Политика в отношении обработки и защиты персональных данных

 

В настоящем документе используются следующие термины и их определения.

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Иные персональные данные – персональные данные не принадлежащие к специальным категориям персональных данных, не подпадающие под определение биометрических  персональных данных, не являющимися общедоступными персональными данными и персональными данными сотрудников оператора.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Доступ к информации – возможность получения информации и ее использования.

Доступность информации — состояние информации, характеризуемое способностью информационной системы обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия.

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Информативный сигнал – электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация (персональные данные) обрабатываемая в информационной системе персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Инцидент информационной безопасности — любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Носитель информации– физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, коли­чественных характеристик физических величин.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Событие информационной безопасности – идентифицированное возникновение состояния информационной системы, указывающее на возможное нарушение политики информационной безопасности, отказ защитных мер, а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью.

Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Средство защиты информации — техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Технический канал утечки информации – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Утечка (защищаемой) информации по техническим каналам - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Целостность информации – способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

Обозначения и сокращения:

ИСПДн

– информационная система персональных данных;

НСД

– несанкционированный доступ;

ОС

– операционная система;

ПДн

– персональные данные;

ПО

– программное обеспечение;

СЗИ

– средства защиты информации;

СЗПДн

– система (подсистема) защиты персональных данных;

УБПДн

– угрозы безопасности персональных данных

АРМ

– автоматизированное рабочее место;

 

Введение

Настоящая Политика информационной безопасности информационных систем персональных данных общества с ограниченной ответственностью «Клавис Тур» (далее – Политика) разработана в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Постановления Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Политика регламентирует организацию защиты персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) ООО «Клавис Тур». В Политике определены структура и требования к построению системы защиты персональных данных (СЗПДн), порядок предоставления доступа к ИСПДн, требования к работникам по обеспечению безопасности ПДн, а также ответственность за нарушение требований по безопасности ПДн в ИСПДн ООО «Клавис Тур».

Требования настоящей Политики распространяются на всех работников общества с ограниченной ответственностью «Клавис Тур» (штатных, временных, работающих по контракту и т.п.), а также всех третьих лиц, допущенных к ИСПДн ООО «Клавис Тур» (подрядчики, аудиторы и т.п.).

Ответственным за контроль исполнения данной Политики, а также за её своевременное изменение и обновление является ответственный за организацию обработки персональных данных в ООО «Клавис Тур».

1. Общие положения

Безопасность персональных данных достигается путем принятия необходимых правовых, организационных и технических мер с целью исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иных неправомерных действий с персональными данными.

Мероприятия по защите персональных данных являются неотъемлемой частью деятельности (название организации).

Целью проведения мероприятий по защите персональных данных является:

-    обеспечение безопасности объектов защиты ООО «Клавис Тур» от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности персональных данных (УБПДн);

-    выполнение требований по безопасности персональных данных при их обработке в ИСПДн, регламентируемых законодательством Российской Федерации в области защиты ПДн, а также государственными стандартами, руководящими и нормативно-методическими документами ФСТЭК и ФСБ России.

Безопасность персональных данных при их обработке в ИСПДн обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в ИСПДн информационные технологии.

2. Система защиты персональных данных

Система защиты персональных данных (СЗПДн) в ООО «Клавис Тур» строится на основании следующих документов:

-    Результатов обследования ИСПДн, полученных в ходе внутренней проверки и  отраженных в

Акте № 1 Обследования информационной системы персональных данных («Турагентство»);

-    Перечня персональных данных, подлежащих защите;

-    Акта определения уровня защищенности ПДн при их обработке в ИСПДн;

-    Частной модели угроз безопасности ПДн при их обработке в ИСПДн;

-    Технического задания на разработку СЗПДн ИСПДн.

На базе вышеназванных документов определяется необходимый уровень защищенности ПДн в ИСПДн ООО «Клавис Тур». На основе исходных данных, полученных в ходе обследования ИСПДн, актуальных угроз безопасности ПДн, определённых Частной моделью угроз, и требований к системе защиты ПДн, изложенных в Техническом задании, делается заключение о необходимых для обеспечения безопасности ПДн средствах защиты информации (СЗИ) и организационных мероприятиях.

Выбранные необходимые мероприятия отражаются в плане мероприятий по обеспечению защиты ПДн, а перечень предполагаемых к использованию средств защиты информации – в Техническом задании на разработку СЗПДн ИСПДн.

