Наш курс: US EU
Политика в отношении обработки и защиты персональных данных
В настоящем документе используются следующие термины и их определения.
Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Иные персональные данные – персональные данные не принадлежащие к специальным категориям персональных данных, не подпадающие под определение биометрических персональных данных, не являющимися общедоступными персональными данными и персональными данными сотрудников оператора.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Доступ к информации – возможность получения информации и ее использования.
Доступность информации — состояние информации, характеризуемое способностью информационной системы обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Информативный сигнал – электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация (персональные данные) обрабатываемая в информационной системе персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Инцидент информационной безопасности — любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Носитель информации– физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.
Событие информационной безопасности – идентифицированное возникновение состояния информационной системы, указывающее на возможное нарушение политики информационной безопасности, отказ защитных мер, а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью.
Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Средство защиты информации — техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Технический канал утечки информации – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Утечка (защищаемой) информации по техническим каналам - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.
Целостность информации – способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
Обозначения и сокращения: |
|
ИСПДн |
– информационная система персональных данных; |
НСД |
– несанкционированный доступ; |
ОС |
– операционная система; |
ПДн |
– персональные данные; |
ПО |
– программное обеспечение; |
СЗИ |
– средства защиты информации; |
СЗПДн |
– система (подсистема) защиты персональных данных; |
УБПДн |
– угрозы безопасности персональных данных |
АРМ |
– автоматизированное рабочее место; |
Введение
Настоящая Политика информационной безопасности информационных систем персональных данных общества с ограниченной ответственностью «Клавис Тур» (далее – Политика) разработана в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Постановления Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Политика регламентирует организацию защиты персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) ООО «Клавис Тур». В Политике определены структура и требования к построению системы защиты персональных данных (СЗПДн), порядок предоставления доступа к ИСПДн, требования к работникам по обеспечению безопасности ПДн, а также ответственность за нарушение требований по безопасности ПДн в ИСПДн ООО «Клавис Тур».
Требования настоящей Политики распространяются на всех работников общества с ограниченной ответственностью «Клавис Тур» (штатных, временных, работающих по контракту и т.п.), а также всех третьих лиц, допущенных к ИСПДн ООО «Клавис Тур» (подрядчики, аудиторы и т.п.).
Ответственным за контроль исполнения данной Политики, а также за её своевременное изменение и обновление является ответственный за организацию обработки персональных данных в ООО «Клавис Тур».
1. Общие положения
Безопасность персональных данных достигается путем принятия необходимых правовых, организационных и технических мер с целью исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иных неправомерных действий с персональными данными.
Мероприятия по защите персональных данных являются неотъемлемой частью деятельности (название организации).
Целью проведения мероприятий по защите персональных данных является:
- обеспечение безопасности объектов защиты ООО «Клавис Тур» от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности персональных данных (УБПДн);
- выполнение требований по безопасности персональных данных при их обработке в ИСПДн, регламентируемых законодательством Российской Федерации в области защиты ПДн, а также государственными стандартами, руководящими и нормативно-методическими документами ФСТЭК и ФСБ России.
Безопасность персональных данных при их обработке в ИСПДн обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в ИСПДн информационные технологии.
2. Система защиты персональных данных
Система защиты персональных данных (СЗПДн) в ООО «Клавис Тур» строится на основании следующих документов:
- Результатов обследования ИСПДн, полученных в ходе внутренней проверки и отраженных в
Акте № 1 Обследования информационной системы персональных данных («Турагентство»);
- Перечня персональных данных, подлежащих защите;
- Акта определения уровня защищенности ПДн при их обработке в ИСПДн;
- Частной модели угроз безопасности ПДн при их обработке в ИСПДн;
- Технического задания на разработку СЗПДн ИСПДн.
На базе вышеназванных документов определяется необходимый уровень защищенности ПДн в ИСПДн ООО «Клавис Тур». На основе исходных данных, полученных в ходе обследования ИСПДн, актуальных угроз безопасности ПДн, определённых Частной моделью угроз, и требований к системе защиты ПДн, изложенных в Техническом задании, делается заключение о необходимых для обеспечения безопасности ПДн средствах защиты информации (СЗИ) и организационных мероприятиях.
Выбранные необходимые мероприятия отражаются в плане мероприятий по обеспечению защиты ПДн, а перечень предполагаемых к использованию средств защиты информации – в Техническом задании на разработку СЗПДн ИСПДн.
