Политика безопасности

ВВЕДЕНИЕ

Реализуя положения Закона от 29 августа 1997 года о защите персональных данных («Dz. U.» от 1997 года № 133, пункт 883 с внесенными в него изменениями) а также положения постановления Министра Внутренних Дел и Администрации от 29 апреля 2004 года («Dz. U.» 2004 года № 100, пункт 1024 с внесенными в него изменениями) о документации по обработке персональных данных и технических а также организационных условиях, которым должны соответствовать устройства и информационные системы, применяемые для обработки персональных данных, вводится набор правил и практического опыта, регулирующий способ управления, защиты и дистрибуции конфиденциальной информации, обеспечивающий защиту персональных данных.

Раздел 1

Общие положения всякий раз, как только в документе идёт речь о:

1. Администратор Персональных Данных (АПД) – под этим нужно понимать Biomol-Med Общество с ограниченной ответственностью
2. Инспектор по Защите Персональных Данных (ИЗД) – под этим нужно понимать Emilię Wojdon
3. область обработки под этим нужно понимать здания, помещения либо часть помещений в которых обрабатываются персональные данные.
4. сбор персональных данных под этим нужно понимать каждый имеющий структуру набор данных личного характера, доступный в соответствии с определёнными критериями независимо от его начала или распределения.
5. описание структуры наборов под этим нужно понимать описание структуры наборов персональных данных, обладающих содержанием отдельных информационных полей а также связей между ними.
6. описание потока данных под этим нужно понимать описание потока персональных данных между наборами.
7. технические и организационные средства под этим нужно понимать технические и информационные средства, необходимые для обеспечения конфиденциальности, целостности и подотчётности обрабатываемых данных.
8. процедуры безопасности под этим нужно понимать процедуры, направленные на обеспечение обрабатываемых персональных данных.

Раздел 2

Администратор Персональных Данных

§ 1.

Администратор Персональных Данных в целях обеспечения защиты персональных данных назначает Инспектора по Защите Персональных Данных.

§ 2.

Администратор Персональных Данных должен в частности:

1. Разработать и внедрить Политику безопасности обработки персональных данных а также Инструкцию по управлению информационной системой обрабатывающей персональные данные.
2. Выдавать и аннулировать полномочия на обработку персональных данных лицам, которые должны эти данные обрабатывать.
3. Вести учёт лиц, уполномоченных обрабатывать персональные данные.
4. Вести учёт наборов персональных данных вместе с описанием программного обеспечения, используемого для их обработки, метода потока данных между системами и описанием применяемых защит.
5. Проводить описание структуры наборов данных вместе с описанием информационных полей и связей между ними.
6. Вести учёт согласий на обработку персональных данных тех лиц, к которым эти данные относятся.
7. Передавать в Управление Защиты Данных наборы данных подлежащие регистрации.

§ 3.

Цель обработки данных

АПД очень тщательно заботится о том, чтобы обрабатывать персональные данные только в объеме, необходимом для тех целей, для которых они обрабатываются и стремится минимизировать все процессы обработки персональных данных. АПД почти всегда обрабатывает Ваши персональные данные, это такие персональные данные как: имя и фамилия/название компании а также контактные данные: адрес проживания/офиса, адрес почтовый, номер телефона, адрес электронной почты. Остальные персональные данные обрабатываются в объеме, определённом конкретной целью обработки, о чём Вас информируем перед покупкой услуг в связи с получением Ваших персональных данных.

Раздел 3

Технические и организационные средства

§ 4.

С целью защиты персональных данных применяются следующие организационные меры обеспечения защиты:

1. Была разработана и внедрена Политика безопасности обработки персональных данных а также Инструкция управления информационной системой обрабатывающей персональные данные.
2. К обработке персональных данных допускаются исключительно лица, имеющие действительные разрешения на их обработку.
3. Ведётся учёт лиц, имеющих полномочия обрабатывать персональные данные.
4. Лица, имеющие полномочия прошли обучение по охране персональных данных и безопасности информационной системы.
5. Лица, имеющие полномочия предоставили заявление о соблюдении конфиденциальности обрабатываемых персональных данных.
6. Обработка персональных данных проводится в условиях, защищающих персональные данные от доступа лиц не уполномоченных.
7. Пребывание лиц не уполномоченных в пространстве обработки возможно только в присутствии лиц уполномоченных а также в условиях, обеспечивающих безопасность персональных данных.

§ 5.

Для защиты персональных данных применяются следующие физические меры безопасности:

1. Двери в помещения, являющиеся пространством обработки, закрываются на ключ.
2. Пространство обработки отделено от остальных помещений дверьми с цифровой клавиатурой и электромагнитом, которые делают невозможным вход лицам, которые не знают код входа.
3. Персональные данные в бумажной версии хранятся в мебели, которая закрывается на ключ.
4. В пространстве обработки есть доступ к устройствам для уничтожения документов и носителей данных.
5. Ключи, коды доступа либо другие средства защиты пространств обработки выдаются и сдаются уполномоченными лицами.

§ 6 .

Для защиты персональных данных применяются следующие меры безопасности информационной и телекоммуникационной структуры:

1. Применяется ИБП для сервера и/либо компьютеров на которых находятся обрабатываемые персональные данные.
2. Доступ к компьютерам, на которых находятся персональные данные осуществляется введением логина и пароля.
3. Отдалённый доступ через Интернет к персональным данным осуществляется через зашифрованное соединение SSL либо VPN и требует ввода логина и пароля.
4. Применяется антивирусная система а также фаервол на компьютерах на которых находятся персональные данные.

