Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных МОУ «СОШ 7»


Настоящее Положение разработано в соответствии с Федеральным Законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативными документами ФСТЭК и ФСБ России с целью обеспечения защиты прав и свобод граждан при обработке их персональных данных в информационных системах персональных данных.

Для целей настоящего Положения применяются следующие термины и определения:

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор Персональных данных – Муниципальное общеобразовательное учреждение «Средняя общеобразовательная школа № 7» (далее Учреждение) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа к информационным системам персональных данных – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Конфиденциальность персональных данных – Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Несанкционированный доступ (несанкционированные действия) к информационным системам персональных данных – доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.

Защита информации – комплекс организационно-технических мероприятий, направленных на предотвращение потери, искажения и несанкционированного доступа к данным, при этом предусматривается:

  • разграничение полномочий доступа к данным;

  • авторизация, контроль и учет действий с данными (регистрация событий);

  • контроль копирования, печати, обмена данными по каналам связи;

  • межсетевое экранирование и защита от вирусов;

  • учет внешних носителей данных;

  • резервное копирование / восстановление данных;

  • раздельное хранение носителей данных с резервными копиями;

  • контроль доступа в помещения и к компьютерам;

  • применение устройств идентификации пользователей для доступа.

1 Общие положения

Настоящим Положением определяется структура и составляющие безопасности информации в информационной системе персональных данных работников Учреждения, обучающихся и их родителей (законных представителей).

Обеспечение безопасности персональных данных (ПДн) при их обработке в автоматизированных системах (информационных системах персональных данных – ИСПДн) достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия.

Мероприятия по обеспечению безопасности ПДн формулируются на основании анализа типа актуальных угроз и уровней защищенности персональных данных, обрабатываемых в ИСПДн с учетом возможного возникновения угроз безопасности жизненно важным интересам личности, общества и государства.

Обеспечение безопасности ПДн осуществляется путем выполнения Требований по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Учреждения (Приложение № 1).

Структура, состав и основные функции СЗПДн определяются исходя из анализа типа актуальных угроз и уровней защищенности персональных данных, обрабатываемых в ИСПДн. СЗПДн включает организационные меры и технические средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки ПДн), а также используемые в информационной системе информационные технологии.

Под организацией обеспечения безопасности ПДн при их обработке в ИСПДн понимается формирование совокупности осуществляемых на всех стадиях жизненного цикла ИСПДн согласованных по цели, задачам, месту и времени мероприятий, направленных на предотвращение (нейтрализацию) и парирование угроз безопасности ПДн в ИСПДн; на восстановление нормального функционирования ИСПДн после нейтрализации угрозы, с целью минимизации как непосредственного, так и опосредованного ущерба от возможной реализации таких угроз.

Мероприятия по обеспечению безопасности персональных данных при их обработке в ИСПДн включают в себя:

  1. определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

  2. разработку на основе модели угроз системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего уровня защищенности информационных систем;

  3. проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

  4. установку и ввод в эксплуатацию разрешенных лицензионных средств защиты информации в соответствии с эксплуатационной и технической документацией;

  5. обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

  6. учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

  7. учет лиц, допущенных к работе с ПДн в информационной системе;

  8. контроль над соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

  9. разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

  10. описание системы защиты персональных данных.

Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

Для обеспечения безопасности ПДн при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

По структуре ИСПДн, на которые направлена реализация мероприятий по защите, выделяются следующие классы угроз:

  • угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе автоматизированного рабочего места;

  • угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе локальных информационных систем;

  • угрозы, реализуемые в ИСПДн при их подключении к сетям связи общего пользования.

Для обеспечения безопасности ПДн при их обработке в информационных системах проводятся:

  • обследование и оформление документа о типе актуальных угроз и уровней защищенности персональных данных, обрабатываемых в ИСПДн, определение способов и состава средств защиты информации (СЗИ), разработка технического задания (ТЗ) на создание комплексной системы защиты информации, в том числе разработка модели угроз, проектирование;

  • ввод в эксплуатацию – закупка и инсталляция сертифицированных СЗИ, обучение персонала, издание приказов о допуске персонала и регламентов обработки конфиденциальной информации.

