Политика — КГБУСО “Спасский ДИПИ”

Политика

Главная цель административных мер, предпринимаемых на высшем управленческом уровне — сформировать политику в области обеспечения безопасности персональных данных (отражающую подходы к защите персональных данных) и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

С практической точки зрения политику в области обеспечения безопасности персональных данных в Учреждении целесообразно разбить на два уровня. К верхнему уровню относятся решения руководства, затрагивающие деятельность Учреждения в целом. Политика верхнего уровня должна четко очертить сферу влияния и ограничения при определении целей безопасности персональных данных, определить какими ресурсами (материальные, структурные, организационные) они будут достигнуты, и найти разумный компромисс между приемлемым уровнем безопасности и функциональностью.

—    каковы роли и обязанности должностных лиц, отвечающие за проведение политики безопасности персональных данных;

—    кто имеет права доступа к персональным данным, кто и при каких условиях может читать и модифицировать персональные данные и т.д.

—    предусматривать регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении информационных ресурсов;

—    определять коалиционные и иерархические принципы и методы разделения секретов и разграничения доступа к персональным данным;

—    выбирать программно-технические (аппаратные) средства противодействия НСД, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.

1.1. Термины и определения

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

5.1.1.  Законодательные (правовые) меры защиты

Политика краевого государственного бюджетного учреждения социального обслуживания «Спасский дом-интернат для престарелых и инвалидов» (далее Учреждение) определяет систему взглядов на проблему обеспечения безопасности персональных данных и представляет собой систематизированное изложение целей и задач защиты, как одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется Учреждение в своей деятельности, а также основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности персональных данных.

Законодательной основой настоящей Политики являются Конституция Российской Федерации, Гражданский, Уголовный и Трудовой кодексы, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы ФСТЭК и ФСБ России.

Использование данной Политики в качестве основы для построения комплексной системы информационной безопасности персональных данных Учреждения позволит оптимизировать затраты на ее построение.

При разработке Политики учитывались основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам безопасности информации.

ПОДРОБНОСТИ:   Остров Врангеля - это... Что такое Остров Врангеля?

Основные положения Политики базируются на качественном осмыслении вопросов безопасности информации и не затрагивают вопросов экономического (количественного) анализа рисков и обоснования необходимых затрат на защиту информации.

Информационные технологии, технические и программные средства, средства и меры защиты персональных данных должны быть реализованы на современном уровне развития науки и техники, обоснованы с точки зрения достижения заданного уровня безопасности информации и экономической целесообразности, а также должны соответствовать установленным нормам и требованиям по безопасности персональных данных.

К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с персональными данными, закрепляющие права и обязанности участников информационных отношений в процессе их обработки и использования, а также устанавливающие ответственность за нарушения этих правил.

2. ОБЪЕКТЫ ЗАЩИТЫ

—      информационные ресурсы с ограниченным доступом, содержащие персональные данные;

—      процессы обработки персональных данных в информационной системе персональных данных Учреждения, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, персонал разработчиков и пользователей системы и ее обслуживающий персонал;

—      информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых расположены технические средства обработки персональных данных.

5.1. Меры обеспечения информационной безопасности

Основной целью, на достижение которой направлены все положения настоящей Политики, является защита субъектов информационных отношений Учреждения от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на персональные данные, их носители, процессы обработки и передачи.

—   доступности персональных данных для легальных пользователей (устойчивого функционирования информационных систем Учреждения, при котором пользователи имеют возможность получения необходимых персональных данных и результатов решения задач за приемлемое для них время);

—   целостности и аутентичности (подтверждение авторства) персональных данных, хранимых и обрабатываемых в информационных системах Учреждения и передаваемой по каналам связи;

—   конфиденциальности — сохранения в тайне определенной части персональных данных, хранимых, обрабатываемых и передаваемых по каналам связи.

Необходимый уровень доступности, целостности и конфиденциальности персональных данных обеспечивается соответствующими множеству значимых угроз методами и средствами.

—    своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, нарушению нормального функционирования информационных систем Учреждения;

—    создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;

—    создание условий для минимизации и локализации наносимого ущерба неправомерными действиями  физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации;

—    защиту от вмешательства в процесс функционирования информационных систем Учреждения посторонних лиц (доступ к информационным ресурсам должны иметь только зарегистрированные в установленном порядке пользователи);

—    разграничение доступа пользователей к информационным, аппаратным, программным и иным ресурсам Учреждения (возможность доступа только к тем ресурсам и выполнения только тех операций с ними,    которые необходимы конкретным пользователям для выполнения своих служебных обязанностей), то   есть защиту от несанкционированного доступа;

—    обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение   подлинности отправителя и получателя информации);

—    защиту от несанкционированной модификации используемых в информационных системах Учреждения  программных средств, а также защиту системы от внедрения несанкционированных программ, включая    компьютерные вирусы;

—    защиту информации ограниченного пользования от утечки по техническим каналам при ее обработке,    хранении и передаче по каналам связи.