Список используемых средств защиты информации отражается в журнале учета и содержания средств защиты и журнале учета средств криптографической защиты информации. Список используемых средств защиты информации должен поддерживаться в актуальном состоянии. При изменении состава средств защиты информации соответствующие изменения должны быть внесены в журналы и утверждены ответственным за организацию обработки персональных данных в ООО «Клавис Тур».

Кроме того, на ИСПДн должен быть составлен Технический паспорт, содержащий описание структуры и топологии ИСПДн, список технических и программных средств ИСПДн и используемых средств защиты информации для  всех элементов ИСПДн.

3. Структура системы защиты персональных данных

Система защиты персональных данных – это не только совокупность организационных и технических мероприятий, но и объекты защиты, а также те ответственные лица, которые обеспечивают проведение мероприятий по обеспечению безопасности персональных данных.

Организация и функционирование вышеназванных составных элементов СЗПДн регламентируется правилами и нормами, установленными организационно-распорядительными документами ООО «Клавис Тур» по вопросам обработки и защиты ПДн.

Принятие необходимых организационных и технических мер по обеспечению безопасности персональных данных обеспечивают:

-    ответственный за организацию обработки персональных данных в ООО «Клавис Тур»;

-    ответственные за безопасность ИСПДн.

Указанные лица назначаются приказом руководителя ООО «Клавис Тур».

Обязанности и права ответственного за организацию обработки персональных данных в ООО «Клавис Тур» и ответственного за безопасность ИСПДн определяются соответствующими инструкциями, утвержденными в ООО «Клавис Тур».

4. Требования к системе защиты персональных данных

Структура, состав и основные функции СЗПДн определяются исходя из установленного уровня защищенности ПДн в ИСПДн  и перечня актуальных угроз безопасности ПДн при их обработке в ИСПДн. Соответственно разработка СЗПДн проводится на основе результатов обследования ИСПДн, акта определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных и частной модели угроз безопасности ПДн при их обработке в ИСПДн.

СЗПДн должна обеспечивать безопасность ПДн при обработке в ИСПДн согласно приказу «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденному приказом ФСТЭК России от 18 февраля 2013 года №21 по установленному уровню защищенности.

СЗПДн строится как иерархическая, многоуровневая система. Эффективность защиты достигается комплексным применением различных защитных механизмов, функционирующих в рамках единых принципов.

СЗПДн должна быть структурирована по функциональным подсистемам и при этом должны быть определены мероприятия по:

- защите ПДн от несанкционированного доступа (НСД);

- защите ПДн от утечки по техническим каналам.

Мероприятия по защите ПДн при их обработке в ИСПДн от НСД включают:

- управление доступом;

- регистрацию и учет;

- обеспечение целостности;

- антивирусную защиту;

- обнаружение вторжений;

- анализ защищенности;

- обеспечение безопасного межсетевого взаимодействия ИСПДн.

В соответствии с этим в СЗПДн выделяют следующие функциональные подсистемы:

 - Подсистема управления доступом.

Подсистема управления доступом должна проводить процедуру проверки подлинности пользователя, его авторизации, разграничивать доступ пользователей к ресурсам ИСПДн.

 - Подсистема регистрации и учета.

Подсистема регистрации и учета должна обеспечивать регистрацию действий пользователей при работе с ресурсами ИСПДн и учет событий информационной безопасности.

 - Подсистема обеспечения целостности

Подсистема обеспечения целостности должна обеспечивать контроль неизменности состояния рабочей среды пользователей при работе на АРМ, системных файлов ОС серверной части ИСПДн и СЗИ, используемых в СЗПДн, а также обеспечивать анализ защищенности системного и прикладного программного обеспечения ИСПДн с помощью программных средств или программно-аппаратных средств анализа защищенности.

- Подсистема антивирусной защиты.

Подсистема антивирусной защиты должна осуществлять защиту информационных ресурсов ИСПДн от внедрения вредоносного ПО. Подсистема антивирусной защиты должна минимизировать угрозы внедрения вредоносного ПО в СЗИ, операционную систему и общесистемное ПО, определенные Частной моделью угроз безопасности ПДн при их обработке в ИСПДн как актуальные.

- Подсистема обнаружения вторжений.

Подсистема обнаружения вторжений должна своевременно обнаруживать и оповещать о несанкционированных воздействиях (атаках) на ИСПДн. Обнаружение вторжений обеспечивается путем использования в составе ИСПДн программных или программно-аппаратных средств (систем) обнаружения вторжений.

- Подсистема анализа защищенности.

Подсистема анализа защищенности должна обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационной системы, которые могут быть использованы нарушителем для реализации атаки на систему.

