Содержание
1. Назначение и область применения 3
1. Термины и сокращения 3
2. Общие положения 4
3. Нормативные ссылки 5
4. Персональные данные, подлежащие защите 5
5. Организационная система обеспечения безопасности ПДн 6
6. Защита ПДн при обработке без использования средств автоматизации 6
7. Защита ПДн при обработке в информационных системах персональных данных 7
8. Требования к персоналу по обеспечению защиты ПДн 13
9. Контроль состояния защиты ПДн 14
Приложение 1. Форма Журнала учета средств защиты информации, эксплуатационной и технической документации к ним 17
Приложение 2. Форма Журнала учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов 18
Приложение 3. Форма Журнала периодического тестирования средств защиты информации 19
Приложение 4. Форма Журнала учета мероприятий по защите информации 20
-
Назначение и область применения
Положение «Об организации и обеспечении защиты персональных данных» предназначено для организации и проведения мероприятий по обеспечению защиты персональных данных в государственном автономном профессиональном образовательном учреждении Республики Башкортостан «Стерлитамакский медицинский колледж» (далее – Учреждение) в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Положение определяет порядок организации работ, требования, правила и рекомендации по обеспечению защиты персональных данных в Учреждении.
Положение является локальным правовым актом Учреждения. Требования Положения обязательны для выполнения всеми работниками, которые допущены к обработке персональных данных.
1.Термины и сокращения
АРМ
|
Автоматизированное рабочее место
|
БД
|
База данных
|
ВП
|
Вредоносная программа
|
ИС
|
Информационная система
|
ИСПДн
|
Информационная система персональных данных
|
ЛВС
|
Локальная вычислительная сеть
|
МЭ
|
Межсетевой экран
|
НСД
|
Несанкционированный доступ
|
ПДн
|
Персональные данные
|
ПО
|
Программное обеспечение
|
ПЭВМ
|
Персональная электронно-вычислительная машина
|
СВТ
|
Средство вычислительной техники
|
СЗИ
|
Средство защиты информации
|
СЗПДн
|
Система (подсистема) защиты персональных данных
|
ФЗ
|
Федеральный закон
|
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.
Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Доступ к информации – возможность получения информации и ее использования.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с Перечнем присвоенных идентификаторов.
Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Программное (программно-математическое) воздействие – несанкционированное воздействие на ресурсы информационной системы, осуществляемое с использованием вредоносных программ.
Ресурс информационной системы – именованный элемент системного прикладного или аппаратного обеспечения функционирования информационной системы.
Средство вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Целостность информации – способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
|
