Приложение № 1 

  к Приказу № 1 от 02.09.2019

ПОЛОЖЕНИЕ
о порядке обработки и обеспечения безопасности персональных данных в ООО «МИРЦ-Тех»
(Версия 1. 0)

СОДЕРЖАНИЕ

  1. ОБЩИЕ ПОЛОЖЕНИЯ
  2. ОБЛАСТЬ ПРИМЕНЕНИЯ И ПОРЯДОК ИЗМЕНЕНИЯ ДОКУМЕНТА
  3. ТЕРМИНЫ, СОКРАЩЕНИЯ, УСЛОВНЫЕ ОБОЗНАЧЕНИЯ
  4. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
  5. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
  6. ОРГАНИЗАЦИЯ КОНТРОЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
  7. ПРАВА И ОБЯЗАННОСТИ РАБОТНИКОВ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 
  8. ОТВЕТСТВЕННОСТЬ

1. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящее Положение о порядке обработки и обеспечения безопасности персональных данных в ООО «МИРЦ-Тех» (далее – Положение)  определяет требования к организации работы с персональными данными, процессам обработки и обеспечения безопасности персональных данных в ООО «МИРЦ-Тех» (далее – Организация).

Положение разработано в соответствии с следующими нормативными правовыми актами:

  • Конституция Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • иные нормативные правовые акты Российской Федерации, регулирующие порядок обработки и обеспечения безопасности персональных данных.

Настоящее Положение определяет понятие персональных данных, обрабатываемых в Организации, принципы и способы их обработки, содержание и порядок проведения мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, организацию доступа к персональным данным, ответственность за нарушение установленных требований по обработке и обеспечению безопасности персональных данных в Организации.

Основной целью Положения является обеспечение защиты прав и свобод субъекта персональных данных при обработке его персональных данных в Организации.

2. ОБЛАСТЬ ПРИМЕНЕНИЯ И ПОРЯДОК ИЗМЕНЕНИЯ ДОКУМЕНТА

Действие настоящего Положения распространяется на все процессы обработки персональных данных в Организации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных, а также на процессы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

Требования настоящего Положения распространяются на всех работников Организации, а также на лиц, взаимодействующих с Организацией в рамках договорных отношений (клиенты, подрядчики и т.д.), принимающих участие в процессах обработки и обеспечения безопасности персональных данных в Организации.

Пересмотр и обновление Положения осуществляется в следующих случаях: 

  • изменение требований законодательства РФ в области персональных данных;
  • изменение нормативных документов контролирующих органов в области персональных данных;
  • изменение организационной и технологической инфраструктуры, в рамках которой обрабатываются персональные данные;
  • выявление снижения общего уровня информационной безопасности Организации при выполнении технологического процесса, в рамках которого обрабатываются персональные данные.

3. ТЕРМИНЫ, СОКРАЩЕНИЯ, УСЛОВНЫЕ ОБОЗНАЧЕНИЯ

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Доступ к персональным данным – возможность получения персональных данных и их использования.

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информация – сведения (сообщения, данные) независимо от формы их представления.

Конфиденциальность персональных данных – обязательное для соблюдения Организацией или иным лицом, получившим доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных или наличия иного законного основания, предусмотренного федеральным законом.

Накопление персональных данных – деятельность, следствием которой является увеличение объема обрабатываемых оператором персональных данных.

Несанкционированный доступ (несанкционированные действия) (НСД) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общедоступные источники персональных данных – источники персональных данных, создаваемые в целях информационного обеспечения, доступ к которым не ограничен в соответствии с федеральным законом,  (в том числе справочники, адресные книги), в состав которых с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Оператор персональных данных (Оператор) – Организация как юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Организация – ООО «МИРЦ-Тех».

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

ПО – программное обеспечение.

Пользователь персональных данных – лицо, участвующее в процессе(ах) обработки персональных данных или использующее результаты такой обработки.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Процесс обработки персональных данных – технологический процесс, в рамках которого осуществляется обработка персональных данных.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

СЗИ – средство защиты информации.

