Положение об обеспечении безопасности персональных данных

Положение об обеспечении безопасности персональных данных сервиса cardzen.kz


1. Термины и Сокращения

2. Область применения

2.1 Положение об обеспечении безопасности персональных данных (далее - Положение) разработано в целях выполнения требований законодательства в области защиты персональных данных.

2.2 Настоящее Положение определяет порядок и правила организации и проведения работ по обеспечению безопасности персональных данных в ТОО «Финансо КЗ (Finanso KZ)», БИН 210940022214, фактический адрес: г.Астана, район Алматы, улица Күйші Дина, здание 17 (далее – Оператор).

2.3 Настоящий документ учитывает положения основных нормативных правовых актов в области защиты персональных данных, перечисленных в Положении о комиссии по приведению в соответствие c требованиям законодательства в области персональных данных.

2.4 Настоящее Положение предназначено для всех работников Оператора, а также третьих лиц, получающих временный или постоянный доступ к обрабатываемым у него ПДн на законном основании.

2.5 Настоящее Положение действует с момента его утверждения руководителем Оператора.

2.6 Актуализация настоящего Положения проводится не реже, чем два раза в год в соответствии с Регламентом по проведению контрольных мероприятий и реагированию на инциденты информационной безопасности в ТОО «Финансо КЗ (Finanso KZ)».

2.7 Внесение изменений в настоящее Положение либо утверждение его новой редакции производится на основании соответствующего приказа руководителя Оператора.

3. Общие положения

3.1 ПДн, обрабатываемые у Оператора, цели, основание и сроки их обработки указаны в Публичной оферте.

3.2 Обработка ПДн осуществляется Оператором с использованием средств автоматизации и без их использования.

3.3 Сроки хранения ПДн устанавливаются в письменном согласии субъекта ПДн на обработку его персональных данных, а также требованиями законодательства, устанавливающими сроки хранения документов.

4. Организация работ по обеспечению безопасности персональных данных

4.1 Под организацией работ по обеспечению безопасности ПДн понимается формирование и всестороннее обеспечение реализации совокупности согласованных по цели, задачам, месту и времени организационных и технических мероприятий, направленных на минимизацию как непосредственного, так и опосредованного ущерба от реализации угроз безопасности ПДн, и осуществляемых в целях:

4.2 Организация работ по обеспечению безопасности ПДн у Оператора должна осуществляться в соответствии с действующими нормативными правовыми актами и разработанными для этих целей организационно-распорядительными документами по обеспечению безопасности ПДн Оператором.

4.3 Задачи по приведению деятельности Оператора в соответствие с требованиями законодательства в области ПДн возлагаются на специально создаваемую для этих целей Комиссию и лиц, ответственных за организацию обработки и обеспечение безопасности ПДн, которые могут быть включены в состав данной Комиссии.

4.4 В случаях, когда Оператор на основании договора поручает обработку ПДн третьему лицу, Оператору необходимо заключить с данным лицом соглашение, предусматривающее нормы о соблюдении безопасности персональных данных, с возложением на третье лицо обязанности по обеспечению конфиденциальности и безопасности переданных Оператором ПДн (либо включить данное обязательство в заключаемый/действующий договор).

4.5 Работы по приведению деятельности Оператора в соответствие с требованиями законодательства ведутся по двум направлениям: обеспечение безопасности ПДн, обрабатываемых без использования средств автоматизации, и обеспечение безопасности ПДн в ИСПДн Оператора.

4.6 Работы по обеспечению безопасности ПДн, обрабатываемых без использования средств автоматизации, ведутся по следующим направлениям:

4.7 Организация и выполнение мероприятий по обеспечению безопасности ПДн, обрабатываемых в ИСПДн Оператора, осуществляются в рамках системы защиты персональных данных ИСПДн (далее - СЗПДн), развертываемой в ИСПДн в процессе ее создания или модернизации.

4.8 СЗПДн представляет собой совокупность организационных мер и технических средств защиты информации, а также используемых в ИСПДн информационных технологий, функционирующих в соответствии с определенными целями и задачами обеспечения безопасности ПДн.

4.9 СЗПДн должна являться неотъемлемой составной частью каждой вновь создаваемой ИСПДн Оператора.

4.10 Для существующих ИСПДн, в которых в процессе их создания не были предусмотрены меры по обеспечению безопасности ПДн должен быть проведен комплекс организационных и технических мероприятий по разработке и внедрению СЗПДн.

4.11 Структура, состав и основные функции СЗПДн определяются в соответствии с уровнем защищенности персональных данных, обрабатываемых в ИСПДн и моделью угроз безопасности персональных данных при их обработке в ИСПДн.

5. Проведение работ по обеспечению безопасности персональных данных

5.1 В целях оценки уровня защищенности обрабатываемых у Оператора ПДн и своевременного устранения несоответствий требованиям законодательства в области защиты ПДн у Оператора раз в год должен проводиться анализ изменений процессов защиты ПДн.

5.2 Анализ изменений проводится по следующим основным направлениям:

5.3 Результаты анализа изменений используются для оценки корректности требований по обеспечению безопасности ПДн, обрабатываемых с использованием средств автоматизации и без использования таких средств и при необходимости их уточнения.

