Об утверждении положения об организации обработки персональных данных

Приложение

к приказу МБУ СШ № 3 г. Ставрополя

от «___» __________ 2021 г. № ______

ПОЛОЖЕНИЕ

об обеспечении безопасности персональных данных,

обрабатываемых в информационных системах персональных данных

 МБУ СШ № 3 г. Ставрополя

  1. 1     Термины и определения
  1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
    1. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
    1. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
    1. Основные технические средства и системы – технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи персональных данных.
    1. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
    1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
    1. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
    1. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
    1. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
  2. Общие положения
  3. Настоящее Положение об обеспечении безопасности персональных данных, обрабатываемых в информационных системах персональных данных
    МБУ СШ № 3 г. Ставрополя (далее – Положение), разработано в соответствии с законодательством Российской Федерации о персональных данных (далее – ПДн) и нормативными правовыми актами (методическими документами) федеральных органов исполнительной власти по вопросам безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн).
  4. Настоящее Положение определяет состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн.
  5.                   2.3.         Положение обязательно для исполнения всеми работниками
    МБУ СШ № 3 г. Ставрополя (далее – Учреждение), непосредственно осуществляющими защиту ПДн, обрабатываемых в ИСПДн.
  6. Цели и задачи обеспечения безопасности персональных данных
  7. Основной целью обеспечения безопасности ПДн, при их обработке в ИСПДн, является защита ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
  8. Задачей, которую необходимо решить для достижения поставленной цели, является обеспечение безопасности ПДн при их обработке в ИСПДнс помощью системы защиты персональных данных (далее – СЗПДн), нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона от 27 июля2006г. №152-ФЗ «О персональных данных».
  9. СЗПДн включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности ПДн и информационных технологий, используемых в ИСПДн.
  10. Основные принципы построения системы защиты информации
  11. СЗПДн основывается на следующих принципах:
  12. системности;
  13. комплексности;
  14. непрерывности защиты;
  15. разумной достаточности;
  16. гибкости;
  17. простоты применения средств защиты информации (далее – СЗИ).
  18. Принцип системности –предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн.
  19. Принцип комплексности –предполагает, что СЗПДн должна включать совокупность объектов защиты, сил и средств, принимаемых мер, проводимых мероприятий и действий по обеспечению безопасности ПДн от возможных угроз всеми доступными законными средствами, методами и мероприятиями.
  20. Принцип непрерывности защиты – это процесс обеспечения безопасности ПДн, осуществляемый руководством, ответственным за обеспечение безопасности ПДн в ИСПДн и работниками всех уровней. Это не только и не столько процедура или политика, которая осуществляется в определенный отрезок времени или совокупность СЗИ, сколько процесс, который должен постоянно идти на всех уровнях внутри Учреждения, и каждый работник должен принимать участие в этом процессе.
  21. Принцип разумной достаточности–предполагает соответствие уровня затрат на обеспечение безопасности ПДн ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения.
  22. Принцип гибкости–СЗПДн должна быть способна реагировать на изменения внешней среды и условий осуществления своей деятельности.
  23. Принцип простоты применения СЗИ– механизмы защиты должны быть интуитивно понятны и просты в применении. Применение СЗИ не должно быть связано со знанием каких-либо языков или требовать дополнительных затрат на её применение, а также не должно требовать выполнения рутинных малопонятных операций.
  24. Основные мероприятия по обеспечению безопасности персональных данных
  25. Для обеспечения защиты ПДн, обрабатываемых в ИСПДн, проводятся следующие мероприятия:
  26. определение ответственных лиц за обеспечение защиты ПДн;
  27. определение актуальных угроз безопасности ПДн;
