в отношении обработки и защиты

Утверждена
Приказом ГППО «Псковавтотранс»
№ 182-а от «30» октября 2013 г.
ПОЛИТИКА
ГППО «ПСКОВАВТОТРАНС» В ОТНОШЕНИИ ОБРАБОТКИ И
ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1. Настоящая Политика разработана в соответствии со ст. 18.1
Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"
(далее - Закон о ПДн) и является основополагающим внутренним
регулятивным документом ГППО «Псковавтотранс» (далее - Предприятие),
определяющим ключевые направления его деятельности в области обработки
и защиты персональных данных (далее - ПДн), оператором которых является
Предприятие.
1.2. Целью настоящей Политики является обеспечение безопасности
персональных данных от всех видов угроз, внешних и внутренних,
умышленных и непреднамеренных, минимизация ущерба от возможной
реализации угроз безопасности ПДн.
Безопасность персональных данных достигается путем исключения
несанкционированного, в том числе случайного, доступа к персональным
данным, результатом которого может стать уничтожение, изменение,
блокирование, копирование, распространение персональных данных, а также
иных несанкционированных действий.
1.3. Обработка ПДн Предприятием осуществляется в связи с
выполнением законодательно возложенных на Предприятие функций,
определяемых: Правилами перевозок пассажиров и багажа автомобильным
транспортом и городским наземным электрическим транспортом,
утвержденными Постановлением правительства РФ № 112 от 14.02.20119 г.,
Порядком формирования и ведения автоматизированных централизованных
баз персональных данных о пассажирах, а также предоставления
содержащихся в них данных, утвержденным приказом Минтранса РФ от
19.07. 2012 г. № 243
Кроме того, обработка ПДн на Предприятии осуществляется в ходе
трудовых и иных непосредственно связанных с ними отношений, в которых
предприятие выступает в качестве работодателя (гл. 14 Трудового кодекса
Российской Федерации)
1.4. Состав объектов защиты представлены в Положении о защите
персональных данных работников ГППО «Псковавтотранс» и в п. 8 Порядка
формирования и ведения автоматизированных централизованных баз
персональных данных о пассажирах, а также предоставления содержащихся в
них данных, утвержденным приказом Минтранса РФ от 19 июля 2012 г.
№
243
1.5. Предприятием не производится обработка ПДн, несовместимая с
целями их сбора. Если иное не предусмотрено федеральным законом, по
окончании обработки ПДн, в том числе при достижении целей их обработки
или утраты необходимости в достижении этих целей, обрабатывавшиеся
Предприятием ПНд уничтожатся или обезличиваются.
1.6. При обработке ПДн обеспечиваются их точность, достаточность, а
при необходимости - и актуальность по отношению к целям обработки.
Предприятие принимает необходимые меры по удалению или уточнению не
полных или неточных ПДн.
1.7. Требования настоящей Политики распространяются на всех
сотрудников Предприятия.
2. Доступ к обрабатываемым персональным данным
2.1. Доступ к обрабатываемым Предприятием ПДн, имеют лица,
уполномоченные приказом Предприятия, а также лица, чьи ПДн подлежат
обработке.
2.2. В целях разграничения полномочий при обработке ПДн
Предприятием разрабатывается и утверждается Положение о разграничении
прав доступа к обрабатываем персональным данным.
2.3. Доступ Работников к обрабатываемым ПДн осуществляется в
соответствии с их должностными обязанностями и требованиями внутренних
регулятивных документов Предприятия. Допуск Работников к обработке ПДн
осуществляется согласно перечню типовых полномочий (инструкций),
утверждаемых приказом Предприятия.
Допущенные к обработке ПДн Работники под роспись знакомятся с
документами Предприятия, устанавливающими порядок обработки ПНд,
включая документы, устанавливающие права и обязанности конкретных
Работников.
2.4. Факты получения доступа к ИСПДн, а также факты обработки ПДн
регистрируются, в том числе с использованием средств обеспечения
информационной безопасности. Информация о фактах обработки ПДн
хранится на Предприятии в течение трех лет.
