Положение о защите персональных данных
1. Общие положения
1.1. Положение о защите персональных данных ИП Камбаров Сердар Аширмурадович(ИНН 022201094870, ОГРНИП 311026203500015) (далее – ИП, Положение) разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ и иными нормативно-правовыми актами в области защиты персональных данных, действующими на территории России.
1.2. Цель настоящего Положения – защита персональных данных клиентов, контрагентов и пользователей сайта https://serdarkambarov.com , мессенджеров и других интернет-сервисов от несанкционированного доступа и разглашения, предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
1.3. В целях настоящего Положения:
• под персональными данными (далее – ПД) понимается любая информация, прямо или косвенно относящаяся к субъекту персональных данных;
• под угрозами безопасности ПД понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
• под уровнем защищенности ПД понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПД при их обработке в информационной системе.
1.4. Настоящее Положение и изменения к нему утверждаются Индивидуальным предпринимателем и вводятся приказом. Настоящее Положение размещается на официальном сайте ИП по адресу: https://serdarkambarov.com.
1.5. Настоящее Положение вступает в силу с 01.06.2025.
2. Защита персональных данных
2.1. ИП принимает следующие меры по защите ПД:
2.1.1. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением ИП требований к защите ПД.
2.1.2. Разработка политики в отношении обработки ПД.
2.1.3. Установление правил доступа к ПД, обеспечение регистрации и учета всех действий, совершаемых с ПД.
2.1.4. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
2.1.5. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
2.1.6. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
2.1.7. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный доступ к ним.
2.1.8. Обнаружение фактов несанкционированного доступа к ПД.
2.1.9. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
2.1.10. Изучение работниками, непосредственно осуществляющими обработку ПД, положений законодательства РФ о персональных данных, в том числе требований к защите персональных данных, документов, определяющих политику ИП в отношении обработки ПД, локальных актов по вопросам обработки персональных данных.
2.1.11. Осуществление внутреннего контроля и аудита.
2.1.12. Определение типа угроз безопасности и уровней защищенности ПД, которые хранятся в информационных системах.
2.2. Угрозы защищенности персональных данных:
2.2.1. Угрозы первого типа. В системном программном обеспечении информационной системы есть функциональные возможности, которые не указаны в описании к нему либо не отвечают характеристикам, которые заявил производитель, и это потенциально может привести к неправомерному использованию персональных данных.
2.2.2. Угрозы второго типа. Потенциальные проблемы с прикладным программным обеспечением — внешними программами, которые установлены на компьютерах работников.
2.2.3. Угрозы третьего типа. Потенциальной опасности ни от системного, ни от прикладного программного обеспечения нет.
2.3. Уровни защищенности персональных данных: (Примечание: этот раздел носит информационный характер, убедитесь, что ваш уровень защищенности определен верно).
2.3.1. Первый уровень защищенности. Если ИП отнес информационную систему к первому типу угрозы или если тип угрозы второй, но ИП обрабатывает специальные категории ПД более 100 тыс. физических лиц без учета работников.
2.3.2. Второй уровень защищенности. Если тип угрозы второй и ИП обрабатывает специальные категории ПД субъектов персональных данных, вне зависимости от их количества, или специальные категории ПД менее чем 100 тыс. физических лиц, или любые другие категории ПД более чем 100 тыс. физических лиц, или при третьем типе угрозы ИП обрабатывает специальные категории данных более чем 100 тыс. физических лиц.
2.3.3. Третий уровень защищенности. Если при втором типе угрозы ИП обрабатывает общие ПД субъектов персональных данных или менее чем 100 тыс. физических лиц, или при третьем типе угрозы ИП обрабатывает специальные категории ПД субъектов или менее чем 100 тыс. физических лиц, или при третьем типе угрозы ИП обрабатывает биометрические ПД, или при третьем типе угрозы ИП обрабатывает общие ПД более чем 100 тыс. физических лиц.
2.3.4. Четвертый уровень защищенности. Если при третьем типе угрозы ИП обрабатывает только общие ПД субъектов персональных данных или менее чем 100 тыс. физических лиц.
2.4. При четвертом уровне защищенности персональных данных ИП:
• обеспечивает режим безопасности помещений, в которых размещается информационная система;
• обеспечивает сохранность носителей информации;
• утверждает перечень работников, допущенных до ПД субъектов персональных данных;
• использует средства защиты информации, которые прошли оценку соответствия требованиям закона в области обеспечения безопасности информации.