  28. определение уровня защищенности ПДн;
  29. реализация правил разграничения доступа и введение ограничений на действия пользователей ИСПДн;
  30. ограничение доступа в помещения, где размещены основные технические средства и системы, позволяющие осуществлять обработку ПДн;
  31. учет и хранение съемных машинных носителей ПДн;
  32. организация резервирования и восстановления работоспособности программного обеспечения, баз данных ПДн и СЗИ;
  33. организация парольной защиты;
  34. организация антивирусной защиты;
  35. организация обновления программного обеспечения и СЗИ;
  36. использование СЗИ;
  37. использование средств шифровальной (криптографической) защиты информации (далее – СКЗИ);
  38. оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию СЗПДн;
  39. обнаружение фактов несанкционированного доступа кПДн и принятие мер;
  40. контроль за принимаемыми мерами по обеспечению безопасности ПДн;
  41. планирование мероприятий по защите ПДн в ИСПДн;
  42. управление (администрирование) СЗПДн;
  43. управление конфигурацией ИСПДн и СЗПДн;
  44. реагирование на инциденты;
  45. информирование и обучение персонала ИСПДн.
  46. Определение ответственных лиц за обеспечение безопасности ПДн
    1. За вопросы обеспечения безопасности ПДн, обрабатываемых в ИСПДн, отвечают:
  47. Директор.
  48. Ответственный за организацию обработки ПДн–работник, отвечающий за организацию и состояние процесса обработки ПДн.
  49. Ответственный за обеспечение безопасности ПДн в ИСПДн – работник, отвечающий за правильность использования и нормальное функционирование установленной СЗПДн.
  50. Администратор ИСПДн – работник, отвечающий за правильность использования и бесперебойное, стабильное функционирование установленных систем обработки ПДн.
  51. Определение актуальных угроз безопасности ПДн в ИСПДн
    1. Актуальные угрозы безопасности ПДн, обрабатываемых в ИСПДн, определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей ИСПДн, возможных способов реализации угроз безопасности ПДн и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
    1. Для определения угроз безопасности ПДн и разработки «Модели угроз безопасности персональных данных» применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом
      4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от
      16 августа 2004 г. №1085.
  52. Определение уровня защищенности ПДн
    1. Уровень защищенности ПДн, обрабатываемых в ИСПДн, определяется в соответствии с постановлением Правительства Российской Федерации от
      1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и оформляется в виде «Акта об определения уровня защищенности персональных данных».
  53. Реализация правил разграничения доступа и введение ограничений на действия пользователей ИСПДн
    1. Реализация правил разграничения доступа, к ПДн, обрабатываемым в ИСПДн, осуществляется в соответствии с «Положением о разрешительной системе доступа в информационных системах персональных данных
      МБУ СШ № 3 г. Ставрополя, утвержденным приказом Директора Учреждения.
    1. Основные технические средства и системы ИСПДн располагаются в помещениях, находящихся в пределах границы контролируемой зоны, определенной приказом Директора Учреждения, с максимальным удалением от её границ.
    1. Доступ в помещения, в которых ведется обработка ПДн, осуществляется в соответствии с «Правилами доступа работников в помещения, в которых ведется обработка персональных данных в МБУ СШ № 3 г. Ставрополя, утвержденными приказом Директора Учреждения.
  54. Учет и хранение съемных машинных носителей ПДн
    1. Работа со съемными машинными носителями ПДн в ИСПДн осуществляется в соответствии с «Порядком обращения со съемными машинными носителями персональных данных в МБУ СШ № 3 г. Ставрополя, утвержденным приказом генерального Директора Учреждения.
  55. Организация резервирования и восстановления работоспособности программного обеспечения, баз данных ПДн и СЗИ.
    1. Организация резервирования и восстановления работоспособности программного обеспечения, баз данных ПДн и СЗИв ИСПДн осуществляется в соответствии с «Инструкцией по организации резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных МБУ СШ № 3 г. Ставрополя, утвержденной приказом Директора Учреждения.
  56. Организация парольной защиты
