ПОЛОЖЕНИЕ
об обеспечении безопасности персональных данных при их обработке в
Обществе с ограниченной ответственностью «Инновации в визуализации»
1. Общие положения
1.1. Настоящее Положение об обеспечении безопасности персональных данных при их обработке в Обществе с ограниченной ответственностью «Инновации в визуализации» (далее – Общество) определяет меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Общества.
1.2. Целью настоящего Положения является обеспечение защиты прав граждан при обработке их персональных данных в информационных системах персональных данных, а также при ведении кадровой работы в Обществе.
1.3. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 17.11.2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и иными нормативно-правовыми актами.
1.4. Настоящее Положение вступает в силу с момента его утверждения и действует бессрочно до замены его новым Положением. Все изменения в настоящее Положение вносятся приказом генерального директора.
2. Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных
2.1. Общество при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры и обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2.2. Обеспечение безопасности персональных данных достигается, в частности:
2.2.1. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
2.2.2 Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
2.2.3. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
2.2.4. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
2.2.5. Учетом машинных носителей персональных данных.
2.2.6. Обнаружение фактов несанкционировнного доступа к персональным данным и принятием мер.
2.2.7. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
2.2.8. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
2.2.9. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
3. Определение угроз безопасности персональных данных при их обработке в
информационных системах персональных данных
3.1. Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
3.2. Определение угроз безопасности персональных данных осуществляется в модели угроз безопасности персональных данных соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России от 15.02.2008 г.
4. Перечень автоматизированных рабочих мест, используемых для обработки персональных данных, и работников, ответственных за их безопасность при обработке на автоматизированных рабочих местах
4.1. Перечень автоматизированных рабочих мест (далее – АРМ), на которых осуществляется обработка персональных данных в составе информационных систем персональных данных, утверждается приказом генерального директора.
4.2. Перечень АРМ, на которых осуществляется обработка персональных данных, своевременно корректируется и дополняется лицом, ответственным за техническое обеспечение безопасности персональных данных при их обработке и хранении в Обществе, а также внутренний контроль за соблюдением Обществом и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных.
4.3. Ответственным за безопасность персональных данных при обработке их на каждом отдельном АРМ является работник, осуществляющий обработку персональных данных с использованием этого АРМ. Данный работник указывается в перечне АРМ, используемых для обработки персональных данных, в графе «Ответственный работник». В тех случаях, когда одно АРМ используют несколько работников, все они перечисляются в числе ответственных за безопасность персональных данных при работе на этом АРМ.
5. Перечень персональных данных, обрабатываемых в информационных
системах персональных данных
5.1. В информационных системах персональных данных Общества обрабатываются следующие персональные данные субъектов, не являющихся работниками Общества, позволяющие идентифицировать данного субъекта персональных данных:
- Фамилия, имя отчество;
- Контактный телефон;
- Электронная почта.
6. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
6.1. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
6.2. Уровень требований, предъявляемых по обеспечению безопасности персональных данных, обрабатываемых в информационных системах Общества, зависит от состава актуальных угроз и класса информационной системы персональных данных. Для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных класса 3 система защиты персональных данных должна включать:
- управление доступом;
- регистрацию и учет;
- обеспечение целостности персональных данных;
- антивирусную защиту;
- предотвращение и обнаружение вторжений.
6.3. Система управления доступом реализована в информационных системах персональных данных Общества и позволяет разграничивать доступ пользователей к отдельным объектам системы и отдельным группам персональных данных.
6.3.1. Пользователи информационных систем персональных данных объединены в группы, обладающие определенными ролями в процессе обработки данных. Роли определяют, какими правами доступа обладают пользователи информационных систем персональных данных.
6.3.2. Аутентификация пользователя при доступе к информационным системам персональных данных осуществляется с помощью уникального идентификатора пользователя (логина) и пароля. Пароль должен иметь цифро-буквенную структуру, т.е. состоять одновременно из цифр и букв в русской или латинской раскладке клавиатуры. Пароль не может быть короче 6 символов. Пароли меняются регулярно 1 раз в квартал у всех пользователей информационных систем персональных данных.
6.3.2.1. Ответственным за неразглашение пароля назначается пользователь информационной системы персональных данных.
6.3.2.2. Смену пароля пользователя информационной системы персональных данных осуществляет ответственный за техническое обеспечение безопасности персональных данных при их обработке и хранении в Обществе, а также внутренний контроль за соблюдением Обществом и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных.
6.3.2.3. В случае, если создалась угроза компрометации пароля пользователя информационных систем персональных данных, пользователь обязан незамедлительно обратиться к ответственному за техническое обеспечение безопасности персональных данных при их обработке и хранении в Обществе, а также внутренний контроль за соблюдением Обществом и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных для внеплановой смены пароля.
