PageView

Положение об обеспечении безопасности персональных данных

1. Термины и сокращения

  • Персональные данные (ПДн) – любые сведения, которые могут прямо или же косвенно определяемому физическому лицу;
  • Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, которое может самостоятельно, а может в совокупности с другими лицами осуществлять обработку персональных данных, а также производит другие действия и операции, связанные с персональными данными субъектов;
  • Обработка персональных данных – операция или сумма операций, которые совершаются с применением средств автоматизации или без применения данных средств с персональными сведениями, включая сбор, запись, систематизацию, накопление, хранение, изменение, извлечение, применение, распространение, блокирование, а также удаление персональных данных;
  • Автоматизированная обработка персональных данных – это вид операции, когда обработка персональных сведений производится с применением средств вычислительной техники;
  • Распространение персональных данных – действия, которые направлены для совершения раскрытия персональных данных определённому кругу лиц;
  • Блокирование персональных данных – прекращение обработки персональных данных на определённый временной промежуток;
  • Уничтожение персональных данных – действие или совокупность действий, после совершения которых уже невозможно произвести работы по восстановлению содержания персональных данных. Персональные данные субъекта могут быть удалены в информационной системе и (или) могут быть уничтожены материальные носители персональных данных;
  • Обезличивание персональных данных – действие или совокупность действий, в процессе которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных сведений;
  • Информационная система персональных данных (ИСПДн) – суммарное количество содержащихся в базе персональных данных, а также технических средств, которые необходимы для обработки персональных данных;
  • Трансграничная передача персональных данных – осуществление передачи персональных сведений на территории иностранного государства органу власти иностранного государства, иностранному физ. лицу или иностранному юр. лицу.

 

2. Область использования:

2.1  Положение об обеспечении безопасности персональных данных (далее по тексту просто Положение) было выполнено в целях реализации требований законодательства РФ в области обеспечения защиты персональных данных;

2.2  Настоящим положением производится определение порядка и правил организации и выполнения работ по обеспечению безопасности персональных данных в ООО «СТАВ-МЕДИА» (далее по тексту просто Оператор);

2.3  Данная документация составлена с учётом основных нормативных правовых актов в области защиты персональных данных, которые были перечислены в Положении о комиссии по приведению в соответствие с установленными требованиями законодательства РФ в области персональных данных;

2.4  Рассматриваемое Положение обязательно для всех работников Оператора, а также 3-их лиц, которые получают временный, либо постоянный доступ к обрабатываемым у него ПДн на законном основании;

2.5  Данное положение вступает в силу с момента его утверждения руководством Оператора;

2.6  Актуализация рассматриваемого положения должна проводиться не менее, чем два раза в год в полном соответствии с Регламентом по проведению контрольных мероприятий и реагированию на инциденты связанных с информационной безопасностью в ООО «СТАВ-МЕДИА».

2.7  Осуществить внесение изменений в рассматриваемое положение, либо произвести утверждение его новой редакции можно лишь на основании соответствующего приказа руководителя Оператора.

 

3. Общие положения

3.1  Персональные данные, обработкой которых занимается Оператор, цели, основание и сроки их обработки указаны в Перечне обрабатываемых персональных данных;

3.2  Обработка персональных данных выполняется Оператором с применением средств автоматизации, а также без их применения;

3.3  Сроки хранения ПДн фиксируются в письменном согласии субъекта ПДн на обработку его персональных сведений, а также требованиями законодательства РФ, устанавливающего сроки хранения документации.

 

4. Организация работ по обеспечению безопасности персональных данных

4.1  Под организацией работ по обеспечению безопасности ПДн следует рассматривать формирование и всестороннее обеспечение реализации суммарного количества согласованных по цели, задачам, месту, а также времени организационных и технических мероприятий, направленных на минимизацию ущерба от реализации угроз безопасности персональных данных и производимых в целях:

  • Предотвращение угроз связанных с безопасностью персональных данных;
  • Своевременная нейтрализация реализуемых угроз безопасности ПДн;
  • Устранение последствий реализации угроз безопасности ПДн.

 

4.2  Выполнение организационных работ по обеспечению безопасности ПДн у    Оператора в обязательном порядке должна производиться в полном соответствии с действующими нормативно-правовыми актами и специально разработанных для реализации данных целей организационно-распорядительных документов по обеспечению безопасности ПДн Оператором.