2 Цели обеспечения информационной безопасности

Стратегической целью обеспечения безопасности информации в ИСПДн является защита интересов субъектов информационных отношений. Данная цель достигается посредством постоянного поддержания следующих свойств информации в процессе ее обработки, хранения и передачи:

  • целостности информации;

  • доступности обрабатываемой информации для зарегистрированных пользователей;

  • конфиденциальности информации.

3 Объект защиты

Объектом защиты является информационная система персональных данных работников Учреждения, обучающихся и ихродителей (законных представителей):

  1. Информационные ресурсы:

  • персональные данные работников Учреждения, обучающихся и их родителей (законных представителей) (исходная информация, информационные базы данных);

  • инструментальная информация (программное обеспечение), с помощью которой обрабатывается, хранится и передается информация ПДн;

  1. технические информационные системы и средства Учреждения, в которых обрабатывается, хранится и передается информация ПДн;

  2. помещения объектов Учреждения, в которых размещаются информационные ресурсы, и обрабатывается конфиденциальная информация;

  3. технические системы жизнеобеспечения, электропитания, проводного вещания, охранной сигнализации, обеспечивающие или размещаемые совместно с оборудованием ИСПДн.

Критичными свойствами объекта защиты являются:

  1. возможность разрушения или повреждения информационных систем персональных данных в результате пожара, затопления, аварии инженерных систем жизнеобеспечения;

  2. возможность прекращения или нарушения нормального функционирования ИСПДн в результате повреждения отдельных их элементов;

  3. несанкционированная доступность информации, выражающаяся в возможности:

  • непосредственного доступа к информации, находящейся на первичном или вторичном носителе, в транспортной среде передачи; воздействия на носитель или транспортную среду с целью перлюстрации, отчуждения, копирования, изменения, подмены и уничтожения информации;

  • прямого или косвенного доступа к оборудованию ИСПДн и транспортной среде передачи с целью получения доступа к информации (несанкционированный доступ);

  • перехвата речевой информации по акустическим и другим каналам утечки (подслушивание).

4 Субъекты информационных отношений

  1. Субъектами информационных отношений являются:

  • Работники (субъекты) – физические лица, состоящие в трудовых и иных гражданско-правовых отношениях с Учреждением-оператором;

  • Обучающиеся (субъекты персональных данных) — физические лица, родители (законные представители) которых состоят в договорных и иных гражданско-правовых отношениях с Учреждением-оператором по вопросам оказания услуг в сфере образования, предусмотренных Уставом.

  1. Перечисленные субъекты информационных отношений заинтересованы в обеспечении:

  • конфиденциальности (сохранения в тайне) информации в соответствии с требованиями российского законодательства;

  • достоверности (полноты, точности, адекватности, целостности) информации;

  • защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации);

  • своевременного доступа (за приемлемое для них время) к необходимой им информации;

  • разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;

  • возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации;

  • защиты информации от незаконного ее тиражирования (защиты персональных данных, защиты авторских прав, прав собственника информации).

5 Возможные угрозы и участки вторжения

Общая классификация угроз.

    1. Угрозы конфиденциальности данных и программ. Реализуются при несанкционированном доступе к программам, данным, каналам связи, при перехвате электромагнитных излучений, при анализе трафика.

    2. Угрозы целостности данных, программ, аппаратуры. Реализуются при несанкционированном уничтожении, модификации данных, порождении фальсифицированных данных, задержке и нарушении маршрутизации данных в каналах связи.

    3. Угрозы доступности данных. Реализуются при создании условий, когда законный пользователь или процесс не получает своевременного доступа к данным или ресурсам системы, каналам связи.

6 Порядок проведения контрольных мероприятий и действий по результатам контроля

Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Контроль может проводиться комиссией, созданной в Учреждении, или на договорной основе сторонними организациями, при наличии лицензии на деятельность по технической защите конфиденциальной информации.

Решение основных вопросов обеспечения защиты ПДн предусматривает подготовку кадров, выделение необходимых финансовых и материальных средств, закупку программного и аппаратного обеспечения, а также, при необходимости, привлечение сторонней организации при наличии лицензий ФСТЭК и ФСБ.

Приложения к Положению по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных МОУ «СОШ № 7» являются самостоятельными документами и его неотъемлемой частью.