Утверждена Приказом ГППО «Псковавтотранс» № 182-а от «30» октября 2013 г. ПОЛИТИКА ГППО «ПСКОВАВТОТРАНС» В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 1. Общие положения 1.1. Настоящая Политика разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о ПДн) и является основополагающим внутренним регулятивным документом ГППО «Псковавтотранс» (далее - Предприятие), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее - ПДн), оператором которых является Предприятие. 1.2. Целью настоящей Политики является обеспечение безопасности персональных данных от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. 1.3. Обработка ПДн Предприятием осуществляется в связи с выполнением законодательно возложенных на Предприятие функций, определяемых: Правилами перевозок пассажиров и багажа автомобильным транспортом и городским наземным электрическим транспортом, утвержденными Постановлением правительства РФ № 112 от 14.02.20119 г., Порядком формирования и ведения автоматизированных централизованных баз персональных данных о пассажирах, а также предоставления содержащихся в них данных, утвержденным приказом Минтранса РФ от 19.07. 2012 г. № 243 Кроме того, обработка ПДн на Предприятии осуществляется в ходе трудовых и иных непосредственно связанных с ними отношений, в которых предприятие выступает в качестве работодателя (гл. 14 Трудового кодекса Российской Федерации) 1.4. Состав объектов защиты представлены в Положении о защите персональных данных работников ГППО «Псковавтотранс» и в п. 8 Порядка формирования и ведения автоматизированных централизованных баз персональных данных о пассажирах, а также предоставления содержащихся в них данных, утвержденным приказом Минтранса РФ от 19 июля 2012 г. № 243 1.5. Предприятием не производится обработка ПДн, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПДн, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Предприятием ПНд уничтожатся или обезличиваются. 1.6. При обработке ПДн обеспечиваются их точность, достаточность, а при необходимости - и актуальность по отношению к целям обработки. Предприятие принимает необходимые меры по удалению или уточнению не полных или неточных ПДн. 1.7. Требования настоящей Политики распространяются на всех сотрудников Предприятия. 2. Доступ к обрабатываемым персональным данным 2.1. Доступ к обрабатываемым Предприятием ПДн, имеют лица, уполномоченные приказом Предприятия, а также лица, чьи ПДн подлежат обработке. 2.2. В целях разграничения полномочий при обработке ПДн Предприятием разрабатывается и утверждается Положение о разграничении прав доступа к обрабатываем персональным данным. 2.3. Доступ Работников к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Предприятия. Допуск Работников к обработке ПДн осуществляется согласно перечню типовых полномочий (инструкций), утверждаемых приказом Предприятия. Допущенные к обработке ПДн Работники под роспись знакомятся с документами Предприятия, устанавливающими порядок обработки ПНд, включая документы, устанавливающие права и обязанности конкретных Работников. 2.4. Факты получения доступа к ИСПДн, а также факты обработки ПДн регистрируются, в том числе с использованием средств обеспечения информационной безопасности. Информация о фактах обработки ПДн хранится на Предприятии в течение трех лет. 2.5. Порядок доступа субъекта ПДн к его ПДн, обрабатываемым Предприятием, осуществляется в соответствии с Законом о ПДн и Положением о защите персональных данных работников ГППО «Псковавтотранс». 3. Реализация Политики 3.1. Предприятие принимает необходимые и достаточные меры для защиты обрабатываемых ПДн от неправомерного или случайного доступа к ним, от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц. 3.2. Ответственность за организацию обработки ПДн Предприятием несет один из заместителей Генерального директора, определяемый приказом Предприятия. 3.3. Ответственный за организацию обработки ПДн Предприятием, в частности, обязан: 1) осуществлять внутренний контроль за соблюдением Предприятием требований нормативных правовых актов и внутренних регулятивных документов в области обработки и защиты ПДн; 2) доводить до сведения Работников положения нормативных правовых актов и внутренних регулятивных документов Предприятия в области обработки и защиты ПДн; 3) осуществлять контроль за приемом и обработкой обращений и запросов субъектов ПДн или их представителей. 3.4. Предприятие осуществляет обработку ПДн без использования средств автоматизации, а также с использованием таких средств. 