Политика учреждения отношении обработки персональных данных, политика учреждения отношении обработки персональных данных

Содержание
  1. Политика учреждения отношении обработки персональных данных
  2. 1. Основные положения
  3. 2. П ринципы обеспечения защиты информации, составляющей персональные данные
  4. 3. Основные требования по защите информации составляющей персональные данные
  5. Политика организации в отношении обработки персональных данных
  6. Политика учреждения отношении обработки персональных данных
  7. Политика организации в отношении обработки персональных данных

Политика учреждения отношении обработки персональных данных

приказом ГОАУСОН «Мурманский КЦСОН»

№ 796 от «30» декабря 2011г.

ПОЛИТИКА

государственного областного автономного учреждения социального обслуживания населения «Мурманский комплексный центр социального обслуживания населения» в отношении обработки персональных данных

Государственное областное автономное учреждение социального обслуживания населения «Мурманский комплексный центр социального обслуживания населения» (далее — Учреждение) в рамках выполнения своей основной деятельности, регламентируемой Положением об Учреждении, утверждённым Директором Учреждения от 18.01.2010, осуществляет обработку персональных данных различных категорий субъектов персональных данных: работников, кандидатов на работу, получателей государственных (муниципальных) услуг и прочих. В соответствии с действующим законодательством Российской Федерации Учреждение является оператором персональных данных с соответствующими правами и обязанностями.

С целью обеспечения выполнения норм федерального законодательства Учреждение считает важнейшими задачами: обеспечение легитимности обработки персональных данных при осуществлении основной деятельности Учреждения в соответствии с нормативно-правовыми актами и обеспечение надлежащего уровня безопасности обрабатываемых в Учреждении персональных данных.

При организации и осуществлении обработки персональных данных Учреждение руководствуется требованиями Федерального закона № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

Обработка персональных данных в Учреждении осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определённых и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объём обрабатываемых в Учреждении персональных данных соответствует заявленным целям их обработки, избыточность обрабатываемых данных не допускается.

При обработке персональных данных в Учреждении обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных. Учреждение принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных персональных данных.

Хранение персональных данных в Учреждении осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Сведения о целях обработки персональных данных, составе и содержании персональных данных, а также категориях субъектов персональных данных, чьи данные обрабатываются в Учреждении, содержатся в уведомлении Учреждения об обработке персональных данных, направленном в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор), и подлежат обновлению в случае их изменений. При этом в Учреждении не обрабатываются специальные категории персональных данных и биометрические персональные данные.

Учреждение в ходе своей деятельности может предоставлять и (или) поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При этом обязательным условием предоставления и (или) поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.

Учреждение не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.

Учреждение в ходе своей основной деятельности при обработке персональных данных не осуществляет трансграничной передачи персональных данных на территорию иностранных государств.

В случае возникновения необходимости осуществления трансграничной передачи персональных данных на территорию иностранных государств органам власти иностранного государства, иностранным физическим или юридическим лицам Учреждение обязано обеспечить адекватную защиту прав субъектов персональных данных и обеспечения при трансграничной передаче безопасности их персональных данных в соответствии с законодательством Российской Федерации в сфере обработки персональных данных, в том числе при условии наличия письменного согласия субъекта персональных данных на трансграничную передачу.

С целью обеспечения безопасности персональных данных при их обработке Учреждение принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Все реализуемые Учреждением мероприятия по организационной и технической защите персональных данных осуществляются на законных основаниях, в том числе в соответствии с требованиями законодательства Российской Федерации в сфере обработки персональных данных.

В целях обеспечения адекватной защиты прав субъектов персональных данных Учреждение проводит оценку вреда, который может быть причинён субъектам персональных данных в случае нарушения безопасности их персональных данных, а также определяет актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.

В соответствии с выявленными актуальными угрозами Учреждение применяет необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя использование прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по его недопущению, восстановление персональных данных, ограничение доступа к персональным данным, регистрацию и учёт действий с персональными данными, а также контроль и оценку эффективности применяемых мер по обеспечению безопасности персональных данных.

Руководство Учреждения осознаёт важность и необходимость обеспечения безопасности персональных данных и постоянно совершенствует систему защиты персональных данных, обрабатываемых в рамках выполнения основной деятельности Учреждения.

В Учреждении назначаются должностные лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.

Каждый вновь принятый на работу работник Учреждения, непосредственно осуществляющий обработку персональных данных, подлежит ознакомлению с требованиями законодательства Российской Федерации по обработке и обеспечению безопасности персональных данных, с настоящей Политикой и другими организационно-распорядительными документами по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.

