Утверждено
Заведующим МБДОУ Перевозинского детского сада
А.Р.Варламова
«10» декабря 2014 года
ПОЛИТИКА
Информационной безопасности персональных данных, обрабатываемых в Муниципальном бюджетном дошкольном образовательном учреждении
Перевозинском детском саду
Перевозное 2014
ВВЕДЕНИЕ
Политика информационной безопасности (далее – Политика) разработана в соответствии
с целями, задачами и принципами обеспечения безопасностииперсональных данных,
обрабатываемых в информационной системе персональных данных (далее - ИСПДн)
Муниципальном бюджетном дошкольном образовательном учреждении Перевозинском
детском саду (далее Учреждение). Политика разработана в соответствии с требованиями
Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и
постановления Правительства Российской Федерации от 11 ноября 2007 г. № 781 «Об
утверждении Положения об обеспечении безопасности персональных данных при их
обработке в информационных системах персональных данных», на основании:
- «Рекомендаций по обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных», утвержденных Заместителем
директора ФСТЭК России от 15.02.2008 г.,
- «Типовых требований по организации и обеспечению функционирования шифровальных
(криптографических) средств, предназначенных для защиты информации, не содержащей
сведений, составляющих государственную тайну в случае их использования для
обеспечения безопасности персональных данных при их обработке в информационных
системах персональных данных», утвержденных руководством Центра ФСБ России
21.02.2008 г. № 149/6/6-662. В Политике определены принципы, правила и цели обработки
персональных данных, требования к пользователям ИСПДн, степень ответственности
пользователей, структура и необходимый уровень защищенности, статус и должностные
обязанности работников Учреждения, ответственных за обеспечение безопасности
персональных данных в ИСПДн Учреждения. Настоящая Политика утверждается
приказом заведующей Учреждения и подлежит пересмотру по мере необходимости.
ОПРЕДЕЛЕНИЯ
В настоящем документе используются следующие термины и их определения.
Автоматизированная система – система, состоящая из персонала и комплекса средств
автоматизации его деятельности, реализующая информационную технологию выполнения
установленных функций.
Аутентификация отправителя данных – подтверждение того, что отправитель
полученных данных соответствует заявленному.
Безопасность персональных данных – состояние защищенности персональных данных,
характеризуемое способностью пользователей, технических средств и информационных
технологий обеспечить конфиденциальность, целостность и доступность персональных
данных при их обработке в информационных системах персональных данных.
Биометрические персональные данные – сведения, которые характеризуют
физиологические особенности человека и на основе которых можно установить его
личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности
строения тела и другую подобную информацию.
Блокирование персональных данных – временное прекращение обработки
персональных данных__(за исключением случаев, если обработка необходима для
уточнения персональных данных).
Вирус (компьютерный, программный) – исполняемый программный код или
интерпретируемый набор инструкций, обладающий свойствами несанкционированного
распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не
всегда совпадают с оригиналом, но сохраняют способность к дальнейшему
распространению и самовоспроизведению.
Вредоносная программа – программа, предназначенная для осуществления
несанкционированного доступа и (или) воздействия на персональные данные или ресурсы
информационной системы персональных данных.
Вспомогательные технические средства и системы – технические средства и системы,
не предназначенные для передачи, обработки и хранения персональных данных,
устанавливаемые совместно с техническими средствами и системами, предназначенными
для обработки персональных данных или в помещениях, в которых установлены
информационные системы персональных данных.
Доступ в операционную среду компьютера (информационной системы персональных
данных) – получение возможности запуска на выполнение штатных команд, функций,
про цедур операционной системы (уничтожения, копирования, перемещения и
т.п.),исполняемых файлов прикладных программ.
Доступ к информации – возможность получения информации и ее использования.
Закладочное устройство – элемент средства съема информации, скрытно внедряемый
(закладываемый или вносимый) в места возможного съема информации (в том числе в
ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а
также в технические средства и системы обработки информации).
Защищаемая информация – информация, являющаяся предметом собственности и
подлежащая защите в соответствии с требованиями правовых документов или
требованиями, устанавливаемыми собственником информации.
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или)
сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информативный сигнал – электрические сигналы, акустические, электромагнитные и
другие физические поля, по параметрам которых может быть раскрыта конфиденциальная
информация (персональные данные) обрабатываемая в информационной системе
персональных данных.
Информационная система персональных данных – совокупность содержащихся в
базах персональных данных и обеспечивающих их обработку информационных
технологий и технических средств;
Информационные технологии – процессы, методы поиска, сбора, хранения, обработки,
предоставления, распространения информации и способы осуществления таких процессов
и методов.
Использование персональных данных – действия (операции) с персональными
данными, совершаемые оператором в целях принятия решений или совершения иных
действий, порождающих юридические последствия в отношении субъекта персональных
данных или других лиц либо иным образом затрагивающих права и свободы субъекта
персональных данных или других лиц.
Источник угрозы безопасности информации – субъект доступа, материальный объект
или физическое явление, являющиеся причиной возникновения угрозы безопасности
информации.
Контролируемая зона – пространство (территория, здание, часть здания, помещение), в
котором исключено неконтролируемое пребывание посторонних лиц, а также
транспортных, технических и иных материальных средств.
Конфиденциальность персональных данных – обязательное для соблюдения
оператором или иным получившим доступ к персональным данным лицом требование не
допускать их распространение без согласия субъекта персональных данных или наличия
иного законного основания.
Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное
программное (программно-аппаратное) средство (комплекс), реализующее контроль за
информацией, поступающей в информационную систему персональных данных и (или)
выходящей из информационной системы.
