Политика информационной безопасности

УТВЕРЖДЕНО 
Приказом Директора ООО «Тритрейдинг» 
от 09.01.2017 г. № 2-ПД 

Термины и определения

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных. 

Доступ в операционную среду компьютера (информационной системы персональных данных) - получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ. 

Доступ к информации – возможность получения информации и ее использования. 

Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов. 

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 

Источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации. 

Контролируемая зона - это пространство, в котором исключено неконтролируемое пребывание сотрудников и посетителей оператора и посторонних транспортных, технических и иных материальных средств. 

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных. 

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. 

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. 

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). 

Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования. 

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Ресурс информационной системы - именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы. 

Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. 

Субъект доступа (субъект) - лицо или процесс, действия которого регламентируются правилами разграничения доступа. 

Технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации. 

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных. 

Уязвимость ИСПДн – недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которое может быть использовано для реализации угрозы безопасности ПДн. 

Целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право. 

Перечень сокращений

АВПО – антивирусной программное обеспечение АРМ – автоматизированное рабочее место
ИСПДн – информационная система персональных данных ЛВС – локальная вычислительная сеть
НСД – несанкционированный доступ ОС – операционная система
ПДн – персональные данные
ПО – программное обеспечение
СЗИ – средства защиты информации
СЗПДн – система (подсистема) защиты персональных данных ТКУИ – технические каналы утечки информации
УБПДн – угрозы безопасности персональных данных

Введение

Настоящая Политика информационной безопасности ( далее – Политика) ООО «Тритрейдинг» (далее Оператор) разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных.
Политика разработана в соответствии с требованиями нормативных документов:
- Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ О персональных данных);
-  Постановления Правительства «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 г. №1119 (далее – ПП от 01.11.2012 г. № 1119);
-  Приказа ФСТЭК «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18 февраля 2013 г. № 21. (далее – Приказ от 18.02.2013 г. № 21).
В Политике определены требования к работникам ИСПДн, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн ООО «Тритрейдинг».

1. Общие положения

1.1.  Целью настоящей Политики является обеспечение безопасности объектов защиты Оператора от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации УБПДн.

Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Информация и связанные с ней ресурсы должны быть доступны для авторизованных пользователей.

Должно осуществляться своевременное обнаружение и реагирование на УБПДн.

Меры по обеспечению безопасности персональных данных должны обеспечивать осуществление предотвращения преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения персональных данных.

Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ О персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено ФЗ О персональных данных и другими федеральными законами. К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 ФЗ О персональных данных;

4 осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных ФЗ О персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ О персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

1.2.  Задачей информационной безопасности является защита персональных данных от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных действий сотрудников Оператора, технических сбоев, неправильных технологических и организационных решений в процессах обработки персональных данных и обеспечение нормального функционирования технологических процессов.

1.3.  Обработка ПДн осуществляется Оператором с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»:

- обработка ПДн осуществляется на законной основе;
- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка ПДн, несовместимая с целями сбора ПДн;
-   не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки.

1.4. Оператор принимает все необходимые меры по предотвращению разглашения и нарушения конфиденциальности ПДн.

При обработке ПДн обеспечивает точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.

1.5  Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных.

1.6. Хранение ПДн у Оператора осуществляется в форме, позволяющей определить субъект ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДН не установлен нормативными правовыми актами.

1.7. Обрабатываемые ПДн уничтожаются или обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.

1.8. Обработка ПДн осуществляется Оператором только в случаях:

-   наличия согласия субъекта ПДн на обработку его ПДн, если иное не предусмотрено законодательством РФ;
-   необходимости достижения целей, предусмотренных нормативными правовыми актами Российской Федерации и трудовым законодательством, для осуществления и выполнения возложенных законодательством РФ на Оператора функций, полномочий и обязанностей;
-   необходимости осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
-   когда ПДн открыты для неограниченного круга лиц, доступ к которым предоставлен субъектом ПДн либо по его просьбе;
-   обязательного раскрытия и подлежащих к опубликованию персональных данных в соответствии с законодательством РФ.

