Политика OOО «БИЛД» в отношении обработки персональных данных
Содержание
2. Понятия и состав персональных данных
3. Цели обработки персональных данных
4. Принципы и условия обработки персональных данных
5. Принципы обеспечения защиты информации, составляющей персональные данные
6. Основные требования по защите информации составляющей персональные данные
7. Порядок организации и проведения работ по защите информации
8. Порядок обеспечения защиты информации при эксплуатации ИСПДн
9. Порядок организации делопроизводства, хранения и обращения накопителей и носителей информации
10. Контроль состояния и эффективности защиты ИСПДн
Обозначения и сокращения
ИСПДн — информационная система персональных данных.
НСД — несанкционированный доступ.
ПДн — персональные данные.
Политика — политика ЗАО «БИЛД» в отношении обработки персональных данных.
СЗПДн — система защиты персональных данных.
ТЗКИ — техническая защита конфиденциальной информации.
ТС — техническое средство.
Термины и определения
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Безопасность информации — состояние защищенности информации, характеризуемое способностью технических средств и информационных технологий обеспечивать конфиденциальность, целостность и доступность информации при ее обработке техническими средствами.
Вирус (компьютерный, программный) — исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа — программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Доступ к информации — возможность получения информации, и ее использования.
Защищаемая информация — информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Источник угрозы безопасности информации — субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.
Накопитель информации — устройство, предназначенное для записи и (или) чтения информации на носитель информации. Накопитель информации конструктивно может содержать в себе неотчуждаемый носитель информации, либо может быть предназначен для использования сменных носителей информации. Накопители подразделяются на встроенные (в конструктиве системного блока) и внешние (подсоединяемые через порт). Встроенные накопители подразделяются на съемные и несъемные.
Нарушитель безопасности персональных данных — физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке (в том числе техническими средствами) в информационных системах персональных данных.
Несанкционированный доступ (несанкционированные действия) — доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам.
Носитель информации — физический объект, предназначенный для хранения информации.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции),совершаемые с персональными данными.
Перехват (информации) — неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Пользователь информационной системы персональных данных— лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Система защиты персональных данных —комплекс организационных мер и программно-технических (в том числе криптографических) средств обеспечения безопасности информации в ИСПДн.
Технические средства информационной системы персональных данных — средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации.
Технический канал утечки информации — совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Угрозы безопасности персональных данных — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных— действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Утечка (защищаемой) информации по техническим каналам — неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.
1. Основные положения
1.1. Важнейшим условием реализации целей деятельности ЗАО «БИЛД», является обеспечение необходимого и достаточного уровня информационной безопасности активов, к которым в том числе относятся персональные данные в рамках которых они обрабатываются.
1.2. Требования настоящей Политики распространяются на защиту информации с ограниченным доступом, отнесенной к информации, составляющей ПДн.
1.3. Политика является дополнением к действующим в РФ нормативным документам по вопросам обеспечения информационной безопасности ПДн, и не исключает обязательного выполнения их требований.
1.4. Политика служит основой для разработки комплекса организационных и технических мер по обеспечению информационной безопасности ПДн ЗАО «БИЛД», а также нормативных и методических документов, обеспечивающих ее реализацию.
1.5. Политика определяет следующие основные вопросы защиты информации:
- основные принципы и требования по защите информации, составляющей ПДн,
- порядок организации и проведения работ по защите информации,
- порядок обеспечения защиты информации при эксплуатации ИСПДн,
- порядок организации делопроизводства, хранения и обращения накопителей и носителей информации.
2. Понятие и состав персональных данных
2.1. Перечень персональных данных, подлежащих защите в ЗАО «БИЛД», формируется в соответствии с ФЗ РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
2.2. Сведениями, составляющими ПДн, в ЗАО «БИЛД» является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
2.3. В зависимости от субъекта ПДн, ЗАО «БИЛД» обрабатывает ПДн следующих категорий субъектов ПДн:
- ПДн работника ЗАО «БИЛД» — информация, необходимая в связи с трудовыми отношениями и касающиеся конкретного работника.
- ПДн руководителя, участника (акционера) — информация, необходимая ЗАО «БИЛД» для отражения в отчетных документах о деятельности ЗАО «БИЛД» в соответствии с требованиями федеральных законов, нормативных документов ЗАО «БИЛД» и иных нормативных правовых актов.
- ПДн Клиента (потенциального Клиента, партнера, контрагента) — информация, необходимая ЗАО «БИЛД» для выполнения своих обязательств в рамках договорных отношений с Клиентом и для выполнения требований законодательства Российской Федерации.
3. Цели обработки персональных данных
3.1. ЗАО «БИЛД» осуществляет обработку ПДн в следующих целях:
— организации кадрового учета, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении ПДн о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом ЗАО «БИЛД».
4. Принципы и условия обработки персональных данных
4.1. Обработка персональных данных ЗАО «БИЛД» осуществляется на основе принципов:
- законности и справедливости целей и способов обработки персональных данных;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям ЗАО «БИЛД»;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
- уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
4.2. Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.
