2. Общие положения 2.1. Настоящее Положение об обеспечении безопасности персональных данных, обрабатываемых в информационных системах персональных данных (далее – Положение), разработано в соответствии с законодательством Российской Федерации о персональных данных (далее – ПДн) и нормативными правовыми актами (методическими документами) федеральных органов исполнительной власти по вопросам безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн). 2.2. Настоящее Положение определяет состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн. 2.3. Положение обязательно для исполнения всеми работниками МБДОУ – детский сад № 7 (далее – МБДОУ), непосредственно осуществляющими защиту ПДн, обрабатываемых в ИСПДн. 3. Цели и задачи обеспечения безопасности персональных данных 3.1. Основной целью обеспечения безопасности ПДн, при их обработке в ИСПДн, является защита ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн. 3.2. Задачей, которую необходимо решить для достижения поставленной цели, является обеспечение безопасности ПДн при их обработке в ИСПДн с помощью системы защиты персональных данных (далее – СЗПДн). 3.3. СЗПДн включает в себя организационные, физические и (или) технические меры, используемых в ИСПДн. 4. Основные принципы построения системы защиты информации 4.1. СЗПДн основывается на следующих принципах: – системности; – комплексности; – непрерывности защиты; – разумной достаточности; – гибкости; – простоты применения средств защиты информации (далее – СЗИ). 4.2. Принцип системности – предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн. 4.3. Принцип комплексности – предполагает, что СЗПДн должна включать совокупность объектов защиты, сил и средств, принимаемых мер, проводимых мероприятий и действий по обеспечению безопасности ПДн от возможных угроз всеми доступными законными средствами, методами и мероприятиями. 4.4. Принцип непрерывности защиты – это процесс обеспечения безопасности ПДн, осуществляемый руководством, ответственным за обеспечение безопасности ПДн в ИСПДн и работниками всех уровней. Это не только и не столько процедура или политика, которая осуществляется в определенный отрезок времени или совокупность СЗИ, сколько процесс, который должен постоянно идти на всех уровнях внутри МБДОУ, и каждый работник должен принимать участие в этом процессе. 4.5. Принцип разумной достаточности – предполагает соответствие уровня затрат на обеспечение безопасности ПДн ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. 2 4.6. Принцип гибкости – СЗПДн должна быть способна реагировать на изменения внешней среды и условий осуществления своей деятельности. 4.7. Принцип простоты применения СЗИ – механизмы защиты должны быть интуитивно понятны и просты в применении. Применение СЗИ не должно быть связано со знанием каких-либо языков или требовать дополнительных затрат на её применение, а также не должно требовать выполнения рутинных малопонятных операций. 5. Основные мероприятия по обеспечению безопасности персональных данных 5.1. Для обеспечения защиты ПДн, обрабатываемых в ИСПДн, проводятся следующие мероприятия: – определение ответственных лиц за обеспечение защиты ПДн; – определение уровня защищенности ПДн; – реализация правил разграничения доступа и введение ограничений на действия пользователей ИСПДн; – ограничение доступа в помещения, где размещены основные технические средства и системы, позволяющие осуществлять обработку ПДн; – учет и хранение съемных машинных носителей ПДн; – организация резервирования и восстановления работоспособности программного обеспечения, баз данных ПДн и СЗИ; – организация парольной защиты; – организация антивирусной защиты; – организация обновления программного обеспечения и СЗИ; – использование СЗИ; – обнаружение фактов несанкционированного доступа к ПДн и принятие мер; – контроль за принимаемыми мерами по обеспечению безопасности ПДн; – планирование мероприятий по защите ПДн в ИСПДн; – управление (администрирование) СЗПДн; – управление конфигурацией ИСПДн и СЗПДн; – реагирование на инциденты; – информирование и обучение персонала ИСПДн. 5.2. Определение ответственных лиц за обеспечение безопасности ПДн 5.2.1. За вопросы обеспечения безопасности ПДн, обрабатываемых в ИСПДн, отвечают: – Заведующий. – Ответственный за организацию обработки ПДн – работник, отвечающий за организацию и состояние процесса обработки ПДн. – Ответственный за обеспечение безопасности ПДн в ИСПДн – работник, отвечающий за правильность использования и нормальное функционирование установленной СЗПДн. – Администратор ИСПДн – работник, отвечающий за правильность использования и бесперебойное, стабильное функционирование установленных систем обработки ПДн. 5.3. Определение уровня защищенности ПДн 5.3.1. Уровень защищенности ПДн, обрабатываемых в ИСПДн, определяется в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и оформляется в виде «Акта об определения уровня защищенности персональных данных». 