Политика обработки персональных данных

ПОЛОЖЕНИЕ

об обеспечении безопасности персональных данных,

обрабатываемых в информационных системах персональных данных

ООО «НЭОМЕД-плюс»

1. Термины и определения

1.1.   Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

1.2.   Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.3.   Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.4.   Основные технические средства и системы – технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи персональных данных.

1.5.   Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.6.   Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

1.7.   Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

1.8.   Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.9.   Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2. Общие положения

• 1. Настоящее Положение об обеспечении безопасности персональных данных, обрабатываемых винформационных системах персональных данных
  ООО «НЭОМЕД-плюс» (далее – Положение), разработано в соответствии с законодательством Российской Федерации о персональных данных (далее – ПДн) и нормативными правовыми актами (методическими документами) федеральных органов исполнительной властипо вопросам безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн).
• 2. Настоящее Положение определяет состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн.
• 3. Положение обязательно для исполнения всеми работниками
  ООО «НЭОМЕД-плюс» (далее – Общество), непосредственно осуществляющими защиту ПДн, обрабатываемых в ИСПДн.

3. Цели и задачи обеспечения безопасности персональных данных

• 1. Основной целью обеспечения безопасности ПДн, при их обработке в ИСПДн, является защита ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
• 2. Задачей, которую необходимо решить для достижения поставленной цели, является обеспечение безопасности ПДн при их обработке в ИСПДнс помощью системы защиты персональных данных (далее – СЗПДн), нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона
  от 27 июля2006 г. №152-ФЗ «Оперсональных данных».
• 3. СЗПДнвключает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности ПДн и информационных технологий, используемых в ИСПДн.

4. Основные принципы построения системы защиты информации

• 1. СЗПДносновывается на следующих принципах:
• системности;
• комплексности;
• непрерывности защиты;
• разумной достаточности;
• гибкости;
• простоты применения средств защиты информации (далее – СЗИ).
• 2. Принцип системности –предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн.
• 3. Принцип комплексности –предполагает, что СЗПДн должна включать совокупность объектов защиты, сил и средств, принимаемых мер, проводимых мероприятий и действий по обеспечению безопасности ПДн от возможных угроз всеми доступными законными средствами, методами и мероприятиями.
• 4. Принцип непрерывности защиты – это процесс обеспечения безопасности ПДн, осуществляемый руководством, ответственным за обеспечение безопасности ПДн
  в ИСПДн и работниками всех уровней. Это не только и не столько процедура или политика, которая осуществляется в определенный отрезок времени или совокупность СЗИ, сколько процесс, который должен постоянно идти на всех уровнях внутри Общества, и каждый работник должен принимать участие в этом процессе.
• 5. Принцип разумной достаточности–предполагает соответствие уровня затрат на обеспечение безопасности ПДн ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения.
• 6. Принцип гибкости–СЗПДн должна быть способна реагировать на изменения внешней среды и условий осуществления своей деятельности.
• 7. Принцип простоты применения СЗИ– механизмы защиты должны быть интуитивно понятны и просты в применении. Применение СЗИ не должно быть связано со знанием каких-либо языков или требовать дополнительных затрат на её применение, а также не должно требовать выполнения рутинных малопонятных операций.

