ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО «МАГНИТОГОРСКАЯ ЭНЕРГЕТИЧЕСКАЯ КОМПАНИЯ»

1. Общие положения

Политика обработки персональных данных в ООО «Магнитогорская энергетическая компания» (далее - Политика) является  документом, определяющим общие принципы обеспечения безопасности персональных данных (далее - ПДн) и организационно-технические меры по защите ПДн в информационных системах персональных данных (далее - ИСПДн) ООО «Магнитогорская энергетическая компания» (далее ООО «МЭК», Оператор).

Настоящая Политика разработана на основе анализа требований действующего законодательства Российской Федерации и нормативных документов, регламентирующих вопросы защиты ПДн.

Политика служит основой для разработки комплекса организационных и технических мер по обеспечению защиты персональных данных в ИСПДн ООО «МЭК», а также нормативных и методических документов, регламентирующих защиту персональных данных (далее - СЗПДн) ООО «МЭК».

Обязанности по реализации необходимых организационных и технических мероприятий для защиты ПДн ИСПДн ООО «МЭК» от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также иных неправомерных действий с ними, возлагаются на должностных лиц Оператора в соответствии с внутренними локальными нормативными документами.

 

2. Правовые основы обеспечения безопасности ПДн в ИСПДн ООО «МЭК»

Настоящая Политика определяется в соответствии со следующими нормативными правовыми актами:

2.1. Трудовой кодекс Российской Федерации.

2.2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

2.3. Постановление Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

2.4. Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

2.5. Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

2.6. Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

2.7. Иные нормативные правовые акты органов государственной власти Российской Федерации.

 

 

3. Термины и определения

 

В настоящей Политике используются следующие термины и определения:

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределённому кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных- действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

 

4. Сфера действия и область распространения Политики

Настоящая  Политика распространяется на Оператора, осуществляющего деятельность по поставке, купле-продаже электрической энергии и мощности на розничном рынке                                   г. Магнитогорска  Челябинской области.

 

5. Основные цели и задачи обеспечения безопасности персональных данных

Основной целью обеспечения безопасности персональных данных является минимизация ущерба (как непосредственного, так и опосредованного), возникающего вследствие возможной реализации угроз безопасности персональных данных.

Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту персональных данных и может проявляться в виде:

- нанесения вреда здоровью субъекта персональных данных;

- незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;

- потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием персональных данных;

- нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь.

Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с персональными данными.

Основной задачей обеспечения безопасности персональных данных, при их обработке в информационных системах персональных данных Оператора, является предотвращение утечки персональных данных от сотрудников Оператора, несанкционированного доступа к ним сторонними лицами, предупреждение преднамеренных программно-технических воздействий с целью их разрушения (уничтожения) или искажения в процессе обработки, передачи и хранения.

 

6. Персональные данные, обрабатываемые в информационных системах Оператора

 

           6.1 Категории субъектов персональных данных

Субъекты, персональные данные которых обрабатываются в информационных системах Оператора, подразделяются на три категории:

1) Потребители - физические лица, приобретающие электрическую энергию (мощность) для осуществления предпринимательской деятельности и (или) для личных бытовых нужд непосредственно у Оператора. К данной категории относятся потребители, с которыми заключены договоры купли-продажи (поставки) электрической энергии (мощности) и осуществляются соответствующие расчеты.

2) Потребители - физические лица, приобретающие электрическую энергию для личных бытовых нужд в иных организациях в соответствии с действующим законодательством. К данной категории относятся потребители, которые заключили договоры купли-продажи (поставки) электрической энергии с исполнителями коммунальных услуг и осуществление соответствующих расчетов по которым передано Оператору на основании решений собственников и/или отдельно заключенных договоров.

3) Физические лица, обработка персональных данных которых осуществляется в целях текущей производственной деятельности Оператора. К данной категории относятся:

- работники - физические лица, вступившие в трудовые отношения с работодателем (Оператором);

- другие физические лица, обработка персональных данных которых необходима в целях выполнения текущей производственной деятельности Оператора. К таким физическим лицам, в частности, могут относиться лица, заключившие с Оператором отдельные гражданско-правовые договоры на оказание определенного вида услуг или работ.

