 |
Правовые основы обеспечения безопасности
|
|
|
|
Общество с ограниченной ответственностью
«Центр Семьи и Детства»
«Утверждаю»
Директор
ООО «ЦСД»
_________ Т.С. Абрамова
«25» августа 2015 года
ПОЛОЖЕНИЕ
об обработке и защите персональных данных в
Обществе с ограниченной ответственностью
«Центр Семьи и Детства»
Ижевск 2015
Определения и принятые сокращения
Безопасность персональных данных – состояние защищенности персональных данных, при котором обеспечиваются их конфиденциальность, доступность и целостность при их обработке в информационных системах персональных данных.
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Доступ (доступность) к информации – возможность получения информации и ее использования.
Защита информации – деятельность собственника (обладателя, оператора) по обеспечению конфиденциальности, целостности и доступности информации.
Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Контролируемая зона (КЗ) – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
|
|
|
Несанкционированный доступ (НСД) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим техническим характеристикам и функциональному предназначению.
Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Персональные данные (ПДн) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, вероисповедание, национальность, другая информация.
Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Система защиты персональных данных (СЗПДн) – совокупность органов и (или) исполнителей, используемая ими техника защиты информации, объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.
|
|
|
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.
Общие положения
1.1. Настоящее положение (далее - Положение) является руководящим документом и определяет содержание и порядок организации работы по обеспечению безопасности персональных данных (далее - ПДн) при их обработке в Обществе с ограниченной ответственностью «Центр Семьи и Детства» (далее – ООО «ЦСД»).
1.2. Настоящее Положение принято в целях регулирования работ по защите ПДн и обеспечения функционирования информационных систем ПДн ООО «ЦСД» в соответствии с требованиями действующего законодательства РФ.
1.3. Положение распространяется на сведения конфиденциального характера, подпадающие под действие утвержденного в ООО «ЦСД» Перечня ПДн, которые переданы в ООО «ЦСД» гражданами на условиях конфиденциальности в целях их обработки в рамках трудовых, и гражданско-правовых отношений.
1.4. Положение является обязательным для выполнения сотрудниками ООО «ЦСД», наделенными полномочиями по работе с ПДн, и предусматривает организационно-правовые и организационно-технические мероприятия, регулирующие порядок, методы и способы защиты ПДн.
1.5. Требования настоящего Положения являются обязательными для исполнения юридическими и физическими лицами, выполняющими работы в рамках гражданско-правовых отношений.
1.6. Организация и проведение работ по обеспечению безопасности ПДн проводится на основании законодательных и нормативных актов РФ и уполномоченных органов в области защиты информации, настоящего Положения и нормативно-распорядительных документов ООО «ЦСД».
|
|
|
1.7. Разработка мер по защите информации может осуществляться специализированными организациями на договорной основе, имеющими, если это необходимо, лицензии ФСТЭК и ФСБ РФ на право проведения соответствующих работ.
1.8. Финансирование мероприятий по защите информации предусматривается бюджетом ООО «ЦСД» на планируемый год.
1.9. Порядок ввода в действие и изменения Положения.
1.9.1. Настоящее Положение вступает в силу с момента его утверждения директором ООО «ЦСД» и действует до замены его новым Положением.
1.9.2. Все изменения и дополнения в Положение вносятся экспертной комиссией и утверждаются приказом директором ООО «ЦСД».
1.10. Режим конфиденциальности персональных данных снимается в случае их обезличивания, признания персональных данных общедоступными, истечения сроков их хранения в соответствии с действующими нормативными документами.
1.11. Все сотрудники ООО «ЦСД», имеющие доступ на законном основании к обработке ПДн, согласно утвержденному директором ООО «ЦСД» «Списку допущенных лиц», должны быть ознакомлены с настоящим Положением под роспись.
1.12. Настоящее Положение регламентирует:
- структуру управления процессами построения, функционирования и совершенствования системы защиты персональных данных (далее – СЗПДн);
- порядок определения Перечня ПДн;
- порядок определения Перечня общедоступных ПДн;
- порядок определения Перечня носителей ПДн;
- разрешительную систему допуска и доступа к ПДн;
- определение уровня защищённости ПДн при их обработке в ИСПДн и анализ угроз безопасности ПДн;
- режимы охраны объектов информатизации;
- инженерно-техническую защиту объектов информатизации;
- программно-аппаратную защиту ПДн от несанкционированного доступа (далее – НСД);
- криптографическую защиту ПДн от НСД;
- ролевые функции должностных лиц ООО «ЦСД» по защите ПДн;
- совершенствование и изменение СЗПДн;
|
|
|
- обязанности и права работников по защите ПДн;
- обязанности и права оператора по защите ПДн;
- контроль и надзор за исполнением требований законодательных и нормативных документов;
- ответственность за неисполнение требований законодательных актов.
Правовые основы обеспечения безопасности
2.1. Положение разработано в соответствии со следующими законодательными, нормативными и распорядительными документами:
1) Федеральный закон «О персональных данных» от 27.07.2006 г. № 152-ФЗ (далее - Закон).
2) Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г. № 149-ФЗ.
3) Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите ПДн при их обработке в ИСПДн» (далее - ПП № 1119).
4) Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации» (далее - ПП № 687).
5) «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн». Утверждена приказом зам. директора ФСТЭК РФ 15.02.2008 г.
6) «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн». Утверждена приказом зам. директора ФСТЭК РФ 14.02.2008 г.
7) «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн». Утверждено приказом директора ФСТЭК РФ от 18.02.2013 г. № 21.
|
|
|
