|
|
|
|
Министерство образования Пензенской области
УТВЕРЖДАЮ Директор МОУ ООШ с.Камынина Белинского района Пензенской области ____________ О.Г. Молофеева Приказ №67 «31 » октября 2012 г.
ПОЛИТИКА образовательного учреждения в отношении обработки персональных данных
2012
Содержание
Обозначения и сокращения
ИСПДн – информационная система персональных данных. НСД - несанкционированныйдоступ. ПДн – персональные данные. Политика – политика образовательныхучреждений в отношении обработки персональных данных. СЗПДн – системазащиты персональных данных. ТЗКИ – техническаязащита конфиденциальной информации. ТС – техническое средство.
Термины и определения
Автоматизированная обработка персональныхданных – обработка персональных данных с помощью средств вычислительной техники. Безопасность информации – состояние защищенности информации, характеризуемое способностью технических средств иинформационных технологийобеспечивать конфиденциальность, целостность и доступность информации при ее обработке техническими средствами. Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций,обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению. Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных. Доступ кинформации – возможность получения информации и ее использования. Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Информационная система персональных данных – совокупность содержащихся в базах данных персональныхданных и обеспечивающих их обработку информационных технологий и техническихсредств. Источник угрозы безопасности информации – субъектдоступа, материальный объект или физическое явление, являющиеся причинойвозникновения угрозы безопасности информации. Накопитель информации – устройство, предназначенное для записи и (или) чтения информации наноситель информации. Накопитель информации конструктивно может содержать в себе неотчуждаемый носитель информации, либо может бытьпредназначен для использования сменных носителей информации. Накопители подразделяются на встроенные (в конструктиве системногоблока) и внешние (подсоединяемые через порт). Встроенные накопители подразделяются на съемные и несъемные. Нарушитель безопасности персональных данных – физическоелицо, случайно или преднамеренно совершающее действия, следствием которых являетсянарушение безопасности персональных данных при их обработке (в том числе техническими средствами) в информационных системах персональных данных. Несанкционированный доступ(несанкционированные действия) – доступ к информации или действия с информацией,осуществляемые с нарушением установленных прав и (или) правил доступа кинформации или действий с ней с применением штатных средств информационнойсистемы или средств, аналогичных им по своим функциональному предназначению итехническим характеристикам. Носитель информации – физический объект, предназначенный для хранения информации. Обработка персональных данных – любое действие (операция) или совокупностьдействий (операций), совершаемых с использованием средств автоматизации или безиспользования таких средств с персональными данными, включая сбор, запись,систематизацию, накопление, хранение, уточнение (обновление, изменение),извлечение, использование, передачу (распространение, предоставление, доступ),обезличивание, блокирование, удаление, уничтожение персональных данных. Оператор – государственный орган,муниципальный орган, юридическое или физическое лицо, самостоятельно илисовместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных,состав персональных данных, подлежащих обработке, действия (операции),совершаемые с персональными данными. Перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение,прием и обработку информативных сигналов. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Пользователь информационной системы персональных данных– лицо, участвующее в функционировании информационнойсистемы персональных данных или использующее результаты ее функционирования. Распространениеперсональных данных – действия, направленные на раскрытие персональныхданных неопределенному кругу лиц. Система защиты персональных данных – комплекс организационных мер и программно-технических (в том числе криптографических) средств обеспечения безопасности информации в ИСПДн. Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средстваи системы передачи, приема и обработки персональных данных (средства и системызвукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие техническиесредства обработки речевой, графической, видео- и буквенно-цифровойинформации), программные средства (операционные системы, системы управления базамиданных и т.п.), средства защиты информации. Технический канал утечки информации – совокупностьносителя информации (средства обработки), физической среды распространенияинформативного сигнала и средств, которыми добывается защищаемая информация. Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасностьнесанкционированного, в том числе случайного, доступа к персональным данным,результатом которого может стать уничтожение, изменение, блокирование,копирование, распространение персональных данных, а также иныхнесанкционированных действий при ихобработке в информационной системе персональных данных. Уничтожение персональных данных– действия, в результате которыхстановится невозможным восстановить содержание персональных данных винформационной системе персональных данных и (или) в результате которыхуничтожаются материальные носители персональных данных. Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителязащищаемой информации через физическую среду до технического средства,осуществляющего перехват информации.
1. Основные положения
1.1. Настоящая Политика устанавливает порядокорганизации и проведения работ по защите информации в ИСПДн, создаваемых и эксплуатируемых в образовательномучреждении.
