ПОЛОЖЕННЯ

ПРО ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ

персональних даних

12 South Bridge, Suite 1, Edinburgh, Scotland, EH1 1DD, United Kingdom

ЗМІСТ

1.Терміни та скорочення 

2.Область застосування 

3.Общіе положення 

4. Організація робіт по забезпеченню безпеки персональних даних

5.Проведение робіт по забезпеченню безпеки персональних даних 

 Терміни та скорочення

 Персональні дані (ПДН) - будь-яка інформація, що стосується прямо або побічно певного або визначається фізичній особі (суб'єкту персональних даних).

 Оператор - державний орган, муніципальний орган, юридична чи фізична особа, яка самостійно або спільно з іншими особами організують і (або) здійснюють обробку персональних даних, а також визначають цілі обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції), що здійснюються з персональними даними.

 Обробка персональних даних - будь-яка дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збір, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), витяг, використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних.

Автоматизована обробка персональних даних - обробка персональних даних за допомогою засобів обчислювальної техніки.

Поширення персональних даних - дії, спрямовані на розкриття персональних даних невизначеному колу осіб.

Надання персональних даних - дії, спрямовані на розкриття персональних даних певній особі або певного кола осіб.

 Блокування персональних даних - тимчасове припинення обробки персональних даних (за винятком випадків, якщо обробка необхідна для уточнення персональних даних).

 Знищення персональних даних - дії, в результаті яких стає неможливим відновити зміст персональних даних в інформаційній системі персональних даних і (або) в результаті яких знищуються матеріальні носії персональних даних.

 Знеособлення персональних даних - дії, в результаті яких стає неможливим без використання додаткової інформації визначити приналежність персональних даних конкретного суб'єкта персональних даних.

 Інформаційна система персональних даних (ІСПДн) - сукупність містяться в базах даних персональних даних і забезпечують їх обробку інформаційних технологій і технічних засобів.

Транскордонна передача персональних даних - передача персональних даних на територію іноземної держави органу влади іноземної держави, іноземної фізичній особі або іноземній юридичній особі.

Галузь застосування

2.1 Положення про забезпечення безпеки персональних даних (далі - Положення) розроблено з метою виконання вимог законодавства України у сфері захисту персональних даних.

2.2 Це Положення визначає порядок і правила організації і проведення робіт із забезпечення безпеки персональних даних в ROKSORE CORPORATION LP, SL16159.  (далі - Оператор).

2.3 Цей документ враховує положення основних нормативних правових актів у сфері захисту персональних даних, перерахованих в Положенні про комісії щодо приведення у відповідність c вимогам законодавства в області персональних даних.

2.4 Це Положення призначене для всіх працівників Оператора, а також третіх осіб, які отримують тимчасовий або постійний доступ до оброблюваних у нього ПДН на законній підставі.

2.5 Це Положення діє з моменту його затвердження керівником Оператора.

2.6 Актуалізація цього Положення проводиться не рідше, ніж два рази на рік відповідно до Регламенту щодо проведення контрольних заходів та реагування на інциденти інформаційної безпеки в ROKSORE CORPORATION LP, SL16159.

2.7 Внесення змін до цього Положення або затвердження його нової редакції виробляється на підставі відповідного наказу керівника Оператора.

Загальні положення

3.1 ПДН, оброблювані у Оператора, цілі, підстава та терміни їх обробки вказані в Переліку оброблюваних персональних даних.

3.2 Обробка ПДН здійснюється Оператором з використанням засобів автоматизації та без їх використання.

3.3 Терміни зберігання ПДН встановлюються в письмовій згоді суб'єкта ПДН на обробку його персональних даних, а також вимогами законодавства України, що встановлюють терміни зберігання документів.

Організація робіт по забезпеченню безпеки персональних даних

4.1 Під організацією робіт по забезпеченню безпеки ПДН розуміється формування та всебічне забезпечення реалізації сукупності узгоджених за метою, завданнями, місцем і часом організаційних і технічних заходів, спрямованих на мінімізацію як безпосереднього, так і опосередкованого шкоди від реалізації загроз безпеки ПДН, і здійснюються з метою:

- запобігання можливих (потенційних) загроз безпеки ПДН;

- нейтралізації і / або парирування реалізованих загроз безпеки ПДН;

- ліквідації наслідків реалізації загроз безпеки ПДН.

