Информационная безопасность

                            Политика в области обработки и обеспечения безопасности персональных данных
                     Акционерный коммерческий банк «Северо-Восточный Альянс» (Акционерное общество)
                                                                                           Москва, 2015г.

1. Общие положения
1.1. С целью поддержания деловой репутации и соответствия действующему законодательству Акционерный коммерческий банк «Северо-Восточный Альянс» (Акционерное общество) (далее – Банк) считает одной из основных своих задач обеспечение законности и безопасности при обработке персональных данных (далее – ПДн) клиентов, контрагентов и работников Банка.
1.2. Безопасность ПДн обеспечивается в рамках системы информационной безопасности Банка.
1.3. Обработка ПДн основана на следующих принципах:
 законности целей и способов обработки ПДн;
 соответствия целей обработки ПДн целям, определенным и заявленным при сборе ПДн;
 соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн заявленным целям обработки ПДн;
 достоверности и актуальности ПДн для целей обработки ПДн;
 недопустимости избыточности ПДн по отношению к целям обработки ПДн;
 применения организационных и технических мер по обеспечению безопасности ПДн;
 повышения уровня знаний работников Банка в области обеспечения безопасности ПДн.
2. Цели и сроки обработки ПДн
2.1. Цели обработки ПДн:
 осуществление функций, возложенных на Банк законодательством Российской Федерации в соответствии с Налоговым кодексом Российской Федерации, федеральными законами, нормативными актами Банка России, а также Уставом и нормативными актами Банка;
 учет сотрудников Банка, содействие в трудоустройстве, обучении, продвижении по службе, пользовании различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом и нормативными актами Банка.
2.2. Сроки обработки ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденным Приказом Минкультуры РФ от 25.08.2010 г. №558, а также иными требованиями законодательства и нормативными документами Банка России.
2.3. Обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижении целей обработки, если иное не предусмотрено федеральными законами.
3. Правила обработки ПДн
3.1. Перечень персональных данных, обработка которых осуществляется в Банке, утверждается внутренними нормативными документами Банка в соответствии с принципами обработки ПДн.
3.2. В Банке не осуществляется обработка ПДн, касающихся расовой, национальной принадлежности, философских убеждений и интимной жизни.
3.3. В Банке не осуществляется обработка ПДн, касающихся состояния здоровья, политических взглядов и религиозных убеждений.
3.4. В Банке не осуществляется обработка персональных данных о судимости.
3.5. Банк не размещает ПДн в общедоступных источниках без предварительного согласия субъекта ПДн.
3.6. Каждый новый работник Банка, непосредственно осуществляющий обработку ПДн, ознакамливается с требованиями законодательства РФ в области обработки и обеспечения безопасности ПДн, с настоящей Политикой и другими нормативными актами Банка по вопросам обработки и обеспечения безопасности ПДн и обязуется их соблюдать.
3.7. Банк в ходе своей деятельности может предоставлять и (или) поручать обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом. При этом обязательным условием предоставления и (или) поручения обработки ПДн другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности ПДн при их обработке.
4. Уведомление субъектов ПДн
4.1. В соответствии с требованиями законодательства РВ в области ПДн Банк сообщает субъектам ПДн следующую информацию:
 о юридических последствиях отказа от предоставления ПДн субъектом ПДн;
 об источнике получения ПДн (если ПДн получены не от самого субъекта или его законного представителя)
4.2. Вышеперечисленные данные предоставляются субъекту ПДн в виде информационного бумажного или электронного письма в свободной форме.
5. Реализованные требования по обеспечению безопасности ПДн
5.1. Обеспечение безопасности ПДн в Банке реализуется в соответствии с нормативными документами РФ в области защиты ПДн:
 Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»;
 Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и защите информации»;
 Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационной системе персональных данных»;
 Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
 Приказ ФСТЭК РФ от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных данных»;
 Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»;
 Приказ Роскомнадзора от 05.09.2013 №996 «Об утверждении требований и методов по обезличиванию персональных данных».
5.2. В соответствии с выявленными актуальными угрозами безопасности ПДн Банк реализует необходимые и достаточные организационные и технические меры, включающие в себя использование средств защиты информации, установление правил доступа к ПДн, восстановление ПДн, а также контроль и оценку применяемых мер.
5.3. Организационные меры, применяемые Банком для защиты ПДн:
 назначены лица, ответственные за организацию обработки и обеспечения безопасности ПДн;
 разработаны нормативные документы Банка по организации обработки и обеспечения безопасности ПДн;
 утвержден документ, определяющий перечень лиц, доступ которых к персональным данным необходим для выполнения служебных обязанностей;
 все работники Банка уполномоченные на обработку ПДн ознакомлены с положениями законодательства РФ о персональных данных, политикой Банка в отношении обработки ПДн, а также внутренними нормативными документами по вопросам обработки и обеспечения безопасности ПДн.
5.4. Технические меры, применяемые Банком для защиты ПДн:
 в здании Банка установлена охранная и пожарная сигнализация, а также системы контроля доступа и видеонаблюдения;
 ПДн на бумажных носителях, хранятся в сейфах или запирающихся шкафах, доступ к которым ограничен;
 на технических средствах, на которых обрабатываются ПДн, функционируют антивирусные средства защиты информации;
 осуществляется идентификация и аутентификация работников Банка при входе в информационную систему;
 осуществляется регулярное резервное копирование (тестовое восстановление) ПДн;
 разработаны правила доступа к персональным данным, обеспечивается регистрация и учет действий, совершаемых с ПДн в информационной системе персональных данных.
5.5. Руководство Банка осознает необходимость обеспечения должного уровня безопасности ПДн, обрабатываемых в рамках основной деятельности, как с точки зрения законодательства, так и с точки зрения оценки рисков для бизнеса.

Яндекс.Метрика