ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Термины и определения
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных - обработка
персональных данных с помощью средств вычислительной техники.
Распространение персональных данных - действия, направленные на
раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных - временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для
уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых
становится невозможным восстановить содержание персональных данных в
информационной системе персональных данных и (или) в результате которых
уничтожаются материальные носители персональных данных.
Обезличивание персональных данных - действия, в результате которых
становится невозможным без использования дополнительной информации
определить принадлежность персональных данных конкретному субъекту
персональных данных.
Информационная система персональных данных - совокупность
содержащихся в базах данных персональных данных и обеспечивающих их
обработку информационных технологий и технических средств.
Трансграничная передача персональных данных - передача персональных
данных на территорию иностранного государства органу власти иностранного
государства, иностранному физическому лицу или иностранному юридическому
лицу.
1.2. Назначение и правовая основа документа
Политика определяет систему взглядов на проблему обеспечения
безопасности персональных данных и представляет собой систематизированное
изложение целей и задач защиты, как одно или несколько правил, процедур,
практических приемов и руководящих принципов в области информационной
безопасности, которыми руководствуется Негосударственное образовательное
учреждение высшего профессионального образования «Восточная экономикоюридическая
гуманитарная академия» в своей деятельности, а также основных
принципов построения, организационных, технологических и процедурных
аспектов обеспечения безопасности персональных данных.
Законодательной основой настоящей Политики являются Конституция
Российской Федерации, Гражданский, Уголовный и Трудовой кодексы,
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», законы,
указы, постановления, другие нормативные документы действующего
законодательства Российской Федерации, документы ФСТЭК и ФСБ России.
Использование данной Политики в качестве основы для построения
комплексной системы информационной безопасности персональных данных
Академии ВЭГУ позволит оптимизировать затраты на ее построение.
При разработке Политики учитывались основные принципы создания
комплексных систем обеспечения безопасности информации, характеристики и
возможности организационно-технических методов и современных аппаратно-
программных средств защиты и противодействия угрозам безопасности
информации.
Основные положения Политики базируются на качественном осмыслении
вопросов безопасности информации и не затрагивают вопросов экономического
(количественного) анализа рисков и обоснования необходимых затрат на защиту
информации.
2. ОБЪЕКТЫ ЗАЩИТЫ
Основными объектами системы безопасности персональных данных в
Академии ВЭГУ являются:
- информационные ресурсы с ограниченным доступом, содержащие
конфиденциальную информацию, в том числе и персональные данные;
- процессы обработки персональных данных в информационных системах
персональных данных Академии ВЭГУ, информационные технологии, регламенты и
процедуры сбора, обработки, хранения и передачи информации, персонал
разработчиков и пользователей системы и ее обслуживающий персонал;
- информационная инфраструктура, включающая системы обработки и анализа
информации, технические и программные средства ее обработки, передачи и
отображения, в том числе каналы информационного обмена и телекоммуникации,
системы и средства защиты информации, объекты и помещения, в которых
расположены технические средства обработки персональных данных.
3. ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Интересы затрагиваемых субъектов информационных отношений
Субъектами информационных отношений при обеспечении безопасности
персональных данных Академии ВЭГУ являются:
- Академия ВЭГУ, как собственник информационных ресурсов;
- руководство и сотрудники Академии ВЭГУ, в соответствии с возложенными
на них функциями;
физические лица, состоящие с Академией ВЭГУ в гражданско-правовых
отношениях (граждане);
- студенты и абитуриенты Академии ВЭГУ.
Перечисленные субъекты информационных отношений заинтересованы в
обеспечении:
- своевременного доступа к необходимым им персональным данным (их
доступности);
- достоверности (полноты, точности, адекватности, целостности) персональных
данных;
- конфиденциальности персональных данных;
- защиты от навязывания им ложных (недостоверных, искаженных)
персональных данных;
- разграничения ответственности за нарушения их прав (интересов) и
установленных правил обращения с персональными данными;
- возможности осуществления непрерывного контроля и управления
процессами обработки и передачи персональных данных;
- защиты персональных данных от незаконного распространения.
