Процедура реагирования на инциденты с персональными данными
1. Общие положения
Настоящая процедура определяет порядок действий индивидуального предпринимателя Говоровой Екатерины Ивановны, далее — «Оператор», при выявлении инцидентов, связанных с безопасностью персональных данных.
Процедура разработана с учетом требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», включая статью 21.1, Федерального закона от 30.11.2024 № 420-ФЗ, а также применимых требований законодательства Российской Федерации.
2. Что считается инцидентом
Инцидентом с персональными данными считается событие, которое повлекло или может повлечь неправомерную или случайную передачу, предоставление, распространение, доступ, уничтожение, изменение, блокирование, копирование персональных данных либо иное нарушение безопасности персональных данных.
К возможным инцидентам относятся:
- несанкционированный доступ к сайту, CRM, почте, хостингу, базе данных или иному сервису;
- утечка клиентской базы, заявок, переписки, документов или файлов;
- ошибочная отправка персональных данных не тому адресату;
- потеря устройства, носителя или учетной записи, содержащих персональные данные;
- взлом сайта, почты, мессенджера, аккаунта администратора или иного сервиса;
- обнаружение вредоносного программного обеспечения;
- иное событие, которое может нарушить права субъектов персональных данных.
3. Ответственные лица
Ответственным за организацию реагирования на инциденты является Оператор или уполномоченное им лицо. При необходимости Оператор может привлекать технических специалистов, хостинг-провайдера, администраторов сайта, юристов, бухгалтеров, подрядчиков и иных лиц, необходимых для расследования и устранения последствий инцидента.
Оператор: Индивидуальный предприниматель Говорова Екатерина Ивановна.
ИНН: 616602423102.
ОГРН / ОГРНИП: 324619600095788.
Юридический адрес: г. Ростов-на-Дону, пр. Сельмаш, д. 94.
Телефон: +79267250205.
Email для обращений: maxhead2000@gmail.com.
4. Этапы реагирования на инцидент
При обнаружении признаков инцидента Оператор фиксирует дату и время выявления, источник информации, описание события, затронутые системы, предполагаемый объем персональных данных и первичные признаки нарушения.
Оператор принимает меры по прекращению инцидента: ограничивает доступ, меняет пароли, блокирует подозрительные учетные записи, отключает уязвимые компоненты, обращается к хостинг-провайдеру или техническим специалистам, сохраняет журналы событий и иные доказательства.
В течение 24 часов с момента выявления инцидента Оператор направляет первичное уведомление в уполномоченный орган по защите прав субъектов персональных данных.
В первичное уведомление включаются имеющиеся сведения:
- о факте инцидента;
- о предполагаемых причинах инцидента;
- о возможном вреде правам субъектов персональных данных;
- о принятых или планируемых мерах по устранению последствий;
- о лице, уполномоченном на взаимодействие с уполномоченным органом.
Оператор проводит внутреннее расследование для установления причин инцидента, затронутых персональных данных, круга субъектов персональных данных, возможных виновных лиц, последствий инцидента и мер, необходимых для предотвращения повторения аналогичных случаев.
В течение 72 часов с момента выявления инцидента Оператор направляет дополнительное уведомление в уполномоченный орган по защите прав субъектов персональных данных.
В дополнительное уведомление включаются:
- результаты внутреннего расследования;
- установленные причины инцидента;
- сведения о виновных лицах при наличии таких сведений;
- перечень принятых мер по устранению последствий;
- меры по предотвращению аналогичных инцидентов в будущем.
Оператор уведомляет субъектов персональных данных об инциденте, если такое уведомление требуется законодательством Российской Федерации, предписанием уполномоченного органа либо необходимо для защиты прав и законных интересов субъектов персональных данных.
После устранения последствий инцидента Оператор фиксирует итоговые сведения: дату закрытия инцидента, причины, последствия, принятые меры, уведомления, задействованных лиц и рекомендации по предотвращению повторения аналогичных событий.
5. Меры по минимизации последствий
В зависимости от характера инцидента Оператор может принять следующие меры:
- смена паролей и ключей доступа;
- отзыв или ограничение прав доступа;
- восстановление сайта или базы данных из резервной копии;
- обновление программного обеспечения;
- закрытие уязвимостей;
- проверка журналов доступа;
- уведомление подрядчиков, хостинг-провайдера или технических специалистов;
- дополнительная проверка настроек безопасности;
- подготовка разъяснений для субъектов персональных данных;
- актуализация внутренних документов и инструкций.
6. Журнал учета инцидентов
Оператор ведет учет инцидентов с персональными данными в электронном или бумажном виде. В журнале могут фиксироваться:
- номер инцидента;
- дата и время выявления;
- описание события;
- категории затронутых персональных данных;
- предполагаемые причины;
- принятые меры;
- дата и содержание уведомления в течение 24 часов;
- дата и содержание уведомления в течение 72 часов;
- результаты расследования;
- дата закрытия инцидента.
7. Срок хранения сведений об инцидентах
Сведения об инцидентах, уведомлениях, принятых мерах и результатах расследования хранятся в течение срока, необходимого для подтверждения исполнения требований законодательства Российской Федерации, защиты прав и законных интересов Оператора и субъектов персональных данных.
8. Связь с Политикой конфиденциальности
Настоящая процедура является дополнением к Политике обработки персональных данных, размещенной по адресу: /privacy.
В случае изменения законодательства Российской Федерации или процессов обработки персональных данных Оператор вправе актуализировать настоящую процедуру.