Председатель
УТВЕРЖДАЮ
Председатель
Председатель
_______________ Председатель
« 29» июня 2012 г.
ПОЛИТИКА
безопасности персональных данных, обрабатываемых в информационных системах персональных данных
в Председатель
Йошкар-Ола
2012
Содержание
Определения 3
Введение 6
1. Общие положения 7
2. Область действия 7
3. Система защиты персональных данных 7
4. Требования к подсистемамСЗПДн 8
4.1. Подсистемы управления доступом, регистрации и учета 9
4.2. Подсистема обеспечения целостности и доступности 9
4.3. Подсистема антивирусной защиты 9
4.4. Подсистема межсетевого экранирования 10
4.5. Подсистема анализа защищенности 10
4.6. Подсистема обнаружения вторжений 10
4.7. Подсистема криптографической защиты 11
5. Пользователи ИСПДн 11
5.1. Администратор ИСПДн 11
5.2. Оператор ИСПДн 12
6. Администратор информационной безопасности 12
7. Требования к муниципальным служащим и другим работникам по обеспечению защиты ПДн 12
8. Должностные обязанности пользователей ИСПДн 14
9. ОтветственностьАдминистратора информационной безопасности и пользователей ИСПДн 14
10. Список использованных источников 15
Определения
В настоящем документе используются следующие термины и их определения.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Безопасность персональных данных– состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Биометрические персональные данные – сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию.
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.
Доступ к информации – возможность получения информации и ее использования.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информационная технология– процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Источник угрозы безопасности информации– субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.
Конфиденциальность персональных данных– обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не распространять их без согласия субъекта персональных данных или наличия иного законного основания.
Средство криптографической защиты информации(СКЗИ) – средство защиты информации, реализующее алгоритмы криптографического преобразования информации.
Межсетевой экран– локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
Нарушитель безопасности персональных данных– физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.
Несанкционированный доступ (НСД)– доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Носитель информации– физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Технические средства информационной системы персональных данных– средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Пользователь информационной системы персональных данных– лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Правила разграничения доступа– совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных– действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Ресурс информационной системы– именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.
Система защиты персональных данных – совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты персональных данных.
Субъект доступа (субъект)– лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Технический канал утечки информации– совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Угрозы безопасности персональных данных– совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных– действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Утечка (защищаемой) информации по техническим каналам– неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.
Целостность информации– способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
|