3.2. Цели защиты
Основной целью, на достижение которой направлены все положения
настоящей Политики, является защита субъектов информационных отношений
Академии ВЭГУ от возможного нанесения им материального, физического,
морального или иного ущерба, посредством случайного или преднамеренного
воздействия на персональные данные, их носители, процессы обработки и передачи.
Указанная цель достигается посредством обеспечения и постоянного
поддержания следующих свойств персональных данных:
- доступности персональных данных для легальных пользователей
(устойчивого функционирования информационных систем Академии ВЭГУ, при
котором пользователи имеют возможность получения необходимых персональных
данных и результатов решения задач за приемлемое для них время);
- целостности и аутентичности (подтверждение авторства) персональных
данных, хранимых и обрабатываемых в информационных системах Академии ВЭГУ
и передаваемой по каналам связи;
- конфиденциальности - сохранения в тайне определенной части персональных
данных, хранимых, обрабатываемых и передаваемых по каналам связи.
Необходимый уровень доступности, целостности и конфиденциальности
персональных данных обеспечивается соответствующими множеству значимых
угроз методами и средствами.
3.3. Основные задачи системы обеспечения безопасности персональных данных
Для достижения основной цели защиты и обеспечения указанных свойств
персональных данных система обеспечения информационной безопасности
Академия ВЭГУ должна обеспечивать эффективное решение следующих задач:
- своевременное выявление, оценка и прогнозирование источников угроз
информационной безопасности, причин и условий, способствующих нанесению
ущерба заинтересованным субъектам информационных отношений, нарушению
нормального функционирования информационных систем Академии ВЭГУ;
- создание механизма оперативного реагирования на угрозы безопасности
информации и негативные тенденции;
- создание условий для минимизации и локализации наносимого ущерба
неправомерными действиями физических и юридических лиц, ослабление
негативного влияния и ликвидация последствий нарушения безопасности
информации;
- защиту от вмешательства в процесс функционирования информационных
систем Академии ВЭГУ посторонних лиц (доступ к информационным ресурсам
должны иметь только зарегистрированные в установленном порядке пользователи);
- разграничение доступа пользователей к информационным, аппаратным,
программным и иным ресурсам Академии ВЭГУ (возможность доступа только к тем
ресурсам и выполнения только тех операций с ними, которые необходимы
конкретным пользователям для выполнения своих служебных обязанностей), то есть
защиту от несанкционированного доступа;
- обеспечение аутентификации пользователей, участвующих в
информационном обмене (подтверждение подлинности отправителя и получателя
информации);
- защиту от несанкционированной модификации используемых в
информационных системах Академии ВЭГУ программных средств, а также защиту
системы от внедрения несанкционированных программ, включая компьютерные
вирусы;
- защиту информации ограниченного пользования от утечки по техническим
каналам при ее обработке, хранении и передаче по каналам связи.
3.4. Основные пути решения задач системы защиты
Поставленные основные цели защиты и решение перечисленных выше задач
достигаются:
- строгим учетом всех подлежащих защите ресурсов информационных систем
Академии ВЭГУ (информации, задач, документов, каналов связи, серверов,
автоматизированных рабочих мест);
- ведением журнала действий персонала, осуществляющего обслуживание и
модификацию программных и технических средств информационной системы;
- полнотой, реальной выполнимостью и непротиворечивостью требований
организационно-распорядительных документов Академии ВЭГУ по вопросам
обеспечения безопасности информации;
- подготовкой должностных лиц (сотрудников), ответственных за организацию
и осуществление практических мероприятий по обеспечению безопасности
персональных данных и процессов их обработки;
- наделением каждого сотрудника (пользователя) минимально необходимыми
для выполнения им своих функциональных обязанностей полномочиями по доступу
к информационным ресурсам Академии ВЭГУ;
- четким знанием и строгим соблюдением всеми пользователями
информационных систем Академии ВЭГУ требований организационнораспорядительных
документов по вопросам обеспечения безопасности информации;
- персональной ответственностью за свои действия каждого сотрудника, в
рамках своих функциональных обязанностей имеющего доступ к информационным
ресурсам Академии ВЭГУ;
- непрерывным поддержанием необходимого уровня защищенности элементов
информационной среды Академии ВЭГУ;
- применением физических и технических (программно-аппаратных) средств
защиты ресурсов системы и непрерывной административной поддержкой их
использования;
- эффективным контролем над соблюдением пользователями информационных
ресурсов Академии ВЭГУ требований по обеспечению безопасности информации;
- юридической защитой интересов Академии ВЭГУ при взаимодействии с
внешними организациями (связанном с обменом персональными данными) от
противоправных действий, как со стороны этих организаций, так и от
несанкционированных действий обслуживающего персонала и третьих лиц.
4. ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Построение системы, обеспечения безопасности персональных данных
Академии ВЭГУ, и ее функционирование должны осуществляться в соответствии со
следующими основными принципами:
- законность;
- системность;
- комплексность;
- непрерывность;
- своевременность;
- преемственность и непрерывность совершенствования;
- разумная достаточность (экономическая целесообразность);
- персональная ответственность;
- минимизация полномочий;
- исключение конфликта интересов;
- взаимодействие и сотрудничество;
- гибкость системы защиты;
- открытость алгоритмов и механизмов защиты;
- простота применения средств защиты;
- обоснованность и техническая реализуемость;
- специализация и профессионализм;
- обязательность контроля.
4.1. Законность
Предполагает осуществление защитных мероприятий и разработку системы
безопасности персональных данных Академии ВЭГУ в соответствии с
действующим законодательством в области защиты персональных данных, а также
других законодательных актов по безопасности информации РФ, с применением
всех дозволенных методов обнаружения и пресечения правонарушений при работе с
персональными данными. Принятые меры безопасности персональных данных не
должны препятствовать доступу правоохранительных органов в предусмотренных
законодательством случаях.
Все пользователи информационной системы Академии ВЭГУ должны иметь
представление об ответственности за правонарушения в области обработки
персональных данных.
4.2. Системность
Системный подход к построению системы защиты информации в Академии
ВЭГУ предполагает учет всех взаимосвязанных, взаимодействующих и
изменяющихся во времени элементов, условий и факторов, значимых для
понимания и решения проблемы обеспечения безопасности персональных данных.
При создании системы защиты должны учитываться все слабые и наиболее
уязвимые места информационных систем Академии ВЭГУ, а также характер,
возможные объекты и направления атак на нее со стороны нарушителей (особенно
высококвалифицированных злоумышленников). Система защиты должна строиться
с учетом не только всех известных каналов проникновения и несанкционированного
доступа к информации, но и с учетом возможности появления принципиально
новых путей реализации угроз безопасности.
4.3. Комплексность
Комплексное использование методов и средств защиты компьютерных систем
предполагает согласованное применение разнородных средств при построении
целостной системы защиты, перекрывающей все существенные (значимые) каналы
реализации угроз и не содержащей слабых мест на стыках отдельных ее
компонентов. Внешняя защита должна обеспечиваться физическими средствами,
организационными и правовыми мерами.
4.4. Непрерывность защиты
Обеспечение безопасности персональных данных - процесс, осуществляемый
руководством Академии ВЭГУ, ответственным за организацию обработки
персональных данных и сотрудниками всех уровней. Это не только и не столько
процедура или политика, которая осуществляется в определенный отрезок времени
или совокупность средств защиты, сколько процесс, который должен постоянно
идти на всех уровнях внутри Академии ВЭГУ и каждый сотрудник Академии ВЭГУ
должен принимать участие в этом процессе. Деятельность по обеспечению
информационной безопасности является составной частью повседневной
деятельности Академии ВЭГУ. И ее эффективность зависит от участия руководства
и сотрудников Академии ВЭГУ в обеспечении информационной безопасности
персональных данных.
Кроме того, большинству физических и технических средств защиты для
эффективного выполнения своих функций необходима постоянная организационная
(административная) поддержка (своевременная смена и обеспечение правильного
хранения и применения имен, паролей, переопределение полномочий и т.п.).
Перерывы в работе средств защиты могут быть использованы злоумышленниками
для анализа применяемых методов и средств защиты, для внедрения специальных
программных и аппаратных "закладок" и других средств преодоления защиты.