4.3   Задачи, выполнение которых необходимо для достижения целей по приведению деятельности Оператора в соответствие с установленным требованиями законодательства РФ в области ПДн будут возлагаться на специально созданную для рассматриваемых целей Комиссию и лиц, ответственных за организацию обработки, а также обеспечения безопасности и сохранности персональных данных, которые могут быть включены и находится в составе рассматриваемой Комиссии.

4.4  В той ситуации, когда Оператор совершает на основании договора передачу обработки персональных данных третьему лицу, Оператору нужно заключить с данным лицом соглашение в котором указаны сведения о соблюдении безопасности ПДн, при этом на третье лицо возлагаются обязанности предусматривающие обеспечение конфиденциальности и безопасности переданных Оператором ПДн (либо включить рассматриваемое обязательство в заключаемый/действующий договор).

4.5  Работы по обеспечению деятельности Оператора в соответствие с установленными требованиями законодательства РФ проводятся по двум направлениям: обеспечение безопасности ПДн, обработка которых выполняется без применения средств автоматизации, и обеспечение безопасности персональных данных в ИСПДн Оператора.

4.6  Работы связанные с обеспечением безопасности ПДн, обрабатываемых без применения средств автоматизации, осуществляются по следующим направлениям:

  • Прежде всего определяется перечень лиц, которые допускаются к обработке ПДн;
  • Необходимо определить помещения, где будут выполняться операции, связанные с обработкой ПДн;
  • Произвести информирование работников Оператора об установленных правилах обработки ПДн и требований, предъявляемых к их защите, повышение осведомлённости в вопросах, связанных с обеспечением безопасности ПДн;
  • Учёт, а также защита носителей ПДн;
  • Произвести разграничение доступа к носителям персональных данных;
  • Уничтожение ПДн.

 

4.7  Организация, а также выполнение мероприятий, связанных с обеспечением безопасности персональных данных, обрабатываемых в ИСПДн Оператора, производится в рамках системы обеспечения защиты ПДн ИСПДн (далее - СЗПДн), развертываемой в ИСПДн в процессе ее создания или модернизации.

4.8  СЗПДн – это совокупность организационных мер, технических средств, обеспечивающих защиту информации, а также применяемых в ИСПДн информационных технологий функционирование которых выполняется в полном соответствии с установленными целями и задачами обеспечения безопасности ПДн.

4.9  СЗПДн в обязательном порядке должна представлять собой неотъемлемую часть каждой вновь создаваемой ИСПДн Оператора;

4.10  Если на данный момент существуют ИСПДн, в которых при их создании не были предусмотрены меры гарантирующие обеспечение безопасности персональных данных, то для них в обязательном порядке должен быть выполнен комплекс организационных, а также технических мероприятий по разработке и внедрению СЗПДн.

4.11  Структура, а также состав и основные функции СЗПДн должны определяться в полном соответствии с уровнем обеспечения защищённости ПДн, которые обрабатываются в ИСПДн и моделью угроз безопасности персональных данных при их обработке в ИСПДн.

 

5. Выполнение работ по обеспечению безопасности ПДн.

5.1. В целях производимой оценки уровня безопасности, обрабатываемых у Оператора ПДн и быстрого устранения несоответствий установленным требованиям законодательства РФ в области защиты ПДн у Оператора раз в год, должен выполняться анализ изменений в процессах, связанных с защитой ПДн.

5.2. Анализ изменений должен выполняться по следующим основным направлениям:

  • Перечень работников, а также третьих лиц, которые были допущены к обработке персональных данных, степень их участия в производимой обработке персональных данных и характер взаимодействия между собой;
    • Список помещений, в которых производится обработка персональных данных;
    • Перечень, а также объём обрабатываемых ПДн;
    • Цели для реализации которых производится обработка ПДн;
    • Процедуры для выполнения которых выполняется обработка персональных данных, а именно накопление, систематизация, хранения, извлечения, использования, передачи, обезличивания, блокирования и уничтожения персональных данных;
    • Автоматизированные и неавтоматизированные способы обработки ПДн;
    • Список уполномоченных органов, в рамках взаимодействия с которыми выполняется обработка ПДн;
    • Список программно-технических средств, применяемых для выполнения обработки ПДн;
    • Конфигурация и топология ИСПДн в целом, а также её отдельных компонентов;
    • Способы, по которым осуществляется физическое подключение и логическое взаимодействие компонентов ИСПДн, способы по которым осуществляется подключение к сетям связи общего пользования и международного информационного обмена с определением значений пропускной способности линий связи;
    • Режимы обработки ПДн в ИСПДн в целом и в отдельно рассматриваемых компонентах;
    • Состав применяемого комплекса средств защиты персональных данных, а также механизмов идентификации, аутентификации и разграничения прав пользователей ИСПДн на уровне операционных систем, баз данных и программного обеспечения;
    • Список организационно-распорядительной документации, которая определяет порядок обработки и защиты персональных данных у Оператора;
    • Физические меры защиты персональных данных, а также организация пропускного режима.

