Политика конфиденциальности

Общества с ограниченной ответственностью «Алтек» (ИНН 7811488180 ОГРН 1027809200132)» 

в отношении обработки и защиты персональных данных

Настоящая Политика конфиденциальности персональных данных (далее - Политика конфиденциальности) является неотъемлемой частью Публичной оферты, размещенной на сайте в сети Интернет по адресу: https://altek.ru/ (далее - Сайт).

Политика конфиденциальности разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – «Закон о ПДн») и является локальным нормативным документом , определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее – «ПДн»), оператором которых является Общество.

Использование сервисов Сайта означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями Пользователь должен воздержаться от использования сервисов.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. В рамках настоящей Политики под персональной информацией Пользователя понимаются:

1.1.1. Персональная информация, которую Пользователь предоставляет о себе самостоятельно при регистрации (создании учетной записи) или в процессе использования Сервисов, включая персональные данные Пользователя. Обязательная для предоставления Сервисов информация помечена специальным образом.

1.1.2. Данные, которые автоматически передаются сервисам Сайта в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения, в том числе IP-адрес, данные файлов cookie, информация о браузере Пользователя (или иной программе, с помощью которой осуществляется доступ к сервисам), технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к сервисам, адреса запрашиваемых страниц и иная подобная информация.

1.1.3. Настоящая Политика конфиденциальности применяется только к Сайту https://altek.ru/. Сайт https://altek.ru/ не контролирует и не несет ответственности за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайте https://altek.ru/.

2. Основные понятия, используемые в Политике

2.1. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

2.2. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.3. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.4. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.

2.5. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.6. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.7. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю сайта https://altek.ru/.

2.8. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее — персональные данные, разрешенные для распространения).

2.9. Пользователь — любой посетитель https://altek.ru/.

2.10. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.11. Распространение персональных данных — любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

2.12. Уничтожение персональных данных — любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и/или уничтожаются материальные носители персональных данных.

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ ПОЛЬЗОВАТЕЛЕЙ

3.1. Сайт собирает и хранит только ту персональную информацию, которая необходима для предоставления сервисов или исполнения соглашений и договоров с Пользователем, за исключением случаев, когда законодательством предусмотрено обязательное хранение персональной информации в течение определенного законом срока.

В случае получения уведомления от Пользователя об отзыве согласия на обработку персональных данных Сайт прекращает обработку персональных данных Пользователя в срок, не превышающий 10 рабочих дней с момента получения.

Уведомление об отзыве согласия на обработку персональных данных направляется на адрес электронной почты: altek@altek.ru.

3.2. Персональную информацию Пользователя Сайт обрабатывает в следующих целях:

3.2.1. Идентификации Пользователя, зарегистрированного на Сайте

3.2.2. Предоставления Пользователю доступа к персонализированным ресурсам Сайта.

3.2.3. Установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования Сайта, оказания услуг, обработку запросов и заявок от Пользователя.

3.2.4. Определения места нахождения Пользователя для обеспечения безопасности, предотвращения мошенничества.

3.2.5. Подтверждения достоверности и полноты персональных данных, предоставленных Пользователем.

3.2.6. Создания учетной записи, если Пользователь дал согласие на создание учетной записи.

3.2.7. Предоставления Пользователю эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием Сайта.

3.2.9. Осуществления рекламной деятельности с согласия Пользователя.

4. Основные права и обязанности Оператора

4.1. Оператор имеет право:

— получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;

— в случае отзыва субъектом персональных данных согласия на обработку персональных данных, а также, направления обращения с требованием о прекращении обработки персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;

— самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.

4.2. Оператор обязан:

— предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;

— организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;

— отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;

— сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 дней с даты получения такого запроса;

— публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;

— принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

— прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;

— исполнять иные обязанности, предусмотренные Законом о персональных данных.

5. Основные права и обязанности субъектов персональных данных

5.1. Субъекты персональных данных имеют право:

— получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

— требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

— выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;

— на отзыв согласия на обработку персональных данных, а также, на направление требования о прекращении обработки персональных данных;

— обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;

— на осуществление иных прав, предусмотренных законодательством РФ.

5.2. Субъекты персональных данных обязаны:

— предоставлять Оператору достоверные данные о себе;

— сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

5.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

6. Принципы обработки персональных данных

6.1. Обработка персональных данных осуществляется на законной и справедливой основе.

6.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

6.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

6.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

6.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.

6.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

6.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7. Условия обработки персональных данных

7.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

7.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

7.3. Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

7.4. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

7.5. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

7.6. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — общедоступные персональные данные).

7.7. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

7.8. Обработка персональных данных Пользователя осуществляется без ограничения срока следующими способами: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств. Обработка персональных данных Пользователей осуществляется в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

7.9. При утрате или разглашении персональных данных Администрация Сайта информирует Пользователя об утрате или разглашении персональных данных.