Согласие субъекта персональных данных на обработку его персональных данных (согласие субъекта ПДн) – сознательное решение субъекта персональных данных о предоставлении своих персональных данных для обработки, в любой позволяющей подтвердить факт получения согласия форме, если иное не предусмотрено федеральным законом.

Средство вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

ФЗ «О персональных данных» – Федеральный закон «О персональных данных» от 27.07.2006 г. N152-ФЗ. 

4. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии с принципами обработки ПДн, указанными в п. 4.1 настоящего Положения, в Организации определены состав и цели обработки ПДн, методы и способы обработки ПДн, установлены требования к обработке ПДн.

4.1 Принципы и условия обработки персональных данных

Обработка ПДн в Организации осуществляется на основе следующих принципов:

  • Обработка ПДн осуществляется на законной и справедливой основе.
  • Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн. 
  • Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
  • Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
  • При обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Организация принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не указан в согласии  субъекта ПДн, не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. 

Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Обработка ПДн осуществляется с соблюдением установленных в настоящем Положении принципов и правил обработки ПДн.

Обработка ПДн в Организации допускается в следующих случаях:

  • обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
  • обработка ПДн необходима для осуществления прав и законных интересов Организации или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
  • осуществляется обработка ПДн, к которым субъектом ПДн либо по его просьбе предоставлен доступ неограниченному кругу лиц (далее – ПДн, сделанные общедоступными субъектом ПДн, или полученные из общедоступных источников ПДн);
  • в иных случаях, предусмотренных законодательством РФ в области ПДн.

В случае отзыва субъектом ПДн согласия на обработку его ПДн Организация вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, предусмотренных законодательством РФ в области ПДн.

4.2 Общие требования к обработке персональных данных

4.2.1 Категории обрабатываемых персональных данных

  • ПДн, сделанные общедоступными субъектом ПДн, или полученные из общедоступных источников ПДн
  • специальные категории ПДн (только ПДн, касающиеся состояния здоровья субъекта ПДн);
  • иные категории ПДн (ПДн, не относящиеся к биометрическим ПДн, ПДн, сделанным общедоступными субъектом ПДн, или полученным из общедоступных источников ПДн, специальным категориям ПДн): ФИО, дата и место рождения, паспортные данные, адрес места регистрации и места пребывания субъекта ПДн и другие.
  • в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ.

4.2.2 Категории субъектов персональных данных

В Организации обрабатываются ПДн следующих категорий субъектов ПДн в соответствующих целях:

  • Персональные данные работников и лиц, заключивших с Организацией гражданско-правовые договоры на оказание услуг/выполнение работ – в целях обеспечения соответствия требованиям Трудового кодекса и других нормативных правовых актов РФ, оформления трудовых отношений и ведения учета в кадровом делопроизводстве, начисления заработной платы, компенсаций и премий, предоставление обязательной отчетности, исполнения законодательства РФ, обеспечения личной безопасности субъекта ПДн и обеспечения сохранности имущества.
  • Персональные данные соискателей на замещение вакантных должностей – в целях подбора персонала для замещения вакантных должностей.
  • Персональные данные представителей клиентов – юридических лиц – в целях оказания услуг в рамках основной деятельности Организации. ПДн могут обрабатываться также в маркетинговых целях – продвижение услуг, путем осуществления прямых контактов с клиентом с помощью средств связи.
  • Персональные данные представителей потенциальных клиентов – юридических лиц – в маркетинговых целях – продвижение услуг, путем осуществления прямых контактов с представителями потенциальных клиентов с помощью средств связи.
  • Персональные данные посетителей Организации – в целях принятия решения о допуске на территорию Организации и последующего контроля нахождения на территории Организации, обеспечения личной безопасности работников и клиентов Организации и обеспечения сохранности имущества.
  • Персональные данные иных категорий субъектов ПДн – в целях исполнения договорных отношений Организации, оказания услуг в рамках основной деятельности Организации при наличии письменного согласия субъекта ПДн на обработку его ПДн Организацией.

