Политика в отношении обработки персональных данных

 

ПОЛИТИКА



управления по работе с обращениями граждан администрации Владимирской области

в отношении обработки персональных данных

1.    Термины и определения
Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники.
Распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.
Обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.    Назначение и правовая основа документа
Политика управления по работе с обращениями граждан администрации Владимирской области (далее по тексту – Управление) определяет систему взглядов на проблему обеспечения безопасности ПДн и представляет собой систематизированное изложение целей и задач защиты, как одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется Управление в своей деятельности, а также основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности ПДн. 
Законодательной основой настоящей Политики являются Конституция Российской Федерации, Гражданский, Уголовный и Трудовой кодексы, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». 
При разработке Политики учитывались основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам безопасности информации. 
3.    Основными объектами системы безопасности ПДн в Управлении являются: 

  • информационные ресурсы с ограниченным доступом, содержащие ПДн; 
  • процессы обработки ПДн в ИСПДн Управления, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, персонал разработчиков и пользователей системы и ее обслуживающий персонал; 
  • информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых расположены технические средства обработки ПДн.

4.    Интересы затрагиваемых субъектов информационных отношений
Субъектами информационных отношений при обеспечении безопасности ПДн Управления являются:

  • администрация Владимирской области, как собственник информационных ресурсов;
  • руководство и сотрудники Управления, в соответствии с возложенными на них функциями;
  • граждане, обращающиеся в Администрацию.

Перечисленные субъекты информационных отношений заинтересованы в обеспечении:

  • своевременного доступа к необходимым им ПДн (их доступности);
  • достоверности (полноты, точности, адекватности, целостности) ПДн;
  • конфиденциальности (сохранения в тайне) ПДн;
  • защиты от навязывания им ложных (недостоверных, искаженных) ПДн;
  • разграничения ответственности за нарушения их прав (интересов) и установленных правил обращения с ПДн;
  • возможности осуществления непрерывного контроля и управления процессами обработки и передачи ПДн;
  • защиты ПДн от незаконного распространения.

4.1.    Цели защиты
Основной целью, на достижение которой направлены все положения настоящей Политики, является защита субъектов информационных отношений Управления от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на ПДн, их носители, процессы обработки и передачи. 
Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств ПДн: 

  • доступности для легальных пользователей (устойчивого функционирования информационных систем Управления, при котором пользователи имеют возможность получения необходимых ПДн и результатов решения задач за приемлемое для них время); 
  • целостности и аутентичности (подтверждение авторства) ПДн, хранимых и обрабатываемых в информационных системах Управления и передаваемой по каналам связи; 
  • конфиденциальности - сохранения в тайне определенной части ПДн, хранимых, обрабатываемых и передаваемых по каналам связи.

Необходимый уровень доступности, целостности и конфиденциальности ПДн обеспечивается соответствующими множеству значимых угроз методами и средствами.
4.2.    Основные задачи системы обеспечения безопасности ПДн
Для достижения основной цели защиты и обеспечения указанных свойств ПДн система обеспечения информационной безопасности Управления обеспечивает эффективное решение следующих задач: 

  • своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, нарушению нормального функционирования информационных систем Управления; 
  • создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции; 
  • создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации; 
  • защиту от вмешательства в процесс функционирования информационных систем посторонних лиц (доступ к информационным ресурсам имеют только зарегистрированные в установленном порядке пользователи); 
  • разграничение доступа пользователей к информационным, аппаратным, программным и иным ресурсам Управления (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа; 
  • обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации); 
  • защиту от несанкционированной модификации, используемых в информационных системах Управления программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы; 
  • защиту информации ограниченного пользования от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

4.3.    Основные пути решения задач системы защиты
Поставленные основные цели защиты и решение перечисленных выше задач достигаются: 