3.5. При обработке ПДн без использования средств автоматизации Предприятие, в соответствии с положениями нормативных правовых актов в области обработки и защиты ПДн, реализует комплекс организационных и технических мер, обеспечивающих: 1) обособление ПДн от информации, не содержащей ПДн; 2) раздельную обработку и хранение каждой категории ПДн (фиксация на отдельных материальных носителях ПДн, цели обработки которых заведомо несовместимы); 3) соответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн, установленным требованиям; 4) сохранность материальных носителей ПДн; 5) условия хранения, исключающие несанкционированный доступ к ПДн, а также смешение ПДн (материальных носителей), обработка которых осуществляется в различных целях; 6) надлежащее уточнение, уничтожение или обезличивание ПДн. 3.6. В соответствии с требованиями нормативных правовых актов в области обработки и защиты ПДн обработки ПДн с использованием средств автоматизации на Предприятии создаются информационные системы персональных данных (далее – ИСПДн). 3.7. Все ИСПДн проходят периодическую классификацию и аттестацию в соответствии с требованиями нормативных правовых актов в области обеспечения безопасности ПДн. 3.8. Для каждой ИСПДн формируется модель угроз безопасности ПДн и на ее основе проводятся мероприятия по обеспечению безопасности информации в соответствии с требованиями, предъявляемыми к установленному классу ИСПДн. 3.9. Выделяются следующие группы пользователей ИСПДн участвующих в обработке и хранении ПДн: Администратор ИСПДн; Администратор безопасности; Оператор АРМ; Администратор сети; Данные о группах пользователях, уровне их доступа и информированности отражены в Положении о разграничении прав доступа к обрабатываемым персональным данным. 4. Система защиты персональных данных 4.1. В целях обеспечения управления информационной безопасностью ПДн на Предприятии создается система защиты персональных данных (далее – СЗПДн). 4.2. СЗПДн реализуется комплексом правовых, режимных, организационных и программно-технических мер, которые включают: 1) подготовку внутренних регулятивных документов по вопросам обработки и защиты ПДн, контроль за исполнением требований нормативных правовых актов и внутренних регулятивных документов в области обработки и защиты ПДн, разработку и введение в действие внутренних регулятивных документов по обеспечению информационной безопасности ИСПДн; 2) оформление письменных обязательств Работников о неразглашении ПДн; 3) ознакомление Работников с положениями нормативных правовых актов и внутренних регулятивных документов в области обработки и защиты ПДн, обучение Работников правилам обработки и защиты ПДн, а также доведение до сведения Работников информации и об установленных законодательством Российской Федерации санкциях за нарушения, связанные с обработкой и защитой ПДн; 4) обеспечение наличия в должностных обязанностях Работников требований по соблюдению установленного порядка обработки и защиты ПДн; 5) проведение мероприятий по регламентации, установлению, поддержанию и осуществлению контроля за состоянием защиты технологических процессов, информационных ресурсов, информации и поддерживающей их инфраструктуры от угроз техногенного характера и внешних неинформационных воздействий; 6) регламентацию обработки ПДн, в том числе хранения и передачи информации как внутри Предприятия, так и при взаимодействии с государственными органами и организациями, обращения с документами (включая электронные документы) и носителями, порядка их учета, хранения и уничтожения; 7) установление правил доступа на объекты, в помещения, в ИС, применению в этих целях систем охраны и управления доступом; 8) формирование участков (выделение в отдельные VLAN (виртуальные локальные компьютерные сети) технических средств) администрирования безопасности, мониторинга и аудита, управления доступом к защищаемым ресурсам; 9) организацию технического оснащения объектов и ИСПДн в соответствии с существующими требованиями к информационной безопасности; 10) установление полномочий пользователей и форм представления информации пользователям ИСПДн; 11) организацию непрерывного процесса контроля (мониторинга) событий безопасности для своевременного выявления и пресечения попыток несанкционированного доступа к защищаемой информации; 12) осуществление контроля эффективности организационных мер защиты; 13) применение программно-технических мер защиты. 4.3. Система защиты персональных данных (СЗПДн), строится на основании: - Отчета о результатах проведения внутренней проверки; - Перечня персональных данных, подлежащих защите; - Акта классификации информационной системы персональных данных; - Модели угроз безопасности персональных данных; - Положения о разграничении прав доступа к обрабатываемым персональным данным; - Руководящих документов ФСТЭК и ФСБ России. 4.4. На основании указанных документов определяется необходимый уровень защищенности ПДн каждой ИСПДн Предприятия. На основании анализа актуальных угроз безопасности ПДн описанного в Модели угроз и Отчета о результатах проведения внутренней проверке, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн. Выбранные необходимые мероприятия отражаются в Плане мероприятий по обеспечению защиты ПДн. 4.5. Для каждой ИСПДн должен быть составлен список используемых технических средств защиты, а так же программного обеспечения участвующего в обработке ПДн, на всех элементах ИСПДн: 4.6. В зависимости от уровня защищенности ИСПДн и актуальных угроз, СЗПДн может включать следующие технические средства: - антивирусные средства для рабочих станций пользователей и серверов; - средства межсетевого экранирования; - средства криптографической защиты информации, при передаче защищаемой информации по каналам связи. Так же в список СЗИ могут быть включены функции защиты, обеспечиваемые штатными средствами обработки ПДн операционными системами (ОС), прикладным ПО и специальными комплексами, реализующими средства защиты. 