5.4 У Оператора должен вестись учет действий, совершаемых работниками Оператора при обработке ПДн в ИСПДн. Действия с ПДн учитываются в log-файлах ИСПДн и/или в отдельной базе данных ИСПДн.

5.5 Доступ к ПДн осуществляется в соответствии с Регламентом по допуску работников и третьих лиц к обработке персональных данных, утвержденным Оператором.

5.6 Лица, допущенные к обработке ПДн, должны быть проинформированы:

5.7 Неавтоматизированная обработка ПДн должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения материальных носителей и установить перечень лиц, допущенных к обработке ПДн. У Оператора должен вестись учет носителей ПДн.

5.8 Фиксация ПДн должна осуществляться на отдельных материальных носителях (отдельных документах). ПДн должны отделяться от иной информации.

5.9 Фиксация на одном материальном носителе ПДн, цели обработки которых заведомо несовместимы, не допускается. В случае если на одном материальном носителе все же зафиксированы ПДн, цели обработки которых несовместимы, должны быть приняты меры по обеспечению раздельной обработки ПДн, в частности:

5.10 Правила учета, хранения и уничтожения ПДн при неавтоматизированной обработке описаны в Регламенте по учёту, хранению и уничтожению носителей персональных данных, утвержденном Оператором.

5.11 Должен осуществляться мониторинг фактов несанкционированного доступа к персональным данным и приниматься соответствующие меры при их обнаружении. Мониторинг осуществляется Администратором безопасности ИСПДн.

5.12 Администратором безопасности ИСПДн должен осуществляться контроль за принимаемыми мерами по обеспечению безопасности персональных данных.

5.13 При обработке ПДн Оператор должен иметь возможность и средства для восстановления ПДн, в случае их модификации или уничтожении вследствие несанкционированного доступа к ним. Правила резервного копирования и восстановления ПДн Оператором установлены в Регламенте по резервному копированию персональных данных, утвержденному Оператором.

5.14 Оператор определяет перечень помещений, используемых при обработке ПДн. При этом организация режима безопасности, охрана этих помещений должны обеспечивать сохранность носителей ПДн, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

5.15 Пользователи ИСПДн должны обеспечивать сохранность съемных носителей, содержащих ПДн. В случае утраты носителя пользователи должны немедленно сообщить об этом Администратору безопасности ИСПДн.

5.16 Если при работе с ПДн работнику Оператора необходимо покинуть рабочее место, материальные носители ПДн должны быть защищены от неконтролируемого доступа к ним. Для этого материальные носители помещаются в отведенных для хранения места.

5.17 В случае достижения цели обработки ПДн Оператор прекращает обработку ПДн или обеспечивает ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и уничтожает ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. В случае если ПДн невозможно уничтожить, то они блокируются и уничтожаются в срок, не превышающий шести месяцев.

5.18 Проведение работ по созданию (модернизации) СЗПДн включает следующие стадии:

5.19 На предпроектной стадии проводится определение уровня защищенности персональных данных, обрабатываемых в ИСПДн, формируется Модель угроз безопасности ПДн при их обработке в ИСПДн, разрабатывается Техническое задание на СЗПДн.

5.20 Определение уровня защищенности персональных данных, обрабатываемых в ИСПДн осуществляется в соответствии с Регламентом по определению уровня защищенности персональных данных, обрабатываемых в информационных систем персональных данных.

5.21 ИСПДн Оператора указаны в Перечне информационных систем персональных данных.

5.22 Уровень защищенности персональных данных, обрабатываемых в ИСПДн, оформляется соответствующим актом.

5.23 Модель угроз безопасности ПДн при их обработке в ИСПДн формируется на основании руководящих документов СБУ.

5.24 Перечень актуальных угроз формируется для каждой ИСПДн Оператора с учетом условий функционирования ИСПДн и особенностей обработки ПДн.

5.25 По итогам определения уровня защищенности персональных данных, обрабатываемых в ИСПДн и результатам определения актуальных угроз безопасности ПДн формируются требования по обеспечению безопасности ПДн, обрабатываемых в ИСПДн. Данные требования оформляются в виде технического задания на СЗПДн.

5.26 Стадия проектирования СЗПДн включает разработку СЗПДн в составе ИСПДн, а именно разработку разделов задания и проекта проведения по созданию (модернизации) СЗПДн в соответствии с требованиями технического задания;

5.27 Стадия реализации СЗПДн включает:

5.28 На стадии ввода в действие СЗПДн осуществляются:

5.29 В процессе функционирования ИСПДн может осуществляться модернизация СЗПДн. В обязательном порядке модернизация проводится в случае, если:

5.30 При возникновении условий, влияющих на безопасность ПДн (компрометация паролей, нарушение целостности и доступности персональных данных и пр.) работник Оператора обязан незамедлительно проинформировать об этом Администратора безопасности ИСПДн.

5.31 Лица, виновные в нарушении требований, предъявляемых законодательством к защите ПДн, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством ответственность.