4.5. Своевременность
Предполагает упреждающий характер мер обеспечения безопасности
персональных данных, то есть постановку задач по комплексной защите
персональных данных и реализацию мер обеспечения безопасности персональных
данных на ранних стадиях разработки информационных систем в целом и их систем
защиты, в частности.
Разработка системы защиты должна вестись параллельно с разработкой и
развитием самой защищаемой информационной системы. Это позволит учесть
требования безопасности при проектировании архитектуры и, в конечном счете,
создать более эффективные (как по затратам ресурсов, так и по стойкости) системы,
обладающие достаточным уровнем защищенности.
4.6. Преемственность и совершенствование
Предполагает постоянное совершенствование мер и средств защиты
персональных данных на основе преемственности организационных и технических
решений, кадрового состава, анализа функционирования информационных систем
Академии ВЭГУ и системы ее защиты с учетом изменений в методах и средствах
перехвата информации, нормативных требований по защите, достигнутого
отечественного и зарубежного опыта в этой области.
4.7. Разумная достаточность (экономическая целесообразность)
Предполагает соответствие уровня затрат на обеспечение безопасности
персональных данных ценности информационных ресурсов и величине возможного
ущерба от их разглашения, утраты, утечки, уничтожения и искажения.
Используемые меры и средства обеспечения безопасности информационных
ресурсов не должны заметно ухудшать эргономические показатели работы
компонентов информационных систем Академии ВЭГУ.
4.8. Персональная ответственность
Предполагает возложение ответственности за обеспечение безопасности
персональных данных и системы их обработки на каждого сотрудника в пределах
его полномочий. В соответствии с этим принципом распределение прав и
обязанностей сотрудников строится таким образом, чтобы в случае любого
нарушения круг виновников был четко известен или сведен к минимуму.
4.9. Минимизация полномочий
Означает предоставление пользователям минимальных прав доступа в
соответствии со служебной необходимостью. Доступ к персональным данным
должен предоставляться только в том случае и объеме, если это необходимо
сотруднику для выполнения его должностных обязанностей.
4.10. Исключение конфликта интересов (разделение функций)
Эффективная система обеспечения информационной безопасности
предполагает четкое разделение обязанностей сотрудников и исключение ситуаций,
когда сфера ответственности сотрудников допускает конфликт интересов. Сферы
потенциальных конфликтов должны выявляться, минимизироваться, и находится
под строгим независимым контролем. Реализация данного принципа предполагает,
что не один сотрудник не должен иметь полномочий, позволяющих ему единолично
осуществлять выполнение критичных операций. Наделение сотрудников
полномочиями, порождающими конфликт интересов, дает ему возможность
подтасовывать информацию в корыстных целях или с тем, чтобы скрыть проблемы
или понесенные убытки. Для снижения риска манипулирования персональными
данными и риска хищения, такие полномочия должны в максимально возможной
степени быть разделены между различными сотрудниками или подразделениями
Академии ВЭГУ. Необходимо проводить периодические проверки обязанностей,
функций и деятельности сотрудников, выполняющих ключевые функции, с тем,
чтобы они не имели возможности скрывать совершение неправомерных действий.
Кроме того, необходимо принимать специальные меры по недопущению сговора
между сотрудниками.
4.11. Взаимодействие и сотрудничество
Предполагает создание благоприятной атмосферы в коллективе Академии
ВЭГУ. В такой обстановке сотрудники должны осознанно соблюдать
установленные правила и оказывать содействие деятельности ответственным за
организацию обработки персональных данных.
Важным элементом эффективной системы обеспечения безопасности
персональных данных в Академии ВЭГУ является высокая культура работы с
информацией. Руководство Академии ВЭГУ несет ответственность за строгое
соблюдение этических норм и стандартов профессиональной деятельности,
подчеркивающей и демонстрирующей персоналу на всех уровнях важность
обеспечения информационной безопасности Академии ВЭГУ. Все сотрудники
Академии ВЭГУ должны понимать свою роль в процессе обеспечения
информационной безопасности и принимать участие в этом процессе. Несмотря на
то, что высокая культура обеспечения информационной безопасности не
гарантирует автоматического достижения целей, ее отсутствие создает больше
возможностей для нарушения безопасности или не обнаружения фактов ее
нарушения.