 

            6.2 Цели обработки персональных данных

В основе определения целей обработки персональных данных лежит принцип законности их обработки.

Целью обработки персональных данных потребителей является исполнение договоров энергоснабжения, договоров купли-продажи (поставки) электроэнергии (мощности).

Целями обработки персональных данных работников являются содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества.

При определении целей обработки персональных данных иных категорий субъектов персональных данных, необходимо соблюдать законы и иные нормативно-правовые акты.

 

 

7.  Общие принципы обработки  ПДН

 

7.1.  Обработка персональных данных должна осуществляться на законной и справедливой основе.

 7.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

7.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

7.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

7.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

7.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

7.8. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

8. Общие методы обеспечения безопасности персональных данных

Методы обеспечения безопасности ПДн разделяются на:

- административно-правовые;

- организационно-технические;

- экономические.

По времени применения методы обеспечения безопасности ПДн разделяются на:

- превентивные;

- восстановительные.

 

К административно-правовым методам защиты относятся нормы действующего законодательства Российской Федерации в области персональных данных и внутренние организационно-распорядительные документы Оператора, регламентирующие правила обращения с ПДн, закрепляющие права и обязанности участников информационных отношений в процессе обработки и использования ПДн, а также устанавливающие ответственность за нарушения этих правил, препятствуя неправомерной обработке ПДн и являющиеся сдерживающим фактором для реализации угроз безопасности потенциальными нарушителями.

Основными направлениями этой деятельности Оператора являются:

- разработка, внесение изменений и дополнений в политику информационной безопасности в части защиты ПДн и поддерживающие ее документы;

- регламентация процессов обработки ПДн;

- определение ответственности за нарушения в области обеспечения безопасности ПДн;

- назначение и подготовка должностных лиц (работников), ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности ПДн;

- закрепление в должностных инструкциях установленного разграничения полномочий в области обеспечения безопасности ПДн;

- разработка и принятие документов, устанавливающих ответственность структурных подразделений и сотрудников, а также взаимодействующих юридических лиц, за несанкционированный доступ к ПДн, противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверных ПДн, противоправное их раскрытие или использование в преступных и корыстных целях;

- контроль знания и соблюдения пользователями ИСПДн, требований организационно-распорядительных документов по вопросам обеспечения безопасности ПДн;

- проведение постоянного анализа эффективности и достаточности принимаемых мер и применяемых средств защиты ПДн, разработка и реализация предложений по совершенствованию СЗПДн.

 

Организационно-технические методы защиты основаны на использовании организационных мер, различных программных, аппаратных и программно-аппаратных средств, входящих в состав СЗПДн и выполняющих функции защиты информации, направленных на решение следующих задач:

- строгий учет всех подлежащих защите ресурсов (персональных данных, сервисов, каналов связи, серверов, автоматизированных рабочих мест и т.д.);

- предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;

- своевременного обнаружения фактов НСД к ПДн;

- недопущения воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;

- возможности незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним;

- постоянного контроля за обеспечением уровня защищенности ПДн.

 

Экономические методы обеспечения безопасности ПДн включают в себя:

- разработку Оператором программ обеспечения безопасности ПДн и определение порядка их финансирования.

- разработку Оператором мер поощрения и наложения штрафных санкций за соблюдение или не соблюдение установленных правил и процедур обработки ПДн.

 

Превентивные методы противодействия угрозам безопасности ПДн осуществляются на основе эффективного применения в процессе эксплуатации ИСПДн комплекса организационных, технических и технологических мероприятий, а также методов и средств обеспечения функциональной устойчивости и безопасности работы ИСПДн.

Организационные мероприятия по обеспечению безопасности ПДн являются мероприятиями общего характера по организации деятельности персонала, эксплуатирующего ИСПДн, порядку применения информационных технологий в зданиях и сооружениях, систематическому применению мер по недопущению вывода ИСПДн из строя.