7.10. Администрация Сайта принимает необходимые организационные и технические меры для защиты персональной информации Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.

7.11. Администрация Сайта совместно с Пользователем принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных Пользователя.

8. ПОРЯДОК СБОРА, ХРАНЕНИЯ, ПЕРЕДАЧИ И ДРУГИХ ВИДОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.

8.1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.

8.2. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства либо в случае, если субъектом персональных данных дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.

8.3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора altek@altek.ru с пометкой "Актуализация персональных данных".

8.4. Срок обработки персональных данных определяется достижением целей, для которых были собраны персональные данные, если иной срок не предусмотрен договором или действующим законодательством.

Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора altek@altek.ru с пометкой "Отзыв согласия на обработку персональных данных".

8.5. Вся информация, которая собирается сторонними сервисами, в том числе платежными системами, средствами связи и другими поставщиками услуг, хранится и обрабатывается указанными лицами (Операторами) в соответствии с их Пользовательским соглашением и Политикой конфиденциальности. Субъект персональных данных и/или с указанными документами. Оператор не несет ответственность за действия третьих лиц, в том числе указанных в настоящем пункте поставщиков услуг.

8.6. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ.

8.7. Оператор при обработке персональных данных обеспечивает конфиденциальность персональных данных.

8.8. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

8.9. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных, отзыв согласия субъектом персональных данных или требование о прекращении обработки персональных данных, а также выявление неправомерной обработки персональных данных.

9. Перечень действий, производимых Оператором с полученными персональными данными

9.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

9.2. Оператор не осуществляет автоматизированную обработку персональных данных с получением и/или передачей полученной информации по информационно-телекоммуникационным сетям.

10. ОТВЕТСТВЕННОСТЬ СТОРОН

10.1. Администрация Сайта, не исполнившая свои обязательства, несет ответственность за убытки, понесенные Пользователем в связи с неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации.

10.2. В случае утраты или разглашения конфиденциальной информации Администрация Сайта не несет ответственности, если данная конфиденциальная информация:

10.2.1. Стала публичным достоянием до ее утраты или разглашения.

10.2.2. Была получена от третьей стороны до момента ее получения Администрацией Сайта.

10.2.3. Была разглашена с согласия Пользователя.

11. РАЗРЕШЕНИЕ СПОРОВ

11.1. До обращения в суд с иском по спорам, возникающим из отношений между Пользователем Сайта и Администрацией Сайта, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).

11.2. Получатель претензии в течение 30 (Тридцати) календарных дней со дня получения претензии письменно уведомляет заявителя претензии о результатах рассмотрения претензии.

11.3. При недостижении соглашения спор будет передан на рассмотрение в суд в соответствии с действующим законодательством Российской Федерации.

11.4. К настоящей Политике конфиденциальности и отношениям между Пользователем и Администрацией Сайта применяется действующее законодательство Российской Федерации.

12. ДОПОЛНИТЕЛЬНЫЕ УСЛОВИЯ

12.1. Администрация Сайта вправе вносить изменения в настоящую Политику конфиденциальности без согласия Пользователя.

12.2. Новая Политика конфиденциальности вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики конфиденциальности.

12.3. Все предложения или вопросы по настоящей Политике конфиденциальности следует сообщать на адрес электронной почты altek@altek.ru.

7.4. Действующая Политика конфиденциальности размещена на странице по адресу: https://altek.ru/.

Пользовательское соглашение 

об использовании сайта altek.ru

Настоящее Соглашение заключается в целях предоставления Пользователю права использования сервисов сайта https://altek.ru/ (далее – Сайт), в том числе: размещении заявки, направления уведомлений, запросов, касающихся использования Сайта, заключения и исполнения соглашений и договоров поставки, купли-продажи между Пользователем и ООО «Алтек» (далее - Администрация Сайта) ИНН 7811488180  ОГРН 1027809200132, адрес: 192029, Санкт-Петербург, пр. Обуховской Обороны, д. 86, литера П.

Размещение заявки Пользователя на Сайте означает присоединение Пользователя к условиям настоящего Соглашения об использовании сайта и подтверждает согласие Пользователя на обработку его персональных данных Администрацией Сайта, а именно совершение действий, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», и подтверждает, что, давая такое согласие, он действует свободно, своей волей и в своем интересе.

Администрация Сайта собирает и хранит только ту персональную информацию, которая необходима для заключения и исполнения соглашений и договоров с Пользователем, и используется Администрацией Сайта исключительно для исполнения и заключения договоров с субъектом персональных данных – Пользователем.

Присоединяясь к настоящему Соглашению и оставляя свои данные на Сайте, Пользователь:

• подтверждает, что указанные им персональные данные принадлежат лично ему;
• признает и подтверждает, что он внимательно и в полном объеме ознакомился с настоящим Соглашением и содержащимися в нем условиями обработки его персональных данных, указываемых им в полях он-лайн заявки (регистрации) на сайте;
• признает и подтверждает, что все положения настоящего Соглашения и условия обработки его персональных данных ему понятны;
• дает согласие на обработку Сайтом предоставляемых персональных данных в целях размещение заявки Пользователя на Сайте;
• выражает согласие с условиями обработки персональных данных без каких-либо оговорок и ограничений.