4.2.3 Общие требования к обработке персональных данных

В целях соблюдения действующих нормативных документов РФ в области ПДн в Организации установлены следующие обязательные требования к обработке ПДн:

  • обработка ПДн осуществляется с соблюдением Конституции Российской Федерации, федерального законодательства и иных нормативных правовых актов РФ в целях обеспечения защиты прав и свобод человека и гражданина при обработке его ПДн, личной безопасности субъекта ПДн и обеспечения сохранности имущества;
  • ПДн не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан РФ;
  • работники Организации, осуществляющие обработку ПДн в рамках своих функциональных обязанностей, должны быть ознакомлены с внутренними нормативными документами Организации, устанавливающими порядок обработки и обеспечения безопасности ПДн, а также с правами и обязанностями в этой области;
  • обработка ПДн не допускается без письменного согласия субъекта ПДн, за исключением случаев, установленных ФЗ «О персональных данных».

В ходе своей деятельности Организация строго определяет круг лиц, допущенных к ПДн.

Организация не обнародует ПДн в средствах массовой информации, и не размещает в информационно-телекоммуникационных сетях общего пользования (сети Интернет).

Доступ третьих сторон к ПДн допускается только с письменного согласия субъекта ПДн или без такового в случаях, если такой доступ разрешен или прямо предусмотрен действующим законодательством РФ, либо если доступ предоставляется к ПДн, сделанным общедоступными субъектом ПДн, или полученным из общедоступных источников ПДн.

Организация получает и передает ПДн в целях исполнения договорных обязательств. Организацией передаются ПДн только в объеме, необходимом для достижения заявленных целей обработки.

Существенным условием заключаемых договоров является обязанность обеспечения сторонами соблюдения конфиденциальности и обеспечения безопасности ПДн при их обработке, а также установленных принципов, правил обработки ПДн и требований к защите обрабатываемых ПДн в соответствии с законодательством РФ.

4.3 Методы и способы обработки персональных данных

В Организации осуществляется смешанная (автоматизированная и неавтоматизированная (без использования средств автоматизации) обработка ПДн.

Под обработкой ПДн, осуществляемой без использования средств автоматизации (неавтоматизированной обработкой), понимается обработка ПДн, содержащихся в информационной системе персональных данных (далее – ИСПДн) либо извлеченных из такой системы, если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии работников Организации.

Под автоматизированной обработкой ПДн понимается обработка ПДн с помощью средств вычислительной техники.

4.3.1 Сбор персональных данных

Организация получает ПДн из следующих источников:

  • непосредственно от субъекта ПДн;
  • от третьей стороны, в целях исполнения договорных обязательств, при условии предоставления Организации подтверждения наличия оснований обработки ПДн, или исполнения требований нормативных документов РФ;
  • из общедоступных источников ПДн.

В Организацию поступают бумажные носители (документы), содержащие ПДн, в виде копий документов, удостоверяющих личность, резюме, справок, анкет, договоров, и прочее.

Организация осуществляет сбор и дополнительное накопление ПДн, получаемых по электронной почте или из общедоступных электронных источников.

4.3.2 Накопление персональных данных

Накопление ПДн происходит в результате деятельности Организации. Накопление ПДн в Организации осуществляется следующими способами:

  • сохранение копий документов, содержащих ПДн;
  • внесение ПДн в учетные формы (на бумажные носители и в базы данных информационных систем);
  • получение оригиналов документов, содержащих ПДн (трудовая книжка, личный листок по учету кадров и прочее).

При использовании типовых форм документов, характер информации, подлежащей указанию в которых, предполагает или допускает включение в них ПДн (далее – типовая форма), выполняются следующие условия:

  • в типовую форму или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы и т.д.) включаются сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, наименование и адрес Организации, фамилия, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых в Организации способов обработки ПДн;
  • в типовую форму включается поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн при необходимости получения письменного согласия на обработку ПДн;
  • типовая форма составляется таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;
  • в типовой форме исключается объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.

4.3.3 Хранение персональных данных

Хранение ПДн в Организации осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн,   если срок хранения ПДн не установлен согласием субъекта ПДн, федеральным законом, договором, стороной которого является субъект ПДн.

