Политика ООО «ПЕРСПЕКТИВА» в отношении обработки персональных данных

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Политика ООО «Перспектива» определяет систему взглядов на проблему обеспечения безопасности персональных данных и представляет собой систематизированное изложение целей и задач защиты, как одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется ООО «Перспектива» в своей деятельности, а также основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности персональных данных.

Законодательной основой настоящей Политики являются Конституция Российской Федерации, Гражданский, Уголовный и Трудовой кодексы, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы ФСТЭК и ФСБ России.

Использование данной Политики в качестве основы для построения комплексной системы информационной безопасности персональных данных ООО «Перспектива» позволит оптимизировать затраты на ее построение.

При разработке Политики учитывались основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам безопасности информации.

• информационные ресурсы с ограниченным доступом, содержащие персональные данные;

• процессы обработки персональных данных в информационных системах персональных данных ООО «Перспектива», информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, персонал разработчиков и пользователей системы и ее обслуживающий персонал;
• информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых расположены технические средства обработки персональных данных.

Субъектами информационных отношений при обеспечении безопасности персональных данных ООО «Перспектива» являются:

• ООО «Перспектива», как собственник информационных ресурсов;
• руководство и сотрудники ООО «Перспектива», в соответствии с возложенными на них функциями;
• физические лица, не являющиеся сотрудниками ООО «Перспектива» ,но имеющими с ней отношения.

Перечисленные субъекты информационных отношений заинтересованы в обеспечении:

• своевременного доступа к необходимым им персональным данным (их доступности);
• достоверности (полноты, точности, адекватности, целостности) персональных данных;
• конфиденциальности (сохранения в тайне) персональных данных;
• защиты от навязывания им ложных (недостоверных, искаженных) персональных данных;
• разграничения ответственности за нарушения их прав (интересов) и установленных правил обращения с персональными данными;
• возможности осуществления непрерывного контроля и управления процессами обработки и передачи персональных данных;
• защиты персональных данных от незаконного распространения.

Основной целью, на достижение которой направлены все положения настоящей Политики, является защита субъектов информационных отношений ООО «Перспектива» от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на персональные данные, их носители, процессы обработки и передачи.

Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств персональных данных:

• доступности персональных данных для легальных пользователей (устойчивого функционирования информационных систем ООО «Перспектива» , при котором пользователи имеют возможность получения необходимых персональных данных и результатов решения задач за приемлемое для них время);
• целостности и аутентичности (подтверждение авторства) персональных данных, хранимых и обрабатываемых в информационных системах ООО «Перспектива» и передаваемой по каналам связи;
• конфиденциальности – сохранения в тайне определенной части персональных данных, хранимых, обрабатываемых и передаваемых по каналам связи.

Необходимый уровень доступности, целостности и конфиденциальности персональных данных обеспечивается соответствующими множеству значимых угроз методами и средствами.

Для достижения основной цели защиты и обеспечения указанных свойств персональных данных система обеспечения информационной безопасности ООО «Перспектива» должна обеспечивать эффективное решение следующих задач:

• своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, нарушению нормального функционирования информационных систем ООО «Перспектива»;
• создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;
• создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации;
• защиту от вмешательства в процесс функционирования информационных систем ООО «Перспектива» посторонних лиц (доступ к информационным ресурсам должны иметь только зарегистрированные в установленном порядке пользователи);
• разграничение доступа пользователей к информационным, аппаратным, программным и иным ресурсам ООО «Перспектива» (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа;
• обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);
• защиту от несанкционированной модификации используемых в информационных системах ООО «Перспектива» программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;
• защиту информации ограниченного пользования от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

Поставленные основные цели защиты и решение перечисленных выше задач достигаются:

