Инструкция по обеспечению безопасности персональных данных

ИП Дондарова Е.Г. — порядок защиты ПДн при их обработке

1. Общие положения

1.1. Настоящая Инструкция разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и иными нормативными правовыми актами Российской Федерации в области обработки и защиты персональных данных.

1.2. Инструкция определяет порядок обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (далее — ИСПДн) и на бумажных носителях у Индивидуального предпринимателя Дондаровой Евгении Гариевны (ИП Дондарова Е.Г.) (ИНН: 236600200656, ОГРНИП: 322237500377152, адрес осуществления деятельности: г. Москва, Шмитовский проезд, д. 39, корп. 2) (далее — Оператор).

1.3. Требования Инструкции обязательны для исполнения Индивидуальным предпринимателем (лично), ответственным за организацию обработки персональных данных, а также иными лицами (далее — Обработчики), привлекаемыми Оператором по гражданско-правовым договорам к обработке персональных данных (при наличии).

1.4. Целью настоящей Инструкции является обеспечение защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

2. Определение угроз безопасности персональных данных

2.1. При обработке персональных данных Оператором определены следующие актуальные угрозы безопасности персональных данных:

  • несанкционированный доступ к персональным данным (подбор паролей к учетным записям AmoCRM, Яндекс.Метрика, Google Analytics, доступ посторонних лиц к компьютеру или документам);
  • утечка персональных данных по техническим каналам (компьютер, съемные носители, сеть Интернет, электронная почта, мессенджеры);
  • внедрение вредоносного программного обеспечения (вирусы, шпионское ПО, программы-вымогатели);
  • ошибки персонала (при его наличии) при обработке данных (отправка данных ошибочному получателю, непреднамеренное разглашение);
  • нарушение порядка обращения с документами, содержащими персональные данные (утрата, хищение);
  • перехват данных при передаче по каналам связи (использование незащищенных Wi-Fi сетей, пересылка паролей открытым текстом);
  • угрозы, связанные с использованием сторонних сервисов (AmoCRM, Telegram, Google, Яндекс) – компрометация учетных записей, утечки на стороне провайдеров услуг.

2.2. Оценка актуальных угроз безопасности персональных данных проводится ответственным за организацию обработки персональных данных при существенном изменении условий обработки (внедрении новых сервисов, изменении состава обрабатываемых данных, изменении технической базы).

3. Организационные меры защиты персональных данных

3.1. Общие требования

3.1.1. Индивидуальный предприниматель (лично) и все привлекаемые лица (при наличии), обрабатывающие персональные данные, обязаны знать и соблюдать положения законодательства о персональных данных, Политики обработки персональных данных и настоящей Инструкции.

3.1.2. С лицами, привлекаемыми по гражданско-правовым договорам для обработки персональных данных, заключается соглашение о конфиденциальности и (или) поручение на обработку персональных данных в соответствии со статьей 6 Федерального закона № 152-ФЗ.

3.2. Режим обеспечения безопасности

3.2.1. Физическая безопасность помещений и мест хранения персональных данных (рабочее место, шкафы) обеспечивается ограничением доступа посторонних лиц. Помещение, в котором осуществляется обработка персональных данных, должно быть закрыто при отсутствии в нем уполномоченных лиц.

3.2.2. Запрещается оставлять без присмотра технические средства (компьютер, ноутбук) с активным доступом к персональным данным, а также документы, содержащие такие данные. При покидании рабочего места необходимо активировать блокировку экрана (нажатием клавиш Win+L или иным способом).

3.2.3. Рабочее место организуется таким образом, чтобы исключить возможность несанкционированного просмотра персональных данных посторонними лицами (посетителями, клиентами). Экраны мониторов должны располагаться так, чтобы исключить просмотр информации третьими лицами.

3.3. Учет и хранение носителей информации

3.3.1. Хранение бумажных документов, содержащих персональные данные (договоры, счета, акты, дополнительные соглашения), организовано в запирающихся шкафах или сейфе по адресу осуществления деятельности: г. Москва, Шмитовский проезд, д. 39, корп. 2.

3.3.2. Документы выдаются для работы только уполномоченным лицам (при наличии) под подпись и на время, необходимое для выполнения служебных обязанностей. Передача документов другим лицам без разрешения ответственного за обработку персональных данных запрещается.