По достижении целей обработки или в случае утраты необходимости в достижении этих целей, ПДн подлежат обезличиванию (при необходимости) или уничтожению, если иное не предусмотрено федеральным законом.

Организация осуществляет хранение ПДн следующими способами:

  • на машинных носителях;
  • на бумажных носителях.

В Организации обеспечивается раздельное хранение ПДн для разных целей обработки и не допускается фиксации на одном материальном носителе ПДн, цели обработки которых заведомо несовместимы. Для обработки каждой категории ПДн используется отдельный материальный носитель. В отношении каждой категории ПДн устанавливаются  места хранения ПДн (материальных носителей).

При хранении материальных носителей ПДн создаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный доступ к ПДн.

4.3.4 Использование и предоставление персональных данных

При необходимости использования или предоставления определенных ПДн отдельно от находящихся на том же материальном носителе (бумажном, машинном носителе) других ПДн осуществляется копирование ПДн, подлежащих предоставлению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих предоставлению и использованию, и используется (предоставляется) копия ПДн.

Передача ПДн при их обработке в ИСПДн осуществляется Организацией только по защищенным либо выделенным каналам связи. По незащищенным каналам допускается передача только ПДн, полученных из общедоступных источников, или обезличенных ПДн.

4.3.5 Обезличивание персональных данных

В Организации может использоваться обезличивание ПДн в тех процессах, где данную меру возможно применять. Обезличивание ПДн должно быть организовано таким способом, чтобы оно не повлияло негативным образом на существующие в Организации процессы обработки ПДн и основную деятельность Организации, осуществляемую в соответствии с законодательством РФ.

4.3.6 Уничтожение персональных данных

Организация уничтожает ПДн в случае:

  • достижения целей обработки ПДн или утраты необходимости в их достижении, если иное не предусмотрено законодательством РФ, договором, стороной которого является субъект ПДн;
  • истечения установленных в соответствии с законодательством РФ сроков хранения ПДн;
  • получения требования субъекта ПДн – если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; 
  • отзыва субъектом ПДн согласия на обработку его ПДн (если отзыв согласия влечет за собой уничтожение ПДн: в случае, если сохранение ПДн более не требуется для целей обработки ПДн);
  • получения мотивированного требования от Уполномоченного органа по защите прав субъектов персональных данных;
  • невозможности устранения Организацией допущенных нарушений при обработке ПДн.

Уничтожение ПДн в Организации осуществляется в соответствии с требованиями ФЗ «О персональных данных».

В случае неавтоматизированной обработки ПДн, при необходимости уничтожения или блокирования части ПДн, содержащихся на материальном носителе, уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию. Уничтожение или обезличивание части ПДн, содержащихся на материальном носителе, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (например, путем удаления или вымарывания).

Уничтожение записей ПДн, содержащихся на машинных носителях, при автоматизированной обработке ПДн, осуществляется способом, исключающим возможность восстановления уничтоженных ПДн.

В случае принятия Организацией положительного решения об уничтожении ПДн, производится уничтожение ПДн в установленные ФЗ «О персональных данных» сроки.

4.4 Доступ к персональным данным

Доступ к ПДн предоставляется работникам Организации исключительно в объеме, минимально необходимом и достаточном для выполнения ими конкретных должностных обязанностей.

Доступ к ПДн работнику Организации предоставляется после:

  • ознакомления и изучения требований настоящего Положения и иных организационно-распорядительных документов в области обработки и обеспечения безопасности ПДн;
  • ознакомления с видами ответственности за нарушение/невыполнение требований законодательства РФ и внутренних нормативных документов Организации в области обработки и защиты ПДн.

Доступ к ПДн также может быть предоставлен:

  • представителям органов государственной власти, контролирующих, правоохранительных и иных органов, получающим доступ к ПДн в объеме, порядке и условиях, установленных законодательством РФ; 
  • иным третьим лицам, получающим доступ к ПДн субъектов ПДн на основании письменного согласия субъекта ПДн на предоставление этих данных.  

5. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обеспечение безопасности ПДн – это комплекс мер, направленный на предупреждение нарушений доступности, целостности и конфиденциальности обрабатываемых ПДн в процессе деятельности Организации.

В Организации принимаются необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн в соответствии с требованиями к обеспечению безопасности ПДн, установленными нормативными правовыми актами РФ, регламентирующими вопросы обеспечения безопасности ПДн.

Защита ПДн субъекта от неправомерного их использования или утраты обеспечивается Организацией за счет собственных средств в порядке, установленном требованиями законодательства РФ и иных нормативно-правовых документов РФ в области защиты ПДн.

Обеспечение безопасности ПДн достигается, в частности:

  • определением угроз безопасности ПДн при их обработке в ИСПДн;
  • применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
  • учетом машинных носителей ПДн;
  • обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
  • восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
  • контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

5.1 Определение уровня защищенности персональных данных при их обработке в информационных системах персональных данных

Определение уровней защищенности ПДн при их обработке в ИСПДн осуществляется с целью определения состава и содержания организационных и технических мер  по обеспечению безопасности ПДн при их обработке в ИСПДн.

Определение уровней защищенности ПДн при их обработке в ИСПДн в Организации проводится на этапе создания (разработки) ИСПДн или в ходе эксплуатации ИСПДн с учетом категории ПДн, обрабатываемых в ИСПДн, типа актуальных угроз безопасности ПДн, объема обрабатываемых ПДн (количества субъектов ПДн), типа субъектов ПДн.

Уровни защищенности ПДн при их обработке в ИСПДн определяются в соответствии с Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» в отношении ИСПДн Организации.

Результаты проведения работ по определению уровня защищенности ПДн при их обработке в ИСПДн оформляются в форме Акта определения уровня защищенности ПДн при их обработке в ИСПДн.

5.2 Мероприятия по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных

Безопасность ПДн при их обработке в ИСПДн обеспечивается применением  комплекса согласованных по целям, задачам, месту и времени организационных и технических мер, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности ПДн и применяемых информационных технологий.

В состав мер по обеспечению безопасности ПДн при их обработке в ИСПДн входят:

  • идентификация и аутентификация пользователей и объектов доступа, управление доступом пользователей к объектам доступа;
  • регистрация событий безопасности;
  • защита машинных носителей информации, на которых хранятся и (или) обрабатываются ПДн (далее – машинные носители ПДн);
  • обеспечение антивирусной защиты;
  • защита информационной системы, ее средств, систем связи и передачи данных;
  • контроль (анализ) защищенности ПДн;
  • защита технических средств;
  • управление конфигурацией ИСПДн;

Организационные меры по обеспечению безопасности ПДн в Организации включают:

  • мероприятия по обеспечению физической защиты помещений, в которых расположены компоненты ИСПДн, исключающие несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности;
  • разработку организационно-распорядительной документации, регламентирующей правила и процедуры организации легитимной обработки ПДн и обеспечения безопасности ПДн при их обработке.

В целях осуществления технической защиты ПДн при их обработке в ИСПДн в Организации реализуются мероприятия по защите ПДн от НСД.

5.3 Идентификация и аутентификация пользователей и объектов доступа, управление доступом пользователей к объектам доступа

Меры по идентификации и аутентификации пользователей и объектов доступа обеспечиваются путем присвоения пользователям и объектам доступа уникального признака (идентификатора), сравнения предъявляемого пользователем (объектом доступа) идентификатора с перечнем присвоенных идентификаторов, а также проверкой принадлежности пользователю (объекту доступа) предъявленного им идентификатора (подтверждение подлинности).

При доступе в ИСПДн Организации осуществляется идентификация и аутентификация пользователей ПДн и процессов, запускаемых от имени этих пользователей, а также процессов, запускаемых от имени системных учетных записей.

Аутентификация пользователей ПДн в Организации осуществляется с использованием паролей условно-постоянного действия.

В ИСПДн обеспечивается возможность однозначного сопоставления идентификатора пользователя ПДн с запускаемыми от его имени процессами.

