г. Минск,
ул. Серафимовича, 11
каб. 108, каб. 112
ПН-ПТ 09:00 - 18.00
+375 29 675 57 51
+375 29 130 71 71
info@prosafety.by
viber
Заказ обратного звонка

Политика в области информационной безопасности

1. Вводные положения

Назначение

Настоящая Политика является основополагающим документом, предназначенным для выражения позиции ООО «Безопасность объектов» (далее – Организация) в области информационной безопасности, определяет систему взглядов, принципов и подходов в этой области для обеспечения защищенности бизнес-процессов Организации, создания условий безопасного цифрового развития Организации, политику в отношении обработки персональных данных и обеспечения соответствия требованиям законодательства Республики Беларусь в данной области.

Настоящая Инструкция разработана на основе: 

Область действия

Настоящая Политика является обязательной для исполнения всеми работниками Организации.

Распорядительные документы, локальные акты и иные внутренние документы не должны противоречить настоящей Политике.

Срок действия и порядок внесения изменений

Настоящая Политика является локальным актом постоянного действия.

Политика утверждается, признается утратившей силу и вводится в действие приказом директора Организации.

Изменения в Политику вносятся приказом директора Организации. 

Изменения в Политику вносятся в случаях изменения законодательства Республики Беларусь в области информационной безопасности, изменения специфики деятельности, контекста и профиля рисков Организации.

Ответственным за поддержание настоящей Политики в актуальном состоянии является директор Организации.

Контроль за исполнением требований настоящей Политики обязан обеспечить директор Организации.

2. Заявление о политике в области информационной безопасности

Настоящая Политика выражает позицию Организации в области информационной безопасности, а также определяет политику оператора (уполномоченного лица) в отношении обработки персональных данных.

Принятием настоящей Политики Организация провозглашает и обязуется осуществлять все возможные меры для защиты работников, имущества, информации, деловой репутации и бизнес-процессов Организации от риска причинения вреда, убытков и ущерба, возникающих в результате реализации угроз информационной безопасности.

Руководство Организации осознает важность и необходимость продвижения и совершенствования мер и средств обеспечения информационной безопасности в контексте развития законодательства Республики Беларусь, а также развития используемых информационных технологий при автоматизации и цифровизации бизнес-процессов.

Соблюдение принципов информационной безопасности дополнительно позволит упрочить конкурентные преимущества Организации, обеспечить соответствие правовым, регуляторным и договорным требованиям, снизить репутационные риски.

Настоящая Политика разработана с целью установления принципов, определяющих общие организационные и управленческие подходы, необходимые для обеспечения и управления информационной безопасностью Организации и защиты интересов Организации от рисков и угроз информационной безопасности.

Руководство Организации придерживается взглядов, что соблюдение принципов, правил и требований информационной безопасности является, в том числе, элементом корпоративной культуры. Следование требованиям информационной безопасности является важным условием при осуществлении повседневной деятельности, включая совместную работу с Деловыми партнерами. Каждый работник Организации и её Деловых партнеров несёт ответственность за безопасную работу с вверенными ему компьютерным оборудованием, мобильными техническими средствами, носителями информации, предоставленной и обрабатываемой информацией Организации.

Работники Организации должны руководствоваться настоящей Политикой в профессиональной деятельности, при внутрикорпоративном взаимодействии, личном развитии и повышении культуры информационной безопасности.

2.1. Цели и задачи Организации в области информационной безопасности

Управление и обеспечение информационной безопасности Организации ориентированы на достижение следующих целей в области информационной безопасности:

  • предоставление безопасной информационной среды для функционирования и развития бизнес-процессов Организации;
  • обеспечение прав субъектов информационных отношений при создании, использовании и эксплуатации информационных систем и информационных сетей, использовании информационных технологий, а также формировании и использовании информационных ресурсов;
  • недопущение неправомерного доступа, уничтожения, модификации (изменения), копирования, распространения и (или) предоставления информации, блокирования правомерного доступа к информации, а также иных неправомерных действий.

Для достижения данных целей необходимо решение следующих задач:

  • обеспечение информационной безопасности бизнес-процессов, включая обеспечение оперативного мониторинга и оценку состояния защищенности в Организации;
  • применение современных методов защиты, включая организацию проработки вопросов информационной безопасности при реализации цифровых решений;
  • обеспечение соответствия требованиям законодательства Республики Беларусь в области информационной безопасности;
  • повышение осведомленности работников в области информационной безопасности.

2.2. Принципы управления и обеспечения информационной безопасности

К правовым мерам по защите информации относятся заключаемые договоры, в которых устанавливаются условия пользования информацией, а также ответственность сторон по договору за нарушение указанных условий.

