Положение об обеспечении безопасности персональных данных

СОГЛАСОВАНО
на заседании педагогического совета
МБОУ г. Керчи РК
СШ№1 им.В.Дубинина
(протокол № 18 от 30.10.2023 г.)

УТВЕРЖДЕНО
Директор МБОУ г. Керчи
РК СШ №1 им.В.Дубинина
_________ Е.А.Левкович
(приказом № 628 от 30.10.2023 г.)
Локальный акт № 109

ПОЛОЖЕНИЕ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
в Муниципальном бюджетном общеобразовательном учреждении города Керчи
Республики Крым «Специализированная школа №1 с углубленным изучением
английского языка имени Володи Дубинина»
1. Термины и определения
1.1. Автоматизированная обработка персональных данных – обработка персональных
данных с помощью средств вычислительной техники.
1.2. Блокирование персональных данных – временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для уточнения
персональных данных).
1.3. Обработка персональных данных – любое действие (операция) или совокупность
действий (операций), совершаемых с использованием средств автоматизации или без
использования таких средств с персональными данными, включая сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение персональных данных.
1.4. Основные технические средства и системы – технические средства и системы, а
также их коммуникации, используемые для обработки, хранения и передачи персональных
данных.
1.5. Оператор – государственный орган, муниципальный орган, юридическое или
физическое лицо, самостоятельно или совместно с другими лицами организующие и (или)
осуществляющие обработку персональных данных, а также определяющие цели обработки
персональных данных, состав персональных данных, подлежащих обработке, действия
(операции), совершаемые с персональными данными.
1.6. Персональные данные – любая информация, относящаяся к прямо или косвенно
определенному, или определяемому физическому лицу (субъекту персональных данных);
1.7. Предоставление персональных данных – действия, направленные на раскрытие
персональных данных определенному лицу или определенному кругу лиц.
1.8. Распространение персональных данных – действия, направленные на раскрытие
персональных данных неопределенному кругу лиц.
1.9. Уничтожение персональных данных – действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной системе
персональных данных и (или) в результате которых уничтожаются материальные носители
персональных данных.

Общие положения

2.1.
Настоящее Положение об обеспечении безопасности персональных данных,
обрабатываемых
в
информационных
системах
персональных
данных
в Муниципальном бюджетном общеобразовательном учреждении города Керчи Республики
Крым «Специализированная школа №1 с углубленным изучением английского языка имени
Володи Дубинина» (далее – Положение), разработано в соответствии с законодательством
Российской Федерации о персональных данных (далее – ПДн) и нормативными правовыми
актами (методическими документами) федеральных органов исполнительной власти по
вопросам безопасности ПДн при их обработке в информационных системах персональных
данных (далее – ИСПДн).
2.2. Настоящее Положение определяет состав и содержание организационных и
технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн.
2.3. Положение
обязательно
для
исполнения
всеми
работниками
Муниципального бюджетного общеобразовательного учреждения города Керчи Республики
Крым «Специализированная школа №1 с углубленным изучением английского языка имени
Володи Дубинина»(далее – Учреждение), непосредственно осуществляющими защиту ПДн,
обрабатываемых в ИСПДн.
3. Цели и задачи обеспечения безопасности персональных данных
3.1. Основной целью обеспечения безопасности ПДн, при их обработке в ИСПДн,
является защита ПДн от неправомерного или случайного доступа к ним, уничтожения,
изменения, блокирования, копирования, предоставления, распространения ПДн, а также от
иных неправомерных действий в отношении ПДн.
3.2. Задачей, которую необходимо решить для достижения поставленной цели,
является обеспечение безопасности ПДн при их обработке в ИСПДнс помощью системы
защиты персональных данных (далее – СЗПДн).
3.3. СЗПДн включает в себя организационные, физические и (или) технические меры,
используемых в ИСПДн.
4. Основные принципы построения системы защиты информации
4.1. СЗПДн основывается на следующих принципах:
 системности;
 комплексности;
 непрерывности защиты;
 разумной достаточности;
 гибкости;
 простоты применения средств защиты информации (далее – СЗИ).
4.2. Принцип системности – предполагает учет всех взаимосвязанных,
взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых
для понимания и решения проблемы обеспечения безопасности ПДн.
4.3. Принцип комплексности – предполагает, что СЗПДндолжна включать
совокупность объектов защиты, сил и средств, принимаемых мер, проводимых мероприятий
и действий по обеспечению безопасности ПДн от возможных угроз всеми доступными
законными средствами, методами и мероприятиями.
2

