ООО «АТА Интернешнл» RU Eng
ООО «АТА Интернешнл»
+7 (383) 284-00-64 Новосибирск
+7 (495) 760-10-45 Москва
info@ataint.ru
Пн-Чт с 9.00 до 18.00
Пт с 9.00 до 17.00

иконка калькулятора Рассчитать перевозку иконка обратный звонок Заказать звонок
+7 (383) 284-00-64 Новосибирск
+7 (495) 760-10-45 Москва

Политика информационной безопасности персональных данных

Настоящая Политика информационной безопасности (далее — Политика), разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных изложенных в Концепции информационной безопасности ИСПДн.

Политика разработана в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и постановления Правительства Российской Федерации от 11 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», на основании:

  • «Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных Заместителем директора ФСТЭК России от 15.02.2008 г.,
  • «Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае из использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных руководством 8 Центра ФСБ России 21.02.2008 г. № 149/6/6-662.

В Политике определены требования к персоналу ИСПДн, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в обществе.

1. Общие положения

Целью настоящей Политики является обеспечение безопасности объектов защиты общества от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДН (УБПДн).

Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Информация и связанные с ней ресурсы должны быть доступны для авторизованных пользователей. Должно осуществляться своевременное обнаружение и реагирование на УБПДн.

1.1 Область действия

Требования настоящей Политики распространяются на всех сотрудников общества (штатных, временных, работающих по контракту и т.п.), а также всех прочих лиц (подрядчики, аудиторы и т.п.).

2. Система защиты персональных данных

Система защиты персональных данных (СЗПДн) строится на основании:

  • Отчета о результатах проведения внутренней проверки;
  • Перечня персональных данных, подлежащих защите;
  • Акта классификации информационной системы персональных данных;
  • Модели угроз безопасности персональных данных;
  • Положения о разграничении прав доступа к обрабатываемым персональным данным;
  • Руководящих документов ФСТЭК и ФСБ России.

На основании этих документов определяется необходимый уровень защищенности ПДн каждой ИСПДн общества. На основании анализа актуальных угроз безопасности ПДн, описанных в Модели угроз и Отчете о результатах проведения внутренней проверки, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн.

3. Требования к подсистемам СЗПДн

СЗПДн включает в себя следующие подсистемы:

  • управления доступом, регистрации и учета;
  • обеспечения целостности и доступности;
  • антивирусной защиты;
  • межсетевого экранирования;
  • анализа защищенности;
  • обнаружения вторжений;
  • криптографической защиты.

3.1. Подсистема управления доступом, регистрации и учета

Подсистема управления доступом, регистрации и учета предназначена для реализации следующих функций:

  • идентификации и проверка подлинности субъектов доступа при входе в ИСПДн;
  • регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее останова;
  • регистрация попыток доступа программных средств к защищаемым файлам;
  • регистрация попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.

3.2. Подсистема обеспечения целостности и доступности

Подсистема обеспечения целостности и доступности предназначена для обеспечения целостности и доступности ПДн, программных и аппаратных средств ИСПДн общества, а также средств защиты, при случайной или намеренной модификации.

3.3. Подсистема антивирусной защиты

Подсистема антивирусной защиты предназначена для обеспечения антивирусной защиты серверов и АРМ пользователей ИСПДн общества.

Средства антивирусной защиты предназначены для реализации следующих функций:

  • резидентный антивирусный мониторинг;
  • антивирусное сканирование;
  • скрипт-блокирование;
  • централизованную/удаленную установку/деинсталляцию антивирусного продукта, настройку, администрирование, просмотр отчетов и статистической информации по работе продукта;
  • автоматизированное обновление антивирусных баз;
  • ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения;
  • автоматический запуск сразу после загрузки операционной системы.

3.4. Подсистема межсетевого экранирования

Подсистема межсетевого экранирования предназначена для реализации следующих функций:

  • фильтрации открытого и зашифрованного (закрытого) IР-трафика;
  • фиксации во внутренних журналах информации о проходящем открытом и закрытом IP-трафике;
  • идентификации и аутентификации администратора межсетевого экрана;
  • регистрации входа (выхода) администратора межсетевого экрана;
  • контроля целостности своей программной и информационной части;
  • фильтрации пакетов служебных протоколов;
  • регистрации и учета запрашиваемых сервисов прикладного уровня;
  • блокирования доступа неидентифицированного объекта.

