Общество с ограниченной ответственностью

«ИНТЕЛЛЕКТУАЛЬНЫЙ РЕЗЕРВ» (ООО «ИНТЕЛЛЕКТУАЛЬНЫЙ РЕЗЕРВ»)

                                                           Горбунова, д. 2, корпус.3, офис 501, г. Москва, 121596

www.valocloud.ru

ОКПО 18823854 ОГРН 1137746977433

ИНН/КПП 7731457797/773101001

 

ПОЛИТИКА

ЗАЩИТЫ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ СИСТЕМ, ТЕХНОЛОГИЙ И ПЕРСОНАЛЬНЫХ ДАННЫХ (далее – Политика)

Настоящая Политика общества с ограниченной ответственностью «ИНТЕЛЛЛЕКТУАЛЬНЫЙ РЕЗЕРВ» определяет порядок защиты информации, информационных систем и персональных данных лиц, поименованных в политике, в том числе пользователей сайта https://valocloud.ru/ (далее – «Сайт»), условия и принципы защиты информации и персональных данных,

1.     ОБЩИЕ ПОЛОЖЕНИЯ

 

1.1.Настоящая Политика защиты информации, информационных систем и персональных данных (далее – Политика) разработана в соответствии с:

1.1.1.     Конституцией Российской Федерации;

1.1.2.     Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

1.1.3.     Федеральным законом от 26.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

1.1.4.     Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;

1.1.5.     Гражданским кодексом Российской Федерации;

1.1.6.     Трудовым кодексом Российской Федерации;

1.1.7.     Постановлением Правительства РФ от 01.11.2012№ 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

1.1.8.     Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

1.1.9.     иными нормативно-правовыми актами, в том числе в области безопасности критической информационной инфраструктуры (приказы ФСТЭК России, ФСБ России, устанавливающие порядок категорирования, требования безопасности и т.д.).

 

1.2.Политика определяет порядок обработки и защиты в ООО «ИНТЕЛЛЕКТАЛЬНЫЙ РЕЗЕРВ», ОГРН 1137746977433 (далее – Общество) любой конфиденциальной информации, персональных данных субъектов (работников, клиентов, контрагентов, дистрибьюторов, партнеров, пользователей Сайта и иных лиц), информационных систем, а также устанавливает требования к безопасности при выполнении работ, связанных с обслуживанием объектов критической информационной инфраструктуры (далее – КИИ).

 

1.3.Политика является обязательной для исполнения всеми пользователями Сайта, работниками Общества, иными лицами, отношения которых с Обществом регламентированы гражданско-правовыми договорами и которые имеют доступ к конфиденциальной информации, персональным данным, информационным системам либо привлечены к обслуживанию объектов КИИ.

 

1.4.Целью Политики является защита конфиденциальной информации, информационных систем и персональных данных, КИИ от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

 

2.     ОПРЕДЕЛЕНИЯ

 

2.1.Аффилированные лица – юридическое и/ или физическое лицо, входящее в группу лиц в соответствии с действующим законодательством Российской Федерации о защите конкуренции, которое прямо или косвенно осуществляет контроль над или находится под общим контролем с одной из Сторон, либо контролируется Стороной (отношения связанности).

 

2.2.Значимый объект критической информационной инфраструктуры – объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры

 

2.3.Информационная система персональных данных (далее – ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

 

2.4.Конфиденциальная информация – любая информация, относящаяся к деятельности Общества (в том числе деятельности её аффилированных лиц, клиентов, заказчиков, деловых партнёров, а также органов власти, некоммерческих и общественных организаций и иных лиц, вступающих с Обществом во взаимоотношения) и включающая помимо всего стратегии управления и маркетинга, развитие бизнеса и планы, отчеты по продажам и результаты исследований, методы и процедуры ведения бизнеса, руководства и процедуры по эксплуатации, техническую информацию и «ноу-хау», относящиеся к деятельности Общества и иных (третьих) лиц, если такая информация не является общедоступной, включая изобретения, чертежи, программы, технологии, системы баз данных, формулы и идеи, деловые контакты, списки клиентов и поставщиков и подробности договоров с ними, а также их существующие или будущие потребности, информация о работниках, включая их конкретные навыки и сферы их компетенции, а также условия их найма, объемы запасов, продаж, расходов и политика ценообразования, бюджеты, отчеты управляющих, отчеты о продажах и иные финансовые отчеты, а также любая иная информация, которой стороны отношений обмениваются в устной форме, письменно, либо любым иным способом, вместе с относящейся к ней документацией и данными, с использованием любых каналов коммуникации. Конфиденциальной является также вся информация, полученная путём выписки, обработки, обобщений или аналитических выкладок из конфиденциальной информации.

