Обновлено юридическим отделом TravelLine 23.01.2019
Настоящая Политика разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных изложенных в Концепции безопасности персональных данных, обрабатываемых в информационных системах персональных данных ООО «ТРЭВЕЛ ЛАЙН СИСТЕМС» (далее – Общество).
В Настоящей Политике определены требования к работникам Общества, степень ответственности работников, структура и необходимый уровень защищенности, статус и должностные обязанности работников, ответственных за обеспечение безопасности персональных данных в информационных системах персональных данных Общества.
Настоящая Политика разработана с учетом требований Конституции Российской Федерации, а также в соответствии с федеральными законами и подзаконными актами Российской Федерации, определяющими порядок обработки персональных данных, обеспечения безопасности и конфиденциальности такой информации.
Настоящая Политика разработана в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных в Обществе.
Положения настоящей Политики служат основой для разработки локальных нормативных актов Общества, регламентирующих вопросы обработки и защиты персональных данных работников Общества и других субъектов персональных данных, оператором которых является Общество.
Положения настоящей Политики являются обязательными для исполнения работниками Общества, имеющими доступ к персональным данным.
В настоящем документе используются следующие термины и их определения.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.В настоящем документе используются следующие сокращения.
Общество - ООО «ТРЭВЕЛ ЛАЙН СИСТЕМС».
ПДн - персональные данные
ИСПДн - информационная система персональных данных
ИБ - информационная безопасность
СЗПДн - система защиты персональных данных
Безопасность ПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иных несанкционированных действий.
Информация и связанные с ней ресурсы должны быть доступны только для авторизованных пользователей. В ИСПДн должно осуществляться своевременное обнаружение угроз и реагирование на угрозы безопасности ПДн.
В ИСПДн необходимо исключить возможность преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных.
Перечень ПДн, подлежащих защите, определяется в Положении об обработке ПДн Общества.
СЗПДн строится на основании:
● Перечня ПДн, подлежащих защите;Подсистема управления доступом может быть реализована с помощью штатных средств обработки ПДн (операционных систем, приложений). Так же может быть внедрено специальное техническое средство или их комплекс, осуществляющие дополнительные меры по аутентификации и контролю. Например, применение единых хранилищ учетных записей пользователей и регистрационной информации, использование биометрических и технических (с помощью электронных пропусков) мер аутентификации и других.
Подсистема обеспечения целостности и доступности предназначена для обеспечения целостности и доступности ПДн, программных и аппаратных средств ИСПДн Общества, а так же средств защиты, при случайной или намеренной модификации.
Подсистема реализуется с помощью организации резервного копирования обрабатываемых данных, а так же резервированием ключевых элементов ИСПДн.
Подсистема антивирусной защиты предназначена для обеспечения антивирусной защиты объектов вычислительной техники Общества.
Средства антивирусной защиты предназначены для реализации следующих функций:
● резидентный антивирусный мониторинг;Подсистема реализуется путем внедрения специального антивирусного программного обеспечения во все элементы ИСПДн.
Подсистема межсетевого экранирования предназначена для реализации следующих функций:
● фильтрации открытого и зашифрованного (закрытого) IP-трафика;Подсистема реализуется внедрением программно-аппаратных комплексов межсетевого экранирования на границе сети.
Подсистема анализа защищенности, должна обеспечивать выявление уязвимостей, связанных с ошибками в конфигурации программного обеспечения ИСПДн, которые могут быть использованы нарушителем для реализации атаки на систему.
Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.
Подсистема обнаружения вторжений, должна обеспечивать выявление сетевых атак на элементы ИСПДн, подключенные к сетям общего пользования и (или) международного обмена.
Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.
Подсистема криптографической защиты предназначена для исключения несанкционированного доступа к защищаемой информации в ИСПДн Общества, при ее передаче по каналам связи сетей общего пользования и (или) международного обмена.
Подсистема реализуется внедрением криптографических программно-аппаратных комплексов.
В Концепции безопасности ПДн определены основные категории пользователей. На основании этих категорий должна быть произведена типизация пользователей ИСПДн, определен их уровень доступа и возможности.
В ИСПДн Общества можно выделить следующие группы пользователей, участвующих в обработке ПДн:
● Администратор ИСПДн;Данные о группах пользователей, уровне их доступа и информированности должны быть отражены в Положении о разграничении прав доступа к обрабатываемым персональным данным.
Администратор ИСПДн, работник Общества, ответственный за настройку, внедрение и сопровождение ИСПДн. Обеспечивает функционирование подсистемы управления доступом ИСПДн и уполномочен осуществлять предоставление и разграничение доступа конечного пользователя (Оператора ИСПДн) к элементам, хранящим персональные данные.
Администратор ИСПДн обладает следующим уровнем доступа и знаний:
● обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;Оператор ИСПДн, работник Общества, осуществляющий обработку ПДн. Обработка ПДн включает: возможность просмотра ПДн, ручной ввод ПДн в ИСПДн, формирование справок и отчетов по информации, полученной из ИСПДн.
Оператор ИСПДн обладает следующим уровнем доступа и знаний:
● обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;Администратор ИБ, работник Общества, назначаемый приказом генерального директора Общества, ответственный за функционирование СЗПДн, включая обслуживание и настройку административной, серверной и клиентской компонент.
Администратор ИБ обладает следующим уровнем доступа и знаний:
● обладает полной информацией об ИСПДн;Администратор ИБ уполномочен:
● реализовывать политики безопасности в части настройки средств защиты информации, межсетевых экранов и систем обнаружения вторжений, в соответствии с которыми пользователь (Оператор ИСПДн) получает возможность работать с элементами ИСПДн;Должностные обязанности Администратора ИБ описаны в Инструкции Администратора ИБ.
Все работники Общества, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению установленного режима безопасности персональных данных.
При вступлении в должность нового работника непосредственный руководитель структурного подразделения обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.
Работник должен быть ознакомлен с настоящей Политикой, установленными процедурами работы с элементами ИСПДн и СЗПДн.
Работники Общества, использующие технические средства аутентификации, должны обеспечивать сохранность персональных идентификаторов (электронных ключей) и не допускать несанкционированный доступ к ним, а так же возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.
Работники Общества должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства идентификации и аутентификации).
Работники Общества должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи ИСПДн должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.
Работникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.
Работникам запрещается разглашать защищаемую информацию, которая стала им известна в силу выполнения ими своих должностных обязанностей.
При работе с ПДн в ИСПДн работники Общества обязаны исключить возможность просмотра персональных данных третьими лицами с мониторов объектов вычислительной техники. При завершении работы с ИСПДн работники обязаны защитить объекты вычислительной техники с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты. Работники Общества должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на работников, нарушающих принятые политику и процедуры безопасности ПДн. Работники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.Должностные обязанности пользователей ИСПДн описаны в следующих документах:
● Инструкция Администратора ИСПДн;В соответствии со статьями 24 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Действующее законодательство Российской Федерации позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272, 273 и 274 УК РФ).
Пользователи ИСПДн несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.
При нарушениях работниками Общества – Пользователями ИСПДн правил, связанных с безопасностью ПДн, они несут ответственность, установленную действующим законодательством Российской Федерации.
Приведенные выше требования нормативных документов по защите информации должны быть отражены в локальных нормативных и правовых актах Общества.