Политика информационной безопасности общества с ограниченной ответственностью «АктивФинансМенеджмент» при обработке персональных данных

1. Общие положения

1.1. Настоящая Политика определяет комплекс организационно-технических мероприятий, применяемых в обществе с ограниченной ответственностью «АктивФинансМенеджмент» (далее – Общество), в целях обеспечения безопасности персональных данных при их обработке с использованием средств автоматизации и информационно-телекоммуникационных сетей, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе, и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

1.2. Целями настоящей Политики являются:

- сохранение конфиденциальности персональных данных при их обработке;

- обеспечение непрерывности доступа к персональным данным при их обработке;

- обеспечение целостности персональных данных;

- повышение осведомленности работников Общества в области рисков, связанных с обработкой персональных данных;

- определение степени ответственности и обязанностей сотрудников Общества по обеспечению безопасности персональных данных при их обработке в Обществе.

1.3. Требования настоящей Политики распространяются на всю информацию и ресурсы обработки информации, содержащей персональные данные при их обработке в Обществе

1.4. Соблюдение настоящей Политики обязательно для всех работников Общества (как постоянных, так и временных). В договорах с третьими лицами, получающими доступ к информации, содержащей персональные данные при их обработке в Обществе, должна быть оговорена обязанность третьего лица по соблюдению требований настоящей Политики.

2. Основные понятия и определения

2.1. Перечень персональных данных, обрабатываемых в Обществе, подлежащих защите, формируется в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и целями Общества.

2.2. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.3. В зависимости от субъекта персональных данных, Общество обрабатывает персональные данные следующих категорий субъектов персональных данных:

- физических лиц, вступивших в договорные отношения по оказанию услуг с Обществом;

- граждан, являющихся претендентами на замещение вакантных должностей в Обществе;

- граждан, являющихся работниками Общества.

3. Должностные лица, ответственные за обеспечение информационной безопасности при обработке персональных данных

3.1. Обеспечение защищенности персональных данных осуществляется администратором безопасности персональных данных.

3.2. Администратор безопасности назначается приказом директора Организации.

3.3. В своей деятельности администратор безопасности руководствуется требованиями законодательства Российской Федерации, Положения о защите персональных данных в обществе с ограниченной ответственностью «АктивФинансМенеджмент», настоящей Политикой, требованиями нормативных документов Общества.

3.4. Контроль обеспечения безопасности персональных данных при их обработке в Обществе осуществляется ответственным за обработку персональных данных.

3.5. Ответственный за обработку персональных данных назначается приказом директора Организации.

3.6. В своей деятельности ответственный за обработку персональных данных руководствуется требованиями законодательства Российской Федерации, Положения о защите персональных данных в обществе с ограниченной ответственностью «АктивФинансМенеджмент», настоящей Политикой, требованиями нормативных документов Организации.

3.7. Все работники Общества при выполнении своих должностных обязанностей обязаны соблюдать требования безопасности персональных данных, установленные требованиями законодательства Российской Федерации, Положения о защите персональных данных в обществе с ограниченной ответственностью «АктивФинансМенеджмент», настоящей Политикой, требованиями нормативных документов Общества.

4. Правила обработки персональных данных

4.1. Персональные данные субъектов персональных данных подлежат обработке с использованием средств автоматизации или без использования таких средств.

4.2. Обработка персональных данных в Обществе подразумевает действия по сбору, записи, систематизации, накоплению, хранению, уточнению (обновление, изменение), извлечению, использованию, передачи (предоставление), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются в Обществе

4.3. В целях координации действий по обеспечению безопасности персональных данных в Обществе назначены ответственные лица за организацию обработки персональных данных и за обеспечение безопасности персональных данных.

4.4. Обеспечение безопасности персональных данных, а также разработка и внедрение средств защиты персональных данных основывается на анализе угроз безопасности персональных данных.

4.5. В качестве исходных данных для разработки Частной модели угроз в Обществе используется Базовая модель угроз безопасности персональных данных при обработке в информационных системах персональных данных, введённая Стандартом НАУФОР «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных операторами – профессиональными участниками рынка ценных бумаг» (далее – Базовая модель угроз).

4.6. Во избежание несанкционированного доступа к персональным данным в здании, в котором располагается Общество, организован контрольно-пропускной режим. Входные двери в помещения, в которых осуществляется обработка персональных данных, в нерабочее время закрываются. Входные двери в помещение офиса и рабочие кабинеты сотрудников оборудованы охранной и противопожарной сигнализацией. Помещения Общества оборудуются техническими средствами обеспечения защиты и охраны помещений. Помещения кабинетов, где хранятся персональные данные, оборудуются шкафами для хранения информации на бумажных носителях.