3.3.3. Уничтожение материальных носителей информации, содержащих персональные данные, производится способом, исключающим восстановление данных (шредирование документов с помощью уничтожителя бумаг, физическое уничтожение электронных носителей (дисков, флеш-карт) или их передача специализированным организациям для утилизации).

3.3.4. О факте уничтожения документов составляется акт произвольной формы.

4. Технические меры защиты персональных данных

4.1. Защита от несанкционированного доступа

4.1.1. Использование лицензионных средств антивирусной защиты с регулярным автоматическим обновлением баз на всех компьютерах и ноутбуках, используемых для обработки персональных данных. Запрещается отключать или останавливать работу антивирусного программного обеспечения.

4.1.2. Реализация разграничения прав доступа к ИСПДн (AmoCRM, Яндекс.Метрика, Google Analytics, почта, компьютер) с использованием уникальных логинов и строгих паролей, которые регулярно меняются (не реже одного раза в 3 месяца). Пароль должен содержать не менее 8 символов, включая буквы разного регистра и цифры.

4.1.3. Обязательное использование двухфакторной аутентификации (2FA) для всех сервисов, где это предусмотрено (AmoCRM, Google, Яндекс, почта).

4.1.4. Своевременная установка обновлений безопасности для операционных систем и прикладного программного обеспечения (рекомендуется настроить автоматическое обновление).

4.1.5. Запрет на установку и использование нелицензионного, непроверенного программного обеспечения, а также программного обеспечения, не связанного с осуществлением деятельности.

4.1.6. Использование встроенных межсетевых экранов (брандмауэров) операционных систем для защиты от сетевых атак.

4.2. Защита информации при хранении и передаче

4.2.1. Хранение электронных баз данных, файлов и папок, содержащих персональные данные, осуществляется с использованием паролей доступа на уровне учетных записей пользователей.

4.2.2. Регулярное резервное копирование данных (не реже одного раза в неделю при активном изменении данных). Резервные копии хранятся отдельно от основных систем (на внешних жестких дисках или в облачном хранилище с шифрованием), в месте, исключающем доступ посторонних лиц.

4.2.3. При передаче персональных данных по электронной почте конфиденциальные файлы рекомендуется архивировать с паролем и передавать пароль получателю отдельным каналом связи (например, по SMS или в мессенджере).

4.2.4. Запрещается отправлять персональные данные с использованием личных (некорпоративных) адресов электронной почты, если иное не предусмотрено необходимостью и не согласовано с ответственным за обработку персональных данных.

4.2.5. Использование съемных носителей (флеш-карт, внешних дисков) допускается только при наличии производственной необходимости и с разрешения ответственного за обработку персональных данных. На съемных носителях не должны храниться копии баз данных.

4.3. Безопасность при работе со сторонними сервисами

4.3.1. Доступ к AmoCRM, Telegram, Яндекс.Метрике, Google Analytics осуществляется только с использованием надежных паролей и двухфакторной аутентификации.

4.3.2. Необходимо регулярно проверять список активных сессий и подключенных устройств в используемых сервисах, завершать подозрительные сессии.

4.3.3. При увольнении (прекращении сотрудничества) лиц, имевших доступ к указанным сервисам, их учетные записи должны быть немедленно заблокированы или удалены.

5. Порядок обращения с персональными данными

5.1. Правила обработки

5.1.1. Обработка персональных данных осуществляется строго в целях, указанных в Политике обработки персональных данных Оператора и Приказе № 1 от «03» марта 2026 г., и на основании соответствующего правового основания (договор, согласие субъекта, исполнение требований закона).

5.1.2. Передача персональных данных третьим лицам осуществляется только в объеме, необходимом для исполнения договора или требований законодательства:

  • AmoCRM – для ведения клиентской базы и учета заявок (передаются: ФИО, телефон, компания, индустрия, тип заявки, описание бренда);
  • Telegram (Telegram Messenger Inc.) – для оперативного уведомления о заявках (передаются: ФИО, телефон, компания, тип заявки, UTM-метки);
  • Яндекс.Метрика (ООО «ЯНДЕКС») – для сбора статистики и анализа поведения пользователей на сайте (передаются: cookies, IP-адрес, поведенческие данные);
  • Google Analytics 4 / reCAPTCHA (Google LLC) – для аналитики, улучшения работы сайта, защиты от спама (передаются: cookies, IP-адрес, поведенческие данные);
  • Кредитные организации (банки) – для осуществления взаиморасчетов (оплаты, возвраты) – передаются ФИО, ИНН, банковские реквизиты;
  • Государственные органы (ФНС России, правоохранительные органы, суды) – по их мотивированному запросу в соответствии с законодательством Российской Федерации.