Согласие Пользователя на обработку персональных данных является конкретным, информированным и сознательным.

Настоящее согласие Пользователя применяется в отношении обработки следующих персональных данных:

• фамилия, имя, отчество;
• место пребывания (город, область);
• номера телефонов;
• адреса электронной почты (e-mail).

Пользователь, предоставляет администрации Сайта право осуществлять следующие действия (операции) с персональными данными:

• сбор и накопление;
• хранение в течение установленных нормативными документами сроков хранения отчетности, но не менее трех лет, с момента даты прекращения пользования услугами Сайта Пользователем;
• уточнение (обновление, изменение);
• использование в целях размещение заявки Пользователя на Сайте;
• уничтожение;
• передача по требованию суда, в т.ч. третьим лицам, с соблюдением мер, обеспечивающих защиту персональных данных от несанкционированного доступа.

Указанное согласие действует бессрочно с момента предоставления данных и может быть отозвано Пользователем путем подачи заявления администрации Сайта с указанием данных, определенных ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

Отзыв согласия на обработку персональных данных может быть осуществлен путем направления Пользователем соответствующего распоряжения в простой письменной форме на адрес электронной почты (e-mail) altek@altek.ru.

Сайт имеет право вносить изменения в настоящее Соглашение. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Соглашения вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Соглашения.

Действующая редакция Соглашения находится на странице по адресу: https://altek.ru/. 

Политика конфиденциальности интернет-сайта https://altek.ru/ является неотъемлемой частью настоящего Соглашения и размещена на странице по адресу: https://altek.ru/. 

К настоящему Соглашению и отношениям между пользователем и Администрацией Сайта, возникающим в связи с применением Соглашения подлежит применению материальное и процессуальное право Российской Федерации.

Политика информационной безопасности

Общества с Ограниченной Ответственностью «Алтек»

1. Общие положения

1.1. Настоящая Политика информационной безопасности ООО «Алтек» (далее - Политика) является локальным нормативным актом организации, определяющим основные принципы обеспечения информационной безопасности и представляет собой систематизированное изложение целей и задач информационной безопасности как одно или несколько правил, процедур, практических приемов, которыми руководствуется организация в своей деятельности, а также организационных, технологических и процедурных аспектов обеспечения информационной безопасности.

1.2. Положения настоящей Политики не распространяются на обеспечение информационной безопасности сведений, составляющих государственную тайну.

1.3. Основной задачей в области информационной безопасности организация признает совершенствование мер и средств обеспечения защиты информации объектов информатизации организации, в контексте развития законодательства Российской Федерации и норм регулирования в сфере информационных технологий в текущих условиях функционирования информационного поля.

1.4. При разработке Политики учитывались основные принципы создания систем защиты информации, характеристики и возможности организационно-технических мер и современных программных и аппаратно-программных средств защиты информации.

1.5. В рамках своей деятельности ООО «Алтек» обязуется предпринимать все возможные меры для защиты информации от угроз безопасности информации.

1.6. Требования информационной безопасности соответствуют целям деятельности ООО «Алтек» и предназначены для снижения вероятности реализации угроз безопасности информации.

1.7. Политика подлежит опубликованию на сайте организации.

2. Цели и задачи обеспечения информационной безопасности

2.1. Субъектами информационных отношений являются: работники структурных подразделений (в том числе уволенные); физические лица, представители контрагентов в рамках исполнения договорных обязательств; граждане, работающие по договорам гражданско-правового характера; физические лица, направившие обращение в адрес организации; юридические лица, в рамках исполнения договорных обязательств или во исполнение требований законодательства Российской Федерации; исполнительные органы государственной власти Санкт-Петербурга.

2.2. Объектами информационных отношений являются: информационно-телекоммуникационная инфраструктура организации, включая каналы связи и телекоммуникации; объекты информатизации организации.

2.3. Основной целью обеспечения информационной безопасности организации являются действия, направленные на достижение защиты субъектов информационных отношений от возможного нанесения им материального, физического, морального или иного ущерба посредством случайного или преднамеренного воздействия на информацию, в том числе: обеспечение отказоустойчивого функционирования программных и аппаратно-программных средств организации и предоставляемых сервисов; соблюдение правового режима использования массивов и средств обработки информации; снижение вероятности реализации угроз безопасности информации.

2.4. Достижение целей обеспечения информационной безопасности и свойств информации в организации решается следующими задачами: защита от несанкционированного доступа к информации объектов информационных отношений; управление доступом субъектов доступа к объектам доступа; регистрация и контроль действий пользователей при работе с основными техническими средствами и системами объектов информатизации организации; контроль целостности среды исполнения программ и ее восстановление в случае нарушения; обеспечение аутентификации и идентификации пользователей при эксплуатации информационных систем; обеспечение работоспособности применяемых в информационных системах средств защиты информации; своевременное выявление источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений; создание условий для минимизации наносимого ущерба неправомерными действиями и устранение последствий нарушения информационной безопасности.