—     правовые (законодательные);

—     морально-этические;

—     технологические;

—     организационные (административные);

—     физические;

—     технические (аппаратурные и программные).

Оборудование информационной системы, используемое для доступа и хранения персональных данных, к которому доступ обслуживающего персонала в процессе эксплуатации не требуется, после наладочных, ремонтных и иных работ, связанных с доступом к его компонентам должно закрываться.

—     физические средства;

—     технические средства;

—     средства идентификации и аутентификации пользователей;

—     средства разграничения доступа;

—     средства обеспечения и контроля целостности;

—     средства оперативного контроля и регистрации событий безопасности.

Средства защиты должны применяться ко всем ресурсам информационных систем Учреждения, независимо от их вида и формы представления информации в них.

Средства обеспечения целостности включают в свой состав средства резервного копирования, программы антивирусной защиты, программы восстановления целостности операционной среды и баз данных.

ПОДРОБНОСТИ:   Башни Московского Кремля (21 фото)

Средства контроля целостности информационных ресурсов системы предназначены для своевременного обнаружения модификации или искажения ресурсов системы. Они позволяют обеспечить правильность функционирования системы защиты и целостность хранимой и обрабатываемой информации.

4.10. Исключение конфликта интересов (разделение функций)

—   Учреждение, как собственник информационных ресурсов;

—   руководство и сотрудники Учреждения, в соответствии с возложенными на них функциями;

—   физические лица, состоящие с Учреждением в гражданско-правовых отношениях (граждане);

—   своевременного доступа к необходимым им персональным данным (их доступности);

—   достоверности (полноты, точности, адекватности, целостности) персональных данных;

—   конфиденциальности (сохранения в тайне) персональных данных;

—   защиты от навязывания им ложных (недостоверных, искаженных) персональных данных;

—   разграничения ответственности за нарушения их прав (интересов) и установленных правил обращения с  персональными данными;

—   возможности осуществления непрерывного контроля и управления процессами обработки и передачи персональных данных;

—   защиты персональных данных от незаконного распространения.

Эффективная система обеспечения информационной безопасности предполагает четкое разделение обязанностей сотрудников и исключение ситуаций, когда сфера ответственности сотрудников допускает конфликт интересов. Сферы потенциальных конфликтов должны выявляться, минимизироваться, и находится под строгим независимым контролем.

Реализация данного принципа предполагает, что не один сотрудник не должен иметь полномочий, позволяющих ему единолично осуществлять выполнение критичных операций. Наделение сотрудников полномочиями, порождающими конфликт интересов, дает ему возможность подтасовывать информацию в корыстных целях или с тем, чтобы скрыть проблемы или понесенные убытки.

Для снижения риска манипулирования персональными данными и риска хищения, такие полномочия должны в максимально возможной степени быть разделены между различными сотрудниками или подразделениями Учреждения. Необходимо проводить периодические проверки обязанностей, функций и деятельности сотрудников, выполняющих ключевые функции, с тем, чтобы они не имели возможности скрывать совершение неправомерных действий. Кроме того, необходимо принимать специальные меры по недопущению сговора между сотрудниками.

—     физические;

В рамках разрешительной системы (матрицы) доступа устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях.

Допуск пользователей к работе с информационными системами Учреждения и доступ к ее ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем должны производиться установленным порядком.

—      каждый сотрудник пользуется только предписанными ему правами по отношению к персональным данным, с которыми ему необходима работа в соответствии с должностными обязанностями.    Расширение прав доступа и предоставление доступа к дополнительным информационных ресурсам, в обязательном порядке, должно согласовываться с ответственными за организацию обработки персональных данных;

—      руководитель Учреждения имеет права на просмотр информации своих подчиненных только в установленных пределах в соответствии со своими должностными обязанностями.

Все сотрудники Учреждения и обслуживающий персонал, должны нести персональную ответственность за нарушения установленного порядка обработки персональных данных, правил хранения, использования и передачи находящихся в их распоряжении защищаемых ресурсов системы. Каждый сотрудник (при приеме на работу) должен подписывать обязательство о соблюдении и ответственности за нарушение установленных требований по сохранению персональных данных Учреждения.

