1. В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»), Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказом ФСТЭК от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» ООО «РТСИМ» (далее – Оператор) реализует следующие требования законодательства РФ в области персональных данных:
− требования о соблюдении конфиденциальности персональных данных;
− требования об обеспечении реализации субъектом персональных данных своих прав, включая право на доступ к информации;
− требования об обеспечении точности персональных данных, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных (с принятием (обеспечением принятия) мер по удалению или уточнению неполных или неточных данных);
− требования к защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
− иные требования законодательства РФ.
2. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области персональных данных (ч.1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
3. В целях исполнения требований законодательства РФ в области персональных данных Оператором разработана и применяется Политика конфиденциальности и обработки персональных данных.
4. Оператором в соответствии с действующим законодательством Российской Федерации разработан и введен в действие комплекс организационно-распорядительных и функциональных мер, регламентирующих и обеспечивающих безопасность обрабатываемых персональных данных:
− назначены ответственные лица за организацию и обеспечение безопасности персональных данных;
− введен режим безопасности обработки и обращения с персональными данными, а также режим защиты помещений, в которых осуществляется обработка и хранение носителей персональных данных;
− утвержден документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
− проведено ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации по обеспечению безопасности персональных данных и требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, и другими локальными актами по вопросам обработки персональных данных;
− осуществляется контроль за соблюдением работниками, допущенных к обработке персональных данных, требований, установленных законодательством РФ в области персональных данных, локальными нормативными актами;
− осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
− проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
5. Оператор предпринимает необходимые и достаточные технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий:
− установлена защита от несанкционированного доступа к автоматизированным рабочим местам, информационным сетям и базам персональных данных;
− установлена защита от вредоносного программно-математического воздействия (воздействия на компьютерные системы с помощью вредоносных программ);
− осуществляется регулярное резервное копирование информации и баз данных, содержащих персональные данные субъектов персональных данных;
− организована система контроля за порядком обработки персональных данных и обеспечения их безопасности;
− проводятся регулярные проверки соответствия системы защиты персональных данных, аудит уровня защищенности персональных данных в информационных системах персональных данных, функционирования средств защиты информации, выявления изменений в режиме обработки и защиты персональных данных;
− определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
− осуществлена защита машинных носителей информации, на которой хранятся и (или) обрабатываются персональные данные;
− используется лицензионное программное обеспечение;
− на ПК установлены средства антивирусной защиты;
− ограничен доступ лиц в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, и хранятся носители информации;
− сайт защищен от проникновения;