Настоящая Политика является общедоступным внутренним документом Учреждения, и подлежит размещению на официальном сайте Учреждения.

Ответственность должностных лиц Учреждения, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними организационно-распорядительными документами Учреждения.

1. Основные положения

1.1. Настоящая Политика устанавливает порядокорганизации и проведения работ по защите информации в ИСПДн, создаваемых и эксплуатируемых в образовательномучреждении .

1.2. Требования настоящей Политики распространяются назащиту информации с ограниченным доступом, отнесенной к информации, составляющей ПДн.

1.3. Политика является дополнением к действующим в РФ нормативным документам по вопросам обеспечения информационной безопасности ПДн, и не исключает обязательного выполнения их требований.

1.4. Политика служит основой для разработки комплекса организационных и технических мер по обеспечению информационной безопасности ПДн образовательных учреждений, а также нормативных и методических документов, обеспечивающих ее реализацию.

1.5. Политика определяет следующие основные вопросы защиты информации:

— основныепринципы и требования по защите информации, составляющей ПДн,

— порядокорганизации и проведения работ по защите информации,

— порядокобеспечения защиты информации при эксплуатации ИСПДн,

— порядокорганизации делопроизводства, хранения и обращения накопителей и носителей информации .

2. П ринципы обеспечения защиты информации, составляющей персональные данные

Защита информации, составляющей ПДндолжна осуществляться в соответствии со следующими основными принципами:

2.1. Законность — предполагает обеспечение защиты ПДн всоответствии с действующим в РФ законодательством и нормативными актами в области защиты ПДн. Пользователи и обслуживающий персонал ИСПДн должны быть осведомлены о правилах и порядке работы с защищаемой информацией и обответственности за их нарушение.

2.2. Системность — предполагает учет всех взаимосвязанных,взаимодействующих и изменяющихся во времени элементов, условий и факторов,существенно значимых для понимания и решения проблемы обеспечения безопасностиПДн ИСПДн.

2.3. Комплексность — предполагает согласованное применениеразнородных средств и систем при построении комплексной системы защитыинформации, перекрывающей все существенные каналы реализации угроз и несодержащей слабых мест на стыках отдельных ее компонентов. Для каждого каналаутечки информации и для каждой угрозы безопасности должно существовать несколькозащитных рубежей. Создание защитных рубежей осуществляется с учетом того, чтобыдля их преодоления потенциальному злоумышленнику требовались профессиональныенавыки в нескольких невзаимосвязанных областях.

2.4. Непрерывность — предполагает функционирование СЗПДн ввиде непрерывного целенаправленногопроцесса , предполагающего принятие соответствующих мер на всех этапахжизненного цикла ИСПДн. ИСПДн должны находиться в защищенном состоянии напротяжении всего времени их функционирования. В соответствии с этим принципомдолжны приниматься меры не допускающие переход ИСПДн в незащищенное состояние.

2.5. Своевременность — предполагает упреждающий характер меробеспечения безопасности ПДн, то есть постановку задач по комплексной защитеИСПДн и реализацию мер обеспечения безопасности ПДн на ранних стадиях разработкиИСПДн в целом и ее системы защиты информации, в частности.

2.6. Совершенствование — предполагает постоянноесовершенствование мер и средств защиты информации на основе комплексногоприменения организационных и технических решений, квалификации персонала, анализафункционирования ИСПДн и ее системы защиты с учетом изменений условийфункционирования ИСПДн, появления новых методов и средств перехвата информации,изменений требований нормативных документов по защите ПДн.

2.7. Персональная ответственность — предполагает возложениеответственности за обеспечение безопасности ПДн и ИСПДн на каждого исполнителяв пределах его полномочий. В соответствии с этим принципом распределение прав иобязанностей исполнителей строится таким образом, чтобы в случае любогонарушения круг виновников был четко известен или сведен к минимуму.

2.8. Минимальная достаточность — предполагает предоставлениеисполнителям минимально необходимых прав доступа к ресурсам ИСПДн в соответствиис производственной необходимостью, на основе принципа «запрещено все, что неразрешено явным образом».

2.9. Гибкость системы защиты — предполагает наличиевозможности варьирования уровнем защищенности при изменении условийфункционирования ИСПДн.