1.9. Оператор обязуется не раскрывать третьим лицам и не передавать ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ и/или договором с субъектом ПДн.

1.10 Оператор не обрабатывает специальные и биометрические категории ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведения, характеризующие биологические и физические особенности человека.

1.11. Оператор не осуществляет трансграничную передачу персональных данных субъектов ПДн.

2. Область применения 

2.1. Настоящая Политика распространяется на все структурные подразделения Организации и обязательны для исполнения всеми сотрудниками и должностными лицами. Положения настоящей Политики применимы для использования во внутренних нормативных и методических документах, а также в договорах с третьими лицами. 

3. Система защиты персональных данных 

3.1. Система защиты персональных данных (СЗПДн), строится на основании:
-     перечня персональных данных;
-     частной модели актуальных угроз и вероятного нарушителя;
-     положения о разграничении прав доступа к персональным данным;
-     нормативных документов ФСТЭК и ФСБ России.

3.2. На основании этих документов определяется необходимый уровень защищенности ПДн каждой ИСПДн Оператора. На основании анализа актуальных угроз безопасности ПДн описанного в Частной модели актуальных угроз и вероятного нарушителя, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн. Выбранные необходимые мероприятия отражаются в Плане мероприятий по внутреннему контролю за соблюдением безопасности персональных данных.

3.3. Организационные мероприятия должны включать:
-     правовое основание для сбора персональных данных;
-     определение ответственных лиц за соблюдением мер безопасности;
-     защиту персональных данных, обрабатываемых без средств автоматизации;
-     защиту персональных данных, обрабатываемых с применением средств автоматизации;
-     защиту объектов от хищения;
-     защиту съемных накопителей, содержащих персональные данные;
-     вопросы уничтожения персональных данных.

3.4. В зависимости от уровня защищенности ИСПДн и актуальных угроз, СЗПДн может включать следующие технические средства:
-     защиты от несанкционированного доступа к персональным данным;
-     антивирусной защиты для рабочих станций пользователей и серверов;
-     межсетевого экранирования;
-     обнаружения вторжений;
-     контроля защищенности персональных данных;
-     криптографической защиты информации, при передаче защищаемой информации по каналам связи; 
-     защиты среды виртуализации;
-     защиты от утечки по техническим каналам утечки информации (ТКУИ).

4. Требования к подсистемам Системы защиты персональных данных (СЗПНд)

4.1. СЗПДн может включать в себя следующие подсистемы:

4.1.1 Идентификации и аутентификации субъектов доступа и объектов доступа. Подсистема обеспечивает присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).

4.1.2 Управления доступом субъектов доступа к объектам доступа. Подсистема обеспечивает управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе  совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивает контроль за соблюдением этих правил.

4.1.3 Ограничения программной среды. Подсистема обеспечивает установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения.

4.1.4 Регистрации событий безопасности. Подсистема обеспечивает сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.

4.1.5 Антивирусной защиты. Подсистема обеспечивает обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.

4.1.6 Обнаружения (предотвращения) вторжений. Подсистема обеспечивает обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия.

4.1.7  Контроля (анализа) защищенности персональных данных. Подсистема обеспечивает контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.

4.1.8 Обеспечения целостности информационной системы и персональных данных. Подсистема обеспечивает обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.

4.1.9  Обеспечения доступности персональных данных. Подсистема обеспечивает авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы.

4.1.10 Защиты среды виртуализации. Подсистема исключает несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.

4.1.11  Защиты технических средств. Подсистема исключает несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной  системы   (далее    -     средства   обеспечения функционирования), и в помещения, в которых они постоянно расположены, обеспечивает защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей.

4.1.12 Защиты информационной системы, ее средств, систем связи и передачи данных. Подсистема обеспечивает защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.

4.1.13 Выявления инцидентов и реагированию на них. Подсистема обеспечивает обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.

4.1.14 Управления конфигурацией информационной системы и системой защиты персональных данных. Подсистема обеспечивает управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.

5. Пользователи информационной системы персональных данных (ИСПДн)

5.1. В ИСПДн Оператора можно выделить следующие группы пользователей, участвующих в обработке и хранении ПДн:
-     администраторы безопасности ИСПДн;
-     пользователи ИСПДн;
-     системные администраторы.