• строгим учетом всех подлежащих защите ресурсов информационных систем ООО «Перспектива» (информации, задач, документов, каналов связи, серверов, автоматизированных рабочих мест);
• журналированием действий персонала, осуществляющего обслуживание и модификацию программных и технических средств информационных систем;
• полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов ООО «Перспектива» по вопросам обеспечения безопасности информации;
• подготовкой должностных лиц (сотрудников), ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности персональных данных и процессов их обработки;
• наделением каждого сотрудника (пользователя) минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к информационным ресурсам ООО «Перспектива»;
• четким знанием и строгим соблюдением всеми пользователями информационных систем ООО «Перспектива» требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
• персональной ответственностью за свои действия каждого сотрудника, в рамках своих функциональных обязанностей имеющего доступ к информационным ресурсам ООО «Перспектива»;
• непрерывным поддержанием необходимого уровня защищенности элементов информационной среды ООО «Перспектива»;
• применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;
• эффективным контролем над соблюдением пользователями информационных ресурсов ООО «Перспектива» требований по обеспечению безопасности информации;
• юридической защитой интересов ООО «Перспектива» при взаимодействии с внешними организациями (связанными с обменом персональными данными) от противоправных действий, как со стороны этих организаций, так и от несанкционированных действий обслуживающего персонала и третьих лиц.

• законность;
• системность;
• системность;
• непрерывность;
• своевременность;
• преемственность и непрерывность совершенствования;
• разумная достаточность (экономическая целесообразность);
• персональная ответственность;
• минимизация полномочий;
• исключение конфликта интересов;
• взаимодействие и сотрудничество;
• гибкость системы защиты;
• открытость алгоритмов и механизмов защиты;
• простота применения средств защиты;
• обоснованность и техническая реализуемость;
• специализация и профессионализм;
• обязательность контроля.

Предполагает осуществление защитных мероприятий и разработку системы безопасности персональных данных ООО «Перспектива» в соответствии с действующим законодательством в области защиты персональных данных, а также других законодательных актов по безопасности информации РФ, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с персональными данными. Принятые меры безопасности персональных данных не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях.

Все пользователи информационных систем ООО «Перспектива» должны иметь представление об ответственности за правонарушения в области обработки персональных данных.

Системный подход к построению системы защиты информации в ООО «Перспектива» предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных.

При создании системы защиты должны учитываться все слабые и наиболее уязвимые места информационных систем ООО «Перспектива» , а также характер, возможные объекты и направления атак на нее со стороны нарушителей (особенно высококвалифицированных злоумышленников).

Система защиты должна строиться с учетом не только всех известных каналов проникновения и несанкционированного доступа к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств  при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами.

Обеспечение безопасности персональных данных – процесс, осуществляемый руководством ООО «Перспектива», ответственными за организацию обработки персональных данных и сотрудниками всех уровней. Это не только и не столько процедура или политика, которая осуществляется в определенный отрезок времени или совокупность средств защиты, сколько процесс, который должен постоянно идти на всех уровнях внутри ООО «Перспектива» и каждый сотрудник ООО «Перспектива» принимает участие в этом процессе. Деятельность по обеспечению информационной безопасности является составной частью повседневной деятельности ООО «Перспектива» , Физическим и техническим средствам защиты для эффективного выполнения своих функций оказывается постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, переопределение полномочий и т.п.).

Предполагает упреждающий характер мер обеспечения безопасности персональных данных,  постановку задач по комплексной защите персональных данных и реализацию мер обеспечения безопасности персональных данных на ранних стадиях разработки информационных систем в целом и их систем защиты, в частности.

Предполагает постоянное совершенствование мер и средств защиты персональных данных на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования информационных систем ООО «Перспектива» и системы их защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите.

Система обеспечения информационной безопасности должна быть способна реагировать на изменения внешней среды и условий осуществления Организациисвоей деятельности. В число таких изменений входят:

• изменения организационной и штатной структуры Организации;
• изменение существующих или внедрение принципиально новых информационных систем;
• новые технические средства.

Свойство гибкости системы обеспечения информационной безопасности избавляет в таких ситуациях от необходимости принятия кардинальных мер по полной замене средств и методов защиты на новые, что снижает ее общую стоимость.

Предполагает возложение ответственности за обеспечение безопасности персональных данных и системы их обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.

Означает предоставление пользователям минимальных прав доступа в соответствии со служебной необходимостью. Доступ к персональным данным   предоставляется только в том случае и объеме, если это необходимо сотруднику для выполнения его должностных обязанностей.

