц;
передавать носители информации и документы, содержащие ПДн лицам, не допущенным к обработке таких данных;
оставлять на рабочем месте без присмотра носители информации и документы, содержащие ПДн;
подключать к рабочей станции и информационной системе личные носители информации, в том числе мобильные
устройства;
хранить носители информации вблизи источников электромагнитных излучений и прямых солнечных лучей;
вносить изменения в конфигурацию программно-аппаратных средств информационной системы том числе изменять
расположение аппаратных средств) без согласования Менеджера по ИБ;
записывать посторонние программы и иную информацию на рабочие станции, используемые для обработки ПДн;
осуществлять обработку ПДн в присутствии посторонних лиц, а также допускать их к решению задач (производству расчетов,
формированию документов и т.п.);
выполнять работы при обнаружении нарушенных печатей и пломб узлов и блоков информационной системы, самовольно
срывать такие пломбы;
разглашать сведения о применяемых средствах защиты информации;
производить обработку ПДн с выключенными или нерабочими средствами защиты;
привлекать к ремонту и администрированию рабочей станции третьих лиц без согласования с Менеджером по ИТ.
8 Ответственность
Иные права и обязанности Компании, как Оператора ПДн, определяются законодательством Российской Федерации в области ПДн.
Работники Компании, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут материальную, дисциплинарную,
административную, гражданско-правовую или уголовную ответственность в установленном федеральным законодательством порядке.
9 Контроль за исполнением Политики
Общее руководство и контроль исполнения положений настоящей Политики возложены на генерального директора Компании.