2.5. Порядок доступа субъекта ПДн к его ПДн, обрабатываемым
Предприятием, осуществляется в соответствии с Законом о ПДн и Положением
о защите персональных данных работников ГППО «Псковавтотранс».
3. Реализация Политики
3.1. Предприятие принимает необходимые и достаточные меры для
защиты обрабатываемых ПДн от неправомерного или случайного доступа к
ним,
от
уничтожения,
изменения,
блокирования,
копирования,
распространения, а также от иных неправомерных действий с ними со
стороны третьих лиц.
3.2. Ответственность за организацию обработки ПДн Предприятием
несет один из заместителей Генерального директора, определяемый приказом
Предприятия.
3.3. Ответственный за организацию обработки ПДн Предприятием, в
частности, обязан:
1) осуществлять внутренний контроль за соблюдением Предприятием
требований нормативных правовых актов и внутренних регулятивных
документов в области обработки и защиты ПДн;
2) доводить до сведения Работников положения нормативных правовых
актов и внутренних регулятивных документов Предприятия в области
обработки и защиты ПДн;
3) осуществлять контроль за приемом и обработкой обращений и
запросов субъектов ПДн или их представителей.
3.4. Предприятие осуществляет обработку ПДн без использования
средств автоматизации, а также с использованием таких средств.
3.5. При обработке ПДн без использования средств автоматизации
Предприятие, в соответствии с положениями нормативных правовых актов в
области обработки и защиты ПДн, реализует комплекс организационных и
технических мер, обеспечивающих:
1) обособление ПДн от информации, не содержащей ПДн;
2) раздельную обработку и хранение каждой категории ПДн (фиксация
на отдельных материальных носителях ПДн, цели обработки которых
заведомо несовместимы);
3) соответствие типовых форм документов, характер информации в
которых предполагает или допускает включение в них ПДн, установленным
требованиям;
4) сохранность материальных носителей ПДн;
5) условия хранения, исключающие несанкционированный доступ к
ПДн, а также смешение ПДн (материальных носителей), обработка которых
осуществляется в различных целях;
6) надлежащее уточнение, уничтожение или обезличивание ПДн.
3.6. В соответствии с требованиями нормативных правовых актов в
области обработки и защиты ПДн обработки ПДн с использованием средств
автоматизации на Предприятии создаются информационные системы
персональных данных (далее – ИСПДн).
3.7. Все ИСПДн проходят периодическую классификацию и аттестацию
в соответствии с требованиями нормативных правовых актов в области
обеспечения безопасности ПДн.
3.8. Для каждой ИСПДн формируется модель угроз безопасности ПДн и
на ее основе проводятся мероприятия по обеспечению безопасности
информации в соответствии с требованиями, предъявляемыми к
установленному классу ИСПДн.
3.9. Выделяются следующие группы пользователей ИСПДн
участвующих в обработке и хранении ПДн:
Администратор ИСПДн;
Администратор безопасности;
Оператор АРМ;
Администратор сети;
Данные о группах пользователях, уровне их доступа и
информированности отражены в Положении о разграничении прав доступа к
обрабатываемым персональным данным.
4. Система защиты персональных данных
4.1. В целях обеспечения управления информационной безопасностью
ПДн на Предприятии создается система защиты персональных данных (далее
– СЗПДн).
4.2.