Эффективная система обеспечения информационной безопасности предполагает четкое разделение обязанностей сотрудников и исключение ситуаций, когда сфера ответственности сотрудников допускает конфликт интересов.

Предполагает создание благоприятной атмосферы в коллективе ООО «Перспектива». В такой обстановке сотрудники должны осознанно соблюдать установленные правила и оказывать содействие деятельности ответственного за обработку персональных данных.

Важным элементом эффективной системы обеспечения безопасности персональных данных в ООО «Перспектива»  является высокая культура работы с информацией. Руководство ООО «Перспектива» несет ответственность за строгое соблюдение этических норм и стандартов профессиональной деятельности, подчеркивающей и демонстрирующей персоналу на всех уровнях важность обеспечения информационной безопасности ООО «Перспектива».

Информационные технологии, технические и программные средства, средства и меры защиты персональных данных реализованы в ООО «Перспектива» на современном уровне, обоснованы с точки зрения достижения заданного уровня безопасности информации и экономической целесообразности, а также соответствуют установленным нормам и требованиям по безопасности персональных данных.

Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Это, однако, не означает, что информация об используемых системах и механизмах защиты должна быть общедоступна.

Механизмы и методы защиты должны быть интуитивно понятны и просты в использовании. Применение средств и методов защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций.

Предполагает соответствие уровня затрат на обеспечение безопасности персональных данных ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать эргономические показатели работы компонентов информационных систем Организации. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала.
Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока персональные данные находятся в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств возможно преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.

Предполагает привлечение к разработке средств и реализации мер защиты персональных данных специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области.

Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил, обеспечения безопасности персональных данных, на основе используемых систем и средств защиты персональных данных, при совершенствовании критериев и методов оценки эффективности этих систем и средств.

Все меры обеспечения безопасности информационных систем ООО «Перспектива» подразделяются на:

• правовые (законодательные);
• технологические;
• организационные (административные);
• физические;
• технические (аппаратурные и программные).

К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с персональными данными, закрепляющие права и обязанности участников информационных отношений в процессе их обработки и использования, а также устанавливающие ответственность за нарушения этих правил. Правовые меры защиты носят в основном упреждающий, профилактический характер и  постоянно разъясняются с пользователям и обслуживающему персоналу информационных систем ООО «Перспектива».

К данному виду мер защиты относятся разного рода технологические решения и приемы, направленные на уменьшение возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных им прав и полномочий.

Организационные (административные) меры защиты –  меры организационного характера, регламентирующие процессы функционирования системы обработки персональных данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

Главная цель административных мер – сформировать политику в области обеспечения безопасности персональных данных (отражающую подходы к защите персональных данных) и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Политика в области обеспечения безопасности персональных данных в ООО «Перспектива» обеспечивает приемлемый уровень безопасности и обладает  функциональностью.

Компоненты информационных систем ООО «Перспектива» размещаются в помещениях, находящихся под охраной и наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (документов, АРМ и т.п.). Все посторонние лица допускаются в помещения с компонентами информационной системы только в присутствии сотрудников ООО «Перспектива».

По окончании рабочего дня, помещения, в которых размещаются компоненты информационных систем ООО «Перспектива» , запираются на ключ.

В рамках разрешительной системы (матрицы) доступа устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях.

Допуск пользователей к работе с информационными системами ООО «Перспектива»  и доступ к их ресурсам строго регламентирован. Любые изменения состава и полномочий пользователей подсистем производятся установленным порядком.

Уровень полномочий каждого пользователя определяется индивидуально:

• каждый сотрудник пользуется только предписанными ему правами по отношению к персональным данным, с которыми ему необходима работа в соответствии с должностными обязанностями. Расширение прав доступа и предоставление доступа к дополнительным информационных ресурсам, в обязательном порядке, согласовывается с ответственным за организацию обработки персональных данных;
• директор ООО «Перспектива» имеет права на просмотр информации своих подчиненных только в установленных пределах в соответствии со своими должностными обязанностями.

