Обработки и защиты персональных данных общества с ограниченной ответственностью


Скачать 361.19 Kb.
Название Обработки и защиты персональных данных общества с ограниченной ответственностью
страница 1/4
Тип Документы
rykovodstvo.ru > Руководство эксплуатация > Документы
  1   2   3   4
УТВЕРЖДАЮ

Генеральный директор

ООО «Центр медицинских осмотров»

____________________Ю.Г. Белов

«___»_____________________2017 г.

ПОЛИТИКА

ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ

«ЦЕНТР МЕДИЦИНСКИХ ОСМОТРОВ»

СОДЕРЖАНИЕ

1 Общие положения

2 Задачи СЗПДн

3 Объекты защиты

3.1 Перечень информационных систем

3.2 Перечень объектов защиты

4 Классификация пользователей ИСПДн

5 Основные принципы построения системы комплексной защиты информации

5.1 Законность

5.2 Системность

5.3 Комплексность

5.4 Непрерывность защиты ПДн

5.5 Своевременность

5.6 Преемственность и совершенствование

5.7 Персональная ответственность

5.8 Принцип минимизации полномочий

5.9 Взаимодействие и сотрудничество

5.10 Гибкость системы защиты ПДн

5.11 Открытость алгоритмов и механизмов защиты

5.12 Простота применения средств защиты

5.13 Научная обоснованность и техническая реализуемость

5.14 Специализация и профессионализм

5.15 Обязательность контроля

6 Меры, методы и средства обеспечения требуемого уровня защищенности

6.1 Законодательные (правовые) меры защиты

6.2 Морально-этические меры защиты

6.3 Организационные (административные) меры защиты

6.4 Физические меры защиты

6.5 Аппаратно-программные средства защиты ПДн

7 Контроль эффективности системы защиты ИСПДн ЕЦГБ

8 Сферы ответственности за безопасность ПДн

9 Модель нарушителя безопасности

10 Модель угроз безопасности

11 Механизм реализации Концепции

12 Ожидаемый эффект от реализации Концепции

13 Список использованных источников


Определения

В настоящем документе используются следующие термины и их определения.

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Аутентификация отправителя данных – подтверждение того, что отправитель полученных данных соответствует заявленному.

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Биометрические персональные данные – сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию.

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Вспомогательные технические средства и системы – технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных.

Доступ в операционную среду компьютера (информационной системы персональных данных) – получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.

Доступ к информации – возможность получения информации и ее использования.

Закладочное устройство – элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информативный сигнал – электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация (персональные данные) обрабатываемая в информационной системе персональных данных.

Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.

Контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

Нарушитель безопасности персональных данных – физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.

Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Побочные электромагнитные излучения и наводки – электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

Политика «чистого стола» – комплекс организационных мероприятий, контролирующих отсутствие записывания на бумажные носители ключей и атрибутов доступа (паролей) и хранения их вблизи объектов доступа.

Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Программная закладка – код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства.

Программное (программно-математическое) воздействие – несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.

Раскрытие персональных данных – умышленное или случайное нарушение конфиденциальности персональных данных.

Распространение персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.

Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Технический канал утечки информации – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

Трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Уязвимость – слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.

Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
Обозначения и сокращения

АВС – антивирусные средства

АРМ – автоматизированное рабочее место

ВТСС – вспомогательные технические средства и системы

ИСПДн – информационная система персональных данных

КЗ – контролируемая зона

ЛВС – локальная вычислительная сеть

МЭ – межсетевой экран

НСД – несанкционированный доступ

ОС – операционная система

ПДн – персональные данные

ПМВ – программно-математическое воздействие

ПО – программное обеспечение

ПЭМИН – побочные электромагнитные излучения и наводки

САЗ – система анализа защищенности

СЗИ – средства защиты информации
  1   2   3   4

Похожие:

Обработки и защиты персональных данных общества с ограниченной ответственностью icon Приказ о назначении ответственного лица в области обработки и защиты...
Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных...
Обработки и защиты персональных данных общества с ограниченной ответственностью icon Приказ 30 декабря 2010 года №217 Об утверждении Инструкции по работе...
В целях защиты персональных данных, используемых в министерстве финансов и налоговой политики Новосибирской области и реализации...
Обработки и защиты персональных данных общества с ограниченной ответственностью icon О защите персональных данных информационной системы персональных данных
Оператор – Государственное учреждение – Новосибирское региональное отделение Фонда социального страхования Российской Федерации осуществляющее...
Обработки и защиты персональных данных общества с ограниченной ответственностью icon Должностная инструкция ответственного за организацию обработки персональных...
Федеральным законом от 27. 07. 2006 №152-фз «О персональных данных», нормативными правовыми актами Губернатора Рязанской области...
Обработки и защиты персональных данных общества с ограниченной ответственностью icon Положение об обработке персональных данных в Администрации города Обнинска
Данное Положение регулирует отдельные вопросы обработки персональных данных субъектов персональных данных в Администрации города...
Обработки и защиты персональных данных общества с ограниченной ответственностью icon 2. Источники нормативного правового регулирования вопросов обработки персональных данных
Администрации Верхнедонского района Ростовской области (далее – Отдел), регулирующим вопросы обработки персональных данных
Обработки и защиты персональных данных общества с ограниченной ответственностью icon Руководство Общества привержено обеспечению защиты персональных данных...
Целью настоящей Политики является определение основных положений по организации защиты персональных данных, являющихся частью информационных...
Обработки и защиты персональных данных общества с ограниченной ответственностью icon Инструкция по организации антивирусной защиты информационных систем...
«Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных...
Обработки и защиты персональных данных общества с ограниченной ответственностью icon Должностная инструкция ответственного за организацию обработки персональных...
...
Обработки и защиты персональных данных общества с ограниченной ответственностью icon Приказ
Фз «О персональных данных» и в целях обеспечения мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной...
Обработки и защиты персональных данных общества с ограниченной ответственностью icon Основные характеристики информационной системы персональных данных...
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в испдн №2...
Обработки и защиты персональных данных общества с ограниченной ответственностью icon Методические рекомендации исполнительным органам государственной...
Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных...
Обработки и защиты персональных данных общества с ограниченной ответственностью icon «Многофункциональный центр предоставления государственных и муниципальных...
И «Многофункциональный центр предоставления государственных и муниципальных услуг» (далее – Политика) разработана в целях обеспечения...
Обработки и защиты персональных данных общества с ограниченной ответственностью icon Политика в отношении обработки персональных данных
Оао «Банк «Екатеринбург», требованиям Федерального закона от 27 июля 2006г. №152-фз «О персональных данных», нормативных правовых...
Обработки и защиты персональных данных общества с ограниченной ответственностью icon План мероприятий по обеспечению защиты персональных данных мбдоу дс №7 «Солнышко»
Обеспечение безопасности пдн в мбдоу достигается за счет выполнения требований нормативных актов Российской Федерации в сфере защиты...
Обработки и защиты персональных данных общества с ограниченной ответственностью icon Обработки персональных данных и реализуемых требованиях к защите персональных данных
Целью настоящей Политики является обеспечение безопасности объектов защиты оператора в информационных системах от всех видов угроз,...

Руководство, инструкция по применению




При копировании материала укажите ссылку © 2024
контакты
rykovodstvo.ru
Поиск