4.2 Організація робіт по забезпеченню безпеки ПДН у Оператора повинна здійснюватися відповідно до чинних нормативно-правовими актами та розробленими для цих цілей організаційно-розпорядчими документами щодо забезпечення безпеки ПДН Оператором.

4.3 Завдання щодо приведення діяльності Оператора у відповідність до вимог законодавства України в області ПДН покладаються на спеціально створювану для цих цілей Комісію та осіб, відповідальних за організацію обробки та забезпечення безпеки ПДН, які можуть бути включені до складу даної комісії.

4.4 У випадках, коли Оператор на підставі договору доручає обробку ПДН третій особі, Оператору необхідно укласти з цією особою угоду про дотримання безпеки персональних даних, з покладанням на третю особу обов'язки щодо забезпечення конфіденційності і безпеки переданих Оператором ПДН (або включити дане зобов'язання в укладається / чинний договір).

4.5 Роботи по приведенню діяльності Оператора у відповідність до вимог законодавства України ведуться за двома напрямками: забезпечення безпеки ПДН, оброблюваних без використання засобів автоматизації, і забезпечення безпеки ПДН в ІСПДн Оператора.

4.6 Роботи по забезпеченню безпеки ПДН, оброблюваних без використання засобів автоматизації, ведуться за наступними напрямками:

4.7 Організація і виконання заходів щодо забезпечення безпеки ПДН, оброблюваних в ІСПДн Оператора, здійснюються в рамках системи захисту персональних даних ІСПДн (далі - СЗПДн), розгорнутих в ІСПДн в процесі її створення або модернізації.

4.8 СЗПДн являє собою сукупність організаційних заходів і технічних засобів захисту інформації, а також використовуються в ІСПДн інформаційних технологій, що функціонують відповідно до певними цілями і завданнями забезпечення безпеки ПДН.

4.9 СЗПДн повинна бути невід'ємною складовою частиною кожної новостворюваної ІСПДн Оператора.

4.10 Для існуючих ІСПДн, в яких в процесі їх створення не були передбачені заходи щодо забезпечення безпеки ПДН повинен бути проведений комплекс організаційних і технічних заходів по розробці і впровадженню СЗПДн.

4.11 Структура, склад і основні функції СЗПДн визначаються відповідно до рівня захищеності персональних даних, які обробляються в ІСПДн і моделлю загроз безпеки персональних даних при їх обробці в ІСПДн.

Проведення робіт із забезпечення безпеки персональних даних

5.1 З метою оцінки рівня захищеності оброблюваних у Оператора ПДН і своєчасного усунення невідповідностей вимогам законодавства України в сфері захисту ПДН у Оператора раз на рік повинен проводитися аналіз змін процесів захисту ПДН.

5.2 Аналіз змін проводиться за такими основними напрямками:

5.3 Результати аналізу змін використовуються для оцінки коректності вимог щодо забезпечення безпеки ПДН, оброблюваних з використанням засобів автоматизації та без використання таких засобів і при необхідності їх уточнення.

5.4 У Оператора повинен вестися облік дій, що здійснюються працівниками Оператора при обробці ПДН в ІСПДн. Дії з ПДН враховуються в log-файлах ІСПДн і / або в окремій базі даних ІСПДн.

5.5 Доступ до ПДН здійснюється відповідно до Регламенту щодо допуску працівників і третіх осіб до обробки персональних даних, затвердженого Оператором.

5.6 Особи, допущені до обробки ПДН, повинні бути проінформовані:

5.7 Неавтоматизована обробка ПДН повинна здійснюватися таким чином, щоб по відношенню до кожної категорії ПДН можна було визначити місця зберігання матеріальних носіїв та встановити перелік осіб, допущених до обробки ПДН. У Оператора повинен вестися облік носіїв ПДН.

5.8 Фіксація ПДН повинна здійснюватися на окремих матеріальних носіях (окремих документах). ПДН повинні відділятися від іншої інформації.

5.9 Фіксація на одному матеріальному носії ПДН, мету обробки яких свідомо несумісні, не допускається. У разі якщо на одному матеріальному носії все ж зафіксовані ПДН, мету обробки яких несумісні, повинні бути вжиті заходи щодо забезпечення роздільної обробки ПДН, зокрема:

5.10 Правила обліку, зберігання і знищення ПДО при неавтоматизированной обробці описані в Регламенті по обліку, зберігання та знищення носіїв персональних даних, затвердженому Оператором.