Технические мероприятия по обеспечению безопасности ПДн заключаются в обслуживании, поддержании и управлении требуемым составом технических средств, обеспечивающих обработку ПДн в защищенном режиме.

Технологические мероприятия по обеспечению безопасности ПДн направлены на правильную реализацию функций и заданных алгоритмов работы ИСПДн, технологий обработки ПДн и защиту программ и ПДн от преднамеренных и непреднамеренных нарушений.

 

Планирование восстановительных методов определяется системой документов, устанавливающих требования к обязательным мероприятиям, проводимым заблаговременно и после возникновения нарушений, угрожающих штатному функционированию ИСПДн.

 

9. Основные этапы работ по обеспечению безопасности персональных данных

В число основных этапов работ по обеспечению безопасности персональных данных входят, в частности, следующие:

- определение объектов защиты;

- установление целей защиты объектов защиты;

- определение угроз объектам защиты;

- установление требований к системе защиты персональных данных;

- определение порядка контроля и надзора.

Основным объектом защиты являются персональные данные.

Персональные данные могут иметь различные формы представления (бумажная, файлы, записи и поля записей баз данных, электромагнитные волны и поля, излучения и т.д.), каждая из которых является объектом защиты.

Формы представления персональных данных связаны с различными ресурсами информационной системы персональных данных, которые в свою очередь могут порождать объекты защиты.

Используемые в информационной системе персональных данных средства защиты информации являются объектами защиты.

Информация о методах и средствах обеспечения безопасности персональных данных содержит сведения, которые являются объектами защиты, в частности, к таким объектам могут быть обнесены парольная и аутентифицирующая информация, ключевая информация.

Установление целей защиты объектов защиты связано с установлением характеристик безопасности для каждого из определенных объектов защиты.

Определение угроз объектам защиты проводится путем формирования модели угроз и модели нарушителя. При этом модель нарушителя формируется как составная часть модели угроз, определяющая возможные специфические угрозы - атаки.

Установление требований к системе защиты персональных данных основано на формировании моделей угроз и нарушителя.

В первую очередь устанавливаются общие требования к организационным мерам.

Далее на основе моделей угроз и нарушителя, сформированных в соответствии с нормативными и методическими документами ФСТЭК России, определяются требования к средствам защиты информации, входящим в зону ответственности ФСТЭК России, а также требования к поддерживающим эти средства организационным мерам.

Процесс формирования требований к системе защиты персональных данных заканчивается, если выполнение установленных требований нейтрализует все угрозы, перечисленные в моделях угроз и нарушителя.

Если выполнение установленных требований нейтрализует не все угрозы, перечисленные в моделях угроз и нарушителя, сформированных в соответствии с нормативными и методическими документами ФСТЭК России, на основе моделей угроз и нарушителя, сформированных в соответствии с нормативными документами ФСБ России, определяются требования к средствам защиты информации, входящих в зону ответственности ФСБ России, а также требования к поддерживающим эти средства организационным мерам.

 

10. Основные мероприятия по обеспечению безопасности персональных данных

 

Для разработки и осуществления мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн Оператором или уполномоченным им лицом назначается структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности ПДн.

Основными мероприятиями по организации и техническому обеспечению безопасности ПДн в ИСПДн являются:

- мероприятия по организации обеспечения безопасности ПДн, включая классификацию ИСПДн;

- мероприятия по техническому обеспечению безопасности ПДн при их обработке в ИСПДн, включающие мероприятия по размещению, специальному оборудованию, охране и организации режима допуска в помещения, где ведется работа с ПДн;

- мероприятия по защите ПДн от несанкционированного доступа и определению порядка выбора средств защиты ПДн при их обработке в ИСПДн.

Обеспечение безопасности ПДн осуществляется путем выполнения комплекса организационных и технических мероприятий, реализуемых в рамках создаваемой СЗПДн. Структура, состав и основные функции СЗПДн определяются с учетом класса ИСПДн Оператора.