5.3 Результаты анализа изменений применяются для того чтобы произвести оценку корректности требований по обеспечению безопасности ПДн, обработка которых выполняется с применением средств автоматизации и без применения таких средств и в случае необходимости их уточнения.

5.4 В обязательном порядке у Оператора должен выполняться учёт действий, выполняемых работниками Оператора при совершении обработки персональных сведений в ИСПДн. Учёт действий с персональными данными производится в log-файлах ИСПДн и/или может выполнятся в отдельной базе данных ИСПДн.

5.5 Доступ к персональным данным выполняется в полном соответствии с Регламентом по допуску работников, а также 3-их лиц к выполнению обработки персональных данных, утверждённых оператором.

5.6 Лица у которых есть допуск к совершению обработки персональных данных должны в обязательном порядке быть проинформированы:

  • О допуске к выполнению обработки персональных данных путём ознакомления с перечнем должностей и 3-х лиц, обладающих доступом к персональным сведениям, обрабатываемым у оператора;
  • О категориях, в которых содержаться обрабатываемые персональные данные ознакомлением с утверждённым Перечнем обрабатываемых персональных сведений;
  • О правилах выполнения обработки персональных данных способом подразумевающим ознакомление под роспись с Положением об обработке ПДн;

       5.7 Неавтоматизированная обработка персональных данных должна выполняться следующим образом: в отношении каждой существующей категории персональных данных нужно определить место, в котором будет осуществляться хранение материальных носителей, а также важно установить перечень лиц, которые обладают допуском к работе с персональными данными. У Оператора в обязательном порядке должен выполняться учёт носителей персональных данных.

5.8 Фиксация персональных данных должна производиться на отдельной документации. Персональные данные должны храниться в стороне от другой информации;

5.9 Фиксация на одном материальном носителе персональных данных, цели обработки которых не совпадают, запрещено. Если всё-таки в связи с различными обстоятельствами на одном материальном носителе всё же зафиксированы персональные данные, цели обработки которых не совпадают, то в обязательном порядке должны быть предприняты меры, которые позволяют обеспечить раздельную обработку персональных данных в частности:

  • В случае необходимости применения или распространения определённых персональных данных производится выборочное копирование персональных данных, которые подлежат распространению или использованию, способ который исключает одновременное копирование персональных данных, которые не подлежат распространению и применению, и распространяются;
  • В случае необходимости уничтожения или блокирования части персональных данных производится блокирование или уничтожение материального носителя. Перед этим выполняется предварительное выборочное копирование сведений, которые не подлежат уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, которые в свою очередь подлежат уничтожению или блокированию.

5.10 При неавтоматизированной обработке персональных данных правила объясняющие учёт, хранение и уничтожения персональных данных подробно описаны в Регламенте по учёту, который в свою очередь утверждён оператор.

5.11 В обязательном порядке должен выполняться мониторинг фактов несанкционированного доступа ПНд и в случае обнаружения несанкционированного доступа должны выполняться соответствующие меры при его обнаружении. Мониторинг производится администратором безопасности.

5.12 Администратором безопасности ИСПДн должен выполняться контроль за осуществляемыми мерами по обеспечению безопасности персональных данных;

5.13 При выполнении обработки персональных данных оператор должен обладать возможностью, а также средствами для того чтобы осуществить восстановление персональных данных в случае, если возникнет необходимость в выполнении данной операции, например вследствие модификации персональных данных или их уничтожения вследствие  несанкционированного доступа к ним. Правила резервного копирования, а также восстановления персональных данных Оператором установлены в Регламенте, утверждённом Оператором.

5.14 Оператор должен в обязательном порядке определить перечень помещений, в которых должна выполняться обработка персональных данных. Обеспечение охраны этих помещений, организация режима безопасности – всё это должно способствовать сохранности носителей персональных данных, а также исключить возможность неконтролируемого проникновения или пребывании в данном помещении посторонних лиц;

5.15 Пользователи ИСПДн должны в обязательном порядке обеспечивать сохранность съёмных носителей, содержащих ПДн. Если произошла утрата носителя пользователи должны оповестить о данном событии администратора безопасности ИСПДн.