5.11 Повинен здійснюватися моніторинг фактів несанкціонованого доступу до персональних даних та вживати відповідних заходів при їх виявленні. Моніторинг здійснюється Адміністратором безпеки ІСПДн.

5.12 Адміністратором безпеки ІСПДн повинен здійснюватися контроль за прийнятими заходами щодо забезпечення безпеки персональних даних.

5.13 При обробці ПДН Оператор повинен мати можливість і засоби для відновлення ПДН, в разі їх модифікації або знищення внаслідок несанкціонованого доступу до них. Правила резервного копіювання та відновлення ПДН Оператором встановлені в Регламенті щодо створення резервної копії персональних даних, затвердженого Оператором.

5.14 Оператор визначає перелік приміщень, що використовуються при обробці ПДН. При цьому організація режиму безпеки, охорона цих приміщень повинні забезпечувати збереження носіїв ПДН, а також виключати можливість неконтрольованого проникнення або перебування в цих приміщеннях сторонніх осіб.

5.15 Учасники ІСПДн повинні забезпечувати збереження знімних носіїв, які містять ПДН. У разі втрати носія користувачі повинні негайно повідомити про це Адміністратора безпеки ІСПДн.

5.16 Якщо при роботі з ПДН працівнику Оператора необхідно залишити робоче місце, матеріальні носії ПДН повинні бути захищені від неконтрольованого доступу до них. Для цього матеріальні носії поміщаються в відведених для зберігання місця.

5.17 У разі досягнення мети обробки ПДН Оператор припиняє обробку ПДН або забезпечує її припинення (якщо обробка ПДН здійснюється іншою особою, яка діє за дорученням Оператора) і знищує ПДН або забезпечити їх знищення (якщо обробка ПДН здійснюється іншою особою, яка діє за дорученням Оператора) в термін , що не перевищує тридцяти днів з дати досягнення мети обробки ПДН, якщо інше не передбачено договором, стороною якого, вигодонабувачем або поручителем за яким є суб'єкт ПДН. У разі якщо ПДН неможливо знищити, то вони блокуються і знищуються в термін, що не перевищує шести місяців.

5.18 Проведення робіт зі створення (модернізації) СЗПДн включає наступні стадії:

5.19 На передпроектної стадії проводиться визначення рівня захищеності персональних даних, які обробляються в ІСПДн, формується Модель загроз безпеки ПДО при їх обробці в ІСПДн, розробляється Технічне завдання на СЗПДн.

5.20 Визначення рівня захищеності персональних даних, які обробляються в ІСПДн здійснюється відповідно до Регламенту щодо визначення рівня захищеності персональних даних, які обробляються в інформаційних систем персональних даних.

5.21 ІСПДн Оператора вказані в Переліку інформаційних систем персональних даних.

5.22 Рівень захищеності персональних даних, які обробляються в ІСПДн, оформляється відповідним актом.

5.23 Модель загроз безпеки ПДО при їх обробці в ІСПДн формується на підставі керівних документів СБУ України.

5.24 Перелік актуальних загроз формується для кожної ІСПДн Оператора з урахуванням умов функціонування ІСПДн і особливостей обробки ПДН.

5.25 За підсумками визначення рівня захищеності персональних даних, які обробляються в ІСПДн і результатами визначення актуальних загроз безпеки ПДН формуються вимоги щодо забезпечення безпеки ПДН, оброблюваних в ІСПДн. Дані вимоги оформляються у вигляді технічного завдання на СЗПДн.

5.26 Стадія проектування СЗПДн включає розробку СЗПДн в складі ІСПДн, а саме розробку розділів завдання і проекту проведення по створенню (модернізації) СЗПДн відповідно до вимог технічного завдання;

5.27 Стадія реалізації СЗПДн включає:

5.28 На стадії введення в дію СЗПДн здійснюються:

5.29 У процесі функціонування ІСПДн може здійснюватися модернізація СЗПДн. В обов'язковому порядку модернізація проводиться в разі, якщо:

5.30 При виникненні умов, що впливають на безпеку ПДН (компрометація паролів, порушення цілісності та доступності персональних даних та ін.) Працівник Оператора зобов'язаний негайно проінформувати про це Адміністратора безпеки ІСПДн.

5.31 Особи, винні в порушенні вимог, що пред'являються законодавством України до захисту ПДН, несуть цивільну, кримінальну, адміністративну, дисциплінарну та іншу передбачену законодавством України відповідальність.