МБОУ «Классическая школа» г. Гурьевска
г. Гурьевск, Калининградской обл.
Версия для слабовидящих
    • Версия для слабовидящих

    Политика в отношении обработки персональных данных

    ВВЕДЕНИЕ

    Настоящая Политика информационной безопасности (далее – Политика) муниципального бюд-жетного общеобразовательного учреждения «Классическая школа» г. Гурьевска (далее - ОУ) яв-ляется официальным документом.

    Политика разработана в соответствии с целями, задачами и принципами обеспечения безопас-ности персональных данных, изложенных в Концепции информационной безопасности ИСПДн ОУ.

    Политика разработана в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Постановления Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информаци-онных системах персональных данных", на основании:

    • «Рекомендаций по обеспечению безопасности персональных данных при их обработке в ин-формационных системах персональных данных», утвержденных Заместителем директора ФСТЭК России от 15.02.2008 г.;
    • «Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведе-ний, составляющих государственную тайну в случае их использования для обеспечения без-опасности персональных данных при их обработке в информационных системах персональных данных», утвержденных руководством 8 Центра ФСБ России 21.02.2008 г. № 149/6/6-662;
    • приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания органи-зационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн».

    В Политике определены требования к персоналу, задействованному в работе с ИСПДн ОУ, сте-пень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональ-ных данных в ИСПДн ОУ.
     

    1. Общие положения

    Целью настоящей Политики является обеспечение безопасности объектов защиты ОУ от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности объектам защиты в т.ч. ПДн (УБПДн).

    Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уни-чтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

    Информация и связанные с ней ресурсы должны быть доступны для авторизованных пользова-телей. Должно осуществляться своевременное обнаружение и реагирование на УБПДн и другие угрозы безопасности.

    Должно осуществляться предотвращение преднамеренных или случайных, частичных или пол-ных несанкционированных модификаций или уничтожения данных. 

    Состав объектов защиты представлен в перечне защищаемой информации.

    Состав ИСПДн подлежащих защите, представлен в Отчете о результатах проведения внутрен-ней проверки.

    Эта Политика информационной безопасности была утверждена директором муниципального бюджетного общеобразовательного учреждения «Классическая школа» г. Гурьевска и введена в Приказом № ____ от ___.___.20__ г.
     

    2. Область действия

    Требования настоящей Политики распространяются на всех сотрудников ОУ (штатных, времен-ных, работающих по контракту и т.п.), а также всех прочих лиц – представителей организаций, которые находятся в договорных отношениях с ОУ (подрядчики, аудиторы и т.п.).

    3. Система защиты персональных данных

    Система защиты персональных данных (СЗПДн) строится на основании:

    • Отчета о результатах проведения внутренней проверки;
    • Перечня защищаемой информации;
    • Модели угроз безопасности персональных данных;
    • Положения о разграничении прав доступа к обрабатываемым персональным данным;
    • Руководящих документов ФСТЭК и ФСБ России.

    На основании этих документов определяется необходимый уровень защищенности ПДн каждой ИСПДн ОУ. На основании анализа актуальных угроз безопасности ПДн, описанного в Модели угроз и Отчета о результатах проведения внутренней проверки, делается заключение о необхо-димости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн.

    Выбранные необходимые мероприятия отражаются в Плане мероприятий по обеспечению защиты ПДн.

    Для каждой ИСПДн должен быть составлен список используемых технических средств защиты, а также программного обеспечения, участвующего в обработке ПДн на всех элементах ИСПДн:

    • АРМ пользователей.
    • Сервера приложений.
    • СУБД.
    • Границы ЛВС.
    • Каналы передачи в сети общего пользования и (или) международного обмена, если по ним передаются ПДн.

    В зависимости от уровня защищенности ИСПДн и актуальных угроз, СЗПДн может включать следующие технические средства:

    • антивирусные средства для рабочих станций пользователей и серверов;
    • средства межсетевого экранирования;
    • средства криптографической защиты информации, при передаче защищаемой информации по каналам связи.