4.4. Принцип непрерывности защиты – это процесс обеспечения безопасности ПДн,
осуществляемый руководством, ответственным за обеспечение безопасности ПДн в ИСПДн
и работниками всех уровней. Это не только и не столько процедура или политика, которая
осуществляется в определенный отрезок времени или совокупность СЗИ, сколько процесс,
который должен постоянно идти на всех уровнях внутри Учреждения, и каждый работник
должен принимать участие в этом процессе.
4.5. Принцип разумной достаточности–предполагает соответствие уровня затрат на
обеспечение безопасности ПДн ценности информационных ресурсов и величине возможного
ущерба от их разглашения, утраты, утечки, уничтожения и искажения.
4.6. Принцип гибкости–СЗПДн должна быть способна реагировать на изменения
внешней среды и условий осуществления своей деятельности.
4.7. Принцип простоты применения СЗИ– механизмы защиты должны быть
интуитивно понятны и просты в применении. Применение СЗИ не должно быть связано со
знанием каких-либо языков или требовать дополнительных затрат на её применение, а также
не должно требовать выполнения рутинных малопонятных операций.
5.

Основные мероприятия по обеспечению безопасности персональных данных

5.1.
Для обеспечения защиты ПДн, обрабатываемых в ИСПДн, проводятся
следующие мероприятия:
 определение ответственных лиц за обеспечение защиты ПДн;
 определение уровня защищенности ПДн;
 реализация правил разграничения доступа и введение ограничений на действия
пользователей ИСПДн;
 ограничение доступа в помещения, где размещены основные технические средства и
системы, позволяющие осуществлять обработку ПДн;
 учет и хранение съемных машинных носителей ПДн;
 организация резервирования и восстановления работоспособности программного
обеспечения, баз данных ПДн и СЗИ;
 организация парольной защиты;
 организация антивирусной защиты;
 организация обновления программного обеспечения и СЗИ;
 использование СЗИ;
 обнаружение фактов несанкционированного доступа кПДн и принятие мер;
 контроль за принимаемыми мерами по обеспечению безопасности ПДн;
 планирование мероприятий по защите ПДн в ИСПДн;
 управление (администрирование) СЗПДн;
 управление конфигурацией ИСПДн и СЗПДн;
 реагирование на инциденты;
 информирование и обучение персонала ИСПДн.
5.2.
Определение ответственных лиц за обеспечение безопасности ПДн
5.2.1. За вопросы обеспечения безопасности ПДн обрабатываемых в ИСПДн, отвечают:
 Директор.
 Ответственный за организацию обработки ПДн–работник, отвечающий за
организацию и состояние процесса обработки ПДн.
3