2.10. Обязательность контроля — предполагает обязательность исвоевременность выявления и пресечения попыток нарушения установленных правилобеспечения безопасности ПДн на основе используемых систем и средств защитыинформации. Контроль за деятельностью каждого пользователя, каждого средствазащиты и в отношении каждого объекта защиты должен осуществляться на основеприменения средств контроля и регистрации и должен охватывать какнесанкционированные, так и санкционированные действия пользователей.

3. Основные требования по защите информации составляющей персональные данные

3.1. Защита информации в ИСПДн является неотъемлемойсоставной частью управленческой и научной деятельности образовательного учреждения и должна осуществляться во взаимосвязи с другими мерами по защите информации, составляющей ПДн.

Политика организации в отношении обработки персональных данных

Настоящая Политика организации в отношении обработки персональных данных (далее – Политика) действует в отношении всей информации, которую Сайт, расположенный на доменном имени http://preventiva.ru/ (далее – Доменное имя), может получить о Пользователе во время использования Сайта.

Настоящая Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.

Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных.

1. ОПРЕДЕЛЕНИЕ ТЕРМИНОВ

1.1 В настоящей Политике используются следующие термины:

1.1.1. «Администрация Сайта http://preventiva.ru/» (далее – «Администрация Сайта) – уполномоченные сотрудники на управление Сайтом, действующие от имени Общества с ограниченной ответственностью «Превентива Бизнес Сервис», находящегося по адресу г. Томск, ул. Нахимова, д. 8, стр.36; Общества с ограниченной ответственностью «Превентива», находящегося по адресу г. Новосибирск, ул. Степная, 25, оф. 1; Общества с ограниченной ответственностью «ПРЕВЕНТИВА», находящегося по адресу г. Северск, ул. Куйбышева, 2а, пом. 14; Общества с ограниченной ответственностью «Превентива +», находящегося по адресу г. Бийск, ул. Октябрьская, 21; Общества с ограниченной ответственностью «Превентива К», находящегося по адресу г. Прокопьевск, ул. Ноградская, д. 19, оф. 18; Общества с ограниченной ответственностью «Агентство Превентива», находящегося по адресу г. Новокузнецк, ул. Кутузова, 40, которые организуют и (или) осуществляют обработку персональных данных, а также определяют цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.1.2. «Персональные данные» — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

1.1.3. «Обработка персональных данных» — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

1.1.4. «Конфиденциальность персональных данных» — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

1.1.5. «Пользователь Сайта http://preventiva.ru/» (далее – Пользователь) – лицо, имеющее доступ к Сайту, посредством сети Интернет и использующее Сайт http://preventiva.ru/.

1.1.6. «Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего Сайта.

1.1.7. «IP-адрес» — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.

1.1.8. Сайт — совокупность визуально воспринимаемых html страниц и сервисов, размещенных в сети Интернет по уникальному адресу (доменному имени).

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Использование Пользователем Сайта http://preventiva.ru/ означает согласие с настоящей Политикой и условиями обработки персональных данных Пользователя.

2.2. Если Пользователь не согласен с условиями настоящей политики и не дает согласие на обработку персональных данных, он должен покинуть Сайт.

2.3.Настоящая Политика применяется только к Сайту http://preventiva.ru/.

2.4. Администрация Сайта не проверяет достоверность персональных данных, предоставляемых Пользователем Сайта http://preventiva.ru/.

3. ПРЕДМЕТ ПОЛИТИКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Настоящая Политика устанавливает обязательства Администрации Сайта http://preventiva.ru/ по неразглашению и обеспечению режима защиты конфиденциальности персональных данных, которые Пользователь предоставляет при заполнении соответствующих полей форм.

3.2. Персональные данные, разрешённые к обработке в рамках настоящей Политики, предоставляются Пользователем путём заполнения форм на Сайте http://preventiva.ru/ и включают в себя следующую информацию:

3.2.1. фамилию, имя, отчество, ИНН (при наличии) Пользователя;

3.2.2. контактный телефон Пользователя;

3.2.3. паспортные данные Пользователя.

4. ЦЕЛИ СБОРА ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ ПОЛЬЗОВАТЕЛЯ

4.1. Персональные данные Пользователя Администрация Сайта http://preventiva.ru/ может использовать в целях:

4.1.1. Идентификации Пользователя;

4.1.2. Установления с Пользователем обратной связи, включая направление уведомлений, запросов, рекламной рассылки, оказания юридических и бухгалтерских услуг, обработку запросов и заявок от Пользователя;

4.1.3. Уведомления Пользователя;

4.1.4. Осуществления рекламной деятельности с согласия Пользователя.

5. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных администрацией сайта осуществляется с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

5.1.1. обработка персональных данных осуществляется на законной и справедливой основе;

5.1.2. обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

5.1.3. не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

5.1.4. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

5.1.5. содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

5.1.6. обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

5.1.7. Администрация Сайта не обрабатывает персональные данные субъектов персональных данных, которые не дали надлежащее согласие на их обработку. Деятельность Администрации Сайта осуществляется в соответствии с требованиями Российского законодательства о персональных данных.

6. СПОСОБЫ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ

6.1. Обработка персональных данных Пользователя осуществляется до момента достижения целей обработки, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.

6.2. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.

7. МЕРЫ, ПРИНИМАЕМЫЕ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации в области персональных данных, включают:

7.1.1. Назначение лица, ответственного за организацию обработки персональных данных;

7.1.2. принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;

7.1.3. получение согласий субъектов персональных данных на обработку их персональных данных;

7.1.4. обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;

7.1.5. хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

7.1.6. осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам организации;

7.1.7. иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.

7.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными нормативными актами, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

8. ОБЯЗАТЕЛЬСТВА СТОРОН

8.1. Пользователь обязан:

8.1.1. Предоставить достоверную информацию о персональных данных, необходимую для обработки входящей заявки или заказа Пользователя.

8.2. Администрация Сайта обязана:

8.2.1. Использовать полученную информацию исключительно для целей, указанных в разделе 4 настоящей Политики.

8.2.2. Обеспечить хранение конфиденциальной информации в тайне, не разглашать без предварительного письменного разрешения Пользователя, а также не осуществлять продажу, обмен, опубликование, либо разглашение иными возможными способами переданных персональных данных Пользователя, за исключением п.п. 6.2. настоящей Политики.

8.2.3. Принимать меры предосторожности для защиты конфиденциальности персональных данных Пользователя согласно порядку, обычно используемого для защиты такого рода информации в существующем деловом обороте.

9. ДОПОЛНИТЕЛЬНЫЕ УСЛОВИЯ

9.1. Администрация Сайта вправе вносить изменения в настоящую Политику в одностороннем порядке.

Политика учреждения отношении обработки персональных данных

Директор МОУ СОШ с.Кутеевки

образовательных учреждений в отношении обработки персональных

Обозначения и сокращения.………………………………………………… 3

2. Принципы обеспечения защиты информации, составляющей

3. Основные требования по защите информации составляющей

персональные данные………………………. 13

4. Порядок организации и проведения работ по защите информации. …. 15

5. Порядок обеспечения защиты информации при эксплуатации ИСПДн. 16

6. Порядок организации делопроизводства, хранения и обращения

накопителей и носителей информации……………………………………. 17

7. Контроль состояния и эффективности защиты ИСПДн…………………. 19

Обозначения и сокращения

ИСПДн – информационная система персональных данных.

НСД — несанкционированный доступ.

ПДн – персональные данные.

Политика – политика образовательных учреждений в отношении

обработки персональных данных.

СЗПДн – система защиты персональных данных.

ТЗКИ – техническая защита конфиденциальной информации.

ТС – техническое средство.

Термины и определения

Автоматизированная обработка персональных данных

обработка персональных данных с помощью средств вычислительной

Безопасность информации – состояние защищенности

информации, характеризуемое способностью технических средств и

информационных технологий обеспечивать конфиденциальность,

целостность и доступность информации при ее обработке техническими

Вирус (компьютерный, программный) – исполняемый

программный код или интерпретируемый набор инструкций, обладающий

свойствами несанкционированного распространения и

самовоспроизведения. Созданные дубликаты компьютерного вируса не

всегда совпадают с оригиналом, но сохраняют способность к

дальнейшему распространению и самовоспроизведению.

Вредоносная программа – программа, предназначенная для

осуществления несанкционированного доступа и (или) воздействия на

персональные данные или ресурсы информационной системы

Доступ к информации – возможность получения информации и ее

Защищаемая информация – информация, являющаяся предметом

собственности и подлежащая защите в соответствии с требованиями

правовых документов или требованиями, устанавливаемыми

Информационная система персональных данных – совокупность

содержащихся в базах данных персональных данных и обеспечивающих

их обработку информационных технологий и технических средств.

Источник угрозы безопасности информации – субъект доступа,

материальный объект или физическое явление, являющиеся причиной

возникновения угрозы безопасности информации.

