Сведения о реализуемых требованиях к защите персональных данных АО ЛСР Краны-СЗ

30 ноября 2023 года

  1. Защита персональных данных, обрабатываемых в ПАО «Группа ЛСР» (далее – Группа ЛСР) обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных.
  2. Правовые меры включают в себя:
    • разработку локальных актов в Группе ЛСР, реализующих требования российского законодательства, в том числе Политики в отношении обработки персональных данных, и размещение ее на интернет-сайте Группы ЛСР;
    • реализацию требований о соблюдении конфиденциальности персональных данных;
    • реализацию требований об обеспечении реализации субъектом персональных данных своих прав, включая право на доступ к информации;
    • реализацию требований к защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
    • реализацию иных требований законодательства Российской Федерации;
    • отказ от любых способов обработки персональных данных, не соответствующих целям, заранее предопределенным Группой ЛСР.
  3. Организационные меры включают в себя:
    • назначение лица, ответственного за организацию обработки персональных данных;
    • назначение лица, ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных (далее - ИСПДн);
    • определение перечня должностей работников и третьих лиц, допущенных к обработке персональных данных, имеющих доступ к персональным данным;
    • определение перечня помещений, где ведется обработка персональных данных. Ограничение допуска посторонних лиц в помещения Группы ЛСР, недопущение их нахождения в помещениях, где ведется работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны работников Группы ЛСР;
    • ознакомление работников Группы ЛСР с положениями законодательства Российской Федерации в области персональных данных, в том числе с требованиями к защите персональных данных, с локальными актами Группы ЛСР по вопросам обработки персональных данных;
    • определение в трудовых обязанностях и должностных инструкциях работников Группы ЛСР обязанностей по обеспечению безопасности обработки персональных данных и ответственности за нарушение установленного порядка;
    • регламентацию процессов обработки персональных данных;
    • организацию учёта материальных носителей персональных данных и их хранения, обеспечивающих предотвращение хищения, подмены, несанкционированного копирования и уничтожения;
    • определение угроз безопасности персональных данных при их обработке в ИСПДн, формирование на их основе моделей угроз;
    • размещение технических средств обработки персональных данных в пределах охраняемой территории;
    • определение перечня ИСПДн;
    • определение типа угроз безопасности персональных данных, актуальных для информационных систем персональных данных с учетом оценки возможного вреда субъектам персональных данных, который может быть причинен в случае нарушения требований безопасности, определение уровня защищенности персональных данных и реализацию требований к защите персональных данных при их обработке в информационных системах, исполнение которых обеспечивает установленные уровни защищенности персональных данных.
  4. Технические меры включают в себя:
    • разработку на основе модели угроз системы защиты персональных данных для установленных Правительством Российской Федерации уровней защищенности персональных данных при их обработке в ИСПДн;
    • использование для нейтрализации актуальных угроз средств защиты информации, прошедших процедуру оценки соответствия;
    • оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
    • реализацию системы разграничения доступа работников к информации, содержащей персональные данные, обрабатываемой в ИСПДн, и программно-аппаратным, и программным средствам защиты информации;
    • регистрацию и учёт действий с персональными данными пользователей ИСПДн, где обрабатываются персональные данные;
    • выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети Группы ЛСР, обеспечивающих соответствующую техническую возможность;
    • безопасное межсетевое взаимодействие (применение межсетевого экранирования);
    • передача информации с использованием информационно-телекоммуникационных сетей осуществляется при помощи средств криптографической защиты информации;
    • обнаружение вторжений в ИСПДн Группы ЛСР, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
    • регулярное резервное копирование информации и баз данных, содержащих персональные данные субъектов персональных данных;
    • периодическое проведение мониторинга действий пользователей, разбирательств по фактам нарушения требований безопасности персональных данных;
    • регулярные проверки соответствия системы защиты персональных данных, аудит уровня защищенности персональных данных в ИСПДн, функционирования средств защиты информации, выявления изменений в режиме обработки и защиты персональных данных.