    1. Организация парольной защиты в ИСПДн осуществляется в соответствии с «Инструкцией по парольной защите информации в МБУ СШ № 3 г. Ставрополя, утвержденной приказом Директора Учреждения.
  57. Организация антивирусной защиты
    1. Организация антивирусной защиты в ИСПДн осуществляется в соответствии с «Инструкцией по организации антивирусной защиты в
      МБУ СШ № 3 г. Ставрополя, утвержденной приказом Директора Учреждения.
  58. Организация обновления программного обеспечения и СЗИ
    1. Организация обновления программного обеспечения и СЗИ в ИСПДн осуществляется в соответствии с «Инструкцией ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных МБУ СШ № 3 г. Ставрополя и «Инструкцией администратора информационных систем персональных данных МБУ СШ № 3 г. Ставрополя, утвержденные приказом Директора Учреждения.
  59. Применение СЗИ
    1. Для обеспечения защиты ПДн, обрабатываемых в ИСПДн, применяются СЗИ, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации, в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. №184-ФЗ «О техническом регулировании».
    1. Установка и настройка СЗИ в ИСПДн проводится в соответствии с эксплуатационной документацией на СЗПДн и документацией на СЗИ.
  60. Использование СКЗИ
    1. Для обеспечения защиты ПДн, обрабатываемых в ИСПДн, при их передаче по открытым каналам связи, применяются СКЗИ. Обращение с СКЗИ, эксплуатируемыми в ИСПДн, осуществляется в соответствии с «Инструкцией по обращению со средствами криптографической защиты информации в
      МБУ СШ № 3 г. Ставрополя, утвержденной приказом Директора Учреждения.
  61. Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию СЗПДн
    1. На этапах внедрения СЗПДн проводится оценка эффективности принимаемых мер по обеспечению безопасности ПДн, которая включает в себя:
  62. предварительные испытания СЗПДн;
  63. опытную эксплуатацию СЗПДн;
  64. анализ уязвимостей ИСПДн и принятие мер по их устранению;
  65. приемочные испытания СЗПДн.
  66. Обнаружение фактов несанкционированного доступа к ПДн и принятие мер
    1. Ответственному за обеспечение безопасности ПДн в ИСПДн или администратору ИСПДн должны сообщаться любые инциденты информационной безопасности, в которые входят:
  67. факты попыток и успешной реализации несанкционированного доступа в ИСПДн;
  68. факты попыток и успешной реализации несанкционированного доступа в помещения, в которых ведется обработка ПДн;
  69. факты сбоя или некорректной работы систем обработки ПДн;
  70. факты сбоя или некорректной работы СЗИ;
  71. факты разглашения ПДн, обрабатываемых в ИСПДн;
  72. факты разглашения информации о методах и способах защиты и обработки ПДн в ИСПДн.
    1. Разбор инцидентов информационной безопасности проводится в соответствии с «Регламентом реагирования на инциденты информационной безопасности в информационных системах персональных данных МБУ СШ № 3 г. Ставрополя, утвержденным приказом Директора Учреждения.
  73. Контроль за принимаемыми мерами по обеспечению безопасности ПДн
    1. Контроль за принимаемыми мерами по обеспечению безопасности ПДн осуществляется в соответствии с «Регламентом проведения внутреннего контроля соответствия обработки персональных данных в
      МБУ СШ № 3 г. Ставрополя, утвержденным приказом Директора Учреждения.
  74. Ответственность
  75. Все работники, допущенные в установленном порядке к работе с ПДн, несут административную, материальную, уголовную ответственность в соответствии с действующим законодательством Российской Федерации за необеспечение сохранности и несоблюдение правил работы с ПДн.
  76. Ответственность за доведение требований настоящего Положения до работников Учреждения и обеспечение мероприятий по их реализации несет ответственный за обеспечение безопасности ПДн в ИСПДн.


ЛИСТ ОЗНАКОМЛЕНИЯ

с приказом МБУ СШ № 3 г. Ставрополя от «___» ____________ 2021 г. № ______

«Об утверждении положения об обеспечении безопасности персональных данных»

№ п/пФамилия имя отчествоДолжностьДата ознакомленияПодпись
1  «___» ___ 20__ г. 
2  «___» ___ 20__ г. 
3  «___» ___ 20__ г. 
4  «___» ___ 20__ г. 
5  «___» ___ 20__ г. 
6  «___» ___ 20__ г. 
7  «___» ___ 20__ г. 
8  «___» ___ 20__ г. 
9  «___» ___ 20__ г. 
10  «___» ___ 20__ г. 
11  «___» ___ 20__ г. 
12  «___» ___ 20__ г. 
13  «___» ___ 20__ г. 
14  «___» ___ 20__ г. 
15  «___» ___ 20__ г. 
16  «___» ___ 20__ г. 
17  «___» ___ 20__ г. 
18  «___» ___ 20__ г. 
19  «___» ___ 20__ г. 
20  «___» ___ 20__ г.