Нарушитель безопасности персональных данных – физическое лицо, случайно или
преднамеренно совершающее действия, следствием которых является нарушение
безопасности персональных данных при их обработке техническими средствами в
информационных системах персональных данных.
Неавтоматизированная обработка персональных данных – обработка персональных
данных, содержащихся в информационной системе персональных данных либо
извлеченных из такой системы, считается осуществленной без использования средств
автоматизации (неавтоматизированной), если такие действия с персональными данными,
как использование, уточнение, распространение, уничтожение персональных данных в
отношении каждого из субъектов персональных данных, осуществляются при
непосредственном участии человека.
Не декларированные возможности – функциональные возможности средств
вычислительной техники, не описанные или не соответствующие описанным в
документации, при использовании которых возможно нарушение конфиденциальности,
доступности или целостности обрабатываемой информации.
Несанкционированный доступ (несанкционированные действия) – доступ к
информации или действия с информацией, нарушающие правила разграничения доступа с
использованием штатных средств, предоставляемых информационными системами
персональных данных.
Носитель информации – физическое лицо или материальный объект, в том числе
физическое поле, в котором информация находит свое отражение в виде символов,
образов, сигналов, технических решений и процессов, количественных характеристик
физических величин.
Обезличивание персональных данных – действия, в результате которых становится
невозможным без использования дополнительной информации определить
принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность
действий (операций), совершаемых с использованием средств автоматизации или без
использования таких средств с персональными данными, включая сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение),извлечение,
использование, передачу (распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение персональных данных;
Общедоступные персональные данные – персональные данные, доступ
неограниченного круга лиц к которым предоставлен с согласия субъекта персональных
данных или на которые в соответствии с федеральными законами не распространяется
требование соблюдения конфиденциальности.
Оператор – государственный орган, муниципальный орган, юридическое или физическое
лицо, самостоятельно или совместно с другими лицами организующие и (или)
осуществляющие обработку персональных данных, а также определяющие цели
обработки персональных данных, состав персональных данных, подлежащих обработке,
действия (операции), совершаемые с персональными данными;
Технические средства информационной системы персональных данных – средства
вычислительной техники, информационно-вычислительные комплексы и сети, средства и
системы передачи, приема и обработки ПДн (средства и системы звукозаписи,
звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства,
средства изготовления, тиражирования документов и другие технические средства
обработки речевой, графической, видео- и буквенно-цифровой информации),
программные средства (операционные системы, системы управления базами данных и
т.п.), средства защиты информации, применяемые в информационных системах.
Перехват (информации) – неправомерное получение информации с использованием
технического средства, осуществляющего обнаружение, прием и обработку
информативных сигналов.
Побочные электромагнитные излучения и наводки – электромагнитные излучения
технических средств обработки защищаемой информации, возникающие как побочное
явление и вызванные электрическими сигналами, действующими в их электрических и
магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие
линии, конструкции и цепи питания.
Политика «чистого стола» – комплекс организационных мероприятий, контролирующих
отсутствие записывания на бумажные носители ключей и атрибутов доступа (паролей) и
хранения их вблизи объектов доступа.
Пользователь информационной системы персональных данных – лицо, участвующее
в функционировании информационной системы персональных данных или использующее
результаты ее функционирования.
Правила разграничения доступа – совокупность правил, регламентирующих права
доступа субъектов доступа к объектам доступа.
Программная закладка – код программы, преднамеренно внесенный в программу с
целью осуществить утечку, изменить, блокировать, уничтожить информацию или
уничтожить и модифицировать программное обеспечение информационной системы
персональных данных и (или) блокировать аппаратные средства.
Программное (программно-математическое) воздействие – несанкционированное
воздействие на ресурсы автоматизированной информационной системы, осуществляемое
с использованием вредоносных программ.
Раскрытие персональных данных – умышленное или случайное нарушение
конфиденциальности персональных данных.
Распространение персональных данных – действия, направленные на передачу
персональных данных неопределенному кругу лиц.
Ресурс информационной системы – именованный элемент системного, прикладного или
аппаратного обеспечения функционирования информационной системы.
Специальные категории персональных данных – персональные данные, касающиеся
расовой, национальной принадлежности, политических взглядов, религиозных или
философских убеждений, состояния здоровья и интимной жизни субъекта персональных
данных.
Средства вычислительной техники – совокупность программных и технических
элементов систем обработки данных, способных функционировать самостоятельно или в
составе других систем.
Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются
правилами разграничения доступа.
Технический канал утечки информации – совокупность носителя информации
(средства обработки), физической среды распространения информативного сигнала и
средств, которыми добывается защищаемая информация.
Угрозы безопасности персональных данных – совокупность условий и факторов,
создающих опасность несанкционированного, в том числе случайного, доступа к
персональным данным, результатом которого может стать уничтожение, изменение,
блокирование, копирование, распространение персональных данных, а также иных
несанкционированных действий при их обработке в информационной системе
персональных данных.
Уничтожение персональных данных – действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной
системе персональных данных и (или) в результате которых уничтожаются материальные
носители персональных данных.
Утечка (защищаемой) информации по техническим каналам – неконтролируемое
распространение информации от носителя защищаемой информации через физическую
среду до технического средства, осуществляющего перехват информации.
Учреждение – учреждения здравоохранения, социальной сферы, труда и занятости.
Уязвимость – слабость в средствах защиты, которую можно использовать для нарушения
|