3.5. Подсистема анализа защищенности

Подсистема анализа защищенности должна обеспечивать выявление уязвимостей, связанных с ошибками в конфигурации ПО ИСПДн, которые могут быть использованы нарушителем для реализации атаки на систему.

3.6. Подсистема обнаружения вторжений

Подсистема обнаружения вторжений должна обеспечивать выявление сетевых атак на элементы ИСПДн, подключенные к сетям общего пользования и (или) международного обмена.

3.7. Подсистема криптографической защиты

Подсистема криптографической защиты предназначена для исключения НСД к защищаемой информации в ИСПДн при ее передаче по каналам связи сетей общего пользования и (или) международного обмена.

4. Пользователи ИСПДн

В Концепции информационной безопасности определены основные категории пользователей. На основании этих категорий должна быть произведена типизация пользователей ИСПДн, определен их уровень доступа и возможности.

В ИСПДн общества можно выделить следующие группы пользователей, участвующих в обработке и хранении ПДн:

  • Администратора ИСПДн;
  • Администратора безопасности;
  • Оператора АРМ;

4.1. Администратор ИСПДн

Администратор ИСПДн, сотрудник общества, ответственный за настройку, внедрение и сопровождение ИСПДн. Обеспечивает функционирование подсистемы управления доступом ИСПДн и уполномочен осуществлять предоставление и разграничение доступа конечного пользователя (Оператора АРМ) к элементам, хранящим персональные данные.

Администратор ИСПДн обладает следующим уровнем доступа и знаний:

  • обладает полной информацией о системном и прикладном программном обеспечении ИСПДН общества;
  • обладает полной информацией о технических средствах и конфигурации ИСПДн;
  • имеет доступ ко всем техническим средствам обработки информации и данным ИСПДН общества;
  • обладает правами конфигурирования и административной настройки технических средств ИСПДн общества.

4.2. Администратор безопасности

Администратор безопасности, сотрудник общества, ответственный за функционирование СЗПДн, включая обслуживание и настройку административной, серверной и клиентской компонент.

Администратор безопасности обладает следующим уровнем доступа и знаний:

  • обладает правами Администратора ИСПДн общества;
  • обладает полной информацией об ИСПДн общества;
  • имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн общества;
  • не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).

4.3. Оператор АРМ

Оператор АРМ, сотрудник общества, осуществляющий обработку ПДн. Обработка ПДн включает: возможность просмотра ПДн, ручной ввод ПДн в систему ИСПДн общества, формирование справок и отчетов по информации, полученной из ИСПДн общества.

5. Требования к персоналу по обеспечению защиты ПДн

Все сотрудники общества, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.

6. Должностные обязанности пользователей ИСПДн

Должностные обязанности пользователей ИСПДн описаны в следующих документах:

  • Инструкция администратора ИСПДн;
  • Инструкция пользователя ИСПДн;

7. Ответственность сотрудников ИСПДн общества

В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

8. Список использованных источников

  • Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
  • «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденное Постановлением Правительства РФ от 17.11.2007 г. № 781;
  • «Порядок проведения классификации информационных систем персональных данных», утвержденный совместным Приказом ФСТЭК России № 55, ФСБ России № 86 и Мининформсвязи РФ 20 от 13.02.2008 г.;
  • «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденное Постановлением Правительства РФ от 15.09.2008 г. № 687;
  • «Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», утвержденные Постановлением Правительства РФ от 06.07.2008 г. № 512;
  • Нормативно-методические документы Федеральной службы по техническому и экспертному контролю Российской Федерации (ФСТЭК России);
  • Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП);
  • Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП).

Нужна консультация?

Доставим Ваш груз в любую точку мира

Полезные Ссылки
Расчёт стоимости

Укажите параметры груза и направление перевозки, и мы вернемся с ответом в ближайшее время.

Заказать расчёт
Наши Контакты
630039, г. Новосибирск, ул. Автогенная, 136/ оф. 8
+7 (383) 284-00-64
Филиал в г. Москва:
142000, г. Домодедово, мкр. Центральный, владение Вега-В 
+7 (495) 760-10-45
E-Mail: info@ataint.ru

2026 © Все права защищены.

Разработка сайта
Soft Engineering