- Подсистема обеспечения безопасного межсетевого взаимодействия.

Подсистема обеспечения безопасного межсетевого взаимодействия  должна обеспечивать безопасность ИСПДн при подключении к информационно-телекоммуникационной сети.

5. Доступ к информационным системам персональных данных

В обществе с ограниченной ответственностью «Клавис Тур» устанавливается разрешительная система доступа к обработке персональных данных в ИСПДн, а также к администрированию, техническому обслуживанию, сопровождению и другим работам с ИСПДн.

Доступ работников ООО «Клавис Тур» к ИСПДн предоставляется на основании Приказа об утверждении лиц, которым необходим доступ к ИСПДн для выполнения служебных (трудовых) обязанностей.

Доступ к ИСПДн представителей сторонних организаций (третьих лиц), выполняющих работу по договору, предоставляется на основании руководителя ООО «Клавис Тур», при условии наличия в договоре пункта о соблюдении конфиденциальности персональных данных или отдельного договора о конфиденциальности персональных данных. Приказом должны быть заданы: ИСПДн, к которой допущено лицо; виды работ, которые может производить допущенное лицо; срок действия допуска.

Лица, получившие допуск к ИСПДн, должны быть ознакомлены с положениями  законодательства Российской Федерации о персональных данных, требованиями к защите персональных данных и организационно-распорядительными документами ООО «Клавис Тур»  по вопросам обработки и защиты ПДн.

Допуск к ИСПДн аннулируется, а доступ незамедлительно прекращается в случае изменения статуса допущенного лица (перевод на другую должность, увольнение, изменение должностных обязанностей и т.п.). За своевременное предоставление информации об изменении статуса допущенного лица ответственному за организацию обработки персональных данных в ООО «Клавис Тур» и ответственному за безопасность ИСПДн отвечают сами допущенные лица, а также их непосредственные руководители.

За организацию разрешительной системы доступа к ИСПДн отвечает лицо, назначенное ответственным за организацию обработки персональных данных в ООО «Клавис Тур». Ответственный за безопасность ИСПДн обеспечивает реализацию и надлежащее функционирование разрешительной системы доступа к ИСПДн и составляет и обновляет необходимые для этого документы в соответствии с порядком, установленным Технологическим процессом обработки персональных данных в ИСПДн.

6. Требования к работникам по обеспечению защиты персональных данных

Все работники ООО «Клавис Тур» имеющие допуск к ИСПДн, должны быть ознакомлены с положениями  законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой и другими принятыми в ООО «Клавис Тур»  организационно-распорядительными документами по вопросам обработки и защиты ПДн.

Обязанности и права ответственного за организацию обработки персональных данных в ООО «Клавис Тур», ответственного за безопасность ИСПДн, пользователей ИСПДн определяются соответствующими инструкциями.

Доведение требований указанных документов до лиц, допущенных к ИСПДн, должно осуществляться под роспись. Все работники ООО «Клавис Тур», допущенные к ИСПДн, должны четко знать и неукоснительно выполнять установленные правила и обязанности по обеспечению безопасности ПДн при их обработке и соблюдению установленного режима конфиденциальности ПДн.

При вступлении в должность нового работника ответственный за организацию обработки персональных данных в ООО «Клавис Тур» обязан организовать его ознакомление с необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.

Работники ООО “Клавис Тур» должны быть проинформированы об угрозах безопасности ПДн и ответственности за нарушение требований безопасности ПДн. Работники обязаны информировать ответственного за организацию обработки персональных данных в ООО «Клавис Тур» и ответственного за безопасность ИСПДн о ставших им известными фактах нарушения положений настоящей Политики и инцидентах информационной безопасности в незамедлительном порядке.

Ответственный за организацию обработки персональных данных в ООО «Клавис Тур» инициирует и проводит служебные расследования по факту нарушений и инцидентов информационной безопасности в соответствии с установленной в ООО «Клавис Тур» процедурой.

7. Ответственность работников за нарушение норм, регулирующих обработку и защиту персональных данных

В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Действующее законодательство Российской Федерации позволяет предъявлять требования по обеспечению безопасности ПДн при их обработке и предусматривает ответственность за нарушение установленных правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-коммуникационных сетей, неправомерный доступ к охраняемой компьютерной информации, если эти действия привели к уничтожению, блокированию, модификации или копированию компьютерной информации (статьи 272, 273 и 274 УК РФ).

При нарушениях работниками ООО «Клавис Тур» правил, связанных с безопасностью ПДн, они несут ответственность, установленную действующим законодательством Российской Федерации.

Phenix-design