1 ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Политика ООО «Практика успеха» в отношении обработки персональных данных (далее – Политика) представляет собой официально принятую руководством ООО «Практика успеха» (далее – Общество) систему взглядов на проблему обеспечения безопасности персональных данных (далее – ПДн) и устанавливает принципы построения системы защиты ПДн на основе систематизированного изложения целей, процессов и процедур информационной безопасности Общества.

1.2. Политика разработана в соответствии со следующими документами (в актуальных версиях):

- Доктриной информационной безопасности Российской Федерации (утв. Указом Президента Российской Федерации от 05.12.2016);

- Федеральным Законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- Федеральным Законом от 27.07.2006 №152-ФЗ «О персональных данных».

1.3. Целями Политики являются:

- определение основных целей и задач защиты ПДн в Обществе;

- установление общих принципов по обеспечению безопасности ПДн в Обществе;

- распределение ответственности за реализацию Политики и ее обеспечение (разработку, принятие, выделение необходимых ресурсов для разработки и реализации).

1.4. Политика является методологической основой для:

- формирования и проведения единой политики в области обеспечения безопасности ПДн в Обществе;

- принятия управленческих решений по вопросам защиты ПДн;

- создания комплекса организационных и технических мер защиты ПДн;

- координации деятельности структурных подразделений Общества при проведении работ по созданию, развитию и эксплуатации информационных систем персональных данных (далее – ИСПДн) с соблюдением требований по обеспечению безопасности ПДн;

- разработки предложений по совершенствованию правового, нормативно-методического, технического и организационного обеспечения безопасности ПДн.

1.5. Для обеспечения актуальности Политики ее пересмотр осуществляется:

- в плановом режиме, не реже 1 (Одного) раза в календарный год;

- во внеплановом режиме, в случае изменения бизнес-процессов и бизнес-целей Общества, изменения требований в нормативных и законодательных документах по обеспечению безопасности ПДн.

1.6. Политика обязательна для применения всеми работниками Общества, а также работниками сторонних организаций и учреждений, осуществляющих взаимодействие с ИСПДн Общества в качестве поставщиков и потребителей (пользователей) информации (далее – Контрагенты).

2 ЦЕЛИ И ЗАДАЧИ ДЕЯТЕЛЬНОСТИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Основными целями обеспечения безопасности ПДн в Обществе являются:

- создание безопасного информационного пространства для осуществления Обществом своей деятельности за счет снижения вероятности реализации угроз безопасности ПДн до приемлемого уровня;

- выполнение требований законодательства Российской Федерации о ПДн и требований регуляторов ФСТЭК России, ФСБ России и Роскомнадзора;

- соблюдение интересов субъектов ПДн в вопросах обеспечения безопасности ПДн.

2.2. Основными задачами обеспечения безопасности ПДн в Обществе являются:

- постоянный контроль за состоянием информационного пространства Общества;

- обеспечение и поддержание необходимого уровня защищенности ПДн и ИСПДн Общества;

- постоянное совершенствование системы защиты ПДн;

- постоянное повышение квалификации персонала в области защиты информации.

3 СТРАТЕГИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Стратегия обеспечения безопасности ПДн Общества направлена на защиту его информационных ресурсов от угроз безопасности ПДн, исходящих от противоправных действий нарушителей, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала Общества, технических сбоев в ИСПДн Общества, неправильных технологических и организационных решений в процессах записи, систематизации, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (предоставления, доступа) третьим лицам, обезличивания, блокирования, удаления, уничтожения обрабатываемых ПДн, а также обеспечение эффективного и бесперебойного функционирования технологических процессов Общества.

3.2. Угрозы нарушения безопасности ПДн направлены на нарушение следующих свойств безопасности информации:

- конфиденциальности информации;

- целостности информации;

- доступности информации.

3.3. Стратегия обеспечения безопасности ПДн Общества заключается в использовании заранее разработанных мер противодействия атакам злоумышленников, а также программно-технических и организационных решений, позволяющих свести к минимуму возможные потери от технических аварий и ошибочных действий персонала Общества.

4 ОПИСАНИЕ ОБЪЕКТОВ ЗАЩИТЫ

4.1. В Обществе ПДн хранятся в бумажном и электронном виде.

4.2. Основными объектами защиты в Обществе являются:

- ПДн;

- элементы ИСПДн Общества, а именно:

технические средства обработки информации: рабочие станции, серверы, периферийное оборудование (принтеры, сканеры и т.п.);

активное сетевое оборудование;

программное обеспечение: системное программное обеспечение, системы управление базами данных, прикладное программное обеспечение;

программные и программно-технические средства защиты информации;

физические носители информации (съемные машинные, магнитные и оптические носители).

- помещения ИСПДн Общества.

5 УГРОЗЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Угроза безопасности ПДн определяется наличием факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой ПДн и (или) несанкционированными и (или) непреднамеренными воздействиями на них.

5.2. Перечень актуальных угроз для ИСПДн определен в Модели угроз безопасности ПДн Общества.

