Сведения о реализуемых требованиях к защите персональных данных АО ЛСР Краны-СЗ
30 ноября 2023 года
- Защита персональных данных, обрабатываемых в ПАО «Группа ЛСР» (далее – Группа ЛСР) обеспечивается
реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения
требований законодательства в области защиты персональных данных.
- Правовые меры включают в себя:
-
разработку локальных актов в Группе ЛСР, реализующих требования российского законодательства, в том
числе Политики в отношении обработки персональных данных, и размещение ее на интернет-сайте Группы ЛСР;
-
реализацию требований о соблюдении конфиденциальности персональных данных;
-
реализацию требований об обеспечении реализации субъектом персональных данных своих прав, включая право
на доступ к информации;
-
реализацию требований к защите персональных данных от неправомерного или случайного доступа к ним,
уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных,
а также от иных неправомерных действий в отношении персональных данных;
-
реализацию иных требований законодательства Российской Федерации;
-
отказ от любых способов обработки персональных данных, не соответствующих целям, заранее
предопределенным Группой ЛСР.
- Организационные меры включают в себя:
-
назначение лица, ответственного за организацию обработки персональных данных;
-
назначение лица, ответственного за обеспечение безопасности персональных данных в информационных
системах персональных данных (далее - ИСПДн);
- определение перечня должностей работников и третьих лиц, допущенных к обработке персональных данных,
имеющих доступ к персональным данным;
- определение перечня помещений, где ведется обработка персональных данных. Ограничение допуска
посторонних лиц в помещения Группы ЛСР, недопущение их нахождения в помещениях, где ведется работа с
персональными данными и размещаются технические средства их обработки, без контроля со стороны
работников Группы ЛСР;
- ознакомление работников Группы ЛСР с положениями законодательства Российской Федерации в области
персональных данных, в том числе с требованиями к защите персональных данных, с локальными актами Группы
ЛСР
по вопросам обработки персональных данных;
- определение в трудовых обязанностях и должностных инструкциях работников Группы ЛСР обязанностей по
обеспечению безопасности обработки персональных данных и ответственности за нарушение установленного
порядка;
- регламентацию процессов обработки персональных данных;
- организацию учёта материальных носителей персональных данных и их хранения, обеспечивающих
предотвращение
хищения, подмены, несанкционированного копирования и уничтожения;
- определение угроз безопасности персональных данных при их обработке в ИСПДн, формирование на их основе
моделей угроз;
- размещение технических средств обработки персональных данных в пределах охраняемой территории;
- определение перечня ИСПДн;
- определение типа угроз безопасности персональных данных, актуальных для информационных систем
персональных
данных с учетом оценки возможного вреда субъектам персональных данных, который может быть причинен в
случае
нарушения требований безопасности, определение уровня защищенности персональных данных и реализацию
требований к защите персональных данных при их обработке в информационных системах, исполнение которых
обеспечивает установленные уровни защищенности персональных данных.
- Технические меры включают в себя:
- разработку на основе модели угроз системы защиты персональных данных для установленных Правительством
Российской Федерации уровней защищенности персональных данных при их обработке в ИСПДн;
- использование для нейтрализации актуальных угроз средств защиты информации, прошедших процедуру оценки
соответствия;
- оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
- реализацию системы разграничения доступа работников к информации, содержащей персональные данные,
обрабатываемой в ИСПДн, и программно-аппаратным, и программным средствам защиты информации;
- регистрацию и учёт действий с персональными данными пользователей ИСПДн, где обрабатываются персональные
данные;
- выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах
информационной сети Группы ЛСР, обеспечивающих соответствующую техническую возможность;
- безопасное межсетевое взаимодействие (применение межсетевого экранирования);
- передача информации с использованием информационно-телекоммуникационных сетей осуществляется при помощи
средств криптографической защиты информации;
- обнаружение вторжений в ИСПДн Группы ЛСР, нарушающих или создающих предпосылки к нарушению установленных
требований по обеспечению безопасности персональных данных;
- регулярное резервное копирование информации и баз данных, содержащих персональные данные субъектов
персональных данных;
- периодическое проведение мониторинга действий пользователей, разбирательств по фактам нарушения
требований
безопасности персональных данных;
- регулярные проверки соответствия системы защиты персональных данных, аудит уровня защищенности
персональных данных в ИСПДн, функционирования средств защиты информации, выявления изменений в режиме
обработки и защиты персональных данных.