4.12. Гибкость системы защиты
Система обеспечения информационной безопасности должна быть способна
реагировать на изменения внешней среды и условий осуществления Академией
ВЭГУ своей деятельности. В число таких изменений входят:
- изменения организационной и штатной структуры Академии ВЭГУ;
- изменение существующих или внедрение принципиально новых
информационных систем;
- новые технические средства.
Свойство гибкости системы обеспечения информационной безопасности
избавляет в таких ситуациях от необходимости принятия кардинальных мер по
полной замене средств и методов защиты на новые, что снижает ее общую
стоимость.
4.13. Открытость алгоритмов и механизмов защиты
Суть принципа открытости алгоритмов и механизмов защиты состоит в том,
что защита не должна обеспечиваться только за счет секретности структурной
организации и алгоритмов функционирования ее подсистем. Знание алгоритмов
работы системы защиты не должно давать возможности ее преодоления (даже
авторам). Это не означает, что информация об используемых системах и механизмах
защиты должна быть общедоступна.
4.14. Простота применения средств защиты
Механизмы и методы защиты должны быть интуитивно понятны и просты в
использовании. Применение средств и методов защиты не должно быть связано со
знанием специальных языков или с выполнением действий, требующих
значительных дополнительных трудозатрат при обычной работе
зарегистрированных пользователей, а также не должно требовать от пользователя
выполнения рутинных малопонятных ему операций.
4.15. Обоснованность и техническая реализуемость
Информационные технологии, технические и программные средства, средства
и меры защиты персональных данных должны быть реализованы на современном
уровне развития науки и техники, обоснованы с точки зрения достижения заданного
уровня безопасности информации и экономической целесообразности, а также
должны соответствовать установленным нормам и требованиям по безопасности
персональных данных.
4.16. Специализация и профессионализм
Предполагает привлечение к разработке средств и реализации мер защиты
персональных данных специализированных организаций, наиболее подготовленных
к конкретному виду деятельности по обеспечению безопасности информационных
ресурсов, имеющих опыт практической работы и государственные лицензии на
право оказания услуг в этой области. Реализация административных мер и
эксплуатация средств защиты должна осуществляться профессионально
подготовленными специалистами Академии ВЭГУ (ответственными за организацию
обработки персональных данных).
4.17. Обязательность контроля
Предполагает обязательность и своевременность выявления и пресечения
попыток нарушения установленных правил, обеспечения безопасности
персональных данных, на основе используемых систем и средств защиты
персональных данных, при совершенствовании критериев и методов оценки
эффективности этих систем и средств.
Контроль за деятельностью любого пользователя, каждого средства защиты и
в отношении любого объекта защиты должен осуществляться на основе применения
средств оперативного контроля и регистрации и должен охватывать как
несанкционированные, так и санкционированные действия пользователей.
Кроме того, эффективная система обеспечения информационной безопасности
требует наличия адекватной и всеобъемлющей информации о текущем состоянии
процессов, связанных с движением информации и сведений о соблюдении
установленных нормативных требований, а также дополнительной информации,
имеющей отношение к принятию решений. Информация должна быть надежной,
своевременной, доступной и правильно оформленной.
Недостатки системы обеспечения информационной безопасности, выявленные
сотрудниками Академии ВЭГУ должны немедленно доводиться до сведения
руководителя Академии ВЭГУ и оперативно устраняться. Вопросы, которые
кажутся незначительными, когда отдельные процессы рассматриваются
изолированно, при рассмотрении их наряду с другими аспектами могут указать на
отрицательные тенденции, грозящие перерасти в крупные недостатки, если они не
будут своевременно устранены.
5. МЕРЫ, МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ТРЕБУЕМОГО
УРОВНЯ ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ
5.1. Меры обеспечения информационной безопасности
Все меры обеспечения безопасности информационных систем Академии
ВЭГУ подразделяются на:
- правовые (законодательные);
- морально-этические;
- технологические;
- организационные (административные);
- физические;
- технические (аппаратурные и программные).