 Ответственный за обеспечение безопасности ПДн в ИСПДн – работник, отвечающий
за правильность использования и нормальное функционирование установленной СЗПДн.
 Администратор ИСПДн– работник, отвечающий за правильность использования и
бесперебойное, стабильное функционирование установленных систем обработки ПДн.
5.3.
Определение уровня защищенности ПДн
5.3.1. Уровень защищенности ПДн, обрабатываемых в ИСПДн, определяется в
соответствии
с
постановлением
Правительства
Российской
Федерации
от
1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их
обработке в информационных системах персональных данных» и оформляется в виде «Акта
об определения уровня защищенности персональных данных».
5.4.
Реализация правил разграничения доступа и введение ограничений на действия
пользователей ИСПДн
5.4.1. Реализация правил разграничения доступа, к ПДн, обрабатываемым в ИСПДн,
осуществляется в соответствии с «Положением о разрешительной системе доступа в
информационных
системах
персональных
данных
Учреждения, утвержденным приказом Директора Учреждения.
5.4.2. Основные технические средства и системы ИСПДн располагаются в
помещениях, находящихся в пределах границы контролируемой зоны, определенной
приказом Директора Учреждения, с максимальным удалением от её границ.
5.4.3. Доступ в помещения, в которых ведется обработка ПДн, осуществляется в
соответствии с «Правилами доступа работников в помещения, в которых ведется обработка
персональных данных в Учреждении, утвержденными приказом Директора Учреждения.
5.5.
Учет и хранение съемных машинных носителей ПДн
5.5.1.
Работа со съемными машинными носителями ПДн в ИСПДн осуществляется
в соответствии с «Порядком обращения со съемными машинными носителями персональных
данных в Учреждении, утвержденным приказом Директора Учреждения.
5.6.
Организация
резервирования
и
восстановления
работоспособности
программного обеспечения, баз данных ПДн и СЗИ.
5.6.1. Организация
резервирования
и
восстановления
работоспособности
программного обеспечения, баз данных ПДн и СЗИв ИСПДн осуществляется в соответствии
с «Инструкцией по организации резервирования и восстановления работоспособности
технических средств и программного обеспечения, баз данных и средств защиты
информации в информационных системах персональных данных Учреждения, утвержденной
приказом Директора Учреждения.
5.7.
Организация парольной защиты
5.7.1. Организация парольной защиты в ИСПДн осуществляется в соответствии с
«Инструкцией по парольной защите информации в Учреждении, утвержденной приказом
Директора Учреждения.
5.8.
Организация антивирусной защиты
5.8.1. Организация антивирусной защиты в ИСПДн осуществляется в соответствии с
«Инструкцией по организации антивирусной защиты в Учреждении, утвержденной приказом
Директора Учреждения.
5.9.
Организация обновления программного обеспечения и СЗИ
5.9.1. Организация обновления программного обеспечения и СЗИ в ИСПДн
осуществляется в соответствии с «Инструкцией ответственного за обеспечение безопасности
4

персональных данных в информационных системах персональных данных Учреждения и
«Инструкцией администратора информационных систем персональных данных Учреждения,
утвержденные приказом Директора Учреждения.
5.10. Применение СЗИ
5.10.1. Для обеспечения защиты ПДн, обрабатываемых в ИСПДн, применяются СЗИ,
прошедшие оценку соответствия.
5.10.2. Установка и настройка СЗИ в ИСПДн проводится в соответствии с
эксплуатационной документацией на СЗПДн и документацией на СЗИ.
5.11.
Обнаружение фактов несанкционированного доступа к ПДн и принятие мер
5.11.1. Ответственному за обеспечение безопасности ПДн в ИСПДн или
администратору ИСПДн должны сообщаться любые инциденты информационной
безопасности, в которые входят:

факты попыток и успешной реализации несанкционированного доступа в
ИСПДн;

факты попыток и успешной реализации несанкционированного доступа в
помещения, в которых ведется обработка ПДн;

факты сбоя или некорректной работы систем обработки ПДн;

факты сбоя или некорректной работы СЗИ;

факты разглашения ПДн, обрабатываемых в ИСПДн;

факты разглашения информации о методах и способах защиты и обработки
ПДн в ИСПДн.
5.11.2. Разбор инцидентов информационной безопасности проводится в соответствии
с Регламентом реагирования на инциденты информационной безопасности в
информационных системах персональных данных Учреждения, утвержденным приказом
Директора Учреждения.
5.12. Контроль за принимаемыми мерами по обеспечению безопасности ПДн
5.12.1. Контроль за принимаемыми мерами по обеспечению безопасности ПДн
осуществляется в соответствии с «Регламентом проведения внутреннего контроля
соответствия обработки персональных данных в Учреждении, утвержденным приказом
Директора Учреждения.
6.

Ответственность

6.1.
Все работники, допущенные в установленном порядке к работе с ПДн, несут
административную, материальную, уголовную ответственность в соответствии с
действующим законодательством Российской Федерации за необеспечение сохранности и
несоблюдение правил работы с ПДн.
6.2. Ответственность за доведение требований настоящего Положения до работников
Учреждения и обеспечение мероприятий по их реализации несет ответственный за
обеспечение безопасности ПДн в ИСПДн.

ЛИСТ ОЗНАКОМЛЕНИЯ
с приказом Муниципального бюджетного общеобразовательного учреждения города
Керчи Республики Крым «Специализированная школа №1 с углубленным изучением
английского языка имени Володи Дубинина» от «___» ____________ 202__г. № ______
«Об утверждении положения об обеспечении безопасности персональных данных»
№
п/п

Фамилия имя отчество

Должность

Дата
ознакомления

«___» ___ 20__ г.

Подпись