Пользователям ПДн предоставляется доступ к ПДн и средствам их обработки в объеме, минимально необходимом и достаточном для выполнения их функциональных обязанностей и с учётом требований, установленных внутренними нормативными документами Организации.

5.4 Регистрация событий безопасности

В Организации обеспечивается сбор, запись, хранение и защита информации о событиях безопасности в ИСПДн, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.

Журналирование событий информационной безопасности осуществляется на постоянной основе.

Хранение информации о событиях информационной безопасности обеспечивается в течение установленного периода.

В ИСПДн отсутствуют пользователи, имеющие полномочия по уничтожению и модификации информации, содержащейся в журналах регистрации событий.

5.5 Защита машинных носителей персональных данных

Принимаемые Организацией меры по защите машинных носителей ПДн, используемых в ИСПДн для хранения и обработки информации, направлены на исключение возможности НСД к ПДн, хранящимся на машинных носителях.

При необходимости передачи машинного носителя ПДн в сторонние организации для ремонта, технического обслуживания или дальнейшего уничтожения, а также возвращении работником Организации выданного машинного носителя при увольнении или передаче данного машинного носителя другому пользователю должно производиться уничтожение (стирание) ПДн и остаточной информации с машинных носителей ПДн, без возможности последующего восстановления информации. При выводе из эксплуатации машинных носителей ПДн осуществляется физическое уничтожение этих машинных носителей.

5.6 Обеспечение антивирусной защиты

В Организации обеспечивается антивирусная защита ИСПДн, включающая обнаружение вредоносного ПО либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования ПДн или нейтрализации СЗИ, а также реагирование на обнаружение этого вредоносного ПО и информации.

5.7 Защита информационной системы, ее средств, систем связи и передачи данных

Для осуществления разграничения доступа к ресурсам ИСПДн при межсетевом взаимодействии и фильтрации сетевых пакетов в Организации применяется межсетевое экранирование, которое реализовывается программно-аппаратными/программными межсетевыми экранами.

В Организации осуществляется защита ПДн в процессе их передачи по открытым каналам связи. Защищенные каналы связи используются в Организации для предоставления защищенного доступа к ПДн сторонним организациям (при осуществлении обработки ПДн на договорной основе).

5.8 Контроль (анализ) защищенности персональных данных

Меры по контролю (анализу) защищенности ПДн направлены на обеспечение контроля уровня защищенности ПДн, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных. 

Выявление (поиск), анализ и устранение уязвимостей проводятся на этапах создания и эксплуатации ИСПДн.

При этом в обязательном порядке для критических уязвимостей проводится поиск и анализ уязвимостей в случае опубликования в общедоступных источниках информации о новых уязвимостях в СЗИ, технических средствах и ПО, применяемом в ИСПДн.

В случае невозможности устранения выявленных уязвимостей путем установки обновлений ПО СЗИ, общесистемного ПО, прикладного ПО технических средств предпринимаются действия (настройка СЗИ, изменение режима и порядка использования ИСПДн и т.д.), направленные на устранение возможности использования выявленных уязвимостей.

5.9 Защита технических средств

Принимаемые в Организации меры по защите технических средств направлены на исключение несанкционированного доступа к стационарным техническим средствам, обрабатывающим ПДн, средствам, обеспечивающим функционирование информационной системы, средствам защиты информации, и в помещения, в которых они расположены.

Устройства вывода (отображения) информации, содержащей ПДн, располагаются в защищаемых помещениях таким образом, чтобы исключить несанкционированный просмотр ПДн.

Лица, не допущенные в защищаемые помещения, при наличии служебной необходимости могут посещать защищаемые помещения только в сопровождении допущенных в эти помещения работников Организации, бесконтрольное пребывание посторонних лиц, не допущенных в защищаемые помещения, строго запрещено.