Обработка персональных данных в компонентах информационных систем Учреждения должна производиться в соответствии с утвержденными технологическими инструкциями.

Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной работы с персональными данными, должна определяться нанесенным ущербом, наличием злого умысла и другими факторами по усмотрению руководства Учреждения.

3.4. Основные пути решения задач системы защиты

—     строгим учетом всех подлежащих защите ресурсов информационных систем Учреждения (информации,задач, документов, каналов связи, серверов, автоматизированных рабочих мест);

—     журналированием действий персонала, осуществляющего обслуживание и модификацию программных  и технических средств информационной системы;

—     полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов Учреждения по вопросам обеспечения безопасности информации;

—     подготовкой должностных лиц (сотрудников), ответственных за организацию и осуществление   практических мероприятий по обеспечению безопасности персональных данных и процессов их        обработки;

—     наделением каждого сотрудника (пользователя) минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к информационным ресурсам Учреждения;

—     четким знанием и строгим соблюдением всеми пользователями информационных систем Учреждения  требований организационно-распорядительных документов по вопросам обеспечения безопасности   информации;

—     персональной ответственностью за свои действия каждого сотрудника, в рамках своих функциональных обязанностей имеющего доступ к информационным ресурсам Учреждения;

—     непрерывным поддержанием необходимого уровня защищенности элементов информационной среды Учреждения;

ПОДРОБНОСТИ:   Спасо-Преображенский собор (Чернигов) - это... Что такое Спасо-Преображенский собор (Чернигов)?

—     применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и  непрерывной административной поддержкой их использования;

—     эффективным контролем над соблюдением пользователями информационных ресурсов Учреждения требований по обеспечению безопасности информации;

—     юридической защитой интересов Учреждения при взаимодействии с внешними организациями     (связанном с обменом персональными данными) от противоправных действий, как со стороны этих     организаций, так и от несанкционированных действий обслуживающего персонала и третьих лиц.

4. ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

—    законность;

—    системность;

—    комплексность;

—    непрерывность;

—    своевременность;

—    преемственность и непрерывность совершенствования;

—    разумная достаточность (экономическая целесообразность);

—    персональная ответственность;

—    минимизация полномочий;

—    исключение конфликта интересов;

—    взаимодействие и сотрудничество;

—    гибкость системы защиты;

—    открытость алгоритмов и механизмов защиты;

—    простота применения средств защиты;

—    обоснованность и техническая реализуемость;

—    специализация и профессионализм;

—    обязательность контроля.

4.1. Законность

Предполагает осуществление защитных мероприятий и разработку системы безопасности персональных данных Учреждения в соответствии с действующим законодательством в области защиты персональных данных, а также других законодательных актов по безопасности информации РФ, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с персональными данными.

Все пользователи информационной системы Учреждения должны иметь представление об ответственности за правонарушения в области обработки персональных данных.

4.2. Системность

Системный подход к построению системы защиты информации в Учреждении предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных.

При создании системы защиты должны учитываться все слабые и наиболее уязвимые места информационных систем Учреждения, а также характер, возможные объекты и направления атак на нее со стороны нарушителей (особенно высококвалифицированных злоумышленников). Система защиты должна строиться с учетом не только всех известных каналов проникновения и несанкционированного доступа к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

4.4. Непрерывность защиты

Обеспечение безопасности персональных данных — процесс, осуществляемый руководством Учреждения, ответственным за организацию обработки персональных данных и сотрудниками всех уровней. Это не только и не столько процедура или политика, которая осуществляется в определенный отрезок времени или совокупность средств защиты, сколько процесс, который должен постоянно идти на всех уровнях внутри Учреждения и каждый сотрудник Учреждения должен принимать участие в этом процессе.

Кроме того, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных «закладок» и других средств преодоления защиты.

4.5. Своевременность

Предполагает упреждающий характер мер обеспечения безопасности персональных данных, то есть постановку задач по комплексной защите персональных данных и реализацию мер обеспечения безопасности персональных данных на ранних стадиях разработки информационных систем в целом и их систем защиты, в частности.

Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой информационной системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) системы, обладающие достаточным уровнем защищенности.

4.7. Разумная достаточность (экономическая целесообразность)

Предполагает соответствие уровня затрат на обеспечение безопасности персональных данных ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать эргономические показатели работы компонентов информационных систем Учреждения. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала.

Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока персональные данные находятся в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств возможно преодолеть любую защиту.

Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.

Понравилась статья? Поделиться с друзьями:
Путешествия и туризм
Adblock detector