 

2.5.Критическая информационная инфраструктура (далее – КИИ) – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

 

2.6.Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 

2.7.Объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры, относящиеся к сферам, регламентированным          Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

 

2.8.Оператор – Общество, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

 

2.9.Персональные данные (далее – ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных, в том числе Пользователю Сайта).

 

2.10.               Пользователь Сайта – любое физическое лицо, являющееся посетителем Сайта https://valocloud.ru/, субъектом ПДн.

 

2.11.               Разглашение – любое умышленное или непредумышленное действие или бездействие (в частности, несоблюдение Режима конфиденциальности) Общества или его уполномоченных лиц, приведшее к ознакомлению третьих лиц с Конфиденциальной информацией, становлению такой информации известной третьим лицам в устной, письменной и любой иной форме, включая обобщения и результаты обработки Конфиденциальной информации, вопреки заключенным соглашениям или, когда это выходит за пределы заключенных соглашений, без отдельного предварительного письменного согласия какой-либо стороны отношений.

 

2.12.               Режим конфиденциальности – комплекс необходимых, достаточных и разумных организационных и технических мероприятий по охране Конфиденциальной информации.

 

2.13.               Сайт – интернет-сайт, расположенный по адресу https://valocloud.ru/, принадлежащий Обществу.

 

2.14.               Субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица, которые обеспечивают взаимодействие указанных систем или сетей.

 

2.15.               Третьи (иные) лица – любые физические или юридические лица, не имеющие договорных взаимоотношений с Обществом, а также органы государственной или муниципальной власти, их должностные лица.

 

2.16.               Угрозы безопасности информации – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к информации, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение информации.

 

2.17.               Уровень защищенности персональных данных – в зависимости от объема и категории обрабатываемых ПДн, а также актуальных угроз, для ИСПДн Общества устанавливается УЗ-4 уровень защищенности.

 

2.18.               Настоящий раздел содержит толкования наиболее распространенных в документации Общества определений и не является исчерпывающим. Определения, отсутствующие в Политике и иных локальных актах Общества, толкуются в соответствии с действующим законодательством Российской Федерации.

 

3.     ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ДАННЫХ

 

3.1.Обработка ПДн в Обществе осуществляется на основе следующих принципов:

3.1.1.     законности и справедливости;

3.1.2.     ограничения обработки достижением конкретных, заранее определенных и законных целей;

3.1.3.     соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;

3.1.4.     достоверности ПДн, их достаточности для целей обработки;

3.1.5.     недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

 

3.2.Обработка Обществом ПДн осуществляется в следующих целях:

3.2.1.     идентификация Субъекта персональных данных, предоставление ему возможности полноценного использования инфраструктуры Общества (на сайте Общества https://valocloud.ru/ ), участия во взаимоотношениях с Обществом;

3.2.2.     установление и поддержание связи между Субъектом персональных данных и Обществом, консультирование по вопросам продаж и оказанию услуг Обществом;

3.2.3.     проведение маркетинговых мероприятий (информирование о дате и времени проведения офлайн- и онлайн-мероприятий (в том числе путем обзвона и направления смс-сообщений, направления сообщений в любых мессенджерах, ставших доступными Обществу по причине предоставления контактного номера телефона Субъектом персональных данных); направление электронных файлов и т.д., направление рекламно-информационных и рекламно-справочных материалов, информационных рассылок о продуктах и услугах Общества и партнеров Общества (его дистрибьюторов), о специальных предложениях, акциях, проведение опросов по адресам электронных почт, номерам телефоном и в социальных сетях Субъекта персональных данных);

3.2.4.     заключение договоров и исполнение Обществом обязательств перед Субъектом персональных данных по ним (в частности, по публичным офертам и иным договорам);

3.2.5.     улучшение качества обслуживания Субъекта персональных данных путем обработки запросов и заявок от Субъекта персональных данных, а также с целью записи телефонных разговоров с Обществом, для повышения качества обслуживания, для сохранения доказательств в случае возникновения споров между Обществом и Субъектом персональных данных;

3.2.6.     проведение Обществом статистических и иных исследований на основе обезличенной информации, предоставленной Субъектом персональных данных для улучшения хозяйственной деятельности Общества, в том числе по продаже продуктов Общества и оказания им услуг.