    Также в список должны быть включены функции защиты, обеспечиваемые штатными средства-ми обработки ПДн операционными системами, прикладным ПО и специальными комплексами, реализующими средства защиты. Список функций защиты может включать:

    • управление и разграничение доступа пользователей;
    • регистрацию и учет действий с информацией;
    • обеспечение целостности данных;
    • обнаружение вторжений.

    Список используемых технических средств отражается в Плане мероприятий по обеспечению защиты персональных данных. Список используемых средств должен поддерживаться в акту-альном состоянии. При изменении состава технических средств защиты или элементов ИСПДн, соответствующие изменения должны быть внесены в Список и утверждены директором ОУ или лицом, ответственным за обеспечение защиты ПДн.

    4. Требования к подсистемам СЗПДн

    СЗПДн включает в себя следующие подсистемы:

    • управления доступом, регистрации и учета;
    • обеспечения целостности и доступности;
    • антивирусной защиты;
    • межсетевого экранирования;
    • анализа защищенности;
    • обнаружения вторжений;
    • криптографической защиты.

    Подсистемы СЗПДн имеют различную функциональность в зависимости от класса ИСПДн, определенного в Акте классификации информационной системы персональных данных. Список соответствия функций подсистем СЗПДн классу защищенности представлен в Приложении 1.

    4.1. Подсистемы управления доступом, регистрации и учета

    Подсистема управления доступом, регистрации и учета предназначена для реализации следую-щих функций:

    • идентификации и проверки подлинности субъектов доступа при входе в ИСПДн;
    • идентификации терминалов, узлов сети, каналов связи, внешних устройств по логическим именам;
    • идентификации программ, томов, каталогов, файлов, записей, полей записей по именам;
    • регистрации входа (выхода) субъектов доступа в систему (из системы), либо регистрации за-грузки и инициализации операционной системы и ее останова. 
    • регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;
    • регистрации попыток доступа программных средств к терминалам, каналам связи, програм-мам, томам, каталогам, файлам, записям, полям записей.

    Подсистема управления доступом может быть реализована с помощью штатных средств обра-ботки ПДн (операционных систем, приложений и СУБД). Также может быть внедрено специ-альное техническое средство или их комплекс, осуществляющий дополнительные меры по аутентификации и контролю. Например, применение единых хранилищ учетных записей поль-зователей и регистрационной информации, использование биометрических и технических (с помощью электронных пропусков) мер аутентификации и других.

    4.2. Подсистема обеспечения целостности и доступности

    Подсистема обеспечения целостности и доступности предназначена для обеспечения целостно-сти и доступности ПДн, программных и аппаратных средств ИСПДн ОУ, а также средств защи-ты при случайной или намеренной модификации.

    Подсистема реализуется с помощью организации резервного копирования обрабатываемых дан-ных, а также резервированием ключевых элементов ИСПДн.

    4.3. Подсистема антивирусной защиты

    Подсистема антивирусной защиты предназначена для обеспечения антивирусной защиты серве-ров и АРМ пользователей ИСПДн ОУ.
    Средства антивирусной защиты предназначены для реализации следующих функций:

    • резидентный антивирусный мониторинг;
    • антивирусное сканирование;
    • скрипт-блокирование;
    • централизованная/удаленная установка/деинсталляция антивирусного продукта, настройка, администрирование, просмотр отчетов и статистической информации по работе продукта;
    • автоматизированное обновление антивирусных баз;
    • ограничение прав пользователя на остановку исполняемых задач и изменение настроек анти-вирусного программного обеспечения;
    • автоматический запуск сразу после загрузки операционной системы.

    Подсистема реализуется путем внедрения специального антивирусного программного обеспе-чения на все элементы локальной вычислительной сети в т.ч. ИСПДн.