Список используемых средств защиты информации отражается в журнале учета и содержания средств защиты и журнале учета средств криптографической защиты информации. Список используемых средств защиты информации должен поддерживаться в актуальном состоянии. При изменении состава средств защиты информации соответствующие изменения должны быть внесены в журналы и утверждены ответственным за организацию обработки персональных данных в ООО «Клавис Тур».
Кроме того, на ИСПДн должен быть составлен Технический паспорт, содержащий описание структуры и топологии ИСПДн, список технических и программных средств ИСПДн и используемых средств защиты информации для всех элементов ИСПДн.
3. Структура системы защиты персональных данных
Система защиты персональных данных – это не только совокупность организационных и технических мероприятий, но и объекты защиты, а также те ответственные лица, которые обеспечивают проведение мероприятий по обеспечению безопасности персональных данных.
Организация и функционирование вышеназванных составных элементов СЗПДн регламентируется правилами и нормами, установленными организационно-распорядительными документами ООО «Клавис Тур» по вопросам обработки и защиты ПДн.
Принятие необходимых организационных и технических мер по обеспечению безопасности персональных данных обеспечивают:
- ответственный за организацию обработки персональных данных в ООО «Клавис Тур»;
- ответственные за безопасность ИСПДн.
Указанные лица назначаются приказом руководителя ООО «Клавис Тур».
Обязанности и права ответственного за организацию обработки персональных данных в ООО «Клавис Тур» и ответственного за безопасность ИСПДн определяются соответствующими инструкциями, утвержденными в ООО «Клавис Тур».
4. Требования к системе защиты персональных данных
Структура, состав и основные функции СЗПДн определяются исходя из установленного уровня защищенности ПДн в ИСПДн и перечня актуальных угроз безопасности ПДн при их обработке в ИСПДн. Соответственно разработка СЗПДн проводится на основе результатов обследования ИСПДн, акта определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных и частной модели угроз безопасности ПДн при их обработке в ИСПДн.
СЗПДн должна обеспечивать безопасность ПДн при обработке в ИСПДн согласно приказу «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденному приказом ФСТЭК России от 18 февраля 2013 года №21 по установленному уровню защищенности.
СЗПДн строится как иерархическая, многоуровневая система. Эффективность защиты достигается комплексным применением различных защитных механизмов, функционирующих в рамках единых принципов.
СЗПДн должна быть структурирована по функциональным подсистемам и при этом должны быть определены мероприятия по:
- защите ПДн от несанкционированного доступа (НСД);
- защите ПДн от утечки по техническим каналам.
Мероприятия по защите ПДн при их обработке в ИСПДн от НСД включают:
- управление доступом;
- регистрацию и учет;
- обеспечение целостности;
- антивирусную защиту;
- обнаружение вторжений;
- анализ защищенности;
- обеспечение безопасного межсетевого взаимодействия ИСПДн.
В соответствии с этим в СЗПДн выделяют следующие функциональные подсистемы:
- Подсистема управления доступом.
Подсистема управления доступом должна проводить процедуру проверки подлинности пользователя, его авторизации, разграничивать доступ пользователей к ресурсам ИСПДн.
- Подсистема регистрации и учета.
Подсистема регистрации и учета должна обеспечивать регистрацию действий пользователей при работе с ресурсами ИСПДн и учет событий информационной безопасности.
- Подсистема обеспечения целостности
Подсистема обеспечения целостности должна обеспечивать контроль неизменности состояния рабочей среды пользователей при работе на АРМ, системных файлов ОС серверной части ИСПДн и СЗИ, используемых в СЗПДн, а также обеспечивать анализ защищенности системного и прикладного программного обеспечения ИСПДн с помощью программных средств или программно-аппаратных средств анализа защищенности.
- Подсистема антивирусной защиты.
Подсистема антивирусной защиты должна осуществлять защиту информационных ресурсов ИСПДн от внедрения вредоносного ПО. Подсистема антивирусной защиты должна минимизировать угрозы внедрения вредоносного ПО в СЗИ, операционную систему и общесистемное ПО, определенные Частной моделью угроз безопасности ПДн при их обработке в ИСПДн как актуальные.
- Подсистема обнаружения вторжений.
Подсистема обнаружения вторжений должна своевременно обнаруживать и оповещать о несанкционированных воздействиях (атаках) на ИСПДн. Обнаружение вторжений обеспечивается путем использования в составе ИСПДн программных или программно-аппаратных средств (систем) обнаружения вторжений.
- Подсистема анализа защищенности.
Подсистема анализа защищенности должна обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационной системы, которые могут быть использованы нарушителем для реализации атаки на систему.