3. Принципы обеспечения информационной безопасности

3.1. Принцип законности

3.1.1. При выборе мероприятий по защите информации должно соблюдаться действующее законодательство Российской Федерации в сфере защиты информации.

3.1.2. Все работники должны иметь представление об ответственности за правонарушения в сфере защиты информации.

3.1.3. Программные и программно-аппаратные средства, включая средства защиты информации, применяемые в организации, должны иметь соответствующие лицензии и сертификаты соответствия (для средств защиты информации), официально приобретаться у представителей разработчиков таких средств.

3.2. Принцип системности

3.2.1. При создании системы защиты информации должны учитываться актуальные угрозы безопасности информации, возможные объекты и направления атак на нее со стороны нарушителей. Система защиты информации должна строиться с учетом не только известных каналов утечки информации, но и с учетом возможности появления новых уязвимостей в программном обеспечении.

3.3. Принцип комплексности

3.3.1. Комплексное использование средств защиты информации предполагает согласованное применение при построении целостной системы защиты информации, перекрывающей все актуальные угрозы безопасности информации.

3.3.2. При построении, внедрении и эксплуатации системы защиты информации руководство организации обеспечивает условия для эффективной координации действий всех лиц, обеспечивающих информационную безопасность.

3.4. Принцип своевременности

3.4.1. Разработка системы защиты информации должна вестись параллельно с разработкой информационной системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные информационные системы, обладающие достаточным уровнем защищенности.

3.5. Принцип преемственности

3.5.1. Постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования информационной системы и системы ее защиты с учетом изменений в методах и средствах несанкционированного доступа к информации и нормативных требований по защите информации.

3.6. Принцип достаточности

3.6.1. Соответствие уровня затрат на обеспечение информационной безопасности и ценности информационных ресурсов на величину возможного ущерба от нарушения конфиденциальности, целостности и доступности. Используемые меры и средства защиты информации не должны ухудшать эргономические показатели компонентов информационных систем.

3.7. Принцип ответственности

3.7.1. Возложение персональной ответственности за обеспечение безопасности информации и ее обработки на каждого работника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей работников строится таким образом, чтобы в случае любого нарушения был известен нарушитель.

3.8. Принцип обоснованности и технической реализуемости

3.8.1. Информационные технологии, программные и программно-аппаратные средства, меры защиты информации должны быть обоснованы с точки зрения достижения заданного уровня защищенности информации и экономической целесообразности, а также соответствовать установленным нормам и требованиям по безопасности информации.

3.9. Принцип профессионализма

3.9.1. Реализация мер защиты информации и эксплуатация средств защиты информации должна осуществляться квалифицированными специалистами.

3.9.2. Привлечение специализированных организаций к разработке средств и реализации мер защиты информации, имеющих лицензию на деятельность по технической защите конфиденциальной информации.

3.10. Принцип минимизации привилегий пользователей

3.10.1. Обеспечение пользователей привилегиями, минимально достаточными для выполнения своих должностных обязанностей в организации.

4. Основные требования по защите информации ограниченного доступа

4.1. Организация защиты информации

4.1.1. Организация при осуществлении своей деятельности обязана: соблюдать права и законные интересы субъектов персональных данных; принимать необходимые меры по защите информации; ограничивать доступ к информации, если такая обязанность установлена законодательством Российской Федерации.

4.1.2. Организация вправе, если иное не предусмотрено законодательством Российской Федерации: разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа; использовать информацию, в том числе распространять ее, по своему усмотрению; передавать информацию другим лицам на установленном законодательством Российской Федерации основании; защищать установленными законодательством Российской Федерации способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами; осуществлять иные действия с информацией или разрешать осуществление таких действий, если эти действия не противоречат федеральным законам и другим нормативным правовым актам Российской Федерации.

4.1.3. Защита информации ограниченного доступа представляет собой принятие организационных и технических мер, направленных на: соблюдение конфиденциальности информации (исключение неправомерного доступа, копирования, предоставления или распространения информации); обеспечение целостности информации (исключение неправомерного уничтожения или модифицирования информации); реализацию права на доступ к информации (исключение неправомерного блокирования информации).

4.1.4. При организации защиты информации в организации должны выполняться требования федеральных законов: от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ-152); от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

4.1.5. Системы защиты информации объектов информатизации должны предусматривать реализацию комплекса организационных и технических мер по защите информации, определенных Требованиями о защите информации, не составляющей государственную тайну, содержащихся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11.02.2013 № 17: идентификация и аутентификация субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа; ограничение программной среды; защита машинных носителей информации; регистрация событий безопасности; антивирусная защита; обнаружение (предотвращение) вторжений; контроль (анализ) защищенности информации; целостность информационной системы и информации; доступность информации; защита среды виртуализации; защита технических средств; защита информационной системы, ее средств, систем связи и передачи данных; защита информационной системы от атак, направленных на отказ в обслуживании.

4.1.6. Системы защиты информации объектов информатизации, являющихся информационными системами персональных данных, должны предусматривать реализацию комплекса организационных и технических мер по защите информации, определенных Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18.02.2013 № 21: идентификация и аутентификация субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа; ограничение программной среды; защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные; регистрация событий безопасности; антивирусная защита; обнаружение (предотвращение) вторжений; контроль (анализ) защищенности персональных данных; обеспечение целостности информационной системы и персональных данных; обеспечение доступности персональных данных; защита среды виртуализации; защита технических средств; защита информационной системы, ее средств, систем связи и передачи данных; выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них; управление конфигурацией информационной системы и системы защиты персональных данных.

4.1.7. Системы защиты информации объектов информатизации, являющихся значимыми объектами критической информационной инфраструктуры Российской Федерации, должны предусматривать реализацию комплекса организационных и технических мер по защите информации, определенных Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25.12.2017 № 239: идентификация и аутентификация субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа; ограничение программной среды; защита машинных носителей информации; аудит безопасности; антивирусная защита; предотвращение вторжений (компьютерных атак); обеспечение целостности; обеспечение доступности; защита технических средств и систем; защита информационной (автоматизированной) системы и ее компонентов; планирование мероприятий по обеспечению безопасности; управление конфигурацией; управление обновлениями программного обеспечения; реагирование на инциденты информационной безопасности; обеспечение действий в нештатных ситуациях; информирование и обучение персонала; защита значимых объектов от атак, направленных на отказ в обслуживании.

4.1.8. Организацией помимо реализации основных мер защиты информации осуществляется: методическая помощь работникам в вопросах обеспечения информационной безопасности; анализ и поиск возможностей по повышению уровня защищенности информации.

4.1.9. Для организации защиты информации организация вправе применять средства и методы технической защиты информации, не противоречащие законодательству Российской Федерации.

4.1.10. В рамках трудовых отношений необходимо ознакомить работников, доступ которых к информации ограниченного доступа необходим для выполнения ими своих должностных обязанностей, с перечнем информации ограниченного доступа и принятыми в организации мерами защиты информации.

4.2. Особенности защиты персональных данных, в отношении которых организация является оператором

4.2.1. Перечень мер, выполнение которых обеспечивает организация в качестве оператора персональных данных, должен включать: назначение ответственного за организацию обработки персональных данных в организации; издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения ФЗ-152, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ-152; ознакомление работников организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников; опубликование или обеспечение неограниченного доступа к документу, определяющему политику организации в отношении обработки персональных данных, к сведениям о реализуемых организацией требованиях к защите персональных данных.

4.2.2. Обеспечение безопасности персональных данных достигается, в частности: определением угроз и нарушителей безопасности персональных данных при их обработке в информационных системах персональных данных; определением уровня защищенности персональных данных в соответствии с требованиями Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; оценкой эффективности принимаемых мер по защите персональных данных до ввода в эксплуатацию информационной системы персональных данных; восстановлением персональных данных вследствие несанкционированного уничтожения; установлением правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных; контролем за принимаемыми мерами по защите персональных данных и определенного уровня защищенности персональных данных при их обработке в информационных системах персональных данных в процессе их эксплуатации.

5. Основные требования к процессам обеспечения информационной безопасности

Методическое руководство, разработку решений по защите информации, согласование выбора средств вычислительной техники, программных и программно-аппаратных средств защиты информации, организацию работ по выявлению возможностей и предупреждению утечки и свойств защищаемой информации, аттестацию объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, осуществляют структурные подразделения организации.

5.1. Физическая безопасность

5.1.1. Принятые организационные и технические меры по защите помещений организации, серверного и коммутационного оборудования, автоматизированных рабочих мест пользователей информационных систем обеспечивают реализацию следующих мер по: разграничению доступа работников в помещения организации в соответствии с их полномочиями и должностными обязанностями; регистрации фактов входа работников в помещения, в которых ведется обработка персональных данных; контролируемому пребыванию посторонних лиц в помещениях организации, в которых ведется обработка информации ограниченного доступа и размещены аппаратные средства информационной системы; организации режима контролируемого вноса/выноса средств обработки информации.

5.1.2. Помещения организации должны быть оборудованы средствами охранно-пожарной сигнализации.

5.1.3. Основное серверное и сетевое оборудование организации должно быть защищено от перебоев в подаче электроэнергии путем подключения к электросети с применением источников бесперебойного питания и резервного дизель-генератора. Источники бесперебойного питания должны регулярно тестироваться и проверяться уполномоченными работниками организации в соответствии с рекомендациями производителя.

5.1.4. Мобильные технические средства не должны оставаться за пределами контролируемой зоны организации без контроля со стороны работников организации.