1.2. Требования настоящей Политики распространяются назащиту информации с ограниченным доступом, отнесенной к информации, составляющейПДн.
1.3. Политика является дополнением к действующим в РФ нормативным документам по вопросам обеспечения информационной безопасности ПДн, и не исключает обязательного выполнения их требований.
1.4. Политика служит основой для разработки комплекса организационных и технических мер по обеспечению информационной безопасности ПДн образовательных учреждений, а также нормативных и методических документов, обеспечивающих ее реализацию.
1.5. Политика определяет следующие основные вопросы защиты информации:
- основныепринципы и требования по защите информации, составляющей ПДн,
- порядокорганизации и проведения работ по защите информации,
- порядокобеспечения защиты информации при эксплуатации ИСПДн,
- порядокорганизации делопроизводства, хранения и обращения накопителей и носителей информации.
2. Принципы обеспечения защиты информации, составляющей персональные данные
Защита информации, составляющей ПДндолжна осуществляться в соответствии со следующими основными принципами:
2.1. Законность — предполагает обеспечение защиты ПДн всоответствии с действующим в РФ законодательством и нормативными актами в области защиты ПДн. Пользователи и обслуживающий персонал ИСПДн должны быть осведомлены о правилах и порядке работы с защищаемой информацией и обответственности за их нарушение.
2.2. Системность — предполагает учет всех взаимосвязанных,взаимодействующих и изменяющихся во времени элементов, условий и факторов,существенно значимых для понимания и решения проблемы обеспечения безопасностиПДн ИСПДн.
2.3. Комплексность — предполагает согласованное применениеразнородных средств и систем при построении комплексной системы защитыинформации, перекрывающей все существенные каналы реализации угроз и несодержащей слабых мест на стыках отдельных ее компонентов. Для каждого каналаутечки информации и для каждой угрозы безопасности должно существовать несколькозащитных рубежей. Создание защитных рубежей осуществляется с учетом того, чтобыдля их преодоления потенциальному злоумышленнику требовались профессиональныенавыки в нескольких невзаимосвязанных областях. 2.4. Непрерывность — предполагает функционирование СЗПДн ввиде непрерывного целенаправленногопроцесса, предполагающего принятие соответствующих мер на всех этапахжизненного цикла ИСПДн. ИСПДн должны находиться в защищенном состоянии напротяжении всего времени их функционирования. В соответствии с этим принципомдолжны приниматься меры не допускающие переход ИСПДн в незащищенное состояние. 2.5. Своевременность — предполагает упреждающий характер меробеспечения безопасности ПДн, то есть постановку задач по комплексной защитеИСПДн и реализацию мер обеспечения безопасности ПДн на ранних стадиях разработкиИСПДн в целом и ее системы защиты информации, в частности. 2.6. Совершенствование — предполагает постоянноесовершенствование мер и средств защиты информации на основе комплексногоприменения организационных и технических решений, квалификации персонала, анализафункционирования ИСПДн и ее системы защиты с учетом изменений условийфункционирования ИСПДн, появления новых методов и средств перехвата информации,изменений требований нормативных документов по защите ПДн. 2.7. Персональная ответственность — предполагает возложениеответственности за обеспечение безопасности ПДн и ИСПДн на каждого исполнителяв пределах его полномочий. В соответствии с этим принципом распределение прав иобязанностей исполнителей строится таким образом, чтобы в случае любогонарушения круг виновников был четко известен или сведен к минимуму. 2.8. Минимальная достаточность — предполагает предоставлениеисполнителям минимально необходимых прав доступа к ресурсам ИСПДн в соответствиис производственной необходимостью, на основе принципа «запрещено все, что неразрешено явным образом». 2.9. Гибкость системы защиты — предполагает наличиевозможности варьирования уровнем защищенности при изменении условийфункционирования ИСПДн. 2.10. Обязательность контроля — предполагает обязательность исвоевременность выявления и пресечения попыток нарушения установленных правилобеспечения безопасности ПДн на основе используемых систем и средств защитыинформации. Контроль за деятельностью каждого пользователя, каждого средствазащиты и в отношении каждого объекта защиты должен осуществляться на основеприменения средств контроля и регистрации и должен охватывать какнесанкционированные, так и санкционированные действия пользователей.
3. Основные требования по защите информации составляющей персональные данные
3.1. Защита информации в ИСПДн является неотъемлемойсоставной частью управленческой и научной деятельности образовательного учреждения и должна осуществляться во взаимосвязи с другими мерами по защите информации, составляющей ПДн. |
|
© SHKaminino |