4.7. Список используемых технических средств отражается в Плане мероприятий по обеспечению защиты персональных данных. Список используемых средств должен поддерживаться в актуальном состоянии. При изменении состава технических средств защиты или элементов ИСПДн, соответствующие изменения должны быть внесены в Список и утверждены Генеральным директором Предприятия. 5. Основные мероприятия по обеспечению безопасности персональных данных 5.1. Мероприятия по защите ПДн реализуются на Предприятии в следующих направлениях: 1) предотвращение утечки информации, содержащей ПДн, по техническим каналам связи и иными способами; 2) предотвращение несанкционированного доступа к содержащей ПДн информации, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней; 3) защита от вредоносных программ; 4) обеспечение безопасного межсетевого взаимодействия; 5) анализ защищенности ИСПДн; 6) обеспечение защиты информации с использованием шифровальных (криптографических) средств при передаче ПДн по каналам связи; 7) обнаружение вторжений и компьютерных атак; 8) осуществления контроля за реализацией системы защиты ПДн. 5.2. Мероприятия по обеспечению безопасности ПДн включают в себя: 1) реализацию разрешительной системы допуска пользователей (Работников) к информационным ресурсам ИС и связанным с их использованием работам, документам; 2) разграничение доступа пользователей ИСПДн и обслуживающих ИСПДн Работников к информационным ресурсам, программным средствам обработки (передачи) и защиты информации; 3) регистрацию действий пользователей и обслуживающих ИСПДн Работников, контроль несанкционированного доступа и действий пользователей и обслуживающих Работников, а также третьих лиц; 4) использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия; 5) предотвращение внедрения в ИС вредоносных программ и программных закладок, анализ принимаемой по информационнотелекоммуникационным сетям (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов; 6) ограничение доступа в помещения, где размещены технические средства, позволяющие осуществлять обработку ПДн, а также хранятся носители информации, содержащие ПДн; 7) размещение технических средств, позволяющих осуществлять обработку ПДн, в пределах охраняемой территории; 8) организацию физической защиты помещений и технических средств, позволяющих осуществлять обработку ПДн; 9) учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение; 10) резервирование технических средств, дублирование массивов и носителей информации; 11) реализацию требований по безопасному межсетевому взаимодействию ИС; 12) использование защищенных каналов связи, защита информации при ее передаче по каналам связи; 13) межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры ИС; 14) обнаружение вторжений в ИС, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности ПДн; 15) периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на ИС; 16) активный аудит безопасности ИС на предмет обнаружения в режиме реального времени несанкционированной сетевой активности; 17) анализ защищенности ИС с применением специализированных программных средств (сканеров безопасности); 18) централизованное управление системой защиты ПДн в ИС. 5.3. С целью поддержания состояния защиты ПДн на надлежащем уровне Предприятием осуществляется внутренний контроль за эффективностью системы защиты ПДн и соответствием порядка и условий обработки и защиты ПДн установленным требованиям. 5.4. Внутренний контроль включает: 1) мониторинг состояния технических и программных средств, входящих в состав СЗПДн; 2) контроль соблюдения требований по обеспечению безопасности ПДн (требований нормативных правовых актов и внутренних регулятивных документов в области обработки и защиты ПДн, требований договоров). 5.5. В целях осуществления внутреннего контроля Предприятием проводятся периодические проверки условий обработки ПДн. Такие проверки осуществляются ответственным за организацию обработки ПДн либо комиссией, образуемой Генеральным директором Предприятия. 6. Ответственность сотрудников ИСПДн 6.1. В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. 6.2. Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272,273 и 274 УК РФ). 6.3. Администратор ИСПДн и Администратор безопасности несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей. 6.4. При нарушениях сотрудниками – пользователями ИСПДн правил, связанных с безопасностью ПДн, они несут ответственность, установленную действующим законодательством Российской Федерации.