Главная страница
Навигация по странице:


  • Политика информационной безопасности Оганесян А.А. Политика информационной безопасности информационной системы персональных данных ооо Тульские городские электрические сети


    Скачать 270 Kb.
    НазваниеПолитика информационной безопасности информационной системы персональных данных ооо Тульские городские электрические сети
    Дата11.02.2023
    Размер270 Kb.
    Формат файлаdoc
    Имя файлаПолитика информационной безопасности Оганесян А.А.doc
    ТипДокументы
    #930790
    страница3 из 8
    1   2   3   4   5   6   7   8

    1. Общие положения Политики безопасности



    Настоящая Политика информационной безопасности информационной системы персональных данных ООО «Тульские городские электрические сети» (далее – Политика безопасности), разработана в целях обеспечения безопасности персональных данных, является официальным документом.

    Политика безопасности разработана в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" на основании:

    - Приказа ФСТЭК России от 18.02.2013г. N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

    - Приказа ФСБ от 10 июля 2014 года N 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

    В Политике безопасности определены требования к персоналу ИСПДн, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн ООО «Тульские городские электрические сети».

    Целью настоящей Политики безопасности является обеспечение безопасности объектов защиты ООО «Тульские городские электрические сети» от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн (УБПДн).

    Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

    Информация и связанные с ней ресурсы должны быть доступны для авторизованных пользователей. Должно осуществляться своевременное обнаружение и реагирование на УБПДн.

    Должно осуществляться предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных.

    Состав объектов защиты представлен в «Перечне персональных данных, подлежащих защите».

    2. Общие требования по защите персональных данных



    Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

    Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

    Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.

    Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.

    «Внутренняя защита».

    Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами организации.

    Для обеспечении внутренней защиты персональных данных работников необходимо соблюдать ряд мер:

    - ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;

    - строгое избирательное и обоснованное распределение документов и информации между работниками;

    - рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

    - знание работником требований нормативно – методических документов по защите информации и сохранении тайны;

    - наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

    - определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;

    - организация порядка уничтожения информации;

    - своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;

    - воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

    - не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только генеральному директору, работникам отдела персонала и в исключительных случаях, по письменному разрешению генерального директора, - руководителю структурного подразделения. (например, при подготовке материалов для аттестации работника).

    Защита персональных данных сотрудника на электронных носителях.

    Все папки, содержащие персональные данные сотрудника, должны быть защищены паролем, который сообщается руководителю службы управления персоналом и руководителю службы информационных технологий

    «Внешняя защита».

    Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

    Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.

    Для обеспечения внешней защиты персональных данных сотрудников необходимо соблюдать ряд мер:

    - порядок приема, учета и контроля деятельности посетителей;

    - пропускной режим организации;

    - учет и порядок выдачи удостоверений;

    - технические средства охраны, сигнализации;

    - порядок охраны территории, зданий, помещений, транспортных средств;

    - требования к защите информации при интервьюировании и собеседованиях.

    Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников.

    По возможности персональные данные обезличиваются.

    Кроме мер защиты персональных данных, установленных законодательством, работодатели, работники и их представители могут вырабатывать совместные меры защиты персональных данных работников.

    Требования настоящего Политики безопасности распространяются на всех сотрудников ООО «Тульские городские электрические сети» (штатных, временных, работающих по контракту и т.п.), а также всех прочих лиц (подрядчики, аудиторы и т.п.).

    1   2   3   4   5   6   7   8


    написать администратору сайта