    4.4. Подсистема межсетевого экранирования

    Подсистема межсетевого экранирования предназначена для реализации следующих функций:

    • фильтрации открытого и зашифрованного (закрытого) IP-трафика по различным параметрам; 
    • фиксации во внутренних журналах информации о проходящем открытом и закрытом IP-трафике; 
    • идентификации и аутентификации администратора межсетевого экрана при его локальных запросах на доступ;
    • регистрации входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова;
    • контроля целостности своей программной и информационной части;
    • фильтрации пакетов служебных протоколов, служащих для диагностики и управления рабо-той сетевых устройств;
    • фильтрации с учетом входного и выходного сетевого интерфейса как средства проверки под-линности сетевых адресов;
    • фильтрации контента на прикладном уровне;
    • регистрации и учета запрашиваемых сервисов прикладного уровня;
    • блокирования доступа не идентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;
    • контроля за сетевой активностью приложений и обнаружения сетевых атак.

    Подсистема реализуется внедрением программно-аппаратных комплексов межсетевого экрани-рования на границе ЛВС, классом не ниже 4.

    4.5. Подсистема анализа защищенности

    Подсистема анализа защищенности должна обеспечивать выявления уязвимостей, связанных с ошибками в конфигурации ПО ИСПДн (и других информационных систем конфиденциальных данных), которые могут быть использованы нарушителем для реализации атаки на систему.

    Функциональность подсистемы может быть реализована программными и программно-аппаратными средствами.

    4.6. Подсистема обнаружения вторжений

    Подсистема обнаружения вторжений должна обеспечивать выявление сетевых атак на элементы ИСПДн (и другие информационные системы конфиденциальных данных), подключенные к се-тям общего пользования и (или) международного обмена.

    Функциональность подсистемы может быть реализована программными и программно-аппаратными средствами.

    4.7. Подсистема криптографической защиты

    Подсистема криптографической защиты предназначена для исключения НСД к защищаемой информации в ИСПДн (и другим информационным системам конфиденциальных данных) ОУ при ее передаче по каналам связи сетей общего пользования и (или) международного обмена.

    Подсистема реализуется внедрением криптографических программно-аппаратных комплексов.

    5. Пользователи ИСПДн

    В Концепции информационной безопасности определены основные категории пользователей. На основании этих категории должна быть произведена типизация пользователей ИСПДн, определен их уровень доступа и возможности.

    В ИСПДн ОУ можно выделить следующие группы пользователей, участвующих в обработке и хранении ПДн:

    • Администратор ИСПДн;
    • Администратор безопасности ИСПДн;
    • Оператор АРМ;
    • Администратор сети;
    • Технический специалист по обслуживанию периферийного оборудования;
    • Программист-разработчик ИСПДн.

    Данные о группах пользователей, уровне их доступа и информированности должен быть отра-жен в Положении о разграничении прав доступа к обрабатываемым персональным данным.

    5.1. Администратор ИСПДн

    Администратор ИСПДн - сотрудник ОУ, ответственный за настройку, внедрение и сопровож-дение ИСПДн. Обеспечивает функционирование подсистемы управления доступом ИСПДн и уполномочен осуществлять предоставление и разграничение доступа конечного пользователя (оператора АРМ) к элементам, хранящим персональные данные.

    Администратор ИСПДн обладает следующим уровнем доступа и знаний:

    • обладает полной информацией о системном и прикладном программном обеспечении ИС-ПДн;
    • обладает полной информацией о технических средствах и конфигурации ИСПДн;
    • имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;
    • обладает правами конфигурирования и административной настройки технических средств ИСПДн.

    5.2. Администратор безопасности

    Администратор безопасности - сотрудник ОУ, ответственный за функционирование СЗПДн, включая обслуживание и настройку административной, серверной и клиентской компонент.

    Администратор безопасности обладает следующим уровнем доступа и знаний:

    • обладает правами Администратора ИСПДн;
    • обладает полной информацией об ИСПДн;
    • имеет доступ к средствам защиты информации и протоколирования и к части ключевых эле-ментов ИСПДн;
    • не имеет прав доступа к конфигурированию технических средств сети за исключением кон-трольных (инспекционных).