4.7. Для обеспечения внутренней защиты персональных данных работников в помещения, в которых обрабатываются и хранятся персональные данные, имеют право доступа только те сотрудники, перечень которых утвержден приказом директора Общества.

4.8. Для защиты персональных данных и обеспечения безопасности персональных данных применяются меры организационно-технического характера: - ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные; - применение технических средств и организационных мероприятий по физической защите помещений, в которых осуществляется обработка персональных данных; - применение технических и организационных мероприятий по защите информации, содержащей персональные данные при их обработке в информационных системах персональных данных; - защита паролями доступа технических средств, входящих в состав информационных систем персональных данных; - применение технических средств обеспечения надлежащего режима эксплуатации технических средств информационных систем персональных данных; - применение технических средств резервного копирования и восстановления персональных данных, обеспечивающих целостность персональных данных при их обработке в Обществе.

4.9. Порядок обработки персональных данных без использования средств автоматизации в Обществе устанавливается, особенности такой обработки устанавливается Положением о порядке обработки персональных данных без использования средств автоматизации, утверждаемым директором Общества и запросов по вопросам персональных данных устанавливается Порядком работы с обращениями и запросами по вопросам персональных данных, утверждаемым директором Общества.

4.10. В случае возникновения инцидентов (нарушений) безопасности персональных данных в Обществе проводится расследование обстоятельств таких нарушений с выявлением причин и ответственных за нарушения безопасности персональных данных. Разбирательства проводятся по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению установленного уровня защищенности персональных данных (информационных систем персональных данных). Расследование обстоятельств проводится ответственным за обработку персональных данных в соответствии с Порядком проведения разбирательств по фактам инцидентов (нарушений) безопасности персональных данных, утверждаемым директором Общества.

4.11. Для контроля соответствия обработки персональных данных требованиям к защите персональных данных в Обществе проводятся мероприятия по внутреннему контролю (аудиту) соответствия обработки персональных данных требованиям к защите персональных данных. Мероприятия по внутреннему контролю осуществляются ответственным за обработку персональных данных в соответствии с Порядком внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, утверждаемым директором Общества.

5. Сроки обработки персональных данных

5.1. Сроки обработки персональных данных определяются согласием субъекта персональных данных на обработку персональных данных, сроком исковой давности, а также иными требованиями законодательства Российской Федерации и документов НАУФОР.

5.2. Обработка персональных данных прекращается с ликвидацией Общества.

6. Ответственность

6.1. Работники Общества, разгласившие персональные данные субъектов персональных данных, а также работники, по вине которых произошло нарушение конфиденциальности персональных данных, и работники, создавшие предпосылки к нарушению конфиденциальности персональных данных, несут ответственность, предусмотренную действующим законодательством Российской Федерации и внутренними документами Общества.

7. Заключительные положения

7.1. Настоящая Политика является внутренним документом Общества, является общедоступной и подлежит размещению на официальном сайте Общества.

7.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.

7.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за обработку персональных данных Общества.

7.4. Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Общества.

Организация и ДУ ПИФ
Что такое ПИФ?
В чем преимущества ПИФов?
Что принимается в оплату паев?
Как законодательно регулируется деятельность ПИФов?
Еще ...
Какие риски несет инвестор?
Что такое СЧА?
Какие организации участвуют в работе фонда?
Налогообложение в ПИФ
Вернуться
Инвестиционный капитал
Какую консультационную поддержку оказывает ООО «АФМ»?
Что такое облигация?
Какие виды облигаций бывают?
Зачем и как выпускают ценные бумаги?
Вернуться
Программа поддержки субъектов МСП
Что такое малые и средние предприятия?
Какая цель проекта?
Кто субъект предпринимательства?
Какая форма собственности?
Еще ...
Какая основная деятельность?
Какая возможность реализации проекта?
Нужно ли наличие собственности, патентов, авторских прав и прочего?
Необходима ли готовность инициаторов проекта к партнерству с инвестором?
Будет ли предоставлен бизнес план?
На какой стадии развития должен находиться инициатор проекта?
Будет ли предоставлена команда?
По каким направлениям необходимо набирать команду?
Какие сроки реализации проекта?
Какой объём предоставляемых инвестиций?
Какой срок инвестирования?
Какая форма предоставления инвестиций?
Какая ожидаемая доходность инвестиций?
Вернуться
Общие вопросы (информация по УК (лицензия, режим работы, контакты)).
Что такое управляющая компания?
Когда начала свою деятельность компания ООО «АФМ»?
Какие ПИФы находятся под управлением компанией?
Какая миссия у компании?
Еще ...
Какие услуги предоставляет компания?
Вернуться
?