5.16 В случае когда при работе с персональными данными работнику нужно покинуть своё рабочее место, то необходимо, чтобы все имеющиеся материальные персональных данных должны быть полностью защищены от неконтролируемого доступа к ним. Для этого необходимо поместить материальные носители в специальных отведённых для хранения места.

5. 17 Когда цели обработки персональных данных достигнуты Оператор должен прекратить обработку персональных данных и произвести уничтожение персональных данных в срок не более 30 дней с того момента, как были достигнуты цели обработки персональных данных, если иные действия не предусмотрены договором, стороной которого является субъект персональных данных. Если персональные данные не предоставляется возможным уничтожить, то они блокируются и уничтожаются в соответствии со сроком, который не превышает 6 месяцев.

5. 18 Стадии работ по созданию СЗПДн:

  • Предпроектная стадия;
  • Стадия проектирования;
  • Стадия реализации СЗПДн;
  • Стадия ввода в эксплуатацию СЗПДн.

5.19 На предпроектной стадии должно выполняться определение уровня защищённости персональных данных, обрабатываемых в ИСПДн, должно быть выполнено формирование Модели угроз безопасности персональных данных при выполнении их обработки в ИСПДн, разрабатывается ТЗ (техническое задание) на СЗПДн.

5.20 Должен быть определён уровень защищённости персональных данных, обрабатываемых в ИСПДн производится в полном соответствии с Регламентом по выявлению уровня защищённости персональных данных, обработка которых выполняется в информационных системах персональных данных.

5. 21 ИСПДн оператора указаны в Перечне информационных систем ПДн;

5.22 Уровень защищённости ПДн указан в соответствующем акте;

5.23 Модель угроз безопасности персональных данных при выполнении их обработки в ИСПДн формируется на основании руководящих документов ФСТЭК России и ФСБ России.

5. 24 Формирование списка актуальных угроз выполняется для каждой ИСПДн Оператора с учётом условий функционирования ИСПДн и особенностей обработки ПДн.

5. 25 Формирование требований по обеспечению безопасности ПДн, обрабатываемых в ИСПДн выполняется по итогам позволяющим определить уровень защищённости персональных данных, а также результатам определения актуальных угроз безопасности. Рассматриваемые требования оформляются в виде ТЗ на СЗПДн.

5. 26 Стадия проектирования СЗПДн включает в себя такой элемент, как разработка СЗПДн в составе ИСПДн, а в частности разработка разделов задания и проекта проведения по созданию СЗПДн в полном соответствии с установленными требованиями ТЗ.

5.27 Стадия реализации СЗПДн включает:

  • Закупка и установка сертифицированного программного обеспечения и средств защиты информации;
  • Определение подразделений и назначение лиц, которые ответственны за эксплуатацию средств защиты информации. Проведение их обучения;
  • Также должна быть выполнена разработка эксплуатационной документации на СЗПДн и средства защиты информации.

5.28 Стадия ввода в действие СЗПДн включает в себя следующие этапы:

  • Проведение предварительных испытаний средств защиты информации. Это действие выполняется в совокупности с другими техническими и программными средствами;
  • Подводятся итоги предварительных испытаний и устраняются несоответствия;
  • Проводится опытная эксплуатация средств, обеспечивающих защиту информации в комплексе с другими техническими и программными средствами для оценки их способности справляться со своими функциями в составе ИСПД;
  • По результатам опытной эксплуатации выполняются приёмно-сдаточные испытания

5.29 В процессе функционирования ИСПДн может выполняться модернизация СЗПДн. В предусмотренных ниже случаях модернизация выполняется в обязательном порядке:

  • Изменение номенклатуры персональных данных, подвергаемых обработке, которое влияет на изменение уровня защищенности персональных данных, обрабатываемых в ИСПДн;
  • Изменение номенклатуры и/или актуальности угроз безопасности ПДн;
  • Изменение структуры ИСПДн или изменение технических особенностей ее построения;
  • Изменение законодательства РФ в области ПДн, которое затрагивает вопросы обеспечения безопасности ПДн при совершении их обработке в ИСПДн.

5.30 При возникновении каких-либо условий, оказывающих влияние на безопасность ПДн работник Оператора должен в незамедлительном порядке проинформировать об этом Администратора безопасности ИСПДн.

5.31 Лица, которые оказались виноваты в нарушении требований, предъявляемых законодательством РФ к защите ПДн, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.