5.2. Безопасность на рабочем месте

5.2.1. Запрещается вести запись паролей в открытом виде на материальных носителях, за исключением регламентированных методов хранения.

5.2.2. Документы и носители с информацией ограниченного доступа должны убираться в опечатываемые места (сейфы, шкафы и т. п.) при уходе с рабочего места. На автоматизированном рабочем месте пользователя рабочая сессия должна быть завершена, рабочий стол заблокирован. Вход пользователя в систему не должен выполняться автоматически.

5.2.3. Документы, содержащие информацию ограниченного доступа, должны сразу изыматься из печатающих устройств. Для утилизации конфиденциальных документов должны использоваться уничтожители документов не ниже 4 уровня по стандарту безопасности, применяемому к уничтожителям документов.

5.2.4. При использовании мобильных технических средств должны соблюдаться дополнительные меры по регламентации и контролю использования в информационной системе мобильных технических средств.

5.2.5. Нахождение представителей юридических лиц в рамках исполнения договорных обязательств в помещениях, в которых ведется обработка информации ограниченного доступа, возможно только в сопровождении работника организации, допущенного до обработки такой информации.

5.2.6. Размещение технических средств вывода информации в помещениях организации должно производиться с учетом исключения возможности визуального просмотра информации посторонними лицами и работниками, не допущенными к работе с данной информацией.

5.2.7. Технические средства должны размещаться и храниться таким образом, чтобы сократить возможный риск повреждения и угрозы несанкционированного доступа.

5.3. Техническое обслуживание оборудования

5.3.1. Технические средства организации должны проходить на регулярной основе сервисное обслуживание в соответствии с рекомендациями производителей оборудования.

5.3.2. Ремонт и сервисное обслуживание оборудования должны выполняться только квалифицированными специалистами.

5.3.3. При техническом обслуживании оборудования сторонними организациями должна быть исключена вероятность нарушения конфиденциальности защищаемой информации.

5.4. Взаимодействие с третьими лицами

5.4.1. При взаимодействии с третьими лицами должны выполняться следующие мероприятия по: заключению соглашений о неразглашении информации ограниченного доступа, полученной в ходе исполнения договорных обязательств; осуществлению контроля за действиями представителей контрагентов в пределах контролируемой зоны организации.

5.5. Управление жизненным циклом информационных систем

5.5.1. Мероприятия в процессе жизненного цикла информационных систем должны быть направлены на обеспечение защиты информации при вводе в действие, эксплуатации, сопровождении и модернизации или выводе из эксплуатации.

5.5.2. Основанием при разработке информационных систем должны являться решения, принятые на стадии формирования требований, содержащие требования в том числе по системе защиты информации.

5.5.3. Любое планируемое к внедрению изменение информационной системы предварительно должно быть проанализировано на совместимость и отсутствие нарушений работоспособности системных компонентов, в том числе средств защиты информации.

5.5.4. Работы по модернизации информационной системы, в том числе по установке программного обеспечения и обновлений, должны проводиться в нерабочее время или во время наименьшей рабочей нагрузки.

5.5.5. При выводе из эксплуатации информационных систем должно обеспечиваться гарантированное удаление обрабатываемой и хранимой в них информации с использованием средств гарантированного уничтожения информации или путем физического уничтожения носителей информации.

5.5.6. Все процедуры обеспечения защиты информации информационных систем должны выполняться и контролироваться ответственными лицами за организацию работ по защите информации.

5.6. Контроль доступа к информационным системам

5.6.1. Уровень полномочий пользователя в информационной системе должен определяться в соответствии с его должностными обязанностями.

5.6.2. Доступ пользователей к информационным системам должен контролироваться администратором информационной системы.

5.6.3. Должен осуществляться регулярный контроль выполнения локальных нормативных актов по защите информации, касающихся регламентации допуска работников организации к информации, обрабатываемой в информационной системе.

5.7. Идентификация и аутентификация

5.7.1. Доступ пользователей к информационным системам должен предоставляться только после успешного завершения процессов идентификации, аутентификации.

5.8. Управление доступом

5.8.1. В организации должно осуществляться управление доступом к информационной системе посредством реализации необходимых методов, типов и правил разграничения доступа пользователям информационной системы. В том числе должен быть обеспечен защищенный удаленный доступ субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети.

5.9. Безопасность при работе с носителями

5.9.1. Работники организации должны использовать только учтенные съемные машинные носители информации для выполнения своих должностных обязанностей. Использование съемных машинных носителей информации в организации в иных целях строго запрещено.

5.9.2. Съемные машинные носители информации должны храниться в опечатываемых шкафах, в помещениях, в которых предусмотрена обработка информации ограниченного доступа.

5.9.3. В случае кражи или потери съемного машинного носителя информации, а также иных инцидентов, которые могут привести к нарушению свойств информации ограниченного доступа, должны проводиться мероприятия по расследованию таких инцидентов.