2.5. При третьем уровне защищенности ПД дополнительно к мерам, перечисленным в пункте 2.4 настоящего Положения, ИП назначает ответственного за обеспечение безопасности ПД в информационной системе.
2.6. При втором уровне защищенности ПД дополнительно к мерам, перечисленным в пунктах 2.4, 2.5 настоящего Положения, ИП ограничивает доступ к электронному журналу сообщений, за исключением работников, которым такие сведения необходимы для работы.
2.7. При первом уровне защищенности ПД дополнительно к мерам, перечисленным в пунктах 2.4—2.6 настоящего Положения, ИП:
• обеспечивает автоматическую регистрацию в электронном журнале безопасности изменения полномочий работников по допуску к ПД в системе;
• назначает структурное подразделение (при его наличии) или конкретного работника, ответственного за безопасность ПД в системе.
2.8. В целях защиты ПД на бумажных носителях ИП:
• приказом назначает ответственного за обработку ПД;
• ограничивает допуск в помещения, где хранятся документы, которые содержат ПД субъектов персональных данных;
• хранит документы, содержащие ПД субъектов персональных данных, в шкафах, запирающихся на ключ.
2.9. В целях обеспечения конфиденциальности документы, содержащие ПД субъектов персональных данных, оформляются, ведутся и хранятся только работниками, допущенными к обработке ПД приказом Индивидуального предпринимателя.
2.10. Работники ИП, допущенные к ПД, подписывают обязательства о неразглашении персональных данных. В противном случае они к обработке ПД не допускаются.
2.11. Передача ПД по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством РФ, допускается исключительно с согласия субъекта персональных данных.
2.12. Передача информации, содержащей сведения о ПД субъекта персональных данных, по телефону в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.
3. Гарантии конфиденциальности персональных данных
3.1. Все работники ИП, осуществляющие обработку ПД, обязаны хранить тайну о сведениях, содержащих ПД, в соответствии с настоящим Положением и требованиями законодательства РФ.
3.2. Субъект персональных данных вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.
1.1. Положение о защите персональных данных ИП Камбаров Сердар Аширмурадович(ИНН 022201094870, ОГРНИП 311026203500015) (далее – ИП, Положение) разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ и иными нормативно-правовыми актами в области защиты персональных данных, действующими на территории России.
1.2. Цель настоящего Положения – защита персональных данных клиентов, контрагентов и пользователей сайта https://serdarkambarov.com , мессенджеров и других интернет-сервисов от несанкционированного доступа и разглашения, предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
1.3. В целях настоящего Положения:
• под персональными данными (далее – ПД) понимается любая информация, прямо или косвенно относящаяся к субъекту персональных данных;
• под угрозами безопасности ПД понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
• под уровнем защищенности ПД понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПД при их обработке в информационной системе.
1.4. Настоящее Положение и изменения к нему утверждаются Индивидуальным предпринимателем и вводятся приказом. Настоящее Положение размещается на официальном сайте ИП по адресу: https://serdarkambarov.com.
1.5. Настоящее Положение вступает в силу с 01.06.2025.
2. Защита персональных данных
2.1. ИП принимает следующие меры по защите ПД:
2.1.1. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением ИП требований к защите ПД.
2.1.2. Разработка политики в отношении обработки ПД.
2.1.3. Установление правил доступа к ПД, обеспечение регистрации и учета всех действий, совершаемых с ПД.
2.1.4. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
2.1.5. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
2.1.6. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
2.1.7. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный доступ к ним.
2.1.8. Обнаружение фактов несанкционированного доступа к ПД.
2.1.9. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
2.1.10. Изучение работниками, непосредственно осуществляющими обработку ПД, положений законодательства РФ о персональных данных, в том числе требований к защите персональных данных, документов, определяющих политику ИП в отношении обработки ПД, локальных актов по вопросам обработки персональных данных.
2.1.11. Осуществление внутреннего контроля и аудита.
2.1.12. Определение типа угроз безопасности и уровней защищенности ПД, которые хранятся в информационных системах.