5.2. Данные о группах пользователях, уровне их доступа и информированности должен быть отражен в Положении о разграничении прав доступа к персональным данным.

5.3. Администраторы безопасности ИСПДн.

5.3.1 Администратором безопасности является штатный сотрудник Оператора, ответственный за функционирование СЗПДн, назначаемый приказом руководителя.

5.3.2 Администратор безопасности обладает следующим уровнем доступа и знаний:
-     обладает правами администратора ИСПДн;
-     обладает полной информацией об ИСПДн;
-     имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;
-     не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).

5.3.3 Администратор безопасности уполномочен:
-      реализовывать политики безопасности в части настройки СКЗИ, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь получает возможность работать с элементами ИСПДн;
-     осуществлять аудит средств защиты;
-     устанавливать доверительные отношения своей защищенной сети с другими защищенными сетями.

5.4. Пользователь ИСПДн.

5.4.1 Пользователем ИСПДн является штатный сотрудник Оператора, осуществляющий обработку ПДн. Обработка ПДн включает: возможность просмотра ПДн, ручной ввод ПДн в систему ИСПДн, формирование справок и отчетов по информации, полученной из ИСПД. Пользователь не имеет полномочий для управления подсистемами обработки данных и СЗПДн.

5.4.2 Пользователь ИСПДн обладает следующим уровнем доступа и знаний:
-      обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;
-     располагает конфиденциальными данными, к которым имеет доступ.

5.5. Системные администраторы.

5.5.1 Системным администратором может быть штатный сотрудник Оператора или лица сторонних организаций, осуществляющих свои функции на основании двухстороннего договора. Системный администратор не имеет полномочий для управления подсистемами обработки данных и безопасности.

5.5.2 Системный администратор обладает следующим уровнем доступа и знаний:
-     обладает частью информации о системном и прикладном программном обеспечении ИСПДн;
-     обладает частью информации о технических средствах и конфигурации ИСПДн;
-     имеет физический доступ к техническим средствам обработки информации и средствам защиты;
-     знает, по меньшей мере, одно легальное имя доступа.

6. Требования к сотрудникам Оператора, обеспечивающих защиту персональных данных

6.1. Все сотрудники Оператора, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.

6.2.  При вступлении в должность нового сотрудника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.

6.3. Сотрудник должен быть ознакомлен с настоящей Политикой, а также с принятыми процедурами работы с элементами ИСПДн и СЗПДн.

6.4. Сотрудники Оператора, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать несанкционированный доступ к ним, а также возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.

6.5. Сотрудники Оператора должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации).

6.6. Сотрудники Оператора должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.

6.7. Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а также записывать на них защищаемую информацию.

6.8. Сотрудникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами Оператора, третьим лицам.

6.9. При работе с ПДн в ИСПДн сотрудники Оператора обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов АРМ или терминалов.

6.10. При завершении работы с ИСПДн сотрудники обязаны защитить АРМ или терминалы с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.

6.11. Сотрудники Оператора должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые политику и процедуры безопасности ПДн.

6.12. Сотрудники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн. 

7. Ответственность нарушителей политики безопасности 

7.1. Ответственность за выполнение правил Политики несет каждый сотрудник Оператора в рамках своих служебных обязанностей и полномочий.

7.2. Администраторы безопасности ИСПДн несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.

7.3. При нарушениях сотрудниками Оператора – пользователей ИСПДн правил, связанных с безопасностью ПДн, они несут ответственность, установленную действующим законодательством Российской Федерации.

7.4. В соответствии с требованиями ст. 192 Трудового кодекса Российской Федерации (далее – ТК РФ), сотрудники нарушающие требования Политики, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор, и увольнение с работы.

7.5. В соответствии с требованиями ст. 238 ТК РФ, все сотрудники Оператора несут персональную (в том числе материальную) ответственность за прямой действительный ущерб, причиненный Организации в результате нарушения ими правил Политики.

7.6. Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272,273 и 274 Уголовного кодекса Российской Федерации).