О мерах по организации защиты информационных систем персональных данных ООО «нпо «скат»
|
Скачать 133.77 Kb.
|
|
УТВЕРЖДАЮ Директор ООО «НПО «СКАТ» _______________________Нестеров А.С. 03 декабря 2012 г. ПОЛОЖЕНИЕ О МЕРАХ ПО ОРГАНИЗАЦИИ ЗАЩИТЫ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «НПО «СКАТ» Раздел 1. ОБЩИЕ ПОЛОЖЕНИЯ 1. Настоящее положение о мерах по организации защиты информационных систем персональных данных (далее – Положение) Общества с ограниченной ответственностью ООО «НПО «СКАТ» (далее по тексту – Общество) утверждается приказом Директора и является внутренним локальным нормативным актом Общества. 2. Настоящее Положение определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей оператора персональных данных, предусмотренных Федеральным законом 152-ФЗ от 27 июля 2006 года «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Настоящее Положение устанавливает порядок организации и проведения работ по обеспечению безопасности персональных данных (далее по тексту – ПДн) в информационных системах персональных данных (далее по тексту – ИСПДн) Общества на протяжении всего цикла создания и эксплуатации ИСПДн. 3. Целью настоящего Положения является обеспечение безопасности ИСПДн Общества от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности персональных данных (далее по тексту - ПДн). Безопасность ПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Раздел 2. ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ПРИВЕДЕНИЮ ИСПДн ОБЩЕСТВА В СООТВЕТСТВИЕ С ЗАКОНОДАТЕЛЬНЫМИ И НОРМАТИВНЫМИ ТРЕБОВАНИЯМИ В отношении находящихся в эксплуатации ИСПДн в Обществе должны быть выполнены ниже следующие мероприятия: Организационные мероприятия 1. С учетом требований, установленных Федеральными законами от 29.11.2010 № 313-ФЗ; от 23.12.2010 № 359-ФЗ; от 04.06.2011 № 123-ФЗ; от 25.07.2011 № 261-ФЗ, которыми были внесены дополнения и изменения в Закон «О персональных данных», доработать и утвердить локальные нормативные акты «Положение об обработке и защите персональных данных Работников» и «Положение об обработке и защите персональных данных Клиентов». В данных Положениях, в частности, утвердить цели обработки персональных данных, а также сроки обработки и хранения ПДн. 2. Разработать и утвердить приказ Директора «О назначении ответственного за обработку персональных данных в информационных системах Общества». 3. Разработать и утвердить приказ Директора «О создании Комиссии по приведению деятельности ООО «НПО «СКАТ» в соответствие с требованиями законодательных и нормативных актов, регламентирующих обработку персональных данных» (далее по тексту – Комиссия по персональным данным). 4. Разработать и утвердить приказ Директора «О проведении внутренней проверки ИСПДн». Результат оформить в виде письменного Отчета о результатах проведения внутренней проверки. 5. Провести внутреннюю проверку ИСПДн. Результат оформить в виде письменного Отчета о результатах проведения внутренней проверки и Плана первоочередных мероприятий по обеспечению безопасности ПДн в ООО «НПО «СКАТ» 6. Определить состав и категории обрабатываемых персональных данных. Результат оформить в виде документа «Перечень персональных данных и иных объектов, подлежащих защите», который утверждается Директором. 7. Разработать и утвердить Положение о разграничении прав доступа к обрабатываемым персональным данным. 8. Провести классификацию ИСПДн Общества с оформлением соответствующего Акта классификации ИСПДн. 7. Адаптировать модель угроз к конкретной ИСПДн Общества. Результат оформить в виде документа «Частная модель угроз ИСПДн ООО «НПО «СКАТ». 8. Подготовить следующие должностные инструкции сотрудников, обрабатывающих ПДн: Должностная инструкция администратора ИСПДн; Должностная инструкция администратора безопасности; Должностная инструкция пользователя при работе с ИСПДн. 9. Разработать и утвердить порядок резервирования и восстановления работоспособности программного обеспечения, баз данных и систем защиты ИСПДн. 10. Разработать и утвердить план внутренних проверок состояния защиты ПДн в Обществе. 11. Разработать и утвердить Приказом Директора форму «Журнал учета мероприятий по контролю соблюдения режима защиты персональных данных в информационных системах Общества». 12. Разработать и утвердить Денерального директора форму «Журнал учета обращений субъектов ПДн о выполнении их законных прав». Назначить лиц, ответственных за ведение и хранение Журнала. 13. Разработать и утвердить электронный журнал обращений пользователей ИСПДн к ПДн. 14. Разработать и утвердить Приказом Директора форму «Журнал учета применяемых технических средств защиты ИСПДн». 15. Утвердить заключения о возможности эксплуатации каждой ИСПДн Общества. 