 

3.3.Обработка ПДн осуществляется только с согласия субъекта ПДн, если иное не предусмотрено законом. Перечень персональных данных, на обработку которых дается согласие, устанавливается в отдельном документе – согласии на обработку персональных данных.

 

3.4.Общество не раскрывает третьим лицам и не распространяет ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законодательством Российской Федерации.

 

3.5.Общество вправе осуществлять следующие действия с ПДн путем автоматизированной обработки и обработки без использования средств автоматизации:

3.5.1.     сбор;

3.5.2.     запись;

3.5.3.     систематизация;

3.5.4.     накопление;

3.5.5.     хранение;

3.5.6.     уточнение (обновление, изменение);

3.5.7.     извлечение;

3.5.8.     использование;

3.5.9.     обезличивание;

3.5.10.  блокирование;

3.5.11.  удаление;

3.5.12.  уничтожение;

3.5.13.  распространение (согласие субъекта персональных данных на распространение оформляется отдельным документом).

 

3.6.Субъект персональных данных имеет право:

3.6.1.     на доступ к его персональным данным в порядке, определенном статьей 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

3.6.2.     на уточнение, блокирование или уничтожение его ПДн в случае, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

3.6.3.     на отзыв согласия на обработку ПДн;

3.6.4.     на обжалование действий или бездействия Общества в уполномоченный орган по защите прав субъектов ПДн или в судебные органы.

 

3.7.Реализация прав субъектов ПДн осуществляется на основании письменного запроса, направленного заказным письмом с уведомлением по адресу Общества: 121596, Город Москва, вн.тер.г. муниципальный округ Можайский, ул. Горбунова, д. 2, стр. 3, помещ. 501,  в общество с ограниченной ответственностью «ИНТЕЛЛЕКТУАЛЬНЫЙ РЕЗЕРВ» или путем направления письма по адресу электронной почты  Оператора info@valocloud.ru с обязательным указанием темы письма: (например: «Отзыв согласия на обработку персональных данных… (далее указываются имя, фамилия Субъекта персональных данных»). В случае направления электронного письма в адрес Общества, письменный запрос должен быть направлен с адреса электронной почты Субъекта персональных данных, указанной Субъектом персональных данных при заполнении формы сбора на сайте Оператора https://valocloud.ru/  или в реквизитах документа, подписанного между Обществом и Субъектом персональных данных.

 

4.     ОРГАНИЗАЦИОННЫЕ МЕРЫ ЗАЩИТЫ

 

4.1.Ответственность и распределение ролей:

4.1.1.     Общество назначает лицо, ответственное за организацию обработки ПДн;

4.1.2.     Общество определяет категории и перечень работников, допущенных к обработке ПДн.

 

4.2.Разработка документов:

4.2.1.     Общество утверждает Перечень обрабатываемых ПДн с указанием категорий субъектов и целей обработки;

4.2.2.     Общество разрабатывает и внедряет, а также систематически актуализирует Политику, инструкции пользователям ИСПДн, регламент резервного копирования и другие локальные акты в соответствии с действующим законодательством Российской Федерации.

 

4.3.Обязательства о неразглашении конфиденциальной информации и персональных данных:

4.3.1.     Общество обязует всех физических и юридических лиц, вступающих с ним в правовые отношения и получающих доступ к конфиденциальной информации и персональным данным, подписывать Соглашение о неразглашении конфиденциальной информации и персональных данных.

4.3.2.     Данное требование распространяется на:

4.3.2.1.работников Общества (оформляется отдельным документом);

4.3.2.2.контрагентов, подрядчиков и исполнителей по гражданско-правовым договорам (например, договоры на оказание услуг, аутсорсинг, IT-поддержку) (допустимо использования форм соглашений, утвержденных в хозяйственной деятельности контрагентов при условии согласования юридическим отделом содержания такого соглашения на соответствие его принципам деятельности Общества в части реализации настоящей Политики, а также нормам действующего законодательства Российской Федерации;

4.3.2.3.клиентов и партнеров, если в рамках сотрудничества им передается конфиденциальная информация Общества;

4.3.2.4.прочих лиц, которым по требованию законодательства или для достижения целей обработки предоставляется доступ к информации.

