Если вы хотите кого-то изменить, сначала полюбите его. © Мартин Лютер Кинг-Младший 1185 - | 774 - или читать все...
Обратная связь Пожаловаться на материал

ИНФОРМАЦИОННЫЕ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ


⇐ ПредыдущаяСтр 3 из 4Следующая ⇒

 

8.1. На предприятии используются следующие информационные системы персональных данных:

 

Наименование системы Подразделение предприятия Тип базы данных Доступ в интернет Объем данных Класс системы
Парус «Бухгалтерия» Бухгалтерия Многопользовательская, SQL-сервер нет 1000 – 100000 Класс К3
Парус «Кадры» Отдел кадров Многопользовательская, SQL-сервер Нет < 1000 Класс К3
Файлы Microsoft Word, Microsoft Excel Бухгалтерия, отдел кадров Разрозненные файлы Нет 1000 – 100000 Класс К3

 

8.2. Используемые информационные системы персональных данных классифицированы по классу К3 в соответствии с Приказом ФСТЭК, ФСБ, Мининформсвязи России от 13.02.08 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

 

ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ, ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ СОТРУДНИКОВ

 

9.1. При осуществлении передачи персональных данных работников третьим лицам работодатель обязан:
- не сообщать персональные данные без полученного письменного согласия работника, кроме случаев, когда такие обязанности установлены законодательством;
- не передавать персональные данные работника для использования в коммерческих целях;
- требовать от третьих лиц соблюдения правил работы с персональными данными, а также предоставления письменного подтверждения использования персональных данных в порядке, предусмотренных настоящим положением о защите персональных данных;
- давать доступ к персональным данным только лицам, имеющим соответствующий допуск и использующих их только для выполнения конкретных полномочий;
- не истребовать информацию о состоянии здоровья работника, за исключением данных, которые могут повлиять на исполнение работником своих трудовых обязанностей.
9.2. Внешний доступ (государственные структуры).
Персональные данные работников могут предоставляться только по запросу компетентных органов, имеющих соответствующие полномочия:
- федеральная налоговая служба;
- правоохранительные органы;
- органы статистики;
- бюро кредитных историй;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения муниципальных органов управления.
9.3. Другие организации (третьи лица).
Сведения о работнике (в том числе уволенном из данных архива) предоставляются третьим лицам на основании письменного заявления самого работника.
9.4. Родственники и члены семей.
Персональные данные работника предоставляются родственникам или членам его семьи только с письменного разрешения работника.

 


7. ПРИМЕНЕНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

7.1. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

 

7.2. Уровень требований, предъявляемых по обеспечению безопасности персональных данных, обрабатываемых в информационных системах предприятия, зависит от состава актуальных угроз и класса информационной системы персональных данных. Для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных класса 3 система защиты персональных данных должна включать:

 

- управление доступом;

- регистрацию и учет;

- обеспечение целостности персональных данных;

- криптографическую защиту;

- антивирусную защиту;

- предотвращение и обнаружение вторжений.

 

7.3. Система управления доступом реализована в информационных системах персональных данных предприятия и позволяет разграничивать доступ пользователей к отдельным объектам системы и отдельным группам персональных данных. 

7.3.1. Пользователи информационных систем персональных данных объеденены в группы, обладающие определенными ролями в процессе обработки данных. Роли определяют, какими правами доступа обладают пользователи информационных систем персональных данных.

7.3.2. Аутентификация пользователя при доступе к информационным системам персональных данных осуществляется с помощью уникального идентификатора пользователя (логина) и пароля. Пароль должен иметь цифро-буквенную структуру, т.е. состоять одновременно из цифр и букв в русской или латинской раскладке клавиатуры. Пароль не может быть короче 6 символов. Пароли меняются регулярно 1 раз в квартал у всех пользователей информационных систем персональных данных.

7.3.2.3. В случае, если создалась угроза компрометации пароля пользователя информационных систем персональных данных, ответственным за безопасность персональных данных при их автоматизированной обработке, для внеплановой смены пароля.

7.3.3. Физический доступ посторонних лиц к рабочим местам пользователей информационных систем персональных данных запрещен. Персональные данные обрабатываются в отдельных помещениях.

7.5.1. Резервное копирование персональных данных осуществляется автоматически в конце каждого рабочего дня.

7.5.4. Резервные копии персональных данных могут быть записаны на твердотельные диски (DVD-ROM) для долговременного хранения. Резервные копии персональных данных на твердотельных дисках хранятся в специально оборудованном, закрытом помещении с ограниченным доступом.

7.6. Криптографическая защита персональных данных в информационных системах персональных данных предприятия применяется в случае передачи персональных данных по сетям общего пользования для обработки в сторонние организации, с которыми заключены соответствующие договоры. Криптографическая защита персональных данных основана на применении электронно-цифровой подписи и сертифицированного криптографического комплекса КриптоПро.

7.7. Антивирусная защита персональных данных обеспечена применением антивирусного программного комплекса на всех компьютерах предприятия. Обновление антивирусных баз осуществляется ежедневно автоматически под контролем программиста предприятия, ответственного за антивирусную защиту.

7.8. Предотвращение вторжений в электронно-вычислительную сеть предприятия и информационные системы персональных данных обеспечено следующими мерами:

- разграничение доступа пользователей к компьютерам с использованием логина и пароля;

- исключение непосредственного доступа в глобальную сеть Интернет рабочих мест, на которых ведется обработка персональных данных, и серверов предприятия;

- применение криптографической защиты в сеансе обмена данными через глобальную сеть Интернет в тех случаях, когда это необходимо для передачи персональных данных;

 

Дата добавления: 2018-02-28; просмотров: 249; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая1234Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.016)