5.4. Реализация правил разграничения доступа и введение ограничений на действия пользователей ИСПДн 5.4.1. Реализация правил разграничения доступа, к ПДн, обрабатываемым в ИСПДн, осуществляется в соответствии с «Положением о разрешительной системе доступа в информационных системах персональных данных», утвержденным приказом заведующего МБДОУ. 3 5.4.2. Основные технические средства и системы ИСПДн располагаются в помещениях, находящихся в пределах границы контролируемой зоны, определенной приказом заведующего МБДОУ, с максимальным удалением от её границ. 5.4.3. Доступ в помещения, в которых ведется обработка ПДн, осуществляется в соответствии с «Правилами доступа работников в помещения, в которых ведется обработка персональных данных», утвержденными приказом заведующего МБДОУ. 5.5. Учет и хранение съемных машинных носителей ПДн 5.5.1. Работа со съемными машинными носителями ПДн в ИСПДн осуществляется в соответствии с «Порядком обращения со съемными машинными носителями персональных данных», утвержденным приказом заведующего МБДОУ. 5.6. Организация резервирования и восстановления работоспособности программного обеспечения, баз данных ПДн и СЗИ. 5.6.1. Организация резервирования и восстановления работоспособности программного обеспечения, баз данных ПДн и СЗИ в ИСПДн осуществляется в соответствии с «Инструкцией по организации резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных», утвержденной приказом заведующего МБДОУ. 5.7. Организация парольной защиты 5.7.1. Организация парольной защиты в ИСПДн осуществляется в соответствии с «Инструкцией по парольной защите информации», утвержденной приказом заведующего МБДОУ. 5.8. Организация антивирусной защиты 5.8.1. Организация антивирусной защиты в ИСПДн осуществляется в соответствии с «Инструкцией по организации антивирусной защиты», утвержденной приказом заведующего МБДОУ. 5.9. Организация обновления программного обеспечения и СЗИ 5.9.1. Организация обновления программного обеспечения и СЗИ в ИСПДн осуществляется в соответствии с «Инструкцией ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных» и «Инструкцией администратора информационных систем персональных данных», утвержденные приказом заведующего МБДОУ. 5.10. Применение СЗИ 5.10.1. Для обеспечения защиты ПДн, обрабатываемых в ИСПДн, применяются СЗИ, прошедшие оценку соответствия. 5.10.2. Установка и настройка СЗИ в ИСПДн проводится в соответствии с эксплуатационной документацией на СЗПДн и документацией на СЗИ. 5.11. Обнаружение фактов несанкционированного доступа к ПДн и принятие мер 5.11.1. Ответственному за обеспечение безопасности ПДн в ИСПДн или администратору ИСПДн должны сообщаться любые инциденты информационной безопасности, в которые входят: – факты попыток и успешной реализации несанкционированного доступа в ИСПДн; – факты попыток и успешной реализации несанкционированного доступа в помещения, в которых ведется обработка ПДн; – факты сбоя или некорректной работы систем обработки ПДн; – факты сбоя или некорректной работы СЗИ; – факты разглашения ПДн, обрабатываемых в ИСПДн; – факты разглашения информации о методах и способах защиты и обработки ПДн в ИСПДн. 5.11.2. Разбор инцидентов информационной безопасности проводится в соответствии с «Регламентом реагирования на инциденты информационной безопасности в инфор4 мационных системах персональных данных», утвержденным приказом заведующего МБДОУ. 5.12. Контроль за принимаемыми мерами по обеспечению безопасности ПДн 5.12.1. Контроль за принимаемыми мерами по обеспечению безопасности ПДн осуществляется в соответствии с «Регламентом проведения внутреннего контроля соответствия обработки персональных данных», утвержденным приказом заведующего МБДОУ. 6. Ответственность 6.1. Все работники, допущенные в установленном порядке к работе с ПДн, несут административную, материальную, уголовную ответственность в соответствии с действующим законодательством Российской Федерации за необеспечение сохранности и несоблюдение правил работы с ПДн. 6.2. Ответственность за доведение требований настоящего Положения до работников МБДОУ и обеспечение мероприятий по их реализации несет ответственный за обеспечение безопасности ПДн в ИСПДн. С Положением о об организации обработки персональных данных, обрабатываемых в МБДОУ - детский сад № 186 без использования средств автоматизации 5 С Положением об обеспечении безопасности персональных данных, обрабатываемых в информационных системах персональных данных МБДОУ – детский сад № 186 ОЗНАКОМЛЕНЫ: № пп Дата ФИО сотрудника Должность Подпись 6 7