15. Разработать, утвердить и внедрить систему организации доступа в помещения Общества, где осуществляется обработка ПДн, исключающую возможность несанкционированного доступа к техническим средствам обработки ПДн, хищения и нарушения работоспособности ИСПДн, хищения носителей информации ПДн. 16. Подготовить план обучения Работников Общества, осуществляющих обработку ПДн, в котором предусмотреть проведение не реже одного раза в год их обучения пользования средствами защиты информации, применяемые в информационных системах Общества, правилам работы с ними, правилам обработки ПДн, в соответствии с утвержденными в Обществе требованиями. Технические мероприятия 19. Общество должно принимать технические меры по обеспечению безопасности* информационных систем персональных данных. Применение технических мер защиты, их количество и степень защиты определяются классом ИСПДн. 20. В соответствии с результатами внутренней проверки ИСПДн, на основе разработанной модели частных угроз безопасности ИСПД, и с учетом Акта классификации ИСПД необходимо разработать и утвердить План мероприятий по обеспечению защиты персональных данных в ООО «НПО «СКАТ», в котором предусмотреть: - обоснование разработки систем защиты ПДн; - конкретизацию требований к системам защиты ПДн; - перечень предполагаемых к использованию средств защиты информации; - разработку мероприятий по защите информации в соответствии с предъявляемыми требованиями; - использование лицензионных технических, программных и программно-технических средств защиты информации; - разработку и реализацию разрешительной системы доступа пользователей к обрабатываемой на ИСПДн информации. 21. По результатам реализации Плана мероприятий по обеспечению защиты персональных данных в ООО «НПО «СКАТ» в Обществе должны быть проведены: - приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации; - проведение оценки соответствия ИСПДн по требованиям безопасности, установленным нормативными документами, регламентирующими защиту ПДн в ИСПДн: * - Под угрозами безопасности персональных данных в настоящей статье Положения понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Раздел 3. ЛИЦА, ОТВЕТСТВЕННЫЕ В ОБЩЕСТВЕ ЗА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ 1. Общее руководство деятельностью Общества по обеспечению безопасности ПДн осуществляет Директор Общества. 2. Директор приказом назначает лицо, ответственное за организацию обработки персональных данных в Обществе. 2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от Директора 3. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано: осуществлять внутренний контроль по соблюдению Обществом и его Работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных; доводить до сведения Работников Общества положения законодательства Российской Федерации о персональных данных, внутренних локальных нормативных актов, принятых в Обществе по вопросам обработки и защите персональных данных; организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, и осуществлять контроль за приемом и обработкой таких обращений и запросов; не реже одного раза в год проводить проверку состава и структуры ИСПДн, состава угроз безопасности ПДн в ИСПДн и класса ИСПДн, при необходимости вносить предложения по доработке или модернизации системы защиты ПДн. 4. Директор приказом создает в Обществе Комиссию по персональным данным (см. п.3., раздела 2. Положения), на которую возлагаются следующие обязанности: реализации мероприятий, предусмотренных настоящим Положением; осуществление внутреннего контроля и аудита соответствия практики обработки персональных данных в Обществе тем требованиям и нормам, которые установлены Законом «О персональных данных», а также принятым в этой сфере иным нормативным правовым актам и требованиям к защите персональных данных, и локальным нормативным актам Общества; организационное, методическое и научно-техническое руководство работами по созданию либо модернизации системы защиты ПДн. 5. Общество на договорной основе имеет право привлечь для разработки и внедрения систем защиты ПДн в ИСПДн Общества специализированные организации, имеющие лицензии ФСТЭК, ФСБ России на соответствующие виды деятельности. Раздел 4. ПОРЯДОК МОДЕРНИЗАЦИИ СИСТЕМЫ ЗАЩИТЫ ПДн 1. Для ИСПДн, находящихся в эксплуатации, модернизация или доработка системы защиты ПДн должна проводиться в следующих случаях: изменился состав или структура самой ИСПДн или технические особенности ее построения (изменился состав или структура программного обеспечения, технических средств обработки ПДн, топологии ИСПДн); изменился состав угроз безопасности ПДн в ИСПДн; изменился класс ИСПДн. 