Накопитель информации – устройство, предназначенное для

записи и (или) чтения информации на носитель информации.

Накопитель информации конструктивно может содержать в себе

неотчуждаемый носитель информации, либо может быть предназначен

для использования сменных носителей информации. Накопители

подразделяются на встроенные (в конструктиве системного блока) и

внешние (подсоединяемые через порт). Встроенные накопители

подразделяются на съемные и несъемные.

Нарушитель безопасности персональных данных – физическое

лицо, случайно или преднамеренно совершающее действия, следствием

которых является нарушение безопасности персональных данных при

их обработке (в том числе техническими средствами) в

информационных системах персональных данных.

Несанкционированный доступ (несанкционированные

действия) – доступ к информации или действия с информацией,

осуществляемые с нарушением установленных прав и (или) правил

доступа к информации или действий с ней с применением штатных

средств информационной системы или средств, аналогичных им по

своим функциональному предназначению и техническим

Носитель информации – физический объект, предназначенный

для хранения информации.

Обработка персональных данных – любое действие (операция)

или совокупность действий (операций), совершаемых с использованием

средств автоматизации или без использования таких средств с

персональными данными, включая сбор, запись, систематизацию,

накопление, хранение, уточнение (обновление, изменение), извлечение,

использование, передачу (распространение, предоставление, доступ),

обезличивание, блокирование, удаление, уничтожение персональных

Оператор – государственный орган, муниципальный орган,

юридическое или физическое лицо, самостоятельно или совместно с

другими лицами организующие и (или) осуществляющие обработку

персональных данных, а также определяющие цели обработки

персональных данных, состав персональных данных, подлежащих

обработке, действия (операции), совершаемые с персональными

Перехват (информации) – неправомерное получение информации

с использованием технического средства, осуществляющего

обнаружение, прием и обработку информативных сигналов.

Персональные данные – любая информация, относящаяся к прямо

или косвенно определенному или определяемому физическому лицу

(субъекту персональных данных).

Пользователь информационной системы персональных данных

– лицо, участвующее в функционировании информационной системы

персональных данных или использующее результаты ее

Распространение персональных данных – действия,

направленные на раскрытие персональных данных неопределенному

Система защиты персональных данных – комплекс

организационных мер и программно-технических (в том числе

криптографических) средств обеспечения безопасности информации в

Технические средства информационной системы персональных

данных – средства вычислительной техники, информационно-

вычислительные комплексы и сети, средства и системы передачи,

приема и обработки персональных данных (средства и системы

звукозаписи, звукоусиления, звуковоспроизведения, переговорные и

телевизионные устройства, средства изготовления, тиражирования

документов и другие технические средства обработки речевой,

графической, видео- и буквенно-цифровой информации), программные

средства (операционные системы, системы управления базами данных и

т.п.), средства защиты информации.

Технический канал утечки информации – совокупность

носителя информации (средства обработки), физической среды

распространения информативного сигнала и средств, которыми

добывается защищаемая информация.

Угрозы безопасности персональных данных – совокупность

условий и факторов, создающих опасность несанкционированного, в

том числе случайного, доступа к персональным данным, результатом

которого может стать уничтожение, изменение, блокирование,

копирование, распространение персональных данных, а также иных

несанкционированных действий при их обработке в информационной

системе персональных данных.

Уничтожение персональных данных – действия, в результате

которых становится невозможным восстановить содержание

персональных данных в информационной системе персональных

данных и (или) в результате которых уничтожаются материальные

носители персональных данных.

Утечка (защищаемой) информации по техническим каналам

неконтролируемое распространение информации от носителя

защищаемой информации через физическую среду до технического

средства, осуществляющего перехват информации.

1. Основные положения

1.1. Настоящая Политика устанавливает порядок организации и

проведения работ по защите информации в ИСПДн, создаваемых и

эксплуатируемых в образовательных учреждениях.

1.2. Требования настоящей Политики распространяются на защиту

информации с ограниченным доступом, отнесенной к информации,

1.3. Политика является дополнением к действующим в РФ

нормативным документам по вопросам обеспечения информационной

безопасности ПДн, и не исключает обязательного выполнения их

1.4. Политика служит основой для разработки комплекса

организационных и технических мер по обеспечению информационной

безопасности ПДн образовательных учреждений, а также нормативных и

методических документов, обеспечивающих ее реализацию.