    Администратор безопасности уполномочен:

    • реализовывать политику безопасности в части настройки системы контроля защиты информации, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь Оператор АРМ) получает возможность работать с элементами ИСПДн;
    • осуществлять аудит средств защиты;
    • устанавливать доверительные отношения своей защищенной сети с сетями других подразде-лений.

    5.3. Оператор АРМ

    Оператор АРМ - сотрудник ОУ, осуществляющий обработку ПДн. Обработка ПДн включает: возможность просмотра ПДн, ручной ввод ПДн в систему ИСПДн (включая корректировку), формирование справок и отчетов по информации, полученной из ИСПДн. Оператор не имеет полномочий для управления подсистемами обработки данных и СЗПДн.

    Оператор ИСПДн обладает следующим уровнем доступа и знаний:

    • обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;
    • располагает конфиденциальными данными, к которым имеет доступ.

    5.4. Администратор сети

    Администратор сети - сотрудник ОУ, ответственный за функционирование телекоммуникаци-онной подсистемы ИСПДн. Администратор сети не имеет полномочий для управления подси-стемами обработки данных и безопасности.

    Администратор сети обладает следующим уровнем доступа и знаний:

    • обладает частью информации о системном и прикладном программном обеспечении ИСПДн;
    • обладает частью информации о технических средствах и конфигурации ИСПДн;
    • имеет физический доступ к техническим средствам обработки информации и средствам за-щиты;
    • знает, по меньшей мере, одно легальное имя доступа.

    5.5. Технический специалист по обслуживанию периферийного оборудования

    Технический специалист по обслуживанию - сотрудник ОУ (или контрагент ОУ), осуществля-ющий обслуживание и настройку периферийного оборудования ИСПДн. Технический специа-лист по обслуживанию не имеет доступа к ПДн, не имеет полномочий для управления подси-стемами обработки данных и безопасности.

    Технический специалист по обслуживанию обладает следующим уровнем доступа и знаний:

    • обладает частью информации о системном и прикладном программном обеспечении ИСПДн;
    • обладает частью информации о технических средствах и конфигурации ИСПДн;
    • знает, по меньшей мере, одно легальное имя доступа.

    5.6. Программист-разработчик ИСПДн

    Программисты-разработчики (поставщики) прикладного программного обеспечения обеспечи-вают его сопровождение на защищаемом объекте. К данной группе могут относиться как со-трудники ОУ, так и сотрудники сторонних организаций.

    Лицо этой категории:

    • обладает информацией об алгоритмах и программах обработки информации в ИСПДн;
    • обладает возможностями внесения ошибок, не декларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии ее разработки, недрения и сопровождения;
    • может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.

    6. Требования к персоналу по обеспечению защиты ПДн

    Все сотрудники ОУ, являющиеся пользователями ИСПДн, должны четко знать и строго выпол-нять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.

    При вступлении в должность нового сотрудника специалист по кадрам, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а администратор безопасности также организует обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.

    Сотрудник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн и СЗПДн.

    Сотрудники ОУ, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а так же воз-можность их утери или использования третьими лицами. Пользователи несут персональную от-ветственность за сохранность идентификаторов.

    Сотрудники ОУ должны следовать установленным процедурам поддержания режима безопасно-сти ПДн при выборе и использовании паролей (если не используются технические средства аутентификации). 

    Сотрудники ОУ должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудова-ния, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты. 

    Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации (в случае работы в ИСПДн), а так же записывать на них защищаемую информацию.

    Сотрудникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами ОУ, третьим лицам.

    При работе с ПДн в ИСПДн сотрудники ОУ обязаны обеспечить отсутствие возможности про-смотра ПДн третьими лицами с мониторов АРМ или терминалов.

