Политика безопасности персональных данных, обрабатываемых в информационных системах персональных данных общество с ограниченной ответственностью «Смайл»

Определения

  • Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
  • Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
  • Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.
  • Доступ к информации – возможность получения информации и ее использования.
  • Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
  • Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
  • Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
  • Информационная технология – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
  • Источник угрозы безопасности персональных данных – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности персональных данных.
  • Контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
  • Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не распространять их без согласия субъекта персональных данных или наличия иного законного основания.
  • Нарушитель безопасности персональных данных – физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.
  • Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
  • Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
  • Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
  • Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
  • Объект вычислительной техники – стационарный или подвижный объект, который представляет собой комплекс средств вычислительной техники, предназначенный для выполнения определенных функций обработки информации. К объектам вычислительной техники относятся автоматизированные системы, автоматизированные рабочие места, информационно-вычислительные центры и другие комплексы средств вычислительной техники. К объектам вычислительной техники могут быть отнесены также отдельные средства вычислительной техники, выполняющие самостоятельные функции обработки информации.
  • Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
  • Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
  • Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
  • Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
  • Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
  • Программное (программно-математическое) воздействие – несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.
  • Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
  • Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.
  • Система защиты персональных данных – совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты персональных данных.
  • Средство криптографической защиты информации – средство защиты информации, реализующее алгоритмы криптографического преобразования информации.
  • Субъект доступа – лицо или процесс, действия которого регламентируются правилами разграничения доступа.
  • Субъекты персональных данных – работники, обучающиеся, участники единого государственного экзамена (за исключением обучающихся), граждане, привлекаемые к проведению государственной итоговой аттестации, члены предметных комиссий, общественные наблюдатели, слушатели и другие лица.
  • Технический канал утечки информации – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
  • Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
  • Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
  • Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
  • Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.
  • Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

Система защиты персональных данных

  • Перечня персональных данных, подлежащих защите;
  • Перечня информационных систем персональных данных;
  • Акта определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных;
  • Частной модели угроз и нарушителя безопасности персональных данных;
  • Положения о разграничении прав доступа к обрабатываемым персональным данным;
  • Руководящих документов ФСТЭК России и ФСБ России.

На основании этих документов определяется необходимый уровень защищенности персональных данных в каждой информационной системе персональных данных Организации. Для каждой информационной системы персональных данных должен быть составлен список используемых технических средств, а также программного обеспечения участвующего в обработке персональных данных, подлежащих защите.

Средства , входящие в состав защиты персональных данных:

  • антивирусные средства для объектов вычислительной техники;
  • обеспечение целостности данных;
  • обнаружение вторжений.

Администратор информационной системы персональных данных

  • обладает полной информацией о системном и прикладном программном обеспечении информационной системы персональных данных;
  • обладает полной информацией о технических средствах и конфигурации информационной системы персональных данных;
  • имеет доступ ко всем техническим средствам обработки информации и данным в информационной системе персональных данных;
  • обладает возможностями внесения изменений в программное обеспечение информационной системы персональных данных на стадии ее разработки, внедрения и сопровождения;
  • обладает правами конфигурирования и административной настройки технических средств информационной системы персональных данных.

Требования к работникам по обеспечению защиты персональных данных

  • Все работники Организации, являющиеся пользователями информационных систем персональных данных, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению установленного режима безопасности персональных данных.
  • При вступлении в должность нового работника непосредственный руководитель структурного подразделения обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите персональных данных, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования информационных систем персональных данных.
  • Работник должен быть ознакомлен с настоящей Политикой, установленными процедурами работы с элементами информационной системы персональных данных и системой защиты персональных данных.
  • Работники Организации, использующие технические средства аутентификации, должны обеспечивать сохранность персональных идентификаторов (электронных ключей) и не допускать несанкционированный доступ к ним, а так же возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.
  • Работники Организации должны следовать установленным процедурам поддержания режима безопасности персональных данных при выборе и использовании паролей (если не используются технические средства идентификации и аутентификации).
  • Работники Организации должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи информационной системы персональных данных должны знать требования по безопасности персональных данных и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.
  • Работникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.
  • Работникам запрещается разглашать защищаемую информацию, которая стала им известна в силу выполнения ими своих должностных обязанностей.
  • При работе с персональными данными в информационной системе персональных данных работники Организации обязаны исключить возможность просмотра персональных данных третьими лицами с мониторов объектов вычислительной техники.
  • При завершении работы с информационной системой персональных данных работники обязаны защитить объекты вычислительной техники с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.
  • Работники Организации должны быть проинформированы об угрозах нарушения режима безопасности персональных данных и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на работников, нарушающих принятые политику и процедуры безопасности персональных данных.
  • Работники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы информационной системы персональных данных, а также о выявленных ими событиях, затрагивающих безопасность персональных данных, руководству и лицу, отвечающему за немедленное реагирование на угрозы безопасности персональных данных.

Ответственность пользователей информационной системы персональных данных

  • В соответствии со статьями 24 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
  • Действующее законодательство Российской Федерации позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272, 273 и 274 УК РФ).
  • Пользователи информационной системы персональных данных несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.
  • При нарушениях работниками Организации – Пользователями информационной системы персональных данных правил, связанных с безопасностью персональных данных, они несут ответственность, установленную действующим законодательством Российской Федерации.
  • Приведенные выше требования нормативных документов по защите информации должны быть отражены в локальных нормативных и правовых актах Организации.

Список использованных источников

  • Конституция Российской Федерации;
  • Конституция Республики Марий Эл;
  • Трудовой кодекс Российской Федерации;
  • Семейный кодекс Российской Федерации;
  • Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Приказ Федеральной службы по техническому и экспортному контролю от 11февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
  • Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 15 февраля 2008 г.;
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 14 февраля 2008 г.