1.5. Политика определяет следующие основные вопросы защиты

основные принципы и требования по защите информации,

порядок организации и проведения работ по защите

порядок обеспечения защиты информации при эксплуатации

порядок организации делопроизводства, хранения и обращения

накопителей и носителей информации.

2. Принципы обеспечения защиты информации,

составляющей персональные данные

Защита информации, составляющей ПДн должна осуществляться в

соответствии со следующими основными принципами:

2.1. Законность — предполагает обеспечение защиты ПДн в

соответствии с действующим в РФ законодательством и нормативными

актами в области защиты ПДн. Пользователи и обслуживающий

персонал ИСПДн должны быть осведомлены о правилах и порядке

работы с защищаемой информацией и об ответственности за их

2.2. Системность — предполагает учет всех взаимосвязанных,

взаимодействующих и изменяющихся во времени элементов, условий и

факторов, существенно значимых для понимания и решения проблемы

обеспечения безопасности ПДн ИСПДн.

2.3. Комплексность — предполагает согласованное применение

разнородных средств и систем при построении комплексной системы

защиты информации, перекрывающей все существенные каналы

реализации угроз и не содержащей слабых мест на стыках отдельных ее

компонентов. Для каждого канала утечки информации и для каждой

угрозы безопасности должно существовать несколько защитных

рубежей. Создание защитных рубежей осуществляется с учетом того,

чтобы для их преодоления потенциальному злоумышленнику

требовались профессиональные навыки в нескольких

2.4. Непрерывность — предполагает функционирование СЗПДн в

виде непрерывного целенаправленного процесса, предполагающего

принятие соответствующих мер на всех этапах жизненного цикла

ИСПДн. ИСПДн должны находиться в защищенном состоянии на

протяжении всего времени их функционирования. В соответствии с этим

принципом должны приниматься меры не допускающие переход

ИСПДн в незащищенное состояние.

2.5. Своевременность — предполагает упреждающий характер

мер обеспечения безопасности ПДн, то есть постановку задач по

комплексной защите ИСПДн и реализацию мер обеспечения

безопасности ПДн на ранних стадиях разработки ИСПДн в целом и ее

системы защиты информации, в частности.

2.6. Совершенствование — предполагает постоянное

совершенствование мер и средств защиты информации на основе

комплексного применения организационных и технических решений,

квалификации персонала, анализа функционирования ИСПДн и ее

системы защиты с учетом изменений условий функционирования

ИСПДн, появления новых методов и средств перехвата информации,

изменений требований нормативных документов по защите ПДн.

2.7. Персональная ответственность — предполагает возложение

ответственности за обеспечение безопасности ПДн и ИСПДн на каждого

исполнителя в пределах его полномочий. В соответствии с этим

принципом распределение прав и обязанностей исполнителей строится

таким образом, чтобы в случае любого нарушения круг виновников был

четко известен или сведен к минимуму.

2.8. Минимальная достаточность — предполагает предоставление

исполнителям минимально необходимых прав доступа к ресурсам

ИСПДн в соответствии с производственной необходимостью, на основе

принципа «запрещено все, что не разрешено явным образом».

2.9. Гибкость системы защиты — предполагает наличие

возможности варьирования уровнем защищенности при изменении

условий функционирования ИСПДн.

2.10. Обязательность контроля — предполагает обязательность и

своевременность выявления и пресечения попыток нарушения

установленных правил обеспечения безопасности ПДн на основе

используемых систем и средств защиты информации. Контроль за

деятельностью каждого пользователя, каждого средства защиты и в

отношении каждого объекта защиты должен осуществляться на основе

применения средств контроля и регистрации и должен охватывать как

несанкционированные, так и санкционированные действия

3. Основные требования по защите информации

составляющей персональные данные

3.1. Защита информации в ИСПДн является неотъемлемой

составной частью управленческой и научной деятельности

образовательных учреждений и должна осуществляться во взаимосвязи с

другими мерами по защите информации, составляющей ПДн.

3.2. Защита информации является составной частью работ по

созданию и эксплуатации ИСПДн и должна осуществляться в

установленном настоящей Политикой порядке и реализовываться в виде

системы (подсистемы) защиты ПДн.

3.3. Защита информации должна осуществляться посредством

выполнения комплекса мероприятий по предотвращению утечки

информации по техническим каналам, за счет НСД к ней, по

предупреждению преднамеренных программно — технических

воздействий с целью нарушения целостности (уничтожения, искажения)

информации в процессе ее обработки, передачи и хранения, нарушения

ее санкционированной доступности и работоспособности ТС.