К организационным мерам по защите информации относятся разграничение доступа к информации по кругу лиц и характеру информации.

К техническим мерам по защите информации относятся меры по использованию средств технической и криптографической защиты информации, а также меры по контролю защищенности информации.

3. Политика в отношении обработки персональных данных

3.1. Принципы и цели обработки персональных данных

Организация, являясь оператором персональных данных, а также уполномоченным лицом, осуществляет обработку персональных данных работников Организации и других субъектов персональных данных, не состоящих с Организацией в трудовых отношениях.

Обработка персональных данных осуществляется с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

  • обработка персональных данных осуществляется на законной основе;
  • персональные данные относятся к категории конфиденциальной информации.
  • обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
  • обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением общедоступных персональных данных и иных случаев, когда такое согласие не требуется в соответствии с законодательными актами;
  • обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
  • содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
  • обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
  • оператор (уполномоченное лицо) принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
  • хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

Персональные данные обрабатываются в целях:

  • осуществления видов деятельности, предусмотренных Уставом и иными локальными актами Организации, а также осуществления функций, полномочий и обязанностей, предусмотренных законодательством Республики Беларусь;
  • предоставления информации об Организации, его услугах;
  • подготовки коммерческого предложения, участия в тендере, согласования и подготовки к заключению, заключения, исполнения и прекращения договоров с контрагентами;
  • выявления конфликта интересов;
  • коммуникации с субъектом персональных данных, когда субъект персональных данных обращается к Организации;
  • привлечения и отбора кандидатов на работу в Организации;
  • регулирования трудовых отношений с работниками (оценка возможности занятия той или иной должности и (или) выполнения тех или иных функций, содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
  • ведения кадрового делопроизводства;
  • ведения воинского учета;
  • ведения бухгалтерского учета;
  • исполнение обязательств по гражданско-правовым договорам с субъектом персональных данных;
  • защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
  • предоставления родственникам работников льгот и компенсаций;
  • проведения мероприятий и обеспечение участия в них субъектов персональных данных;
  • размещения информации на официальном сайте Организации в маркетинговых, рекламных и информационных целях;
  • исполнения обязанности налогового агента;
  • обработки обращений граждан;
  • исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
  • в иных законных целях.

3.2. Перечень субъектов и обрабатываемых персональных данных в Организации

В Организации обрабатываются персональные данные следующих категорий субъектов:

  • участников Организации и аффилированных лиц Организации;
  • работников Организации;
  • иных представителей Организации;
  • родственников работников Организации;
  • кандидатов на рабочие места;
  • работников и иных представителей контрагентов - юридических лиц;
  • контрагентов - физических лиц и индивидуальных предпринимателей;
  • лиц, чьи персональные данные Организация получает в процессе оказания услуг контрагентам;
  • лиц, направивших обращение в Организацию;
  • посетителей сайта Организации;
  • иных субъектов, взаимодействие которых с Организацией создает необходимость обработки персональных данных.

Перечень персональных данных, обрабатываемых в Организации, определяется в соответствии с законодательством Республики Беларусь с учетом целей обработки персональных данных, указанных в настоящей Политике.

Содержание и объем персональных данных каждой категории субъектов определяется необходимостью достижения конкретных целей их обработки, а также необходимостью Организации реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта персональных данных.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни в Организации не осуществляется.

3.3. Меры, принимаемые для защиты персональных данных

Организация принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. 

Меры, необходимые и достаточные для обеспечения выполнения Организацией обязанностей оператора (уполномоченного лица), предусмотренных законодательством Республики Беларусь в области персональных данных, включают:

  • предоставление субъектам персональных данных необходимой информации до получения их согласия на обработку персональных данных;
  • разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
  • получение согласия субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
  • назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в Организации;
  • издание документов, определяющих политику Организации в отношении обработки персональных данных;
  • включение в соглашения, заключаемые Организацией с контрагентами, требований обеспечения безопасности персональных данных;
  • ознакомление работников, непосредственно осуществляющих обработку персональных данных в Организации, с положениями законодательства о персональных данных;
  • установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
  • использование средств защиты информации, а также осуществление технической и криптографической защиты персональных данных в Организации в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;
  • обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику Организации в отношении обработки персональных данных, до начала такой обработки;
  • прекращение обработки персональных данных при отсутствии оснований для их обработки; 
  • незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
  • осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
  • ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
  • осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

4. Доведение и распространение Политики

Настоящая Политика является публичной и размещается на корпоративном портале, а также официальном веб-сайте Организации.

Вверх