5.10 Управление конфигурацией информационных систем персональных данных

В процессе управления конфигурацией ИСПДн осуществляются:

  • поддержание конфигурации ИСПДн (структуры, состава, мест установки и параметров настройки СЗИ, ПО и технических средств) в соответствии с эксплуатационной документацией;
  • определение лиц, которым разрешены действия по внесению изменений в базовую конфигурацию ИСПДн;
  • управление изменениями базовой конфигурации ИСПДн (определение типов возможных изменений базовой конфигурации, санкционирование внесения изменений в базовую конфигурацию, документирование действий по внесению изменений в базовую конфигурацию, сохранение данных об изменениях базовой конфигурации, контроль действий по внесению изменений в базовую конфигурацию);
  • анализ потенциального воздействия планируемых изменений в базовой конфигурации ИСПДн на обеспечение защиты ПДн, возникновение дополнительных угроз безопасности ПДн и работоспособность ИСПДн;
  • определение параметров настройки ПО, включая ПО СЗИ, состава и конфигурации технических средств и ПО до внесения изменений в базовую конфигурацию ИСПДн;
  • внесение информации об изменениях в базовой конфигурации ИСПДн и системе защиты персональных данных в эксплуатационную документацию.

6. ОРГАНИЗАЦИЯ КОНТРОЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Контроль процесса обработки и обеспечения безопасности ПДн в Организации осуществляется в целях анализа и оценки фактического состояния защищенности ПДн, своевременного реагирования на нарушение установленного в Организации порядка обработки и обеспечения безопасности ПДн, а также в целях совершенствования и повышения эффективности процесса обработки и обеспечения безопасности ПДн.

Мероприятия по осуществлению контроля обработки и обеспечения безопасности ПДн направлены на решение следующих задач:

  • обеспечение работоспособности и эффективности функционирования технических средств ИСПДн и СЗИ;
  • выявление нарушений установленного порядка обработки и обеспечения безопасности ПДн и своевременное предотвращение негативных последствий таких нарушений;
  • разработка рекомендаций по совершенствованию процесса обработки и обеспечения безопасности ПДн по результатам контрольных мероприятий;
  • осуществление контроля исполнения рекомендаций и указаний по устранению выявленных нарушений порядка обработки и обеспечения безопасности ПДн.

Контроль состояния защищенности ПДн, обрабатываемых в ИСПДн, осуществляется с целью своевременного предотвращения НСД к ПДн и оценки защищенности ПДн.

Контроль состояния защищенности ПДн, обрабатываемых в ИСПДн, проводится Организацией самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации, не реже одного раза в три года и заключается в проверке выполнения требований законодательства РФ, нормативных правовых актов федеральных органов исполнительной власти в области обработки и обеспечения безопасности ПДн, в оценке обоснованности и эффективности принятых мер по защите ПДн.

7. ПРАВА И ОБЯЗАННОСТИ РАБОТНИКОВ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Работники Организации, участвующие в процессах обработки ПДн, имеют право:

  • обрабатывать ПДн, необходимые для исполнения своих функциональных обязанностей в соответствии с установленными полномочиями;
  • получать доступ к ПДн в объеме, минимально необходимом и достаточном для выполнения своих функциональных обязанностей;
  • получать консультации и рекомендации по вопросам обработки и обеспечения безопасности ПДн.
  • руководствоваться в своей деятельности ФЗ «О персональных данных» и иными нормативными правовыми актами органов исполнительной власти РФ в области обработки и обеспечения безопасности ПДн;
  • соблюдать требования внутренних нормативных документов Организации по вопросам обработки и обеспечения безопасности ПДн;
  • предоставлять необходимую информацию при проведении проверок контролирующими органами и при проведении внутренних контрольных мероприятий по защите ПДн;
  • сообщать о выявленных нарушениях требований настоящего Положения и иных внутренних нормативных документов Организации в области ПДн своему непосредственному руководителю.

8. ОТВЕТСТВЕННОСТЬ

Все работники Организации, принимающие участие в процессах обработки и обеспечения безопасности ПДн при их обработке в ИСПДн, за ненадлежащее исполнение или неисполнение своих обязанностей, предусмотренных настоящим Положением, несут гражданскую, уголовную, административную и дисциплинарную ответственность в соответствии с законодательством РФ.