3.4. В ИСПДн должны использоваться сертифицированные по

требованиям безопасности информации средства защиты информации и

(или) технические и организационные решения, исключающие утечку

информации по техническим каналам, за счет НСД, предупреждающие

нарушение целостности информации и ее санкционированной

3.5. Защита информации должна быть дифференцированной в

зависимости от применяемых технических средств, обрабатывающих

информацию, составляющую ПДн, установленного класса ИСПДн и

утвержденной для ИСПДн модели угроз.

3.6. Все используемые в ИСПДн средства защиты информации

должны быть проверены на соответствие ограничениям и условиям

эксплуатации, изложенным в сертификате соответствия,

эксплуатационной документации или формуляре (для технических и

программных средств защиты информации соответственно).

3.7. Обработка информации составляющей ПДн осуществляется

на основании письменного разрешения (приказа) руководителя

образовательного учреждения, в котором эксплуатируется ИСПДн.

3.8. Ответственность за обеспечение выполнения установленных

требований по защите информации возлагается на руководителя

образовательного учреждения, в котором создается (совершенствуется) и

3.9. Все ИСПДн должны пройти оценку эффективности

принимаемых мер по обеспечению безопасности ПДн до начала

обработки информации составляющей ПДн.

4. Порядок организации и проведения работ по защите

4.1. Организация работ по защите информации возлагается на

руководителей образовательных учреждений, осуществляющих

разработку (модернизацию) и эксплуатацию ИСПДн.

4.2. Организация и проведение работ по защите информации,

составляющей ПДн на различных стадиях разработки, внедрения и

эксплуатации ИСПДн определяется действующими в РФ нормативными

документами и настоящим документом.

4.3. Проведение работ по защите информации, составляющей

ПДн, осуществляется силами образовательного учреждения, в котором

создается (совершенствуется) ИСПДн. В случае невозможности или

нецелесообразности выполнения работ по защите информации силами

образовательного учреждения к этим работам должна привлекаться

специализированная организация, имеющая соответствующие лицензии

на право выполнения работ и оказания услуг по ТЗКИ.

4.4. Стадии создания системы защиты информации:

Предпроектная стадия — включает предпроектное

обследование создаваемой ИСПДн, разработку аналитического

обоснования необходимости создания системы защиты информации и

технического задания на ее создание.

Стадия проектирования (разработки проектов) и реализации

ИСПДн —включает разработку СЗПДн в составе ИСПДн.

Стадия ввода в действие системы СЗПДн — включает

опытную эксплуатацию и приемо-сдаточные испытания средств защиты

информации, а также оценку эффективности принимаемых мер по

обеспечению безопасности ПДн.

5. Порядок обеспечения защиты информации при

5.1. Эксплуатация ИСПДн должна осуществляться в полном

соответствии с утвержденной проектной, организационно-

распорядительной и эксплуатационной документацией ИСПДн.

5.2. Ответственность за обеспечение защиты информации в

процессе эксплуатации ИСПДн возлагается на руководителя

образовательного учреждения, в ведении которого находится эта ИСПДн.

5.3. Ответственность за соблюдение установленных требований

по защите информации при ее обработке в ИСПДн возлагается на

непосредственных исполнителей ИСПДн (пользователей,

администраторов, обслуживающий персонал).

5.4. За нарушение установленных требований по защите

информации руководитель образовательного учреждения, в ведении

которого находится ИСПДн и (или) непосредственный исполнитель

привлекаются к ответственности в соответствии с действующим в

6. Порядок организации делопроизводства, хранения и

обращения накопителей и носителей информации

6.1. Все накопители и носители информации содержащие ПДн на

бумажной, магнитной, магнито — оптической и иной основе, используемые

в технологическом процессе обработки информации в ИСПДн, подлежат

учету, хранению и обращению в соответствии с требованиями

6.2. Организация и ведение учета накопителей и носителей ПДн,

организация их хранения, обращения и уничтожения осуществляются

ответственными делопроизводителями конфиденциального

6.3. ПДн, должны обособляться от иной информации, в частности

путем фиксации их на отдельных материальных носителях ПДн, в

специальных разделах или на полях форм (бланков).

6.4. При фиксации ПДн на материальных носителях не

допускается фиксация на одном материальном носителе ПДн, цели

обработки которых заведомо не совместимы.

6.5. Для обработки различных категорий ПДн, осуществляемой

без использования средств автоматизации, для каждой категории ПДн

должен использоваться отдельный материальный носитель.