5. Принципы обеспечения защиты информации, составляющей персональные данные
Защита информации, составляющей ПДн должна осуществляться в соответствии со следующими основными принципами:
5.1. Законность — предполагает обеспечение защиты ПДн в соответствии с действующим в РФ законодательством и нормативными актами в области защиты ПДн. Пользователи и обслуживающий персонал ИСПДн должны быть осведомлены о правилах и порядке работы с защищаемой информацией и об ответственности за их нарушение.
5.2. Системность — предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности ПДн ИСПДн.
5.3. Комплексность — предполагает согласованное применение разнородных средств и систем при построении комплексной системы защиты информации, перекрывающей все существенные каналы реализации угроз и несодержащей слабых мест на стыках отдельных ее компонентов. Для каждого канала утечки информации и для каждой угрозы безопасности должно существовать несколько защитных рубежей. Создание защитных рубежей осуществляется с учетом того, чтобы для их преодоления потенциальному злоумышленнику требовались профессиональные навыки в нескольких невзаимосвязанных областях.
5.4. Непрерывность — предполагает функционирование СЗПДн в виде непрерывного целенаправленного процесса, предполагающего принятие соответствующих мер на всех этапах жизненного цикла ИСПДн. ИСПДн должны находиться в защищенном состоянии на протяжении всего времени их функционирования. В соответствии с этим принципом должны приниматься меры не допускающие переход ИСПДн в незащищенное состояние.
5.5. Своевременность — предполагает упреждающий характер мер обеспечения безопасности ПДн, то есть постановку задач по комплексной защите ИСПДн и реализацию мер обеспечения безопасности ПДн на ранних стадиях разработки ИСПДн в целом и ее системы защиты информации, в частности.
5.6. Совершенствование — предполагает постоянное совершенствование мер и средств защиты информации на основе комплексного применения организационных и технических решений, квалификации персонала, анализа функционирования ИСПДн и ее системы защиты с учетом изменений условий функционирования ИСПДн, появления новых методов и средств перехвата информации, изменений требований нормативных документов по защите ПДн.
5.7. Персональная ответственность — предполагает возложение ответственности за обеспечение безопасности ПДн и ИСПДн на каждого исполнителя в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей исполнителей строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.
5.8. Минимальная достаточность — предполагает предоставление исполнителям минимально необходимых прав доступа к ресурсам ИСПДн в соответствии с производственной необходимостью, на основе принципа «запрещено все, что неразрешено явным образом».
5.9. Гибкость системы защиты — предполагает наличие возможности варьирования уровнем защищенности при изменении условий функционирования ИСПДн.
5.10. Обязательность контроля — предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности ПДн на основе используемых систем и средств защиты информации. Контроль за деятельностью каждого пользователя, каждого средства защиты и в отношении каждого объекта защиты должен осуществляться на основе применения средств контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.
6. Основные требования по защите информации составляющей персональные данные
6.1. Защита информации в ИСПДн является неотъемлемой составной частью управленческой и производственной деятельности ЗАО «БИЛД»и должна осуществляться во взаимосвязи с другими мерами по защите информации, составляющей ПДн.
6.2. Защита информации является составной частью работ по созданию и эксплуатации ИСПДн и должна осуществляться в установленном настоящей Политикой порядке и реализовываться в виде системы (подсистемы) защиты ПДн.
6.3. Защита информации должна осуществляться посредством выполнения комплекса мероприятий по предотвращению утечки информации по техническим каналам, за счет НСД к ней, по предупреждению преднамеренных программно — технических воздействий с целью нарушения целостности (уничтожения, искажения) информации в процессе ее обработки, передачи и хранения, нарушения ее санкционированной доступности и работоспособности ТС.
6.4. В случае необходимости в ИСПДн должны использоваться сертифицированные по требованиям безопасности информации средства защиты информации и (или)технические и организационные решения, исключающие утечку информации по техническим каналам, за счет НСД, предупреждающие нарушение целостности информации и ее санкционированной доступности.
6.5. Защита информации должна быть дифференцированной в зависимости от применяемых технических средств, обрабатывающих информацию, составляющую ПДн, установленного класса ИСПДн и утвержденной для ИСПДн модели угроз.
6.6. Все используемые в ИСПДн средства защиты информации должны быть проверены на соответствие ограничениям и условиям эксплуатации, изложенным в сертификате соответствия, эксплуатационной документации или формуляре (для технических и программных средств защиты информации соответственно).
6.7. Обработка информации составляющей ПДн осуществляется на основании письменного разрешения (приказа) руководителя ЗАО «БИЛД», в котором эксплуатируется ИСПДн.
6.8. Ответственность за обеспечение выполнения установленных требований по защите информации возлагается на руководителя ЗАО «БИЛД»,в котором создается (совершенствуется) и эксплуатируется ИСПДн.
6.9. Все ИСПДн должны пройти оценку эффективности принимаемых мер по обеспечению безопасности ПДн до начала обработки информации составляющей ПДн.
