�2. Общие положения
2.1. Настоящее Положение об обеспечении безопасности персональных данных,
обрабатываемых в информационных системах персональных данных (далее – Положение), разработано в соответствии с законодательством Российской Федерации о персональных данных (далее – ПДн) и нормативными правовыми актами (методическими документами) федеральных органов исполнительной власти по вопросам безопасности ПДн
при их обработке в информационных системах персональных данных (далее – ИСПДн).
2.2. Настоящее Положение определяет состав и содержание организационных и
технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн.
2.3. Положение обязательно для исполнения всеми работниками МБДОУ – детский
сад № 7 (далее – МБДОУ), непосредственно осуществляющими защиту ПДн, обрабатываемых в ИСПДн.
3. Цели и задачи обеспечения безопасности персональных данных
3.1. Основной целью обеспечения безопасности ПДн, при их обработке в ИСПДн,
является защита ПДн от неправомерного или случайного доступа к ним, уничтожения,
изменения, блокирования, копирования, предоставления, распространения ПДн, а также
от иных неправомерных действий в отношении ПДн.
3.2. Задачей, которую необходимо решить для достижения поставленной цели, является обеспечение безопасности ПДн при их обработке в ИСПДн с помощью системы
защиты персональных данных (далее – СЗПДн).
3.3. СЗПДн включает в себя организационные, физические и (или) технические меры, используемых в ИСПДн.
4. Основные принципы построения системы защиты информации
4.1. СЗПДн основывается на следующих принципах:
– системности;
– комплексности;
– непрерывности защиты;
– разумной достаточности;
– гибкости;
– простоты применения средств защиты информации (далее – СЗИ).
4.2. Принцип системности – предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн.
4.3. Принцип комплексности – предполагает, что СЗПДн должна включать совокупность объектов защиты, сил и средств, принимаемых мер, проводимых мероприятий и
действий по обеспечению безопасности ПДн от возможных угроз всеми доступными законными средствами, методами и мероприятиями.
4.4. Принцип непрерывности защиты – это процесс обеспечения безопасности ПДн,
осуществляемый руководством, ответственным за обеспечение безопасности ПДн в
ИСПДн и работниками всех уровней. Это не только и не столько процедура или политика,
которая осуществляется в определенный отрезок времени или совокупность СЗИ, сколько
процесс, который должен постоянно идти на всех уровнях внутри МБДОУ, и каждый работник должен принимать участие в этом процессе.
4.5. Принцип разумной достаточности – предполагает соответствие уровня затрат
на обеспечение безопасности ПДн ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения.
2
�4.6. Принцип гибкости – СЗПДн должна быть способна реагировать на изменения
внешней среды и условий осуществления своей деятельности.
4.7. Принцип простоты применения СЗИ – механизмы защиты должны быть интуитивно понятны и просты в применении. Применение СЗИ не должно быть связано со знанием каких-либо языков или требовать дополнительных затрат на её применение, а также
не должно требовать выполнения рутинных малопонятных операций.
5. Основные мероприятия по обеспечению безопасности персональных данных
5.1. Для обеспечения защиты ПДн, обрабатываемых в ИСПДн, проводятся следующие мероприятия:
– определение ответственных лиц за обеспечение защиты ПДн;
– определение уровня защищенности ПДн;
– реализация правил разграничения доступа и введение ограничений на действия
пользователей ИСПДн;
– ограничение доступа в помещения, где размещены основные технические средства и системы, позволяющие осуществлять обработку ПДн;
– учет и хранение съемных машинных носителей ПДн;
– организация резервирования и восстановления работоспособности программного обеспечения, баз данных ПДн и СЗИ;
– организация парольной защиты;
– организация антивирусной защиты;
– организация обновления программного обеспечения и СЗИ;
– использование СЗИ;
– обнаружение фактов несанкционированного доступа к ПДн и принятие мер;
– контроль за принимаемыми мерами по обеспечению безопасности ПДн;
– планирование мероприятий по защите ПДн в ИСПДн;
– управление (администрирование) СЗПДн;
– управление конфигурацией ИСПДн и СЗПДн;
– реагирование на инциденты;
– информирование и обучение персонала ИСПДн.
5.2. Определение ответственных лиц за обеспечение безопасности ПДн
5.2.1. За вопросы обеспечения безопасности ПДн, обрабатываемых в ИСПДн, отвечают:
– Заведующий.
– Ответственный за организацию обработки ПДн – работник, отвечающий за организацию и состояние процесса обработки ПДн.
– Ответственный за обеспечение безопасности ПДн в ИСПДн – работник, отвечающий
за правильность использования и нормальное функционирование установленной СЗПДн.
– Администратор ИСПДн – работник, отвечающий за правильность использования и
бесперебойное, стабильное функционирование установленных систем обработки ПДн.
