ООО «Сложные облачные системы» обеспечивает конфиденциальность полученных персональных данных путем применения организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
ООО «Сложные облачные системы» обеспечивает, чтобы все реализуемые мероприятия по организационной и технической защите персональных данных осуществлялись на законных основаниях, в том числе в соответствии с требованиями законодательства Российской Федерации по вопросам обработки персональных данных. Работники ООО «Сложные облачные системы» не раскрывают третьим лицам и не распространяют персональные данные субъекта без его согласия, если иное не предусмотрено законодательством Российской Федерации. Все работники ООО «Сложные облачные системы» обеспечивают конфиденциальность персональных данных, а также иных сведений, установленных ООО «Сложные облачные системы», если это не противоречит действующему законодательству Российской Федерации. Применяемые организационные и технические меры по защите персональных данных:
– назначение ответственных за организацию обработки персональных данных и обеспечение безопасности персональных данных;
– издание локальных нормативных актов по вопросам обработки и защиты персональных данных, направленных на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- организация обучения, оказание методической помощи, ознакомление под подпись работников, осуществляющих обработку персональных данных, с фактом участия в обработке персональных данных, а также с правилами обработки и защиты персональных данных;
– обеспечение регистрации и учета совершаемых с персональными данными действий;
– ведение учета исполнения обращений субъектов персональных данных;
– передача персональных данных внутри ООО «Сложные облачные системы» только между лицами, занимающими должности, включенные в перечень должностей, при замещении которых осуществляется обработка персональных данных;
– размещение обработки персональных данных в границах охраняемой территории, а также организацией физической защиты носителей персональных данных, мест и средств их обработки; – организация доступа в помещения, используемые для обработки персональных данных и/или хранения их материальных носителей;
– определение угрозы безопасности персональных данных, разработка, при необходимости, средств защиты персональных данных при обработке персональных данных в информационной системе персональных данных и установлением правил доступа к персональным данным;
– составление типовых форм для сбора персональных данных таким образом, чтобы каждый из субъектов персональных данных имел возможность ознакомиться со своими персональными данными, не нарушая прав и законных интересов иных субъектов персональных данных;
– внесение в типовые формы, предусматривающие указание в них персональных данных, полей, в которых субъект персональных данных имел бы возможность проставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации (при необходимости получения письменного согласия на обработку персональных данных);
– применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
– оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных средств персональных данных;
– учет машинных носителей персональных данных и контроль за их обращением в целях исключения утраты, хищения, подмены, несанкционированного копирования или уничтожения; – обнаружение фактов НСД к ПДн и принятие мер;
– восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
– проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
– своевременное обнаружение фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
– недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
– установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональным данным в информационной системе персональных данных;
– контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
В состав мер по обеспечению безопасности персональных данных, реализуемых ООО «Сложные облачные системы» в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
– идентификация и аутентификация субъектов доступа и объектов доступа;
– управление доступом субъектов доступа к объектам доступа;
– ограничение программной среды;
– защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
– регистрация событий безопасности;
– антивирусная защита;
– контроль (анализ) защищенности персональных данных;
– обеспечение целостности информационной системы и персональных данных;
– обеспечение доступности персональных данных;
– защита среды виртуализации;
– защита технических средств;
– защита информационной системы, ее средств, систем связи и передачи данных;
– выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;
– управление конфигурацией информационной системы и системы защиты персональных данных.
В целях обеспечения соответствия уровня защиты персональных данных требованиям законодательства Российской Федерации ООО «Сложные облачные системы» не раскрывает информацию о конкретных применяемых средствах и мерах обеспечения информационной безопасности персональных данных.
ООО «Сложные облачные системы» обязуется не разглашать полученную от субъектов персональных данных информацию. Не считается нарушением предоставление ООО «Сложные облачные системы» информации агентам и третьим лицам, действующим на основании договора с ООО «Сложные облачные системы», для исполнения обязательств перед субъектом персональных данных. Не считается нарушением обязательств разглашение ООО «Сложные облачные системы» политики в отношении обработки персональных данных и сведений о реализуемых требованиях к защите персональных данных информации в соответствии с обоснованными и применимыми требованиями законодательства Российской Федерации.