  • строгим учетом всех подлежащих защите ресурсов информационных систем Управления (информации, задач, документов, каналов связи, серверов, автоматизированных рабочих мест); 
  • журналированием действий персонала, осуществляющего обслуживание и модификацию программных и технических средств информационных систем; 
  • полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов Управления по вопросам обеспечения безопасности информации; 
  • подготовкой должностных лиц (служащих), ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности ПДн и процессов их обработки; 
  • наделением каждого служащего (пользователя) минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к информационным ресурсам Управления; 
  • четким знанием и строгим соблюдением всеми пользователями информационных систем Управления требований организационно-распорядительных документов по вопросам обеспечения безопасности информации; 
  • персональной ответственностью за свои действия каждого служащего, в рамках своих функциональных обязанностей имеющего доступ к информационным ресурсам Управления; 
  • непрерывным поддержанием необходимого уровня защищенности элементов информационной среды; 
  • применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования; 
  • эффективным контролем над соблюдением пользователями информационных ресурсов требований по обеспечению безопасности информации; 
  • юридической защитой интересов Управления при взаимодействии с внешними организациями (связанном с обменом ПДн) от противоправных действий, как со стороны этих организаций, так и от несанкционированных действий обслуживающего персонала и третьих лиц.

5.    Построение системы обеспечения безопасности ПДн Управления и ее функционирование осуществляется в соответствии со следующими основными принципами: 
5.1.    Законность
Предполагает осуществление защитных мероприятий и разработку системы безопасности ПДн Управления в соответствии с действующим законодательством в области защиты ПДн, а также других законодательных актов по безопасности информации РФ, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с ПДн. Принятые меры безопасности ПДн не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях. 
5.2.    Системность
Системный подход к построению системы защиты информации в Управлении предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн. 
5.3.    Комплексность
Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита строится эшелонировано. Внешняя защита обеспечивается физическими средствами, организационными и правовыми мерами.
5.4.    Непрерывность защиты
Обеспечение безопасности ПДн - процесс, осуществляемый руководством Управления, ответственными за организацию обработки ПДн и служащими всех уровней. Деятельность по обеспечению информационной безопасности является составной частью повседневной деятельности Управления. 
5.5.    Преемственность и совершенствование
Предполагает постоянное совершенствование мер и средств защиты ПДн на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования информационных систем Управления и системы их защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.
5.6.    Разумная достаточность (экономическая целесообразность)
Предполагает соответствие уровня затрат на обеспечение безопасности ПДн ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения.
5.7.    Персональная ответственность
Предполагает возложение ответственности за обеспечение безопасности ПДн и системы их обработки на каждого служащего в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей служащих строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.
5.8.    Минимизация полномочий
Означает предоставление пользователям минимальных прав доступа в соответствии со служебной необходимостью. Доступ к ПДн предоставляется только в том случае и объеме, если это необходимо служащему для выполнения его должностных обязанностей.
5.9.    Исключение конфликта интересов (разделение функций)
Эффективная система обеспечения информационной безопасности предполагает четкое разделение обязанностей служащих и исключение ситуаций, когда сфера ответственности служащих допускает конфликт интересов. 
5.10.    Взаимодействие и сотрудничество
Важным элементом эффективной системы обеспечения безопасности ПДн в Управления является высокая культура работы с информацией. Руководство Управления несет ответственность за строгое соблюдение этических норм и стандартов профессиональной деятельности, подчеркивающей и демонстрирующей персоналу на всех уровнях важность обеспечения информационной безопасности Управления. 
5.11.    Гибкость системы защиты
Система обеспечения информационной безопасности способна реагировать на изменения внешней среды и условий осуществления Управлением своей деятельности. В число таких изменений входят: 

  • изменения организационной и штатной структуры Управления; 
  • изменение существующих или внедрение принципиально новых информационных систем; 
  • новые технические средства. 