5.3. Определение уровня защищенности ПДн
5.3.1. Уровень защищенности ПДн, обрабатываемых в ИСПДн, определяется в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 № 1119
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и оформляется в виде «Акта об определения
уровня защищенности персональных данных».
5.4. Реализация правил разграничения доступа и введение ограничений на действия
пользователей ИСПДн
5.4.1. Реализация правил разграничения доступа, к ПДн, обрабатываемым в
ИСПДн, осуществляется в соответствии с «Положением о разрешительной системе доступа в информационных системах персональных данных», утвержденным приказом заведующего МБДОУ.
3
�5.4.2. Основные технические средства и системы ИСПДн располагаются в помещениях, находящихся в пределах границы контролируемой зоны, определенной приказом
заведующего МБДОУ, с максимальным удалением от её границ.
5.4.3. Доступ в помещения, в которых ведется обработка ПДн, осуществляется в соответствии с «Правилами доступа работников в помещения, в которых ведется обработка
персональных данных», утвержденными приказом заведующего МБДОУ.
5.5. Учет и хранение съемных машинных носителей ПДн
5.5.1. Работа со съемными машинными носителями ПДн в ИСПДн осуществляется
в соответствии с «Порядком обращения со съемными машинными носителями персональных данных», утвержденным приказом заведующего МБДОУ.
5.6. Организация резервирования и восстановления работоспособности программного обеспечения, баз данных ПДн и СЗИ.
5.6.1. Организация резервирования и восстановления работоспособности программного обеспечения, баз данных ПДн и СЗИ в ИСПДн осуществляется в соответствии
с «Инструкцией по организации резервирования и восстановления работоспособности
технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных», утвержденной приказом заведующего МБДОУ.
5.7. Организация парольной защиты
5.7.1. Организация парольной защиты в ИСПДн осуществляется в соответствии с
«Инструкцией по парольной защите информации», утвержденной приказом заведующего
МБДОУ.
5.8. Организация антивирусной защиты
5.8.1. Организация антивирусной защиты в ИСПДн осуществляется в соответствии
с «Инструкцией по организации антивирусной защиты», утвержденной приказом заведующего МБДОУ.
5.9. Организация обновления программного обеспечения и СЗИ
5.9.1. Организация обновления программного обеспечения и СЗИ в ИСПДн осуществляется в соответствии с «Инструкцией ответственного за обеспечение безопасности
персональных данных в информационных системах персональных данных» и «Инструкцией администратора информационных систем персональных данных», утвержденные
приказом заведующего МБДОУ.
5.10. Применение СЗИ
5.10.1. Для обеспечения защиты ПДн, обрабатываемых в ИСПДн, применяются
СЗИ, прошедшие оценку соответствия.
5.10.2. Установка и настройка СЗИ в ИСПДн проводится в соответствии с эксплуатационной документацией на СЗПДн и документацией на СЗИ.
5.11. Обнаружение фактов несанкционированного доступа к ПДн и принятие мер
5.11.1. Ответственному за обеспечение безопасности ПДн в ИСПДн или администратору ИСПДн должны сообщаться любые инциденты информационной безопасности, в
которые входят:
– факты попыток и успешной реализации несанкционированного доступа в
ИСПДн;
– факты попыток и успешной реализации несанкционированного доступа в помещения, в которых ведется обработка ПДн;
– факты сбоя или некорректной работы систем обработки ПДн;
– факты сбоя или некорректной работы СЗИ;
– факты разглашения ПДн, обрабатываемых в ИСПДн;
– факты разглашения информации о методах и способах защиты и обработки ПДн
в ИСПДн.
5.11.2. Разбор инцидентов информационной безопасности проводится в соответствии с «Регламентом реагирования на инциденты информационной безопасности в инфор4
�мационных системах персональных данных», утвержденным приказом заведующего
МБДОУ.
5.12. Контроль за принимаемыми мерами по обеспечению безопасности ПДн
5.12.1. Контроль за принимаемыми мерами по обеспечению безопасности ПДн
осуществляется в соответствии с «Регламентом проведения внутреннего контроля соответствия обработки персональных данных», утвержденным приказом заведующего
МБДОУ.
6. Ответственность
6.1. Все работники, допущенные в установленном порядке к работе с ПДн, несут
административную, материальную, уголовную ответственность в соответствии с действующим законодательством Российской Федерации за необеспечение сохранности и несоблюдение правил работы с ПДн.
6.2. Ответственность за доведение требований настоящего Положения до работников МБДОУ и обеспечение мероприятий по их реализации несет ответственный за обеспечение безопасности ПДн в ИСПДн.
С Положением о об организации обработки персональных данных,
обрабатываемых в МБДОУ - детский сад № 186 без использования средств автоматизации
5
�С Положением об обеспечении безопасности персональных данных, обрабатываемых в
информационных системах персональных данных МБДОУ – детский сад № 186
ОЗНАКОМЛЕНЫ:
№
пп
Дата
ФИО сотрудника
Должность
Подпись
6
�7
�
