Центр поддержки клиентов ОАО «РЖД»
ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1.НАЗНАЧЕНИЕ
1.1.Настоящая Политика содержит сведения о реализуемых требованиях к защите персональных данных.
1.2.Настоящая Политика должна быть опубликована или иным образом должен быть обеспечен неограниченный доступ к ней.
1.3.При сборе персональных данных с использованием
информационно-телекоммуникационных сетей настоящая Политика должна быть опубликована в соответствующей информационно-телекоммуникационной сети, а также должна быть обеспечена возможность доступа к настоящей Политике с использованием средств соответствующей информационно-телекоммуникационной сети.
2.ОПРЕДЕЛЕНИЯ
2.1.Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.2.Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.3.Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
2.4.Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.5.Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.6.Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
3.ПЕРЕЧЕНЬ УСЛОВНЫХ ОБОЗНАЧЕНИЙ И СОКРАЩЕНИЙ
ИСПДн ¾ информационные системы персональных данных
ПДн¾персональные данные
СЗПДн¾система защиты персональных данных, обрабатываемых в информационных системах персональных данных
СЗИ¾средство защиты информации
4.ПОСТРОЕНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных (далее ПДн), обрабатываемых в ООО «Le`Di» имени, должна осуществляться в соответствии с требованиями Федерального закона от 27 июля 2006г. No152- ФЗ «О персональных данных».
4.2. Защита ПДн, обрабатываемых без использования средств автоматизации, должна строиться на основании требований Постановления Правительства РФ от 15 сентября 2008г. No687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
4.3. Система защиты ПДн, обрабатываемых в информационных системах персональных данных ООО «Le`Di» (далее СЗПДн), должна строиться на основании требований нормативных правовых актов, принятых в соответствии с Федеральным законом от 27 июля 2006г. No152-ФЗ «О персональных данных», а также:
¾Актов определения уровня защищенности ПДн при их обработке в информационных системах персональных данных ООО «Le`Di» (далее ИСПДн);
¾Моделей угроз безопасности ПДн при их обработке в ИСПДн.
4.4. Определение уровня защищенности ПДн при их обработке в
ИСПДн должно осуществляться в соответствии с порядком, установленным Постановлением Правительства РФ от 1 ноября 2012г. No1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
4.5.СЗПДн должна включать в себя следующие подсистемы:
¾Подсистема идентификации и аутентификации субъектов доступа и объектов доступа;
¾Подсистема управления доступом субъектов доступа к объектам доступа;
¾Подсистема ограничения программной среды;
¾Подсистема защиты машинных носителей ПДн;
¾Подсистема регистрации событий безопасности;
¾Подсистема антивирусной защиты;
¾Подсистема обнаружения вторжений;
¾Подсистема контроля (анализа) защищенности ПДн;
¾Подсистема обеспечения целостности информационной системы и ПДн;
¾Подсистема обеспечения доступности ПДн;
¾Подсистема защиты технических средств;
¾Подсистема защиты ИСПДн, ее средств, систем связи и передачи данных;
¾Подсистема выявления инцидентов и реагирования на них;
¾Подсистема управления конфигурацией ИСПДн и СЗПДн.
4.6. Состав требований, реализуемых каждой из подсистем СЗПДн,
зависит от:
¾Уровня защищенности ПДн при их обработке в ИСПДн;
¾Структурно-функциональных характеристик и особенностей функционирования ИСПДн;
¾Состава актуальных угроз безопасности ПДн при их обработке в ИСПДн.
5. ПЕРСОНАЛ
5.1. Выделяются следующие группы лиц, участвующих в обработке и
защите ПДн:
¾ответственный за организацию обработки ПДн;
¾администратор информационной безопасности ИСПДн;
¾администратор ИСПДн;
¾пользователи ИСПДн.
6.ОТВЕТСТВЕННЫЙ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПДн
6.1. Ответственный за организацию обработки ПДн – работник ООО «Le`Di», ответственный за:
¾ подготовку локальных актов ООО «Le`Di» по вопросам обработки и защиты ПДн;
¾ осуществление внутреннего контроля за соблюдением ООО «Le`Di» и его работниками законодательства Российской Федерации, локальных актов по вопросам обработки и защиты ПДн;
¾ проведение инструктажа работников в целях доведения до данных работников положений законодательства Российской Федерации, локальных актов по вопросам обработки и защиты ПДн;
¾ организацию приема и обработки запросов (обращений, заявлений) субъектов ПДн или их представителей.
6.2.Ответственный за организацию обработки ПДн несет ответственность за некачественное, неполное, несвоевременное исполнение или неисполнение своих обязанностей, предусмотренных «Инструкцией ответственного за организацию обработки ПДн» или соответствующим договором со специализированной организацией.
6.3. АДМИНИСТРАТОР ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИСПДн
6.4.Администратор информационной безопасности ИСПДн – работник ООО «Le`Di», ответственный за установку, настройку и сопровождение СЗИ.
6.5. Администратор информационной безопасности ИСПДн несет
ответственность за некачественное, неполное, несвоевременное исполнение или неисполнение своих обязанностей, предусмотренных «Инструкцией администратора информационной безопасности ИСПДн».
7. АДМИНИСТРАТОР ИСПДн
7.1. Администратор ИСПДн – работник ООО «Le`Di», ответственный за установку, настройку и сопровождение программных, программно - аппаратных, аппаратных средств ИСПДн.
7.2.Администратором ИСПДн назначается лицо, имеющее производственный стаж в области создания, обслуживания локальных вычислительных сетей не менее одного года.
7.3. Администратор ИСПДн несет ответственность за некачественное, неполное, несвоевременное исполнение или неисполнение своих обязанностей, предусмотренных «Инструкцией администратора ИСПДн».
8. ПОЛЬЗОВАТЕЛЬ ИСПДн
8.1. Пользователь ИСПДн – работник ООО «Le`Di», осуществляющий обработку ПДн в ИСПДн.
8.2. Пользователь ИСПДн несет ответственность за некачественное, неполное, несвоевременное исполнение или неисполнение своих обязанностей, предусмотренных «Инструкцией пользователя ИСПДн».