Перечень реализуемых мероприятий по защите ПДн при их обработке в специальных ИСПДн Оператора связи определяется на основании анализа актуальности угроз, рисков безопасности ПДн и профилей защиты ПДн для ИСПДн Оператора, в соответствии с нормативными и методическим документами.

ИСПДн по своим характеристикам и номенклатуре угроз безопасности ПДн близки к наиболее распространенным информационным системам, поэтому целесообразно при их защите максимально использовать традиционные подходы к технической защите информации в автоматизированных системах.

Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

В соответствии с нормативными документами Федеральной службы по техническому и экспортному контролю:

- осуществляется обеспечение защиты (некриптографическими методами) информации;

- проводятся мероприятия по предотвращению утечки информации по техническим каналам;

- проводятся мероприятия по предотвращению несанкционированного доступа к информации, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения, и блокирования доступа к ней.

Мероприятия по обеспечению безопасности ПДн включают в себя:

- управление доступом:

- идентификация и аутентификация;

- физическая защита;

- регистрацию и учет;

- обеспечение конфиденциальности;

- обеспечение целостности;

- обеспечение доступности;

- обеспечение достоверности (аутентичности);

- антивирусную защиту;

- обеспечение безопасного межсетевого взаимодействия;

- анализ защищенности;

- обнаружение вторжений.

 

 Идентификация и аутентификация

Управление доступом к ПДн должно осуществляться на основе принципа минимизации полномочий. Стандартным методом доступа является ролевой доступ, для чего определяются совокупности типов доступа - групповых прав и полномочий доступа пользователей (ролей), предоставляемых пользователям. Количество таких ролей должно быть ограниченным и подразумевать возможность эффективного управления. Назначение прав и полномочий конкретным пользователям осуществляется путем назначения им соответствующих ролей.

Каждый пользователь для получения соответствующих прав доступа при подключении к ИСПДн должен пройти процедуру идентификации, при этом должны использоваться уникальные признаки и имена. При этом подлинность личности пользователя должна быть проверена. Стандартное средство проверки подлинности (аутентификации) - пароль. Для обеспечения более высокой надежности аутентификации возможно использование таких средств как токены, смарт-карты и другие носители аутентифицирующей информации.

 

Физическая защита

Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться путем установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в здание, помещения посторонних лиц, хищение информационных носителей, самих средств информатизации.

Размещение, специальное оборудование, охрана и организация режима в помещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.

 

Регистрация и учет

В ИСПДн должны вестись контрольные журналы, регистрирующие действия пользователей с ПДн. Должны быть установлены процедуры применения мониторинга действий с ПДн, а результаты действий пользователей должны регулярно просматриваться.

 

Обеспечение целостности

Оператор обеспечивает целостность программных средств защиты в составе СЗПДн, а также неизменность программной среды. При этом целостность средств защиты проверяется при загрузке системы по наличию имен (идентификаторов) компонентов СЗПДн.

Обеспечение целостности реализуется преимущественно операционными системами и системами управления базами данных.

 

Антивирусная защита

Для обеспечения безопасности ПДн и программно-аппаратной среды ИСПДн, осуществляющей обработку этой информации, необходимо применять специальные средства антивирусной защиты, выполняющие:

- обнаружение и (или) блокирование деструктивных вирусных воздействий на общесистемное и прикладное программное обеспечение, реализующее обработку ПДн, а также на ПДн;

- обнаружение и удаление неизвестных вирусов;

- обеспечение самоконтроля (предотвращение инфицирования) данного антивирусного средства при его запуске.

 

Обеспечение безопасного межсетевого взаимодействия

Для осуществления разграничения доступа к ресурсам ИСПДн при межсетевом взаимодействии должно применяться межсетевое экранирование, которое реализуется программными и программно-аппаратными межсетевыми экранами. Межсетевой экран устанавливается между защищаемой сетью, называемой внутренней, и внешней сетью. Межсетевой экран входит в состав защищаемой сети. Для него путем настроек отдельно задаются правила, ограничивающие доступ из внутренней сети во внешнюю и наоборот.