6.6. Обработка ПДн без использования средств автоматизации

должна осуществляться таким образом, чтобы в отношении каждой

категории ПДн можно было определить места хранения ПДн

(материальных носителей) и установить перечень лиц, осуществляющих

обработку ПДн либо имеющих к ним доступ.

6.7. Должно обеспечиваться раздельное хранение ПДн

(материальных носителей), обработка которых осуществляется в

6.8. При хранении материальных носителей должны соблюдаться

условия, обеспечивающие сохранность ПДн и исключающие

несанкционированный к ним доступ.

7. Контроль состояния и эффективности защиты ИСПДн

7.1. В ИСПДн должен осуществляться контроль и (или) аудит

соответствия обработки ПДн действующим в РФ законодательству и

требованиям к защите ПДн, а так же настоящей Политике и локальным

актам образовательных учреждений.

7.2. Контроль заключается в оценке выполнения требований

нормативных документов, обоснованности принятых мер и оценке

эффективности принятых мер по обеспечению ПДн.

7.3. Контроль подразделяется на оперативный и плановый

7.4. В процессе эксплуатации ИСПДн в целях защиты

информации от НСД осуществляются оперативный контроль и

периодический контроль за выполнением исполнителями требований

действующих нормативных документов по вопросам обеспечения

безопасности и защиты ПДн.

7.5. С целью своевременного выявления и предотвращения утечки

информации, исключения или существенного затруднения НСД и

предотвращения специальных воздействий (программно-технических и

др.), вызывающих нарушение целостности информации или

работоспособность технических средств, в ИСПДн образовательных

учреждений проводится плановый периодический (не реже одного раза

в год) контроль состояния защиты информации.

7.6. При проведении плановых проверок осуществляется контроль

ведения учетной документации, защищенности ИСПДн от утечки ПДн по

техническим каналам, выборочный контроль содержимого накопителей и

носителей информации, и т.п.

7.7. Результаты контроля оформляются актами, заключениями и

записями в эксплуатационной документации.
скачать

Политика организации в отношении обработки персональных данных

Политика организации в отношении обработки персональных данных

1.1. Настоящий документ (далее – «Политика») определяет политику федерального государственного автономного образовательного учреждения высшего образования «Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики» (ОГРН: 1027806868154, ; адрес: 197101, г. Санкт-Петербург, Кронверкский пр., д. 49, далее — «Оператор») в отношении обработки персональных данных и содержит, помимо прочего, сведения о реализуемых Оператором требованиях к защите персональных данных.

1.2. Политика утверждена и опубликована на сайте http://cccp. ifmo. ru (далее – «Сайт») во исполнение Оператором предусмотренных частью 2 статьи 18.1 Федерального закона от 01.01.2001 N 152-ФЗ «О персональных данных» (далее – «Федеральный закон») обязанностей по опубликованию в информационно-телекоммуникационной сети документа, определяющего политику Оператора в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных, а также по обеспечению возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

1.3. Политика разработана с учетом требований законодательства Российской Федерации в области персональных данных. Примененные в Политике термины следует понимать в значении, определенном для них в Федеральном законе, если иное прямо не оговорено в Политике.

1.4. Политика доступна любому пользователю сети Интернет при переходе по ссылке http://www. ifmo. ru/images/pages/79/Pravila_ispolzovanija_informacii. pdf.

1.5. Оператор обрабатывает персональные данные пользователей с учетом следующих принципов:

— обработка персональных данных осуществляется Оператором на законной и справедливой основе;

— обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Оператором не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

— не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

— обработке Оператором подлежат только персональные данные, которые отвечают целям их обработки;

— содержание и объем обрабатываемых Оператором персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;

— при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных;

— хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2. Права субъекта персональных данных на доступ к его персональным данным

2.1. Субъект персональных данных имеет право на получение следующих сведений:

· подтверждение факта обработки персональных данных Оператором;

· правовые основания и цели обработки персональных данных;

· цели и применяемые Оператором способы обработки персональных данных;

· наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

· обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

· сроки обработки персональных данных, в том числе сроки их хранения;

· порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;

· информацию об осуществленной или о предполагаемой трансграничной передаче данных;

· наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

· иные сведения, предусмотренные законодательством Российской Федерации.

2.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в случаях, предусмотренных законодательством Российской Федерации.

3. Реализуемые оператором требования к защите персональных данных

3.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3.2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Похожих постов не найдено

Комментариев нет, будьте первым кто его оставит