Кырг

Политика безопасности персональных данных
информационной системы www.polis.kg

Введение

Настоящая Политика безопасности персональных данных разработана с целью обеспечения защиты персональных данных, обрабатываемых на веб-сайте www.polis.kg, и соблюдения законодательства Кыргызской Республики в области защиты персональных данных и информационной безопасности. Политика включает в себя требования, направленные на обеспечение конфиденциальности, целостности и доступности персональных данных, а также определяет меры защиты этих данных.

Основные нормативно-правовые акты

1. Закон Кыргызской Республики от 14 апреля 2008 года № 58 “Об информации персонального характера” (с изменениями) – регулирует вопросы обработки персональных данных, права субъектов данных, обязанности операторов данных и меры по защите персональных данных.

2. Постановление Кабинета Министров Кыргызской Республики от 21 ноября 2017 года № 762 “Об утверждении Требований к защите информации, содержащейся в базах данных государственных информационных систем” – регулирует требования к защите информации в базах данных государственных информационных систем, в том числе персональных данных.

3. Постановление Правительства Кыргызской Республики от 21 ноября 2017 года № 760 “Об утверждении Требований к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных” – определяет необходимые уровни защищенности для обработки персональных данных.

4. Иные нормативные акты, регулирующие вопросы информационной безопасности, включая внутренние стандарты www.polis.kg.

Раздел I. Цели и задачи политики

1. Цели:

a) Обеспечение конфиденциальности, целостности и доступности персональных данных пользователей www.polis.kg.

b) Соблюдение законодательства Кыргызской Республики в области защиты персональных данных.

c) Повышение уровня доверия пользователей к сайту.

d) Минимизация рисков утечки и несанкционированного доступа к персональным данным.

e) Внедрение эффективных процедур реагирования на инциденты безопасности.

2. Задачи:

a) Защита персональных данных от несанкционированного доступа, изменения, уничтожения и утечек.

b) Предотвращение инцидентов информационной безопасности.

c) Контроль за обработкой и хранением персональных данных.

d) Минимизация объема данных, целей обработки и обеспечение их актуальности.

e) Внедрение современных технологий защиты персональных данных.

f) Регулярное тестирование систем защиты.

Раздел II. Оценка угроз безопасности персональных данных

Для оценки уровня угроз безопасности персональных данных были рассмотрены следующие критерии:

1. Актуальность угрозы безопасности персональных данных

  • Угрозы безопасности персональных данных в рамках обработки в организации актуальны, что подтверждается анализом внешних и внутренних факторов.
  • Оценка: 1 балл

2. Возможное причинение вреда субъекту персональных данных

  • В случае реализации угрозы может возникнуть значительный вред, включая утечку или повреждение данных, что может повлиять на репутацию и вызвать финансовые потери.
  • Оценка: 3 балла

3. Объем обрабатываемых персональных данных

  • Обрабатываются данные ограниченного количества субъектов (до 100 000), однако все данные важны для функционирования организации.
  • Оценка: 2 балла

4. Содержание обрабатываемых персональных данных

  • Обрабатываемые данные не относятся к специальным категориям персональных данных (например, биометрии или здоровья).
  • Оценка: 1 балл

5. Продолжительность деятельности, к которой применима угроза

  • Обработка персональных данных носит долгосрочный характер.
  • Оценка: 1 балл

Рейтинг угрозы: 1 × 3 × 2 × 1 × 1 = 6 баллов

Уровень защищенности: Желтый

Раздел III. Меры защиты персональных данных

1. Организационные меры:

a) Назначение ответственного за защиту персональных данных внутри организации.

b) Разработка и внедрение внутренних регламентов по защите персональных данных, включая правила обработки, хранения и передачи данных.

c) Обучение сотрудников, работающих с персональными данными, по вопросам защиты данных и информационной безопасности.

d) Проведение регулярных проверок и аудитов системы безопасности данных.

2. Технические меры:

a) Использование многофакторной аутентификации для доступа к персональным данным.

b) Применение шифрования данных как при их хранении, так и при передаче по сети.

c) Регулярное обновление программного обеспечения и систем безопасности, включая антивирусные решения и системы защиты от вторжений (IDS/IPS).

d) Регулярное выполнение резервного копирования и тестирование восстановления данных.

3. Физические меры:

a) Контроль физического доступа в помещения, где хранятся персональные данные (серверные, архивы и т. д.).

b) Установка видеонаблюдения и сигнализации в местах хранения данных.

c) Обеспечение защиты оборудования от физических угроз, таких как пожары и затопления.

Раздел IV. Контроль и аудит безопасности

1. Ведение журналов событий:

a) Регистрация всех операций с персональными данными, включая доступ, изменение и удаление.

b) Хранение журналов для обеспечения аудита и анализа инцидентов.

2. Регулярные проверки:

a) Проведение ежегодных внутренних проверок и аудитов состояния защиты персональных данных.

b) Оценка эффективности принимаемых мер защиты данных и разработка рекомендаций по их улучшению.

3. Мониторинг системы:

a) Постоянный мониторинг состояния информационной безопасности с использованием автоматизированных систем мониторинга.

b) Регулярный анализ уязвимостей системы и своевременное устранение угроз.

Раздел V. Заключительные положения

1. Политика обязательна для выполнения всеми сотрудниками и партнерами компании.

2. Изменения в Политику могут вноситься на основании решений руководства.

3. Политика вступает в силу с момента её утверждения

Приложение 1. Согласие на обработку персональных данных

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я, _______________ (ФИО), даю свое согласие на обработку моих персональных данных сайтом www.polis.kg в соответствии с законодательством Кыргызской Республики.

1. Цель обработки персональных данных:

a) Оказание страховых услуг;

b) Обеспечение работы личного кабинета пользователя;

c) Улучшение качества предоставляемых услуг и обслуживания;

d) Направление уведомлений и информационных сообщений о страховых продуктах и изменениях условий обслуживания;

e) Обеспечение безопасности учетной записи и предотвращение мошенничества.

2. Перечень персональных данных, подлежащих обработке:

a) Фамилия, имя, отчество;

b) Дата рождения;

c) Контактные данные (номер телефона, email);

d) Паспортные данные (если требуется);

e) Адрес регистрации и проживания;

f) Платежные данные (в случае онлайн-оплаты);

g) IP-адрес, cookies, данные о взаимодействии с сайтом.

ФИО: _____________________(Фамилия, Имя, Отчество)

Подпись: _____________________(Signature)

Мы используем файлы cookie и рекомендательные технологии. Пользуясь сайтом, вы соглашаетесь с Политикой обработки персональных данных. Политика конфиденциальности