7. Порядок организации и проведения работ по защите информации
7.1. Организация работ по защите информации возлагается на руководителя ЗАО «БИЛД», осуществляющего разработку (модернизацию) и эксплуатацию ИСПДн.
7.2. Организация и проведение работ по защите информации, составляющей ПДн на различных стадиях разработки, внедрения и эксплуатации ИСПДн, определяется действующими в РФ нормативными документами и и настоящим документом.
7.3. Проведение работ по защите информации, составляющей ПДн, осуществляется силами ЗАО «БИЛД», в котором создается (совершенствуется) ИСПДн. В случае невозможности или нецелесообразности выполнения работ по защите информации силами ЗАО «БИЛД»,к этим работам должна привлекаться специализированная организация, имеющая соответствующие лицензии на право выполнения работ и оказания услуг по ТЗКИ.
7.4. Стадии создания системы защиты информации:
- Предпроектная стадия — включает предпроектное обследование создаваемой ИСПДн, разработку аналитического обоснования необходимости создания системы защиты информации и технического задания на ее создание.
- Стадия проектирования (разработки проектов) и реализации ИСПДн включает разработку СЗПДн в составе ИСПДн.
- Стадия ввода в действие системы СЗПДн — включает опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также оценку эффективности принимаемых мер по обеспечению безопасности ПДн.
8. Порядок обеспечения защиты информации при эксплуатации ИСПДн
8.1. Ответственность за обеспечение защиты информации в процессе эксплуатации ИСПДн возлагается на руководителя ЗАО «БИЛД»,в ведении которого находится эта ИСПДн.
8.2. Ответственность за соблюдение установленных требований по защите информации при ее обработке в ИСПДн возлагается на непосредственных исполнителей ИСПДн (пользователей, администраторов, обслуживающий персонал).
8.3. За нарушение установленных требований по защите информации руководитель ЗАО «БИЛД», в ведении которого находится ИСПДн и (или) непосредственный исполнитель привлекаются к ответственности в соответствии с действующим в РФ законодательством.
9. Порядок организации делопроизводства, хранения и обращения накопителей и носителей информации
9.1. Все накопители и носители информации содержащие ПДн на бумажной, магнитной, магнито-оптической и иной основе, используемые в технологическом процессе обработки информации в ИСПДн, подлежат учету, хранению и обращению в соответствии с требованиями конфиденциального делопроизводства.
9.2. Организация и ведение учета накопителей и носителей ПДн, организация их хранения, обращения и уничтожения осуществляются ответственным и делопроизводителями конфиденциального делопроизводства.
9.3. ПДн, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков).
9.4. При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы.
9.5. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.
9.6. Обработка ПДн без использования средств автоматизации должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.
9.7. Должно обеспечиваться раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.
9.8. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ.
10. Контроль состояния и эффективности защиты ИСПДн
10.1. В ИСПДн должен осуществляться контроль и (или) аудит соответствия обработки ПДн действующим в РФ законодательству и требованиям кзащите ПДн, а так же настоящей Политике и локальным актам ЗАО «БИЛД».
10.2. Контроль заключается в оценке выполнения требований нормативных документов, обоснованности принятых мер и оценке эффективности принятых мер по обеспечению ПДн.
10.3. Контроль подразделяется на оперативный и плановый (периодический).
10.4. В процессе эксплуатации ИСПДн в целях защиты информации от НСД осуществляются оперативный контроль и периодический контроль за выполнением исполнителями требований действующих нормативных документов по вопросам обеспечения безопасности и защиты ПДн.
10.5. С целью своевременного выявления и предотвращения утечки информации, исключения или существенного затруднения НСД и предотвращения специальных воздействий (программно-технических и др.), вызывающих нарушение целостности информации или работоспособность технических средств, в ИСПДн ЗАО «БИЛД»проводится плановый периодический (не реже одного раза в год) контроль состояния защиты информации.
10.6. При проведении плановых проверок осуществляется контроль ведения учетной документации, защищенности ИСПДн от утечки ПДн по техническим каналам, выборочный контроль содержимого накопителей и носителей информации, и т.п.
10.7. Результаты контроля оформляются актами, заключениями и записями в эксплуатационной документации.
11. Права и обязанности
11.1. Права и обязанности ЗАО «БИЛД»
11.1.1. ЗАО «БИЛД» как оператор персональных данных, вправе:
- отстаивать свои интересы в суде;
- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении персональных данных в случаях предусмотренных законодательством;
- использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.
11.2. Права и обязанности субъекта персональных данных
11.2.1. Субъект персональных данных имеет право
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать перечень своих персональных данных, обрабатываемых ЗАО «БИЛД», и сообщение об источнике их получения;
- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
12. Заключительные ПОЛОЖЕНИЯ
12.1. Настоящая Политика является внутренним документом ЗАО «БИЛД», общедоступной и подлежит размещению на официальном сайте ЗАО «БИЛД».
12.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.
12.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных ЗАО «БИЛД».
12.4. Ответственность должностных лиц ЗАО «БИЛД», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами предприятия.