5. Основные мероприятия по обеспечению безопасности персональных данных

• 1. Для обеспечения защиты ПДн, обрабатываемых в ИСПДн, проводятся следующие мероприятия:
• определение ответственных лиц за обеспечение защитыПДн;
• определение актуальных угроз безопасности ПДн;
• определение уровня защищенности ПДн;
• реализация правил разграничения доступа и введение ограничений на действия пользователей ИСПДн;
• ограничение доступа в помещения, где размещены основные технические средства и системы, позволяющие осуществлять обработку ПДн;
• учет и хранение съемных машинных носителейПДн;
• организация резервирования и восстановления работоспособности программного обеспечения, баз данных ПДн и СЗИ;
• организация парольной защиты;
• организация антивирусной защиты;
• организация обновления программного обеспечения и СЗИ;
• использование СЗИ;
• использование средств шифровальной (криптографической) защиты информации (далее – СКЗИ);
• оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию СЗПДн;
• обнаружение фактов несанкционированного доступа кПДн и принятие мер;
• контроль за принимаемыми мерами по обеспечению безопасности ПДн;
• планирование мероприятий по защите ПДн в ИСПДн;
• управление (администрирование) СЗПДн;
• управление конфигурацией ИСПДн и СЗПДн;
• реагирование на инциденты;
• информирование и обучение персонала ИСПДн.
• 2. Определение ответственных лиц за обеспечение безопасности ПДн
  • За вопросы обеспечения безопасности ПДн,обрабатываемых в ИСПДн, отвечают:
• Генеральный директор;
• Ответственный за организацию обработки ПДн –работник, отвечающий за организацию и состояние процесса обработки ПДн;
• Ответственный за обеспечение безопасности ПДн в ИСПДн– работник, отвечающий за правильность использования и нормальное функционирование установленной СЗПДн;
• Администратор ИСПДн– работник, отвечающий за правильность использования и бесперебойное, стабильное функционирование установленных систем обработки ПДн.
• 3. Определение актуальных угроз безопасности ПДн в ИСПДн
  • Актуальные угрозы безопасности ПДн, обрабатываемых в ИСПДн, определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей ИСПДн, возможных способов реализации угроз безопасности ПДн и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
  • Для определения угроз безопасности ПДн и разработки «Модели угроз безопасности персональных данных»применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии
    с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
• 4. Определение уровня защищенностиПДн
  • Уровень защищенности ПДн, обрабатываемых в ИСПДн, определяется в соответствии с постановлением Правительства Российской Федерации
    от1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и оформляется в виде «Акта об определения уровня защищенности персональных данных».
• 5. Реализация правил разграничения доступа и введение ограничений на действия пользователей ИСПДн
  • Реализация правил разграничения доступа, к ПДн, обрабатываемым в ИСПДн, осуществляется в соответствии с «Положением о разрешительной системе доступа в информационных системах персональных данных
    ООО «НЭОМЕД-плюс», утвержденным приказомГенерального директораОбщества.
  • Основные технические средства и системы ИСПДнрасполагаются в помещениях,находящихся в пределах границы контролируемой зоны, определеннойприказом Генерального директораОбщества, с максимальным удалением от её границ.
  • Доступ в помещения, в которых ведется обработка ПДн, осуществляется в соответствии с «Правилами доступа работников в помещения, в которых ведется обработка персональных данных вООО «НЭОМЕД-плюс», утвержденными приказом Генерального директораОбщества.
• 6. Учет и хранение съемных машинных носителей ПДн
  • Работа со съемными машинными носителями ПДн в ИСПДносуществляется в соответствии с «Порядком обращения со съемными машинными носителями персональных данных в ООО «НЭОМЕД-плюс», утвержденным приказом Генерального директораОбщества.
• 7. Организация резервирования и восстановления работоспособности программного обеспечения, баз данных ПДн и СЗИ.
  • Организация резервирования и восстановления работоспособности программного обеспечения, баз данных ПДн и СЗИв ИСПДносуществляется в соответствии с «Инструкцией по организации резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных ООО «НЭОМЕД-плюс», утвержденной приказом Генерального директораОбщества.
• 8. Организация парольной защиты
  • Организация парольной защиты в ИСПДносуществляется в соответствии с «Инструкцией по парольной защите информации
    в ООО «НЭОМЕД-плюс», утвержденной приказом Генерального директораОбщества.
• 9. Организация антивирусной защиты
  • Организация антивирусной защиты в ИСПДн осуществляется в соответствии с «Инструкцией по организации антивирусной защиты в
    ООО «НЭОМЕД-плюс», утвержденной приказом Генерального директораОбщества.
• 10. Организация обновления программного обеспечения и СЗИ
  • Организация обновления программного обеспечения и СЗИ в ИСПДносуществляется в соответствии с «Инструкцией ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных ООО «НЭОМЕД-плюс» и «Инструкцией администратора информационных систем персональных данных
    ООО «НЭОМЕД-плюс», утвержденныеприказом Генерального директораОбщества.
• 11. Применение СЗИ
  • Для обеспечения защиты ПДн, обрабатываемых в ИСПДн, применяются СЗИ, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации, в соответствии
    со статьей 5 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».
  • Установка и настройка СЗИ в ИСПДн проводится в соответствии с эксплуатационной документацией на СЗПДн и документацией на СЗИ.
• 12. Использование СКЗИ
  • Для обеспечения защиты ПДн, обрабатываемых в ИСПДн, при их передаче по открытым каналам связи, применяются СКЗИ. Обращение с СКЗИ, эксплуатируемыми в ИСПДн, осуществляется в соответствии с «Инструкциейпо обращению со средствами криптографической защиты информации
    в ООО «НЭОМЕД-плюс», утвержденной приказом Генерального директораОбщества.
• 13. Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию СЗПДн
  • На этапах внедрения СЗПДн проводится оценка эффективности принимаемых мер по обеспечению безопасности ПДн, которая включает в себя:
• предварительные испытания СЗПДн;
• опытную эксплуатацию СЗПДн;
• анализ уязвимостей ИСПДн и принятие мер по их устранению;
• приемочные испытания СЗПДн.
• 14. Обнаружение фактов несанкционированного доступа к ПДн и принятие мер
  • Ответственному за обеспечение безопасности ПДн в ИСПДн или администраторуИСПДн должны сообщаться любые инциденты информационной безопасности, в которые входят:
• факты попыток и успешной реализации несанкционированного доступа в ИСПДн;
• факты попыток и успешной реализации несанкционированного доступа в помещения, в которых ведется обработка ПДн;
• факты сбоя или некорректной работы систем обработки ПДн;
• факты сбоя или некорректной работы СЗИ;
• факты разглашения ПДн, обрабатываемых в ИСПДн;
• факты разглашения информации о методах и способах защиты и обработки ПДн в ИСПДн.
  • Разбор инцидентов информационной безопасности проводится в соответствии с «Регламентом реагирования на инциденты информационной безопасности в информационных системах персональных данных
    ООО «НЭОМЕД-плюс», утвержденным приказом Генерального директораОбщества.
• 15. Контроль за принимаемыми мерами по обеспечению безопасности ПДн
  • Контроль за принимаемыми мерами по обеспечению безопасности ПДн осуществляется в соответствии с «Регламентом проведения внутреннего контроля соответствия обработки персональных данных
    в ООО «НЭОМЕД-плюс», утвержденным приказом Генерального директораОбщества.

6. Ответственность

• 1. Все работники, допущенные в установленном порядке к работе с ПДн, несут административную, материальную, уголовную ответственность в соответствии с действующим законодательством Российской Федерации за необеспечение сохранностии несоблюдение правил работы с ПДн.
• 2. Ответственность за доведение требований настоящего Положения до работниковОбщества и обеспечение мероприятий по их реализации несет ответственный за обеспечение безопасности ПДн в ИСПДн.