Внутренний регламент реагирования на инциденты с персональными данными

Общие положения

1.1. Настоящий регламент определяет порядок выявления, фиксации, расследования и информирования о факте утечки или несанкционированного доступа к персональным данным.

1.2. Регламент разработан в соответствии с:

• Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»;
• Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Политикой обработки персональных данных;
• Политикой конфиденциальности персональных данных;
• Поручением на обработку персональных данных;

1.3. Под инцидентом понимается любое событие, связанное с:

• несанкционированным доступом;
• утечкой;
• изменением;
• блокированием;
• удалением;
• распространением персональных данных, находящихся в распоряжении ООО "Клиентские Решения".

Такие действия могут быть совершены:

• внешними злоумышленниками (хакеры, фишинг, взлом);
• внутренними сотрудниками по ошибке или умышленно;
• автоматическими процессами (баги, сбои систем, некорректная работа API);
• третьими лицами, привлеченными к обработке ПДн (например, Google Ads, Яндекс Директ, SendPulse).

1.4. В случае выявления инцидента Компания обязуется:

• зафиксировать факт инцидента;
• провести внутреннее расследование;
• принять меры по минимизации ущерба;
• сообщить информацию заинтересованным лицам и уполномоченным органам в установленные сроки;
• документировать все действия и хранить акты не менее 5 лет.

Выявление инцидентов

2.1. Инциденты могут быть выявлены следующими способами:

• автоматическими системами мониторинга безопасности;
• логами и журналами аудита;
• обращениями пользователей;
• запросами субъектов персональных данных;
• тестированием системы защиты.

2.2. Признаки возможного инцидента:

• необычная активность в системе;
• множественные попытки входа;
• изменения в конфигурациях и правах доступа;
• исчезновение или повреждение файлов с ПДн;
• внешние обращения от субъектов или партнёров о возможной утечке.

Действия при выявлении инцидента

3.1. При выявлении инцидента сотрудник компании обязан:

• немедленно сообщить руководству;
• зафиксировать время, тип и масштаб инцидента;
• прекратить доступ к затронутым данным;
• начать внутреннее расследование.

3.2. Внутреннее расследование проводится назначенной комиссией (IT + юридический отдел), которая:

• анализирует журналы и логи;
• определяет круг затронутых лиц;
• оценивает уровень ущерба;
• составляет акт о произошедшем;
• предлагает рекомендации по предотвращению повторений.

3.3. Все данные о происшествии фиксируются в специальном журнале инцидентов, который содержит:

• дату и время события;
• тип инцидента;
• список затронутых данных и лиц;
• описание действий по реагированию;
• результаты расследования;
• выводы комиссии.

3.4. В случае утечки персональных данных ООО "Клиентские Решения" обязуется сообщить о данном инциденте:

• оператору (пользователю CRM)
• в уполномоченные органы Российской Федерации и Республики Беларусь в течение 24 часов с момента выявления, если иное не предусмотрено законодательством принимающей страны.

Меры по минимизации ущерба

4.1. Немедленные действия:

• блокировка доступа к системе;
• восстановление данных из резервных копий;
• усиление мер защиты (обновление паролей, сертификатов, установка новых ограничений);
• информирование пользователей о необходимости проверки своих учетных записей.

4.2. Если инцидент затрагивает конкретных субъектов персональных данных:

• пользователям направляется уведомление по email;
• предоставляется информация о том, какие данные могли быть затронуты;
• даются рекомендации по обеспечению своей безопасности.

4.3. Все действия по минимизации ущерба фиксируются в акте и прилагаются к отчету.

Ответственность сотрудников

5.1. Все сотрудники ООО "Клиентские Решения":

• обязаны соблюдать политику конфиденциальности;
• должны немедленно сообщать о любом подозрительном инциденте;
• несут ответственность за неправомерную обработку персональных данных.

5.2. За нарушение условий регламента применяются:

• внутренние дисциплинарные меры;
• административная ответственность согласно белорусскому и российскому законодательству;
• обучение и повышение квалификации по вопросам работы с ПДн.

Хранение информации и документация

6.1. Все материалы по инциденту доступны только уполномоченным лицам.

6.2. Журнал инцидентов хранится не менее 5 лет.

6.3. Акты и отчеты оформляются в электронном виде и архивируются с указанием:

• даты и времени инцидента;
• типа утечки;
• перечня затронутых данных и лиц;
• принятых мер по устранению последствий.

Контроль и обучение

7.1. Регулярно проводится:

• внутренний аудит систем безопасности;
• обучение сотрудников работе с персональными данными;
• тренинги по реагированию на инциденты;
• обновление политик и регламентов.

7.2. Обязательное обучение проводится:

• при приеме на работу;
• ежегодно;
• при изменении законодательства;
• после каждого выявленного инцидента.

Взаимодействие с уполномоченными лицами и пользователями

8.1. ООО "Клиентские Решения" не является оператором персональных данных, размещаемых пользователями в CRM-системе, и выступает в качестве уполномоченного лица.

8.2. При возникновении инцидента, связанного с утечкой данных, предоставленных пользователями, Компания:

• уведомляет оператора (пользователя CRM);
• предоставляет необходимую информацию для дальнейших действий;
• не несёт ответственности за содержание данных, предоставленных пользователем.