5.3. Модель угроз безопасности ПДн пересматривается ответственным за обеспечение безопасности ПДн Общества в случае:

- изменения требований законодательства Российской Федерации о защите информации, нормативных правовых актов и методических документов, регламентирующих защиту информации;

- изменения конфигурации (состава основных компонентов) и особенностей функционирования ИСПДн, а также состава обрабатываемых ПДн, следствием которых стало возникновение новых угроз безопасности ПДн;

- выявления уязвимостей, приводящих к возникновению новых угроз безопасности ПДн или к повышению возможности реализации существующих;

- появления сведений и фактов о новых возможностях нарушителей

5.4. Модель угроз разработана на основе следующих документов:

- Базовая модель угроз безопасности персональных данных при обработке в информационных системах персональных данных, утвержденная 15.02.2008 заместителем директора ФСТЭК России;

- Методика определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных, утвержденная 14.02.2008 заместителем директора ФСТЭК России;

- ГОСТ Р 51275-2006 «Защита информации. Факторы, воздействующие на информацию. Общие положения»;

- Банк данных угроз безопасности информации, разработанный Федеральной службой по техническому и экспортному контролю России и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации.

6 МОДЕЛЬ НАРУШИТЕЛЯ

6.1. Целью атак нарушителя является нарушение свойств безопасности ПДн.

6.2. Характеристика возможных нарушителей для ИСПДн приведена в соответствующем разделе Модели угроз безопасности ПДн Общества.

6.3. Характеристика возможных нарушителей составлялась с учетом положений, указанных в Базовой модели угроз безопасности персональных данных при обработке в информационных системах персональных данных, утвержденной 15.02.2008 заместителем директора ФСТЭК России.

7 ОСНОВНЫЕ ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Политика применяется в Обществе постоянно на всем промежутке времени существования Общества.

7.2. Общество в своей деятельности руководствуется требованиями законов и других нормативных актов Российской Федерации, а также внутренними организационно-распорядительными документами Общества, регламентирующими обеспечение безопасности ПДн.

7.3. Исходя из стратегии обеспечения безопасности ПДн и основных угроз безопасности ПДн Общества, целесообразно выделить следующие основные направления деятельности по обеспечению безопасности ПДн:

- обеспечение сохранности и физической защиты объектов защиты Общества;

- обеспечение технического и организационного обеспечения безопасности ПДн, циркулирующих в ИСПДн Общества;

- предупреждение и ликвидация последствий чрезвычайных ситуаций;

- совершенствование системы защиты ПДн в соответствие с актуальными требованиями законодательства Российской Федерации в области защиты ПДн.

7.4. При осуществлении взаимодействия с третьей стороной Общество руководствуется следующими принципами:

- Общество предоставляет ПДн только тем субъектам, которые имеют на это право согласно действующему законодательству;

- Общество вправе требовать от Контрагентов предоставления достоверной и своевременной информации, необходимой для корректного и безопасного осуществления работы Общества, а также соответствия деятельности Контрагентов требованиям по обеспечению безопасности ПДн, которыми руководствуется Общество, и сохранения в тайне ПДн, обрабатываемых в Обществе;

- вступая в любые виды экономических отношений с другими организациями, Общество следует их требованиям по обеспечению безопасности ПДн, если они не понижают уровень требований к соблюдению мер безопасности ПДн самого Общества.

7.5. Документами, детализирующими требования Политики, являются Положения по обеспечению безопасности ПДн, которые являются документами второго уровня, оформляются как отдельные внутренние нормативные документы Общества, разрабатываются и согласовываются в соответствии с установленным в Обществе порядком и утверждаются генеральным директором Общества.

7.6. Положения по обеспечению безопасности ПДн устанавливают конкретные меры, нормы и правила по обеспечению безопасности ПДн в Обществе и обязательны для исполнения всеми работниками Общества.

8 КОНТРОЛЬ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ ПОЛИТИКИ

8.1. Соблюдение положений Политики непрерывно контролируется.

8.2. Контроль эффективности защиты ПДн является основным методом контроля работоспособности Политики.

8.3. Контроль эффективности защиты ПДн осуществляется путем проведения периодических внутренних проверок.

8.4. Результаты внутренних проверок могут служить основанием для пересмотра положений Политики и внесения необходимых корректировок.

9 ОТВЕТСТВЕННОСТЬ

9.1. Ответственность за обеспечение процессов разработки, принятия Политики, а также за выделение требуемых ресурсов (в том числе финансовых и трудовых) для реализации и разработки Политики несет генеральный директор Общества.

9.2. Ответственность за разработку, обеспечение реализации и внедрения Политики в Обществе, а также за пересмотр Политики и осуществление контроля эффективности защиты ПДн несет ответственный за обеспечение безопасности ПДн.

9.3. Неисполнение или некачественное исполнение работниками Общества и пользователей ИСПДн обязанностей по обеспечению безопасности ПДн может повлечь лишение доступа к ИСПДн Общества, а также применение к виновным административных мер воздействия, степень которых определяется установленным в Обществе порядком либо требованиями действующего законодательства.