- Подсистема обеспечения безопасного межсетевого взаимодействия.
Подсистема обеспечения безопасного межсетевого взаимодействия должна обеспечивать безопасность ИСПДн при подключении к информационно-телекоммуникационной сети.
5. Доступ к информационным системам персональных данных
В обществе с ограниченной ответственностью «Клавис Тур» устанавливается разрешительная система доступа к обработке персональных данных в ИСПДн, а также к администрированию, техническому обслуживанию, сопровождению и другим работам с ИСПДн.
Доступ работников ООО «Клавис Тур» к ИСПДн предоставляется на основании Приказа об утверждении лиц, которым необходим доступ к ИСПДн для выполнения служебных (трудовых) обязанностей.
Доступ к ИСПДн представителей сторонних организаций (третьих лиц), выполняющих работу по договору, предоставляется на основании руководителя ООО «Клавис Тур», при условии наличия в договоре пункта о соблюдении конфиденциальности персональных данных или отдельного договора о конфиденциальности персональных данных. Приказом должны быть заданы: ИСПДн, к которой допущено лицо; виды работ, которые может производить допущенное лицо; срок действия допуска.
Лица, получившие допуск к ИСПДн, должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных, требованиями к защите персональных данных и организационно-распорядительными документами ООО «Клавис Тур» по вопросам обработки и защиты ПДн.
Допуск к ИСПДн аннулируется, а доступ незамедлительно прекращается в случае изменения статуса допущенного лица (перевод на другую должность, увольнение, изменение должностных обязанностей и т.п.). За своевременное предоставление информации об изменении статуса допущенного лица ответственному за организацию обработки персональных данных в ООО «Клавис Тур» и ответственному за безопасность ИСПДн отвечают сами допущенные лица, а также их непосредственные руководители.
За организацию разрешительной системы доступа к ИСПДн отвечает лицо, назначенное ответственным за организацию обработки персональных данных в ООО «Клавис Тур». Ответственный за безопасность ИСПДн обеспечивает реализацию и надлежащее функционирование разрешительной системы доступа к ИСПДн и составляет и обновляет необходимые для этого документы в соответствии с порядком, установленным Технологическим процессом обработки персональных данных в ИСПДн.
6. Требования к работникам по обеспечению защиты персональных данных
Все работники ООО «Клавис Тур» имеющие допуск к ИСПДн, должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой и другими принятыми в ООО «Клавис Тур» организационно-распорядительными документами по вопросам обработки и защиты ПДн.
Обязанности и права ответственного за организацию обработки персональных данных в ООО «Клавис Тур», ответственного за безопасность ИСПДн, пользователей ИСПДн определяются соответствующими инструкциями.
Доведение требований указанных документов до лиц, допущенных к ИСПДн, должно осуществляться под роспись. Все работники ООО «Клавис Тур», допущенные к ИСПДн, должны четко знать и неукоснительно выполнять установленные правила и обязанности по обеспечению безопасности ПДн при их обработке и соблюдению установленного режима конфиденциальности ПДн.
При вступлении в должность нового работника ответственный за организацию обработки персональных данных в ООО «Клавис Тур» обязан организовать его ознакомление с необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.
Работники ООО “Клавис Тур» должны быть проинформированы об угрозах безопасности ПДн и ответственности за нарушение требований безопасности ПДн. Работники обязаны информировать ответственного за организацию обработки персональных данных в ООО «Клавис Тур» и ответственного за безопасность ИСПДн о ставших им известными фактах нарушения положений настоящей Политики и инцидентах информационной безопасности в незамедлительном порядке.
Ответственный за организацию обработки персональных данных в ООО «Клавис Тур» инициирует и проводит служебные расследования по факту нарушений и инцидентов информационной безопасности в соответствии с установленной в ООО «Клавис Тур» процедурой.
7. Ответственность работников за нарушение норм, регулирующих обработку и защиту персональных данных
В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Действующее законодательство Российской Федерации позволяет предъявлять требования по обеспечению безопасности ПДн при их обработке и предусматривает ответственность за нарушение установленных правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-коммуникационных сетей, неправомерный доступ к охраняемой компьютерной информации, если эти действия привели к уничтожению, блокированию, модификации или копированию компьютерной информации (статьи 272, 273 и 274 УК РФ).
При нарушениях работниками ООО «Клавис Тур» правил, связанных с безопасностью ПДн, они несут ответственность, установленную действующим законодательством Российской Федерации.