5.10. Регистрация событий безопасности

5.10.1. В организации должна осуществляться регистрация событий безопасности на всех компонентах объектов информатизации.

5.11. Антивирусная защита информации

5.11.1. В целях обнаружения и устранения вредоносных программ в организации должны использоваться средства антивирусной защиты информации.

5.11.2. Обязательному контролю средством антивирусной защиты информации должна подлежать любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по локальной вычислительной сети, в том числе и сетям общего пользования, а также информация, хранимая на съемных машинных носителях информации.

5.11.3. При установке программного обеспечения или его обновлении на серверном оборудовании должна автоматически выполняться предварительная проверка данного программного обеспечения на отсутствие вредоносного программного обеспечения.

5.11.4. Обновление баз сигнатур для средства антивирусной защиты информации должно осуществляться ежедневно.

5.11.5. Непривилегированные пользователи не должны иметь возможность получения доступа к конфигурации антивирусного средства защиты или его отключения.

5.12. Контроль защищенности информации

5.12.1. В целях исключения эксплуатации уязвимостей программного обеспечения должны проводиться работы по выявлению, анализу уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей, в том числе организация контроля установки обновления программного обеспечения, включая средства защиты информации.

5.13. Использование программного обеспечения

5.13.1. Выбор программного обеспечения для производственных нужд организации должен производиться в приоритете к отечественному, внесенному в единый реестр российских программ для электронных вычислительных машин и баз данных или единый реестр программ для электронных вычислительных машин и баз данных государств – членов Евразийского экономического союза. В случае отсутствия аналога в едином реестре российских программ для электронных вычислительных машин и баз данных, в том числе в едином реестре программ для электронных вычислительных машин и баз данных государств – членов Евразийского экономического союза, допускается использование программного обеспечения импортного производства и пакетов обновления к нему только из доверенного репозитория.

5.14. Использование средств криптографической защиты информации

5.14.1. Обеспечение защиты информации ограниченного доступа от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, обеспечивается применением сертифицированных средств криптографической защиты информации.

5.14.2. Портальные решения организации, предназначенные для доступа из сетей общего пользования, должны разрабатываться c использованием защищенного соединения по протоколу TLS с поддержкой отечественных криптографических алгоритмов, а также с использованием сертификатов проверки подлинности сервера, выданных Министерством цифрового развития, связи и массовых коммуникаций.

5.15. Использование электронной почты

5.15.1. Электронная почта должна использоваться исключительно в целях исполнения должностных обязанностей работника организации.

5.15.2. При использовании электронной почты запрещается: обмен информацией ограниченного доступа; предоставление доступа к электронной почте с использованием данных своей учетной записи третьим лицам; публикация своего рабочего адреса электронной почты в электронных каталогах, на поисковых машинах и других ресурсах сети Интернет в целях, не связанных с исполнением своих должностных обязанностей; подписка по электронной почте на различные рекламные материалы, листы рассылки, электронные журналы и т. д., не связанные с выполнением пользователем должностных обязанностей; открытие (запуск на выполнение) файлов, полученных по электронной почте или из ресурсов сети Интернет, без предварительной проверки их антивирусным программным обеспечением.

5.16. Работа в сетях общего пользования

5.16.1. Организация оставляет за собой право блокировать или ограничивать доступ работников к сетям связи общего пользования, в том числе сети Интернет, содержание которых не имеет отношения к исполнению должностных обязанностей, а также к информационным ресурсам, содержание и направленность которых запрещены законодательством Российской Федерации.

5.16.2. Информация о посещаемых работниками организации информационных ресурсах протоколируется для последующего анализа.

5.16.3. При использовании сети Интернет запрещено: использовать предоставленный организацией доступ в сеть Интернет в личных целях; использовать несанкционированные программные и программно-аппаратные средства, позволяющие получить несанкционированный доступ к сети Интернет; публиковать, загружать и распространять материалы, содержащие недостоверную информацию об организации, а также фальсифицировать свой IP-адрес.

5.17. Резервное копирование и восстановление данных

5.17.1. Осуществление резервного копирования должно осуществляться для: информации, обрабатываемой на файловых серверах и серверах приложений, информационных систем; рабочих мест администраторов информационных систем.

5.17.2. Частота и режим резервного копирования устанавливаются таким образом, чтобы обеспечить минимальную потерю данных и их оперативное восстановление.

5.17.3. Настройку резервного копирования и восстановления ресурсов информационных систем должны проводить уполномоченные работники организации.

5.17.4. Резервное копирование должно осуществляться в автоматическом режиме с применением средства резервного копирования не ниже 6 уровня доверия.

6. Основные требования к процессам управления информационной безопасностью

6.1. Мониторинг информационной безопасности

6.1.1. В организации на постоянной основе должен проводиться комплексный анализ функционирования информационных систем и возникающих событий информационной безопасности.