2.2. Угрозы защищенности персональных данных:
2.2.1. Угрозы первого типа. В системном программном обеспечении информационной системы есть функциональные возможности, которые не указаны в описании к нему либо не отвечают характеристикам, которые заявил производитель, и это потенциально может привести к неправомерному использованию персональных данных.
2.2.2. Угрозы второго типа. Потенциальные проблемы с прикладным программным обеспечением — внешними программами, которые установлены на компьютерах работников.
2.2.3. Угрозы третьего типа. Потенциальной опасности ни от системного, ни от прикладного программного обеспечения нет.
2.3. Уровни защищенности персональных данных: (Примечание: этот раздел носит информационный характер, убедитесь, что ваш уровень защищенности определен верно).
2.3.1. Первый уровень защищенности. Если ИП отнес информационную систему к первому типу угрозы или если тип угрозы второй, но ИП обрабатывает специальные категории ПД более 100 тыс. физических лиц без учета работников.
2.3.2. Второй уровень защищенности. Если тип угрозы второй и ИП обрабатывает специальные категории ПД субъектов персональных данных, вне зависимости от их количества, или специальные категории ПД менее чем 100 тыс. физических лиц, или любые другие категории ПД более чем 100 тыс. физических лиц, или при третьем типе угрозы ИП обрабатывает специальные категории данных более чем 100 тыс. физических лиц.
2.3.3. Третий уровень защищенности. Если при втором типе угрозы ИП обрабатывает общие ПД субъектов персональных данных или менее чем 100 тыс. физических лиц, или при третьем типе угрозы ИП обрабатывает специальные категории ПД субъектов или менее чем 100 тыс. физических лиц, или при третьем типе угрозы ИП обрабатывает биометрические ПД, или при третьем типе угрозы ИП обрабатывает общие ПД более чем 100 тыс. физических лиц.
2.3.4. Четвертый уровень защищенности. Если при третьем типе угрозы ИП обрабатывает только общие ПД субъектов персональных данных или менее чем 100 тыс. физических лиц.
2.4. При четвертом уровне защищенности персональных данных ИП:
• обеспечивает режим безопасности помещений, в которых размещается информационная система;
• обеспечивает сохранность носителей информации;
• утверждает перечень работников, допущенных до ПД субъектов персональных данных;
• использует средства защиты информации, которые прошли оценку соответствия требованиям закона в области обеспечения безопасности информации.
2.5. При третьем уровне защищенности ПД дополнительно к мерам, перечисленным в пункте 2.4 настоящего Положения, ИП назначает ответственного за обеспечение безопасности ПД в информационной системе.
2.6. При втором уровне защищенности ПД дополнительно к мерам, перечисленным в пунктах 2.4, 2.5 настоящего Положения, ИП ограничивает доступ к электронному журналу сообщений, за исключением работников, которым такие сведения необходимы для работы.
2.7. При первом уровне защищенности ПД дополнительно к мерам, перечисленным в пунктах 2.4—2.6 настоящего Положения, ИП:
• обеспечивает автоматическую регистрацию в электронном журнале безопасности изменения полномочий работников по допуску к ПД в системе;
• назначает структурное подразделение (при его наличии) или конкретного работника, ответственного за безопасность ПД в системе.
2.8. В целях защиты ПД на бумажных носителях ИП:
• приказом назначает ответственного за обработку ПД;
• ограничивает допуск в помещения, где хранятся документы, которые содержат ПД субъектов персональных данных;
• хранит документы, содержащие ПД субъектов персональных данных, в шкафах, запирающихся на ключ.
2.9. В целях обеспечения конфиденциальности документы, содержащие ПД субъектов персональных данных, оформляются, ведутся и хранятся только работниками, допущенными к обработке ПД приказом Индивидуального предпринимателя.
2.10. Работники ИП, допущенные к ПД, подписывают обязательства о неразглашении персональных данных. В противном случае они к обработке ПД не допускаются.
2.11. Передача ПД по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством РФ, допускается исключительно с согласия субъекта персональных данных.
2.12. Передача информации, содержащей сведения о ПД субъекта персональных данных, по телефону в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.
3. Гарантии конфиденциальности персональных данных
3.1. Все работники ИП, осуществляющие обработку ПД, обязаны хранить тайну о сведениях, содержащих ПД, в соответствии с настоящим Положением и требованиями законодательства РФ.
3.2. Субъект персональных данных вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.
- 3.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПД, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.