4.3.3.     В соглашении о неразглашении конфиденциальной информации и персональных данных четко определяются: объем защищаемой информации, обязанности сторон по ее защите, срок действия обязательств и ответственность за их нарушение.

4.3.4.     Подписанные соглашения хранятся у ответственного лица или в юридической службе Общества.

 

4.4.Управление доступом:

4.4.1.     в Обществе реализована система разграничения прав доступа пользователей к информационным ресурсам, базам данных и файловым системам;

4.4.2.     учетные записи пользователей создаются на основании служебных записок, согласованных с руководителем отдела и ответственным за организацию обработки ПДн;

4.4.3.     при увольнении работника доступ ко всем информационным ресурсам блокируется в день увольнения;

4.4.4.     при расторжении договора / соглашения с лицом, не являющимся работником Общества, а равно с юридическим лицом, если работники / представителя такого юридического лица имели доступы к ПДн и конфиденциальной информации, Общество блокирует доступ ко всем информационным ресурсам в день расторжения договора / соглашения.

 

4.5.Управление инцидентами:

4.5.1.     в Обществе  устанавливается порядок реагирования на инциденты информационной безопасности, связанные с утечкой или возможной компрометацией ПДн;

4.5.2.     все инциденты регистрируются и расследуются.

4.6.Обучение и осведомленность: все работники и лица, имеющие договорные отношения с Обществом, допущенные к обработке ПДн, проходят обязательное обучение и регулярный инструктаж по требованиям безопасности информации.

 

5.     ТЕХНИЧЕСКИЕ МЕРЫ ЗАЩЕТЫ

 

5.1.Идентификация и аутентификация:

5.1.1.     для доступа в ИСПДн используются уникальные учетные записи (логины) и строгие пароли, соответствующие требованиям: длина пароля должна составлять не менее 8 (восьми) символов, пароль должен содержать прописные и строчные буквы, цифры (не менее двух) и символы. Общество может использовать иные условия доступа в соответствии с локальными актами, принимаемыми дополнительно, и направленными на усиление мер защиты;

5.1.2.     запрещено использование паролей по умолчанию.

 

5.2.Управление доступом: настроены права доступа к файловым ресурсам, сетевым папкам и базам данных в соответствии с должностными обязанностями сотрудников (принцип минимальных привилегий).

 

5.3.Ограничение программной среды:

5.3.1.     используются средства антивирусной защиты, регулярно обновляются базы сигнатур;

5.3.2.     установлен запрет на установку и использование нелицензионного и несанкционированного программного обеспечения;

5.3.3.     применяются средства защиты от вредоносного кода.

 

5.4.Протоколирование и аудит:

5.4.1.     включено и настроено протоколирование событий безопасности на критически важных серверах и рабочих станциях;

5.4.2.     регулярно проводится анализ журналов аудита.

 

5.5.Физическая защита:

5.5.1.     серверное оборудование и места хранения архивов размещены в охраняемых помещениях с ограниченным доступом;

5.5.2.     обеспечена защита от несанкционированного доступа к рабочим станциям.

 

5.6.Защита информационной инфраструктуры:

5.6.1.     организовано резервное копирование критически важных данных по утвержденному графику.

 

5.7.Защита машинных носителей:

5.7.1.     уничтожение (стирание) ПДн при выводе носителей из эксплуатации осуществляется строго регламентированными способами.

 

6.     ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРИ РАБОТЕ С ОБЪЕКТАМИ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУР

 

6.1.Общие положения:

6.1.1.     Общество, являясь поставщиком товаров и/или услуг для субъектов КИИ, признает свою роль в обеспечении общей безопасности критической инфраструктуры государства;

6.1.2.     при выполнении работ по обслуживанию объектов КИИ Общество руководствуется не только настоящей Политикой, но и требованиями Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», а также внутренними документами заказчика (субъекта КИИ), связанными с безопасностью;

6.1.3.     для координации работ и соблюдения требований безопасности назначается ответственный за взаимодействие с субъектами КИИ.