5.1.3. Передача персональных данных третьим лицам без согласия субъекта допускается только в случаях, прямо предусмотренных федеральным законом.

5.2. Работа с обращениями субъектов персональных данных

5.2.1. Запросы субъектов персональных данных на доступ, уточнение, блокировку, удаление, отзыв согласия на обработку их данных направляются Оператору любым доступным способом (по почтовому адресу: г. Москва, Шмитовский проезд, д. 39, корп. 2, либо по электронной почте: Evgenia101210@gmail.com).

5.2.2. Ответственный за организацию обработки персональных данных рассматривает такие запросы в сроки, установленные Федеральным законом № 152-ФЗ (не более 10 рабочих дней для предоставления информации, 30 дней для устранения нарушений), и готовит мотивированный ответ.

5.2.3. Все обращения субъектов и ответы на них регистрируются и хранятся в соответствии с номенклатурой дел.

6. Действия при инцидентах информационной безопасности

6.1. При обнаружении инцидента, связанного с нарушением безопасности персональных данных (утечка, несанкционированный доступ, уничтожение, изменение, блокирование, заражение вирусом, утрата носителя, компрометация учетной записи в AmoCRM/Telegram/почте):

6.1.1. Лицо, обнаружившее инцидент, обязано немедленно прекратить работу с данными, отключить компьютер от сети (при необходимости) и незамедлительно сообщить об этом ответственному за организацию обработки персональных данных (Индивидуальному предпринимателю).

6.1.2. Ответственный за организацию обработки персональных данных организует мероприятия по локализации и устранению последствий инцидента:

  • смена всех паролей доступа к скомпрометированным учетным записям;
  • отзыв подозрительных сессий;
  • проверка компьютера на наличие вредоносного ПО;
  • проведение служебного расследования для установления причин и виновных лиц.

6.1.3. В случае, если инцидент привел или может привести к нарушению прав и свобод субъектов персональных данных (реальная утечка данных), ответственное лицо обязано:

  • в течение 24 часов с момента обнаружения инцидента направить уведомление в Управление Роскомнадзора по Центральному федеральному округу (г. Москва);
  • в течение 72 часов направить уведомление с результатами внутреннего расследования.

6.1.4. В случае утраты или хищения материальных носителей информации или компьютеров незамедлительно информируются правоохранительные органы.

7. Контроль за соблюдением требований

7.1. Внутренний контроль за соблюдением требований законодательства и настоящей Инструкции осуществляет ответственный за организацию обработки персональных данных — Индивидуальный предприниматель Дондарова Евгения Гариевна.

7.2. Проверка состояния защищенности ИСПДн, работоспособности средств защиты и эффективности принимаемых мер проводится ответственным лицом не реже одного раза в год, а также при изменении технической базы или появлении новых сервисов для обработки данных.

7.3. В ходе проверки контролируется:

  • соблюдение правил доступа к персональным данным (пароли, 2FA);
  • выполнение требований к хранению материальных носителей;
  • актуальность антивирусных баз и обновлений;
  • наличие и актуальность согласий субъектов на обработку персональных данных;
  • актуальность настроек доступа в AmoCRM, Яндекс.Метрике, Google Analytics;
  • наличие и актуальность поручений на обработку данных (для привлекаемых лиц).

7.4. Нарушение требований настоящей Инструкции и законодательства о персональных данных влечет за собой административную или иную ответственность, предусмотренную законодательством Российской Федерации.

8. Заключительные положения

8.1. Настоящая Инструкция вступает в силу с момента ее утверждения, то есть с «03» марта 2026 года.

8.2. Все изменения и дополнения к Инструкции утверждаются Индивидуальным предпринимателем Дондаровой Е.Г.

8.3. Настоящая Инструкция подлежит размещению на Сайте Оператора https://www.pro-shiv.ru/ (в закрытой части для привлекаемых лиц либо в открытом доступе с учетом исключения конфиденциальной информации), а также должна храниться в бумажном виде у ответственного за обработку персональных данных.

8.4. Контроль за исполнением настоящей Инструкции возлагается на ответственного за организацию обработки персональных данных — Дондарову Евгению Гариевну.