СЗПДн
реализуется
комплексом
правовых,
режимных,
организационных и программно-технических мер, которые включают:
1) подготовку внутренних регулятивных документов по вопросам
обработки и защиты ПДн, контроль за исполнением требований нормативных
правовых актов и внутренних регулятивных документов в области обработки
и защиты ПДн, разработку и введение в действие внутренних регулятивных
документов по обеспечению информационной безопасности ИСПДн;
2) оформление письменных обязательств Работников о неразглашении
ПДн;
3) ознакомление Работников с положениями нормативных правовых
актов и внутренних регулятивных документов в области обработки и защиты
ПДн, обучение Работников правилам обработки и защиты ПДн, а также
доведение до сведения Работников информации и об установленных
законодательством Российской Федерации санкциях за нарушения, связанные
с обработкой и защитой ПДн;
4) обеспечение наличия в должностных обязанностях Работников
требований по соблюдению установленного порядка обработки и защиты
ПДн;
5) проведение мероприятий по регламентации, установлению,
поддержанию и осуществлению контроля за состоянием защиты
технологических процессов, информационных ресурсов, информации и
поддерживающей их инфраструктуры от угроз техногенного характера и
внешних неинформационных воздействий;
6) регламентацию обработки ПДн, в том числе хранения и передачи
информации как внутри Предприятия, так и при взаимодействии с
государственными органами и организациями, обращения с документами
(включая электронные документы) и носителями, порядка их учета, хранения
и уничтожения;
7) установление правил доступа на объекты, в помещения, в ИС,
применению в этих целях систем охраны и управления доступом;
8) формирование участков (выделение в отдельные VLAN (виртуальные
локальные компьютерные сети) технических средств) администрирования
безопасности, мониторинга и аудита, управления доступом к защищаемым
ресурсам;
9) организацию технического оснащения объектов и ИСПДн в
соответствии с существующими требованиями к информационной
безопасности;
10) установление полномочий пользователей и форм представления
информации пользователям ИСПДн;
11) организацию непрерывного процесса контроля (мониторинга)
событий безопасности для своевременного выявления и пресечения попыток
несанкционированного доступа к защищаемой информации;
12) осуществление контроля эффективности организационных мер
защиты;
13) применение программно-технических мер защиты.
4.3. Система защиты персональных данных (СЗПДн), строится на
основании:
- Отчета о результатах проведения внутренней проверки;
- Перечня персональных данных, подлежащих защите;
- Акта классификации информационной системы персональных
данных;
- Модели угроз безопасности персональных данных;
- Положения о разграничении прав доступа к обрабатываемым
персональным данным;
- Руководящих документов ФСТЭК и ФСБ России.
4.4. На основании указанных документов определяется необходимый
уровень защищенности ПДн каждой ИСПДн Предприятия. На основании
анализа актуальных угроз безопасности ПДн описанного в Модели угроз и
Отчета о результатах проведения внутренней проверке, делается заключение
о необходимости использования технических средств и организационных
мероприятий для обеспечения безопасности ПДн. Выбранные необходимые
мероприятия отражаются в Плане мероприятий по обеспечению защиты
ПДн.
4.5. Для каждой ИСПДн должен быть составлен список используемых
технических средств защиты, а так же программного обеспечения
участвующего в обработке ПДн, на всех элементах ИСПДн:
4.6. В зависимости от уровня защищенности ИСПДн и актуальных
угроз, СЗПДн может включать следующие технические средства:
- антивирусные средства для рабочих станций пользователей и
серверов;
- средства межсетевого экранирования;
- средства криптографической защиты информации, при передаче
защищаемой информации по каналам связи.
Так же в список СЗИ могут быть включены функции защиты,
обеспечиваемые штатными средствами обработки ПДн операционными
системами (ОС), прикладным ПО и специальными комплексами,
реализующими средства защиты.
4.7. Список используемых технических средств отражается в Плане
мероприятий по обеспечению защиты персональных данных. Список
используемых средств должен поддерживаться в актуальном состоянии. При
изменении состава технических средств защиты или элементов ИСПДн,
соответствующие изменения должны быть внесены в Список и утверждены
Генеральным директором Предприятия.
5. Основные мероприятия по обеспечению безопасности
персональных данных
5.1. Мероприятия по защите ПДн реализуются на Предприятии в
следующих направлениях:
1) предотвращение утечки информации, содержащей ПДн, по
техническим каналам связи и иными способами;
2) предотвращение несанкционированного доступа к содержащей ПДн
информации, специальных воздействий на такую информацию (носители
информации) в целях ее добывания, уничтожения, искажения и блокирования
доступа к ней;
3) защита от вредоносных программ;
4) обеспечение безопасного межсетевого взаимодействия;
5) анализ защищенности ИСПДн;
6) обеспечение защиты информации с использованием шифровальных
(криптографических) средств при передаче ПДн по каналам связи;
7) обнаружение вторжений и компьютерных атак;
8) осуществления контроля за реализацией системы защиты ПДн.