6.3.3. Физический доступ посторонних лиц к рабочим местам пользователей информационных систем персональных данных запрещен. Персональные данные обрабатываются в отдельных помещениях, а пользовательские экраны имеют функцию автоблокировки по истечению заданного времени бездействия.
6.3.4. Хранение централизованных баз данных информационных систем персональных данных осуществляется на основных серверах Общества, расположенных в специально выделенном, закрытом помещении (серверной) со строго ограниченным доступом. Доступ в серверную имеет только ответственный за техническое обеспечение безопасности персональных данных при их обработке и хранении в Обществе, а также внутренний контроль за соблюдением Обществом и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных. Сетевой доступ к базам данных информационных систем персональных данных разграничен по правам доступа ролей пользователей, ведущих обработку персональных данных.
6.3.5. Доступ в глобальную сеть Интернет на рабочих местах пользователей информационных систем персональных данных ограничен на уровне настроек автоматизированного рабочего места, а также на уровне прокси-сервера Общества, осуществляющего централизованный доступ в Интернет путем блокирования интернет-ресурсов с запрещенным контентом. Использование GSM-модемов на рабочих местах пользователей информационных систем персональных данных запрещено.
6.4. Система регистрации и учета реализована в информационных системах персональных данных Общества в виде электронных журналов учета действий пользователя, в которых регистрируются подлежащие учету действия пользователя: дата и время доступа пользователя к информационной системе персональных данных, тип объекта информационной системы, к которому был осуществлен доступ, вид действия, которое было произведено с объектом информационной системы.
6.5. Обеспечение целостности персональных данных при обработке в информационных системах персональных данных достигается применением процедуры автоматического многократно дублированного резервного копирования персональных данных с возможностью их быстрого восстановления в случае их изменения, повреждения, блокирования или уничтожения в следствие технологической аварии или несанкционированного доступа.
6.5.1. Резервное копирование персональных данных осуществляется автоматически в конце каждого рабочего дня.
6.5.2. Резервные копии персональных данных дублируются на основных серверах Общества, а также на компьютере ответственного за техническое обеспечение безопасности персональных данных при их обработке и хранении в Обществе, а также внутренний контроль за соблюдением Обществом и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных. Резервные копии персональных данных хранятся в виде электронных архивов в течение длительного времени, что позволяет в случае необходимости восстановить их с разной степенью актуальности. Файловый и сетевой доступ к резервным копиям персональных данных ограничен ответственным за техническое обеспечение безопасности персональных данных при их обработке и хранении в Обществе, а также внутренний контроль за соблюдением Обществом и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных.
6.5.3. Ответственный за техническое обеспечение безопасности персональных данных при их обработке и хранении в Обществе, а также внутренний контроль за соблюдением Обществом и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных может в течение рабочего дня создавать резервные копии персональных данных по своему усмотрению в целях предотвращения их изменения, повреждения или уничтожения.
6.5.4. Резервные копии персональных данных могут быть записаны на твердотельные диски (DVD-ROM) для долговременного хранения. Запись резервной копии персональных данных на твердотельный диск осуществляется ответственным за техническое обеспечение безопасности персональных данных при их обработке и хранении в Обществе, а также внутренний контроль за соблюдением Обществом и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных. Резервные копии персональных данных на твердотельных дисках хранятся в специально оборудованном, закрытом помещении с ограниченным доступом.
6.6. Антивирусная защита персональных данных обеспечена применением антивирусного программного комплекса на всех компьютерах Общества. Обновление антивирусных баз осуществляется ежедневно автоматически под контролем системного администратора Общества, ответственного за антивирусную защиту.
6.8. Предотвращение вторжений в электронно-вычислительную сеть Общества и информационные системы персональных данных обеспечено следующими мерами:
- разграничение доступа пользователей к компьютерам с использованием логина и пароля;
- разграничение доступа пользователей к объектам информационных систем согласно ролям пользователей;
- автоматическая блокировка неиспользуемых длительное время терминалов;
- использование специально оборудованного, закрытого помещения с ограниченным доступом для содержания центральных серверов Общества и хранения резервных копий персональных и технологических данных;
- использование брандмауэров на персональных компьютерах пользователей и серверах Общества;
- регулярный мониторинг уязвимостей используемого программного обеспечения ответственным за техническое обеспечение безопасности персональных данных при их обработке и хранении в Обществе, а также внутренний контроль за соблюдением Обществом и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных и обновление его в случае обнаружения критических уязвимостей;
- регулярное резервное копирование системной технологической информации: файлов конфигурации, журналов регистрации, базы данных контроллеров домена, веб-сервера Общества и прочей технологической информации.
Для обнаружения вторжений ответственным за техническое обеспечение безопасности персональных данных при их обработке и хранении в Обществе, а также внутренний контроль за соблюдением Обществом и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных проводится регулярный анализ файлов регистрации прокси-сервера, веб-сервера и основных серверов Общества.