2. Для определения необходимости доработки или модернизации систем защиты ПДн не реже одного раза в год должна проводиться проверка состава и структуры ИСПДн, состава угроз безопасности ПДн в ИСПДн и класса ИСПДн. Проверка проводится лицом, ответственным за обеспечение безопасности ПДн. Результаты проверки оформляются актом и утверждаются Директором. Раздел 5. КОНТРОЛЬ СОБЛЮДЕНИЯ УСЛОВИЙ ИСПОЛЬЗОВАНИЯ СИСТЕМ ЗАЩИТЫ ПДн 1. Лицом, ответственным за обеспечение безопасности ПДн, и Комиссией по персональным данным периодический (не реже одного раза в год) должен проводится контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией. 2. В случае выявления фактов: - несоблюдения условий хранения носителей персональных данных, - использования средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность/ целостность/доступность) персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, - нарушения заданного уровня безопасности ПДн (конфиденциальность/ целостность/доступность), должно в обязательном порядке проводиться разбирательство. 2.1. В процессе проведения разбирательства необходимо провести разработку и принятие мер по предотвращению возможных негативных последствий подобных нарушений. 2.2. По окончании проведения разбирательства готовится заключение о лицах, виновных в выявленных нарушениях. Раздел 6. НОРМАТИВНЫЕ И МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ 1. При организации и проведении работ по обеспечению безопасности ПДн в Обществе, Работники должны руководствоваться следующими нормативными и методическими документами: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» Федеральный закон от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы «О защите физических лиц при автоматической обработке персональных данных» Указ Президента Российской Федерации от 17 марта 2008 года № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении Перечня сведений конфиденциального характера» Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Совместный приказ ФСТЭК/ФСБ/Мининформсвязи России от 13 февраля 2008 года № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» «Положение о методах и способах защиты информации в информационных системах персональных», утвержденное приказом ФСТЭК России от 5 февраля 2010 года № 58. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах», утверждена заместителем директора ФСТЭК России 15 февраля 2008 года «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК России 14 февраля 2008 года к ПОЛОЖЕНИЮ о мерах по организации защиты информационных систем персональных данных ООО «НПО «СКАТ»
|
Похожие:
 |
Инструкция по организации антивирусной защиты информационных систем... «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных... |
|
Рекомендации по проведению работ в подведомственных Рособразованию... В соответствии с рекомендациями фстэк россии обеспечение защиты информационных систем персональных данных (ПДн) включает следующие... |
|
Инструкция администратора безопасности информационных систем персональных данных ООО ук «Атал» Администратор безопасности информационных систем персональных данных (далее – Администратор) назначается приказом ООО ук «Атал» (далее... |
 |
Инструкция по организации антивирусной защиты информационных систем персональных данных |
|
1. Настоящий документ подготовлен в рамках реализации мероприятий,... |
|
Методические рекомендации исполнительным органам государственной... Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных... |
|
Приказ о назначении ответственного лица в области обработки и защиты... Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных... |
|
Руководство пользователя по обеспечению безопасности информационной... Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке... |
|
Овсянниковского сельского поселения распоряжени е Российской федерации от 01. 11. 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных... |
|
Обработки персональных данных и реализуемых требованиях к защите персональных данных Целью настоящей Политики является обеспечение безопасности объектов защиты оператора в информационных системах от всех видов угроз,... |
|
Руководство Общества привержено обеспечению защиты персональных данных... Целью настоящей Политики является определение основных положений по организации защиты персональных данных, являющихся частью информационных... |
|
Инструкция администратора информационных систем персональных данных Администратор информационных систем персональных данных (испдн) (далее – Администратор) назначается приказом директора мбоу сош с.... |
|
М. В. Андреев 09 февраля 2015 года политика информационной безопасности... Основные принципы обеспечения информационной безопасности информационных систем персональных данных администрации Новоузенского муниципального... |
|
Инструкция по организации антивирусной защиты в информационных системах... ПО, и устанавливает ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих информационные системы... |
|
2. Должностные обязанности Пользователь информационных систем персональных данных (испдн) (далее – Пользователь) осуществляет обработку персональных данных... |
|
Об организации и проведении работ по обеспечению безопасности персональных... Х обеспечения безопасности персональных данных при обработке в информационных системах Управления Министерства юстиции Российской... |