5.2. Мероприятия по обеспечению безопасности ПДн включают в себя:
1) реализацию разрешительной системы допуска пользователей
(Работников) к информационным ресурсам ИС и связанным с их
использованием работам, документам;
2) разграничение доступа пользователей ИСПДн и обслуживающих
ИСПДн Работников к информационным ресурсам, программным средствам
обработки (передачи) и защиты информации;
3) регистрацию действий пользователей и обслуживающих ИСПДн
Работников, контроль несанкционированного доступа и действий
пользователей и обслуживающих Работников, а также третьих лиц;
4) использование средств защиты информации, прошедших в
установленном порядке процедуру оценки соответствия;
5) предотвращение внедрения в ИС вредоносных программ и
программных закладок, анализ принимаемой по информационнотелекоммуникационным сетям (сетям связи общего пользования)
информации, в том числе на наличие компьютерных вирусов;
6) ограничение доступа в помещения, где размещены технические
средства, позволяющие осуществлять обработку ПДн, а также хранятся
носители информации, содержащие ПДн;
7) размещение технических средств, позволяющих осуществлять
обработку ПДн, в пределах охраняемой территории;
8) организацию физической защиты помещений и технических средств,
позволяющих осуществлять обработку ПДн;
9) учет и хранение съемных носителей информации и их обращение,
исключающее хищение, подмену и уничтожение;
10) резервирование технических средств, дублирование массивов и
носителей информации;
11)
реализацию
требований
по
безопасному
межсетевому
взаимодействию ИС;
12) использование защищенных каналов связи, защита информации при
ее передаче по каналам связи;
13) межсетевое экранирование с целью управления доступом,
фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия
структуры ИС;
14) обнаружение вторжений в ИС, нарушающих или создающих
предпосылки к нарушению установленных требований по обеспечению
безопасности ПДн;
15) периодический анализ безопасности установленных межсетевых
экранов на основе имитации внешних атак на ИС;
16) активный аудит безопасности ИС на предмет обнаружения в режиме
реального времени несанкционированной сетевой активности;
17) анализ защищенности ИС с применением специализированных
программных средств (сканеров безопасности);
18) централизованное управление системой защиты ПДн в ИС.
5.3. С целью поддержания состояния защиты ПДн на надлежащем
уровне
Предприятием
осуществляется
внутренний
контроль
за
эффективностью системы защиты ПДн и соответствием порядка и условий
обработки и защиты ПДн установленным требованиям.
5.4. Внутренний контроль включает:
1) мониторинг состояния технических и программных средств, входящих
в состав СЗПДн;
2) контроль соблюдения требований по обеспечению безопасности ПДн
(требований нормативных правовых актов и внутренних регулятивных
документов в области обработки и защиты ПДн, требований договоров).
5.5. В целях осуществления внутреннего контроля Предприятием
проводятся периодические проверки условий обработки ПДн. Такие
проверки осуществляются ответственным за организацию обработки ПДн
либо комиссией, образуемой Генеральным директором Предприятия.
6. Ответственность сотрудников ИСПДн
6.1. В соответствии со ст. 24 Федерального закона Российской
Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица,
виновные в нарушении требований данного Федерального закона, несут
гражданскую, уголовную, административную, дисциплинарную и иную
предусмотренную
законодательством
Российской
Федерации
ответственность.
6.2. Действующее законодательство РФ позволяет предъявлять
требования по обеспечению безопасной работы с защищаемой информацией
и предусматривает ответственность за нарушение установленных правил
эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти
действия привели к уничтожению, блокированию, модификации информации
или нарушению работы ЭВМ или сетей (статьи 272,273 и 274 УК РФ).
6.3. Администратор ИСПДн и Администратор безопасности несут
ответственность за все действия, совершенные от имени их учетных записей
или
системных
учетных
записей,
если
не
доказан
факт
несанкционированного использования учетных записей.
6.4. При нарушениях сотрудниками – пользователями ИСПДн правил,
связанных с безопасностью ПДн, они несут ответственность, установленную
действующим законодательством Российской Федерации.