7. Осуществление контроля за принимаемыми мерами по обеспечению безопасности
персональных данных
7.1. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных при обработке их в информационных системах персональных данных Общества осуществляет ответственный за техническое обеспечение безопасности персональных данных при их обработке и хранении в Обществе, а также внутренний контроль за соблюдением Обществом и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных.
7.2. Ответственным за техническое обеспечение безопасности персональных данных при их обработке и хранении в Обществе, а также внутренний контроль за соблюдением Обществом и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных обеспечивает:
- проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным;
- своевременное обнаружение фактов несанкционированного доступа к персональным данным или же их изменения, повреждения, блокировки или уничтожения;
- осуществление режима разграничения доступа пользователей к информационным системам персональных данных;
- осуществление контроля за плановой сменой паролей пользователей, осуществляющих обработку персональных данных;
- недопущение воздействий на технические средства автоматизированной обработки персональных данных, в результате которых может быть нарушено их функционирование;
- поддержание в работоспособном состоянии и своевременное обновление технических и программных средств автоматизированной обработки персональных данных;
- возможность незамедлительного восстановления персональных данных из резервных копий в случаях их изменения, повреждения, блокировки или уничтожения вследствие технологических неисправностей или несанкционированного доступа;
- контроль за осуществлением регулярного резервного копирования персональных данных;
- формирование и поддержание в актуальном состоянии перечней информационных систем персональных данных и автоматизированных рабочих мест, используемых для обработки персональных данных, а также списков работников, ответственных за безопасность персональных данных при их обработке на конкретном автоматизированном рабочем месте;
- проведение инструктажа работников по безопасности персональных данных при обработке их на автоматизированных рабочих местах;
- прочий контроль за соблюдением мер, направленных на обеспечение защиты персональных данных при их обработке в информационных системах персональных данных.
8. Права и обязанности работников, осуществляющих обработку персональных данных на автоматизированных рабочих местах
8.1. Работник, осуществляющий обработку персональных данных на автоматизированном рабочем месте, обязан:
- знать и выполнять требования действующих нормативных актов Общества в сфере обработки персональных данных;
- знать и соблюдать установленные требования по условиям и порядку обработки персональных данных, учету, обеспечению безопасности персональных данных;
- соблюдать требования правил создания и использования паролей доступа к информационным системам персональных данных, в частности, обеспечивать: неразглашение своего индивидуального логина и пароля, в том числе в письменном виде в качестве записок-напоминаний, пометок и т.п, своевременную плановую смену пароля или внеплановую в случае угрозы его разглашения;
- обеспечивать недопущение за свое рабочее место посторонних лиц, а также работников, не имеющих доступ к обработке персональных данных на его рабочем месте;
- экран монитора в помещении располагать во
врем
я работы так, чтобы исключала
сь возмо
жность несанкционированного ознакомления с отображаемой на нем информацией посторонними лицами, жалюзи на оконных проемах должны быть закрыты;
- блокировать терминал своего рабочего места при его покидании путем нажатия комбинации Win+L на клавиатуре либо комбинации Ctrl+Alt+Del и выбора опции «Блокировать компьютер»;
- незамедлительно извещать ответственного за техническое обеспечение безопасности персональных данных при их обработке и хранении в Обществе, а также внутренний контроль за соблюдением Обществом и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных в случае выявленных фактов изменения, повреждения, блокирования или уничтожения персональных данных.
8.2. Работнику, осуществляющему обработку персональных данных на автоматизированном рабочем месте, запрещается:
- разглашать персональные данные третьим лицам;
- копировать персональные данные на внешние носители либо общедоступные сетевые ресурсы без разрешения своего непосредственного руководителя;
- самостоятельно вмешиваться в функционирование аппаратных и программных составляющих своего автоматизированного рабочего места, устанавливать программы, драйверы, GSM-модемы, подключать мобильные устройства и тому подобное оборудование;
- несанкционированно, без разрешения своего непосредственного руководителя и консультации с ответственным за техническое обеспечение безопасности персональных данных при их обработке и хранении в Обществе, а также внутренний контроль за соблюдением Обществом и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных открывать общий доступ к папкам на своем автоматизированном рабочем месте;
- отключать или блокировать средства защиты информации такие, как антивирусная система и сетевой брандмауэр;
- хранить и обрабатывать на своем автоматизированном рабочем месте информацию личного характера и прочую информацию, не имеющую непосредственного отношения к должностным обязанностям работника;
- привлекать посторонних лиц для производства ремонта или настройки своего автоматизированного рабочего места.
8.3. Работник, осуществляющий обработку персональных данных на автоматизированном рабочем месте, имеет право получать инструктаж по безопасности персональных данных у ответственного за техническое обеспечение безопасности персональных данных при их обработке и хранении в Обществе, а также внутренний контроль за соблюдением Обществом и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных, а также обращаться к ним по иным вопросам в целях обеспечения безопасности персональных данных.