Свойство гибкости системы обеспечения информационной безопасности избавляет в таких ситуациях от необходимости принятия кардинальных мер по полной замене средств и методов защиты на новые, что снижает ее общую стоимость.
5.12.    Обоснованность и техническая реализуемость
Информационные технологии, технические и программные средства, средства и меры защиты ПДн реализованы на современном уровне развития науки и техники, обоснованы с точки зрения достижения заданного уровня безопасности информации и экономической целесообразности, а также соответствуют установленным нормам и требованиям по безопасности ПДн.
5.13.    Обязательность контроля
Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил, обеспечения безопасности ПДн, на основе используемых систем и средств защиты ПДн, при совершенствовании критериев и методов оценки эффективности этих систем и средств. 
Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты осуществляется на основе применения средств оперативного контроля и регистрации и охватывает как несанкционированные, так и санкционированные действия пользователей. 
Недостатки системы обеспечения информационной безопасности, выявленные служащими Управления, немедленно доводятся до сведения руководителя Управления и оперативно устраняются. 
6.    Меры обеспечения информационной безопасности
Все меры обеспечения безопасности ИСПДн Управления подразделяются на: 
6.1.    Законодательные (правовые) меры защиты 
К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с ПДн, закрепляющие права и обязанности участников информационных отношений в процессе их обработки и использования, а также устанавливающие ответственность за нарушения этих правил. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом ИСПДн Управления. 
6.2.    Морально-этические меры защиты 
К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения информационных технологий в обществе. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективе.
6.3.    Технологические меры защиты 
К данному виду мер защиты относятся разного рода технологические решения и приемы, основанные на использовании некоторых видов избыточности (структурной, функциональной, информационной, временной и т.п.) и направленные на уменьшение возможности совершения служащими ошибок и нарушений в рамках предоставленных им прав и полномочий. 
6.4.    Организационные (административные) меры защиты 
Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования системы обработки ПДн, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.
6.5.    Формирование политики безопасности
Главная цель административных мер, предпринимаемых на высшем управленческом уровне - сформировать политику в области обеспечения безопасности ПДн (отражающую подходы к защите ПДн) и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. 
С практической точки зрения политику в области обеспечения безопасности ПДн в Управлении разбита на два уровня. К верхнему уровню относятся решения руководства, затрагивающие деятельность Управления в целом. Политика верхнего уровня четко очерчивает сферу влияния и ограничения при определении целей безопасности ПДн, определяет какими ресурсами (материальные, структурные, организационные) они достигаются.
Политика нижнего уровня определяет процедуры и правила достижения целей и решения задач безопасности ПДн и детализирует (регламентирует) эти правила: 

  • каковы роли и обязанности должностных лиц, отвечающих за проведение политики безопасности ПДн; 
  • кто имеет права доступа к ПДн, кто и при каких условиях может читать и модифицировать ПДн. 

Политика нижнего уровня: 

  • предусматривает регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении информационных ресурсов; 
  • определяет коалиционные и иерархические принципы и методы разделения секретов и разграничения доступа к ПДн; 
  • использует программно-технические (аппаратные) средства противодействия НСД, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.

6.6.    Регламентация доступа в помещения
Компоненты информационных систем Управления размещаются в помещениях, находящихся под охраной или наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (документов, АРМ и т.п.). Уборка таких помещений производится в присутствии ответственного служащего, за которым закреплены данные компоненты, с соблюдением мер, исключающих доступ посторонних лиц к защищаемым информационным ресурсам.
Все посторонние лица допускаются в помещения с компонентами информационной системы только в присутствии служащих Управления. 
По окончании рабочего дня, помещения, в которых размещаются компоненты информационных систем Управления, запираются на ключ.
6.7.    Регламентация допуска служащих к использованию информационных ресурсов
В рамках разрешительной системы (матрицы) доступа устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях. 
Допуск пользователей к работе с информационными системами Управления и доступ к их ресурсам строго регламентирован. Любые изменения состава и полномочий пользователей подсистем производятся установленным порядком.
Уровень полномочий каждого пользователя определяется индивидуально, соблюдая следующие требования: 

  • каждый служащий пользуется только предписанными ему правами по отношению к ПДн, с которыми ему необходима работа в соответствии с должностными обязанностями. Расширение прав доступа и предоставление доступа к дополнительным информационных ресурсам в обязательном порядке согласовывается с ответственным за организацию обработки ПДн; 
  • руководитель Управления имеет права на просмотр информации своих подчиненных только в установленных пределах в соответствии со своими должностными обязанностями. 

