Положение о политике Администрации города Екатеринбурга в отношении обработки персональных данных

 


1. Назначение

1.1. Настоящая Политика содержит сведения о реализуемых требованиях к защите персональных данных.

1.2. Настоящая Политика должна быть опубликована или иным образом должен быть обеспечен неограниченный доступ к ней.

1.3. При сборе персональных данных с использованием информационно-телекоммуникационных сетей настоящая Политика должна быть опубликована в соответствующей информационно-телекоммуникационной сети, а также должна быть обеспечена возможность доступа к настоящей Политике с использованием средств соответствующей информационно-телекоммуникационной сети.

2. Определения

2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.2. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.3. Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

2.4. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.5. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.6. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

3. Перечень условных обозначений и сокращений

ИСПДн

- информационные системы персональных данных

ПДн

- персональные данные

СЗПДн

- система защиты персональных данных, обрабатываемых в информационных системах персональных данных

СЗИ

- средство защиты информации

 

4. Построение защиты персональных данных

4.1. Обработка персональных данных (далее ПДн), обрабатываемых в МАУ «Стоматологическая поликлиника №1», должна осуществляться в соответствии с требованиями Федерального закона от 27 июля 2006г. №152-ФЗ «О персональных данных».

4.2. Защита ПДн, обрабатываемых без использования средств автоматизации, должна строиться на основании требований Постановления Правительства РФ от 15 сентября 2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

4.3. Система защиты ПДн, обрабатываемых в информационных системах персональных данных МАУ «Стоматологическая поликлиника №1» (далее СЗПДн), должна строиться на основании требований нормативных правовых актов, принятых в соответствии с Федеральным законом от 27 июля 2006г. №152-ФЗ «О персональных данных», а также:

  • Актов определения уровня защищенности ПДн при их обработке в информационной системе персональных данных МАУ «Стоматологическая поликлиника №1» (далее ИСПДн);
  • Моделей угроз безопасности ПДн при их обработке в ИСПДн.

4.4. Определение уровня защищенности ПДн при их обработке в ИСПДн должно осуществляться в соответствии с порядком, установленным Постановлением Правительства РФ от 1 ноября 2012г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

4.5. СЗПДн должна включать в себя следующие подсистемы:

 

  • Подсистема идентификации и аутентификации субъектов доступа и объектов доступа;
  • Подсистема управления доступом субъектов доступа к объектам доступа;
  • Подсистема ограничения программной среды;
  • Подсистема защиты машинных носителей ПДн;
  • Подсистема регистрации событий безопасности;
  • Подсистема антивирусной защиты;
  • Подсистема контроля (анализа) защищенности ПДн;
  • Подсистема обеспечения целостности информационной системы и ПДн;
  • Подсистема обеспечения доступности ПДн;
  • Подсистема защиты технических средств;
  • Подсистема защиты ИСПДн, ее средств, систем связи и передачи данных;
  • Подсистема выявления инцидентов и реагирования на них;
  • Подсистема управления конфигурацией ИСПДн и СЗПДн.

 

4.6. Состав требований, реализуемых каждой из подсистем СЗПДн, зависит от:

 

  • Уровня защищенности ПДн при их обработке в ИСПДн;
  • Структурно-функциональных характеристик и особенностей функционирования ИСПДн;
  • Состава актуальных угроз безопасности ПДн при их обработке в ИСПДн.