 

6.2.Организационные меры при работе с КИИ:

6.2.1.     категорирование. При получении доступа к объектам КИИ Общество обязуется соблюдать установленные для них категории значимости и вытекающие из этого режимы безопасности;

6.2.2.     допуски. Все работники Общества и лица, имеющие иные договорные отношения с Обществом, допущенные к работам на объектах КИИ и / или имеющие удаленный доступ к ним, проходят дополнительную проверку и обязательное инструктаж по особенностям и требованиям безопасности КИИ;

6.2.3.     соглашения о неразглашении. С работниками и другими лицами, указанными в пункте 6.2.2. Политики, а также с контрагентами, привлекаемыми к работам по КИИ, заключаются дополнительные соглашения о неразглашении, в которых отдельно оговаривается конфиденциальность информации, связанной с объектами КИИ;

6.2.4.     планирование мероприятий безопасности. Мероприятия по безопасности, проводимые на объектах КИИ, согласовываются Обществом с уполномоченными представителями заказчика и документируются.

 

6.3.Технические меры при работе с КИИ:

6.3.1.     сегментация. Доступ к информационным системам и сетям Общества, используемым для управления работами по КИИ, должен быть строго сегментирован от остальной корпоративной сети;

6.3.2.     защита от киберугроз. На всех рабочих станциях и серверах, участвующих в процессах обслуживания КИИ, должны быть установлены и актуализированы средства защиты от компьютерных атак, одобренные или предписанные Заказчиком и/или регуляторами (ФСТЭК России, ФСБ России);

6.3.3.     средства криптографической защиты информации (СКЗИ). При необходимости передачи конфиденциальной информации, связанной с объектами КИИ, должны использоваться средства криптографической защиты информации, сертифицированные ФСБ России;

6.3.4.     специальный учет и контроль. Должен быть обеспечен усиленный режим протоколирования и аудита всех действий пользователей, имеющих доступ к ресурсам, связанным с КИИ.

 

6.4.Управление инцидентами в рамках КИИ:

6.4.1.     Общество незамедлительно информирует ответственного за взаимодействие с субъектами КИИ о любых инцидентах информационной безопасности, которые могут потенциально или фактически затронуть объекты КИИ заказчика;

6.4.2.     ответственный за взаимодействие с субъектами КИИ обязан в установленные законом и договором сроки уведомить Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и Заказчика о произошедшем инциденте;

6.4.3.     Общество оказывает всемерное содействие в расследовании инцидентов.

 

6.5.Повышение осведомленности: лица, работающие с КИИ, проходят регулярное специальное обучение по вопросам кибербезопасности и правовым основам обеспечения безопасности КИИ.

 

7.     ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

 

7.1.Контроль за выполнением требований настоящей Политики осуществляется лицом, ответственным за организацию обработки ПДн, службой информационной безопасности (или ИТ-отделом), актуализируется юридическим отделом Общества совместно со службой информационной безопасности (или ИТ-отделом) в порядке и на условиях, содержащихся в пункте 7.3. Политики. Контроль за соблюдением раздела 6 Политики, касающегося КИИ, осуществляет ответственный за взаимодействие с субъектами КИИ.

 

7.2.Нарушение требований настоящей Политики влечет за собой дисциплинарную, имущественную / материальную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации. Нарушение условий Соглашения о неразглашении конфиденциальной информации и персональных данных со стороны контрагентов и других лиц рассматривается как серьезное нарушение договорных обязательств и влечет за собой гражданско-правовую ответственность в соответствии с законодательством РФ и условиями заключенных договоров. Нарушение правил безопасности при работе с КИИ, повлекшее тяжкие последствия, влечет повышенную ответственность, предусмотренную главой 29 Уголовного кодекса Российской Федерации («Преступления против основ конституционного строя и безопасности государства»).

 

7.3.Настоящая Политика подлежит пересмотру в случае изменения законодательства Российской Федерации, а также в связи с изменениями в бизнес-процессах или ИТ-инфраструктуре Общества. Актуальная редакция Политики публикуется на сайте Общества https://valocloud.ru/ .

 

7.4.Все лица, с которыми Общество имеет договорные отношения, самостоятельно осуществляют мониторинг изменения Политики при взаимоотношениях с Обществом. Общество не обязано уведомлять лиц, обращающихся к Политике Общества, о внесении изменений в Политику или утверждении новых редакций.

 

7.5.Политика применяется в отношении любых лиц, поименованных в её тексте. В случае если какие-либо положения не отражены в настоящей Политике, надлежит руководствоваться действующим законодательством Российской Федерации и иными локальными актами Общества.