6.1.2. Процесс мониторинга системы обеспечения информационной безопасности должен включать в себя контроль организационных и технических мер по защите информации, анализ параметров конфигурации, настройки средств защиты информации и действий пользователей при работе с основными техническими средствами и системами объектов информатизации.

6.1.3. При проведении контрольных мероприятий, связанных с оценкой реализации мер по защите информации, уполномоченные работники должны придерживаться следующих принципов: не нарушать функционирование деятельности организации; действовать в соответствии с утвержденными локальными нормативными актами организации по защите информации; не скрывать факты выявленных событий информационной безопасности; оформлять отчеты, подтверждающие выполнение мероприятий по защите информации.

6.1.4. Информация, полученная в ходе проведения контролирующих мероприятий о действиях, событиях и параметрах, имеющих отношение к реализации мер по защите информации, должна консолидироваться и храниться в местах, исключающих получение к ней несанкционированного доступа.

6.1.5. Мониторинг данных о зарегистрированных событиях информационной безопасности должен проводиться с использованием системы мониторинга инцидентов информационной безопасности или встроенных механизмов настройки и аудита событий в программных и программно-аппаратных средствах, используемых организацией.

6.2. Управление рисками

6.2.1. Определение внутренних требований по защите информации должно основываться на результатах проведения анализа рисков нарушения основных свойств безопасности информации объектов информатизации.

6.2.2. Основой оценки рисков должна быть оценка условий и факторов, которые могут стать причиной нарушения целостности, конфиденциальности и доступности информации, обрабатываемой в организации.

6.2.3. Результатом проведения анализа рисков должен быть разработанный комплекс мер, направленных на снижение возможного негативного влияния на основную деятельность организации при реализации той или иной угрозы безопасности информации и обеспечивающих в дальнейшем достаточный уровень защищенности информации, обрабатываемой объектами информатизации.

6.3. Управление инцидентами информационной безопасности

6.3.1. Для обеспечения эффективного разрешения инцидентов информационной безопасности, минимизации потерь и уменьшения риска возникновения повторных инцидентов должно осуществляться управление инцидентами информационной безопасности.

6.3.2. Для управления инцидентами информационной безопасности функционирует Ведомственный центр государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, который посредством комплекса средств и мероприятий для сбора и консолидации информации об инцидентах решает задачи: реагирования на компьютерные инциденты; ликвидации последствий компьютерных инцидентов; анализа результатов ликвидации последствий компьютерных инцидентов; установления причин компьютерных инцидентов.

6.3.3. В отношении каждого произошедшего инцидента работниками Ведомственного центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации должен выполняться анализ и разработка эффективных мер реагирования на данный инцидент.

6.4. Аудит системы обеспечения информационной безопасности

6.4.1. В целях оценки текущего уровня информационной безопасности организации на регулярной основе должен проводиться аудит информационной безопасности.

6.4.2. Внутренние аудиты должны выполняться работниками организации. В число задач, решаемых при проведении внутренних аудитов информационной безопасности, входят: сбор и анализ исходных данных об организационной и функциональной структуре информационных систем, необходимых для оценки состояния системы защиты информации; анализ утвержденных организационно-распорядительных документов по защите информации на предмет их полноты и эффективности, а также формирование рекомендаций по их доработке или разработке новых; обоснование финансовой эффективности вновь приобретаемых средств защиты информации; проверка правильности выбора и настройки средств защиты информации, формирование предложений по использованию имеющихся средств защиты информации для повышения уровня отказоустойчивости и безопасности информационных систем; анализ отчетов по произошедшим инцидентам информационной безопасности и принятым мерам по их разрешению.

6.5. Повышение осведомленности работников

6.5.1. В рамках организации комплексного противодействия угрозам безопасности информации, исходящим от работников организации, должна постоянно повышаться их осведомленность в области защиты информации.

6.5.2. Повышение осведомленности работников организации осуществляется: по утвержденным в организации локальным нормативным актам; по применяемым в организации мерам защиты информации; по правильному использованию средств защиты информации.

7. Заключение

7.1. При изменении действующего законодательства Российской Федерации в области защиты информации, а также локальных нормативных актов организации, настоящая Политика и изменения к ней применяются в части, не противоречащей вновь принятым законодательным и иным нормативным актам, а также внутренним документам организации.

7.2. Все требования, установленные действующим законодательством Российской Федерации, подзаконными актами и договорными отношениями, а также подход организации к обеспечению соответствия этим требованиям должны быть явным образом определены, документированы и поддерживаться в актуальном состоянии.

7.3. В организации в приоритетном направлении должен рассматриваться переход на программное обеспечение отечественного производителя, включенное в единый реестр российских программ для электронных вычислительных машин и баз данных или единый реестр программ для электронных вычислительных машин и баз данных государств – членов Евразийского экономического союза, в том числе по части серверного, коммутационного и сетевого оборудования и иных программно-аппаратных средств, включенных в единый реестр российской радиоэлектронной продукции.

7.4. Пересмотр и внесение изменений в настоящую Политику осуществляются на периодической и внеплановой основе.