Все служащие Управления и обслуживающий персонал несут персональную ответственность за нарушение установленного порядка обработки ПДн, правил хранения, использования и передачи, находящихся в их распоряжении защищаемых ресурсов системы. Каждый служащий (при приеме на работу) подписывает обязательство о соблюдении и ответственности за нарушение установленных требований по сохранению ПДн Управления. 
Обработка ПДн в компонентах ИСПДн Управления производится в соответствии с утвержденными технологическими инструкциями.
6.8.    Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов
В целях поддержания режима информационной безопасности аппаратно-программная конфигурация автоматизированных рабочих мест служащих Управления, с которых возможен доступ к ресурсам информационной системы, соответствует кругу возложенных на данных пользователей функциональных обязанностей. 
В компонентах информационной системы и на рабочих местах пользователей установлены и используются лицензионные программные средства.
6.9.    Обеспечение и контроль физической целостности (неизменности конфигурации) аппаратных ресурсов
Оборудование информационных систем, используемое для доступа и хранения ПДн, к которому доступ обслуживающего персонала в процессе эксплуатации не требуется, после наладочных, ремонтных и иных работ, связанных с доступом к его компонентам, закрывается. 
6.10.    Подбор и подготовка персонала, обучение пользователей
Пользователи ИСПДн Управления, а также руководящий и обслуживающий персонал ознакомлены со своим уровнем полномочий, а 
также организационно- распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки ПДн в Управлении.
Все пользователи ИСПДн Управления ознакомлены с организационно - распорядительными документами по обеспечению безопасности ПДн Управления в части, их касающейся, знают и неукоснительно выполняют инструкции и знают общие обязанности по обеспечению безопасности ПДн. Доведение требований указанных документов до лиц, допущенных к обработке защищаемых ПДн, осуществляется под роспись. 
6.11.    Ответственность за нарушения установленного порядка пользования ресурсами информационной системы 
Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной работы с ПДн, определяется нанесенным ущербом, наличием злого умысла и другими факторами по усмотрению руководства Управления. 
Для реализации принципа персональной ответственности пользователей за свои действия реализована: 

  • индивидуальная идентификация пользователей и инициированных ими процессов, т.е. установление за ними идентификатора (login, Username), на базе которого будет осуществляться разграничение доступа в соответствии с принципом обоснованности доступа; 
  • проверка подлинности пользователей (аутентификация) на основе паролей; 
  • реакция на попытки несанкционированного доступа (сигнализация, блокировка и т.д.).

6.12.    Средства обеспечения безопасности ПДн
Для обеспечения информационной безопасности Управления используются следующие средства защиты: 

  • Физические средства защиты;
  • Технические средства защиты;
  • Средства идентификации и аутентификации пользователей;
  • Средства разграничения доступа;
  • Средства обеспечения и контроля целостности;
  • Средства оперативного контроля и регистрации событий безопасности.

6.13.    Контроль эффективности системы защиты
Контроль эффективности защиты ПДн осуществляется с целью своевременного выявления и предотвращения утечки ПДн за счет несанкционированного доступа, а также предупреждения возможных специальных воздействий, направленных на уничтожение ПДн, разрушение средств информатизации. Контроль проводиться привлекаемыми для этой цели организациями, имеющими лицензию на этот вид деятельности. 
Оценка эффективности мер защиты ПДн проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.