    При завершении работы с ИСПДн сотрудники обязаны защитить АРМ или терминалы с помо-щью блокировки ключом или эквивалентного средства контроля, например, доступом по паро-лю, если не используются более сильные средства защиты.

    Сотрудники ОУ должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной фор-мальной процедурой наложения дисциплинарных взысканий на сотрудников, которые наруши-ли принятые политику и процедуры безопасности ПДн.

    Сотрудники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выяв-ленных ими событиях, затрагивающих безопасность ПДн, руководству и администратору без-опасности ПДн.

    7. Должностные обязанности пользователей ИСПДн 

    Должностные обязанности пользователей ИСПДн описаны в следующих документах:

    • инструкция администратора безопасности ИСПДн;
    • инструкция пользователя ИСПДн;
    • инструкция пользователя при возникновении внештатных ситуаций;
    • инструкция по организации парольной защиты.

    8. Ответственность сотрудников ИСПДн

    В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную преду-смотренную законодательством Российской Федерации ответственность.

    Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопас-ной работы с защищаемой информацией и предусматривает ответственность за нарушение уста-новленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или наруше-нию работы ЭВМ или сетей (статьи 272,273 и 274 УК РФ).

    Администратор ИСПДн и администратор безопасности несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.

    При нарушениях сотрудниками ОУ - пользователями ИСПДн правил, связанных с безопасно-стью ПДн, они несут ответственность, установленную действующим законодательством Рос-сийской Федерации.

    Приведенные выше требования нормативных документов по защите информации должны быть отражены в Положениях ОУ, регламентирующих обработку ПДн в ИСПДн и должностных ин-струкциях сотрудников ОУ.

    Необходимо внести в Положения ОУ, регламентирующие обработку ПДн в ИСПДн сведения об руководителей и сотрудников за разглашение и несанкционированную модификацию (искаже-ние, фальсификацию) ПДн, а также за неправомерное вмешательство в процессы их автоматизи-рованной обработки.

    9. Список использованных источников

    Основными нормативно-правовыми и методическими документами, на которых базируется настоящее Положение, являются:

    1.    Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»), устанавливающий основные принципы и условия обработки ПДн, права, обязанности и ответственность участников отношений, связанных с обработкой ПДн.

    2.    Постановление Правительства РФ от 01.11.2012 № 1119
    «Об утверждении требований к защите персональных данных при их обработке в информаци-онных системах персональных данных».

    3.    «Порядок проведения классификации информационных систем персональных данных», утвержденный совместным Приказом ФСТЭК России № 55, ФСБ России № 86 и Мининформ-связи РФ № 20 от 13.02.2008 г. 

    4.    «Положение об особенностях обработки персональных данных, осуществляемой без исполь-зования средств автоматизации», утвержденное Постановлением Правительства РФ от 15.09.2008 г. № 687.

    5.    «Требования к материальным носителям биометрических персональных данных и техноло-гиям хранения таких данных вне информационных систем персональных данных», утвержден-ные Постановлением Правительства РФ от 06.07.2008 г. № 512.

    6.    Нормативно-методические документы Федеральной службы по техническому и экспертно-му контролю Российской Федерации (далее - ФСТЭК России) по обеспечению безопасности ПДн при их обработке в ИСПДн:

    7.    Рекомендации по обеспечению безопасности персональных данных при их обработке в ин-формационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (Для служебного пользования).

    8.    Основные мероприятия по организации и техническому обеспечению безопасности персо-нальных данных, обрабатываемых в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (Для служебного пользования).

    9.    Базовая модель угроз безопасности персональных данных при их обработке в информаци-онных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (Для слу-жебного пользования).

    10.    Методика определения актуальных угроз безопасности персональных данных при их обра-ботке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (Для служебного пользования).

    Политика конфиденциальности

    Документы не выбраны

    Сайт использует сервис веб-аналитики Яндекс Метрика с помощью технологии «cookie». Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie