Министерство образования Пензенской области
|
|
УТВЕРЖДАЮ
Директор МОУ ООШ с.Камынина
Белинского района Пензенской области
____________ О.Г. Молофеева
Приказ №67
«31 » октября 2012 г.
ПОЛИТИКА
образовательного учреждения в отношении обработки персональных данных
2012
Содержание
| Обозначения и сокращения.………………………………………………… | 3 |
| Термины и определения…………………………………………………….. | 4 |
| 1. Основные положения……………………………………………………... | 9 |
| 2. Принципы обеспечения защиты информации, составляющей персональные данные ……………………………………………………. | 10 |
| 3. Основные требования по защите информации составляющей персональные данные……………………….............................................. | 13 |
| 4. Порядок организации и проведения работ по защите информации...…... | 15 |
| 5. Порядок обеспечения защиты информации при эксплуатации ИСПДн... | 16 |
| 6. Порядок организации делопроизводства, хранения и обращения накопителей и носителей информации……………………………………. | 17 |
| 7. Контроль состояния и эффективности защиты ИСПДн…………………. | 19 |
Обозначения и сокращения
ИСПДн – информационная система персональных данных.
НСД - несанкционированныйдоступ.
ПДн – персональные данные.
Политика – политика образовательныхучреждений в отношении обработки персональных данных.
СЗПДн – системазащиты персональных данных.
ТЗКИ – техническаязащита конфиденциальной информации.
ТС – техническое средство.
Термины и определения
Автоматизированная обработка персональныхданных – обработка персональных данных с помощью средств вычислительной техники.
Безопасность информации – состояние защищенности информации, характеризуемое способностью технических средств иинформационных технологийобеспечивать конфиденциальность, целостность и доступность информации при ее обработке техническими средствами.
Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций,обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Доступ кинформации – возможность получения информации и ее использования.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Информационная система персональных данных – совокупность содержащихся в базах данных персональныхданных и обеспечивающих их обработку информационных технологий и техническихсредств.
Источник угрозы безопасности информации – субъектдоступа, материальный объект или физическое явление, являющиеся причинойвозникновения угрозы безопасности информации.
Накопитель информации – устройство, предназначенное для записи и (или) чтения информации наноситель информации. Накопитель информации конструктивно может содержать в себе неотчуждаемый носитель информации, либо может бытьпредназначен для использования сменных носителей информации. Накопители подразделяются на встроенные (в конструктиве системногоблока) и внешние (подсоединяемые через порт). Встроенные накопители подразделяются на съемные и несъемные.
Нарушитель безопасности персональных данных – физическоелицо, случайно или преднамеренно совершающее действия, следствием которых являетсянарушение безопасности персональных данных при их обработке (в том числе техническими средствами) в информационных системах персональных данных.
Несанкционированный доступ(несанкционированные действия) – доступ к информации или действия с информацией,осуществляемые с нарушением установленных прав и (или) правил доступа кинформации или действий с ней с применением штатных средств информационнойсистемы или средств, аналогичных им по своим функциональному предназначению итехническим характеристикам.
Носитель информации – физический объект, предназначенный для хранения информации.
Обработка персональных данных – любое действие (операция) или совокупностьдействий (операций), совершаемых с использованием средств автоматизации или безиспользования таких средств с персональными данными, включая сбор, запись,систематизацию, накопление, хранение, уточнение (обновление, изменение),извлечение, использование, передачу (распространение, предоставление, доступ),обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор – государственный орган,муниципальный орган, юридическое или физическое лицо, самостоятельно илисовместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных,состав персональных данных, подлежащих обработке, действия (операции),совершаемые с персональными данными.
Перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение,прием и обработку информативных сигналов.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Пользователь информационной системы персональных данных– лицо, участвующее в функционировании информационнойсистемы персональных данных или использующее результаты ее функционирования.
Распространениеперсональных данных – действия, направленные на раскрытие персональныхданных неопределенному кругу лиц.
Система защиты персональных данных – комплекс организационных мер и программно-технических (в том числе криптографических) средств обеспечения безопасности информации в ИСПДн.
Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средстваи системы передачи, приема и обработки персональных данных (средства и системызвукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие техническиесредства обработки речевой, графической, видео- и буквенно-цифровойинформации), программные средства (операционные системы, системы управления базамиданных и т.п.), средства защиты информации.
Технический канал утечки информации – совокупностьносителя информации (средства обработки), физической среды распространенияинформативного сигнала и средств, которыми добывается защищаемая информация.
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасностьнесанкционированного, в том числе случайного, доступа к персональным данным,результатом которого может стать уничтожение, изменение, блокирование,копирование, распространение персональных данных, а также иныхнесанкционированных действий при ихобработке в информационной системе персональных данных.
Уничтожение персональных данных– действия, в результате которыхстановится невозможным восстановить содержание персональных данных винформационной системе персональных данных и (или) в результате которыхуничтожаются материальные носители персональных данных.
Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителязащищаемой информации через физическую среду до технического средства,осуществляющего перехват информации.
1. Основные положения
1.1. Настоящая Политика устанавливает порядокорганизации и проведения работ по защите информации в ИСПДн, создаваемых и эксплуатируемых в образовательномучреждении.
1.2. Требования настоящей Политики распространяются назащиту информации с ограниченным доступом, отнесенной к информации, составляющейПДн.
1.3. Политика является дополнением к действующим в РФ нормативным документам по вопросам обеспечения информационной безопасности ПДн, и не исключает обязательного выполнения их требований.
1.4. Политика служит основой для разработки комплекса организационных и технических мер по обеспечению информационной безопасности ПДн образовательных учреждений, а также нормативных и методических документов, обеспечивающих ее реализацию.
1.5. Политика определяет следующие основные вопросы защиты информации:
- основныепринципы и требования по защите информации, составляющей ПДн,
- порядокорганизации и проведения работ по защите информации,
- порядокобеспечения защиты информации при эксплуатации ИСПДн,
- порядокорганизации делопроизводства, хранения и обращения накопителей и носителей информации.
2. Принципы обеспечения защиты информации, составляющей персональные данные
Защита информации, составляющей ПДндолжна осуществляться в соответствии со следующими основными принципами:
2.1. Законность — предполагает обеспечение защиты ПДн всоответствии с действующим в РФ законодательством и нормативными актами в области защиты ПДн. Пользователи и обслуживающий персонал ИСПДн должны быть осведомлены о правилах и порядке работы с защищаемой информацией и обответственности за их нарушение.
2.2. Системность — предполагает учет всех взаимосвязанных,взаимодействующих и изменяющихся во времени элементов, условий и факторов,существенно значимых для понимания и решения проблемы обеспечения безопасностиПДн ИСПДн.
2.3. Комплексность — предполагает согласованное применениеразнородных средств и систем при построении комплексной системы защитыинформации, перекрывающей все существенные каналы реализации угроз и несодержащей слабых мест на стыках отдельных ее компонентов. Для каждого каналаутечки информации и для каждой угрозы безопасности должно существовать несколькозащитных рубежей. Создание защитных рубежей осуществляется с учетом того, чтобыдля их преодоления потенциальному злоумышленнику требовались профессиональныенавыки в нескольких невзаимосвязанных областях.
2.4. Непрерывность — предполагает функционирование СЗПДн ввиде непрерывного целенаправленногопроцесса, предполагающего принятие соответствующих мер на всех этапахжизненного цикла ИСПДн. ИСПДн должны находиться в защищенном состоянии напротяжении всего времени их функционирования. В соответствии с этим принципомдолжны приниматься меры не допускающие переход ИСПДн в незащищенное состояние.
2.5. Своевременность — предполагает упреждающий характер меробеспечения безопасности ПДн, то есть постановку задач по комплексной защитеИСПДн и реализацию мер обеспечения безопасности ПДн на ранних стадиях разработкиИСПДн в целом и ее системы защиты информации, в частности.
2.6. Совершенствование — предполагает постоянноесовершенствование мер и средств защиты информации на основе комплексногоприменения организационных и технических решений, квалификации персонала, анализафункционирования ИСПДн и ее системы защиты с учетом изменений условийфункционирования ИСПДн, появления новых методов и средств перехвата информации,изменений требований нормативных документов по защите ПДн.
2.7. Персональная ответственность — предполагает возложениеответственности за обеспечение безопасности ПДн и ИСПДн на каждого исполнителяв пределах его полномочий. В соответствии с этим принципом распределение прав иобязанностей исполнителей строится таким образом, чтобы в случае любогонарушения круг виновников был четко известен или сведен к минимуму.
2.8. Минимальная достаточность — предполагает предоставлениеисполнителям минимально необходимых прав доступа к ресурсам ИСПДн в соответствиис производственной необходимостью, на основе принципа «запрещено все, что неразрешено явным образом».
2.9. Гибкость системы защиты — предполагает наличиевозможности варьирования уровнем защищенности при изменении условийфункционирования ИСПДн.
2.10. Обязательность контроля — предполагает обязательность исвоевременность выявления и пресечения попыток нарушения установленных правилобеспечения безопасности ПДн на основе используемых систем и средств защитыинформации. Контроль за деятельностью каждого пользователя, каждого средствазащиты и в отношении каждого объекта защиты должен осуществляться на основеприменения средств контроля и регистрации и должен охватывать какнесанкционированные, так и санкционированные действия пользователей.
3. Основные требования по защите информации составляющей персональные данные
3.1. Защита информации в ИСПДн является неотъемлемойсоставной частью управленческой и научной деятельности образовательного учреждения и должна осуществляться во взаимосвязи с другими мерами по защите информации, составляющей ПДн.