Все сотрудники ООО «Перспектива» несут персональную ответственность за нарушения установленного порядка обработки персональных данных, правил хранения, использования и передачи находящихся в их распоряжении защищаемых ресурсов системы. Каждый сотрудник (при приеме на работу) подписывает обязательство о соблюдении и ответственности за нарушение установленных требований по сохранению персональных данных ООО «Перспектива»

Обработка персональных данных в компонентах информационных систем ООО «Перспектива» производится в соответствии с утвержденными технологическими инструкциями.

В целях поддержания режима информационной безопасности аппаратно-программная конфигурация автоматизированных рабочих мест сотрудников ООО «Перспектива», с которых возможен доступ к ресурсам информационной системы, соответствует кругу возложенных на данных пользователей функциональных обязанностей.

В компонентах информационной системы и на рабочих местах пользователей устанавливается и использоваться лицензионные программные средства.

Оборудование информационных систем, используемое для доступа и хранения персональных данных, к которому доступ обслуживающего персонала в процессе эксплуатации не требуется, после наладочных, ремонтных и иных работ, связанных с доступом к его компонентам закрывается.

Пользователи информационных систем ООО «Перспектива», а также руководящий и обслуживающий персонал ознакомлены со своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки персональных данных в ООО «Перспектива»

Все пользователи информационных систем ООО «Перспектива» ознакомлены с организационно – распорядительными документами по обеспечению безопасности персональных данных ООО «Перспектива». Доведение требований указанных документов до лиц, допущенных к обработке защищаемых персональных данных,  осуществляется под роспись.

Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной работы с персональными данными,  определяется нанесенным ущербом, наличием злого умысла и другими факторами по усмотрению руководства ООО «Перспектива».

Для реализации принципа персональной ответственности пользователей за свои действия необходимы:

• индивидуальная идентификация пользователей и инициированных ими процессов;
• проверка подлинности пользователей (аутентификация) на основе паролей;
• реакция на попытки несанкционированного доступа (сигнализация, блокировка и т.д.).

Для обеспечения информационной безопасности ООО «Перспектива»  используются следующие средства защиты:

• физические средства;
• технические средства;
• средства идентификации и аутентификации пользователей;
• средства разграничения доступа;
• средства обеспечения и контроля целостности;
• средства оперативного контроля и регистрации событий безопасности.

Средства защиты  применяются ко всем ресурсам информационных систем ООО «Перспектива», независимо от их вида и формы представления информации в них.

Физические меры защиты основаны на применении механических и электронных устройств, ограничивающих доступ  к компонентам системы и защищаемым персональным данным, а также технических средств визуального наблюдения, связи и охранной сигнализации.

Для обеспечения физической безопасности компонентов информационной системы ООО «Перспектива» применяется:

• введение дополнительных ограничений по доступу в помещения, предназначенные для хранения и обработки персональных данных;
• оборудование систем информатизации устройствами защиты от сбоев электропитания.

Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ и функции .

С учетом всех требований и принципов обеспечения безопасности персональных данных по всем направлениям защиты в состав системы защиты  включены следующие средства:

• средства разграничения доступа к данным;
• средства регистрации доступа к компонентам информационной системы и контроля за использованием информации;
• средства идентификации пользователей при помощи имен или пароля;
• регламентация и управление доступом пользователей в помещения, к физическим и логическим устройствам;
• защита от проникновения компьютерных вирусов и разрушительного воздействия вредоносных программ;
• регистрация всех действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;
• защита данных системы защиты на файловом сервере от доступа пользователей, в чьи должностные обязанности не входит работа с информации, находящейся на нем.

В целях предотвращения работы с ресурсами информационных систем ООО «Перспектива» посторонних лиц применяется распознавание каждого легального пользователя: магнитные карточки, ключи.

Зоны ответственности и задачи конкретных технических средств защиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства.

Средства обеспечения целостности включают в свой состав средства резервного копирования, программы антивирусной защиты, программы восстановления целостности операционной среды и баз данных.

 Контроль эффективности защиты персональных данных осуществляется ответственным лицом для выявления и предотвращения утечки персональных данных за счет несанкционированного доступа.

Оценка эффективности мер защиты персональных данных проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.