Раздел 4

Процедуры обеспечивающие безопасность персональных данных

§ 7.

Процедура предоставления полномочий на обработку персональных данных:

1. Полномочия на обработку персональных данных предоставляет ИЗД.
2. К предоставлению полномочий на обработку персональных данных лицо проходит обучение об их защите а также знакомится с принципами безопасности информационной системы.
3. Лицо, уполномоченное обрабатывать персональные данные, подписывает заявление о соблюдении конфиденциальности обрабатываемых персональных данных, к которым имеет доступ.

§ 8.

Методы и средства обеспечения доступа к персональным данным:

1. Пароли доступа к персональным данным не могут быть общеизвестными именами собственными.
2. Уполномоченное лицо обязуется хранить конфиденциально пароли доступа к персональным данным а также немедленно изменить их в случае обнародования.
3. Запрещено хранить пароль открыто либо передавать его другим людям.
4. Пароль изменяется полуавтоматически либо вручную каждые 30 дней уполномоченными лицами.
5. Пароль состоит из минимум 8 символов, включая буквы прописные и строчные а также цифры либо специальные символы.

§ 9.

Процедура начала, приостановления и прекращения работы, требующей обработки персональных данных:

1. Уполномоченное лицо входит в систему либо в программу, используя логин и пароль.
2. Уполномоченное лицо обязано информировать ИЗД о неавторизированных попытках входа в систему либо в программу если система либо программа мониторирует такие явления.
3. Уполномоченное лицо обязано сделать невозможным видеть персональные данные, отображаемые на экране монитора либо в бумажном виде неуполномоченным лицам.
4. Лицо, уполномоченное обрабатывать персональные данные обязано в процессе временного оставления рабочего места запускать временное выключение экрана, защищённой паролем, либо выходить из системы и удалять распечатки с персональными данными со стола.
5. После завершения работы уполномоченное лицо обязано выйти из системы либо выключить компьютер а также удалить со стола все носители, содержащие персональные данные, а также обеспечить безопасность помещения от взлома, потопа, пожара, и т.п.

§ 10.

Процедура создания резервных копий:

1. В зависимости от величины увеличения количества и объёма персональных данных создаются резервные копии с интервалом не чаще чем 1 день и не реже чем 1 месяц.
2. Резервные копии персональных данных в электронной версии могут храниться на внешнем носителе данных, защищённом в соответствии с организационной безопасностью.
3. Лицо, создающее резервные копии, обязано их маркировать и проверять согласованность данных и возможность их повторного воспроизведения.
4. Резервные копии хранятся не менее чем 1 год и не более чем 5 лет.
5. По истечении периода хранения резервные копии окончательно уничтожаются либо анонимизируются.

§ 11.

Процедура хранения носителей персональных данных в бумажном и электронном виде:

1. Уполномоченные лица обязаны окончательно уничтожать/удалять персональные данные после истечения цели их обработки.
2. Запрещается выносить персональные данные за пределы пространства обработки без согласия ИЗД а также без обеспечения минимум таких же условий безопасности обработки персональных данных какие обязывают в пространстве обработки.
3. Те персональные данные которые высылаются электронным путём за пределы пространства обработки, должны быть защищены паролем.
4. Запрещено передавать носители данных, содержащие персональные данные, внешним организациям с целью ремонта, пожертвования и т.п.
5. Носители персональных данных, такие как:

a. Ноутбук/Нетбук

b. Мобильный Телефон/Смартфон

c. Флешка/Карта памяти

d. Внешний жесткий диск

e. Диск CD/DVD/BR

f. Распечатка на бумаге

хранятся таким образом, чтобы сделать невозможным доступ к ним неуполномоченных лиц, а также защищает их от повреждений, вызванных, например затоплением, сжиганием, плавлением и т.п….

§ 12.

Процедура передачи и предоставления доступа к персональным данным внешним организациям:

1. Каждая передача и предоставление доступа к персональным данным должны проводиться как в соответствии с Законом и законодательными актами, так и с настоящим документом, а также иметь законные основания.
2. Ведётся учёт данных, которые переданы и к которым предоставлен доступ, с указанием:

a. Даты передачи

b. Обозначением лица, уполномоченного передать данные

c. Даты доступа

d. Организации, которой предоставлено доступ к данным

e. Объёма данных, которые переданы либо к которым предоставлен доступ

f. Основания предоставления доступа либо передачи

§ 13.

Процедура контроля и обучения сотрудников:

1. Один раз в год проводится контроль соблюдения обязывающих правил защиты персональных данных.
2. На основании контроля составляется протокол, который является основанием для актуализации протоколов а также настоящего документа.
3. Один раз в год проводится активационное обучение сотрудников в области защиты персональных данных.
4. Каждый сотрудник перед получением полномочий проходит индивидуальное обучение.
5. Любой ремонт либо обслуживание компьютерного оборудования, содержащего персональные данные, либо помещений, являющихся пространством обработки, могут проводиться только под наблюдением уполномоченных лиц.

§ 14.

ИЗД сообщает о наборе персональных данных, которые требуют регистрации, а также об удалении набора после завершения обработки, в Управление Защиты Данных.

Раздел 5

Заключительные положения

§ 15.

Все процедуры и правила, описанные в этом документе, соблюдаются лицами, уполномоченными обрабатывать персональные данные с особенным учётом лиц, к которым эти данные относятся.

§ 16.

Передача обработки персональных данных внешней компании возможна лишь путём заключения договора в письменном виде при условии, что эта компания придерживается минимум таких же условий безопасности обработки персональных данных, как и компания Biomol-Med Общество с ограниченной ответственностью.