Межсетевое экранирование должно обеспечивать:

- скрытие внутренней сетевой структуры ИСПДн;

- разрешение только такого входящего и исходящего трафика, который является необходимым для работы ИСПДн;

- блокирование любого входящего и исходящего трафика, не разрешенного явно.

 

Анализ защищенности

Анализ защищенности реализуется на основе использования средств тестирования (анализа защищенности) и контроля (аудита) безопасности информации.

Для гарантии того, что СЗИ успешно выполняют свои функции, должны быть разработаны процедуры контроля изменений конфигураций СЗИ и сетевых устройств. Для выполнения этих процедур в информационно-телекоммуникационной среде Оператора должна быть создана система анализа защищенности, выполняющая следующие функции:

- контроль настроек сетевых устройств, СЗИ и программно-технического обеспечения ИСПДн;

- анализ уязвимостей настроек СЗИ, сетевых устройств или уязвимостей операционных систем или прикладного программного обеспечения.

 

Обнаружение вторжений

Обнаружение вторжений реализуется с использованием в составе СЗПДн Оператора программных и (или) программно-аппаратных средств (систем) обнаружения вторжений, использующих комбинированные методы обнаружения атак, включающие в себя сигнатурные методы и методы выявления аномалий.

 

11. Принципы оценки и контроля эффективности системы защиты персональных данных Оператора связи

В соответствии с принципом обязательности контроля выполняются следующие виды контроля эффективности системы защиты персональных данных:

- внутренний контроль;

- государственный контроль.

 

Внутренний контроль эффективности системы защиты ПДн осуществляется Оператором с целью поддержания заданного уровня эффективности СЗПДн, в соответствии с документированными методиками. Внутренний контроль включает:

- мониторинг состояния технических и программных средств, входящих в состав СЗПДн;

- контроль соблюдения требований по обеспечению безопасности ПДн (требований законодательства в области защиты ПДн, требований внутренних нормативно-методических и организационно-распорядительных документов Оператора, сформулированных на основе анализа рисков нарушения безопасности ПДн, договорных требований).

Оценка эффективности СЗПДн реализуется в виде аттестации или декларирования соответствия требованиям по безопасности ПДн.

Декларирование производится по факту ввода в эксплуатацию ИСПДн. Ввод в эксплуатацию ИСПДн производится в соответствии с документально оформленными требованиями по безопасности ПДн (техническими условиями), разрабатываемыми Оператором в соответствии с требованиями законодательства и нормативно-методических документов федеральных органов исполнительной власти, осуществляющими функции по контролю и надзору в пределах своих полномочий.

Факт ввода в эксплуатацию ИСПДн в соответствии с техническими условиями оформляется Актом ввода в эксплуатацию и утверждается приказом по организации Оператора.

Внутренний контроль проводится периодически, либо инициируется по мере необходимости Оператором.

 

Государственный контроль и надзор за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных осуществляется Роскомнадзором.

Контроль и надзор за выполнением требований безопасности персональных данных при их обработке в ИСПДн осуществляются ФСБ России и ФСТЭК России, в пределах их полномочий.

 

12. Ответственность за нарушение правил обработки персональных данных и требований к защите персональных данных

 

Работники Оператора, участвующие в обработке персональных данных, несут дисциплинарную,  гражданско-правовую,  административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации за нарушение правил обработки персональных данных и требований к защите персональных данных.

 

13. Порядок пересмотра Политики

 

Положения настоящей Политики пересматриваются в установленном порядке по мере необходимости.

Внеплановый пересмотр Политики проводится в случае существенных изменений законодательства в сфере защиты ПДн.

При внесении изменений в положения Политики учитываются:

- уровень развития и внедрения информационных технологий в телекоммуникационной отрасли;

- рекомендации российских и международных профильных организаций по информационной безопасности и защите ПДн;

- рекомендации Консультационного совета при уполномоченном органе по защите прав субъектов ПДн.