Политика безопасности
-
ПОЛИТИКА БЕЗОПАСНОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ
ДАННЫХ А ТАКЖЕ ИНСТРУКЦИЯ ПО УПРАВЛЕНИЮ ИНФОРМАЦИОННОЙ СИСТЕМОЙ
ОБРАБАТЫВАЮЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕВВЕДЕНИЕ
Реализуя положения Закона от 29 августа 1997 года о защите персональных данных («Dz. U.» от 1997 года № 133, пункт 883 с внесенными в него изменениями) а также положения постановления Министра Внутренних Дел и Администрации от 29 апреля 2004 года («Dz. U.» 2004 года № 100, пункт 1024 с внесенными в него изменениями) о документации по обработке персональных данных и технических а также организационных условиях, которым должны соответствовать устройства и информационные системы, применяемые для обработки персональных данных, вводится набор правил и практического опыта, регулирующий способ управления, защиты и дистрибуции конфиденциальной информации, обеспечивающий защиту персональных данных.
Раздел 1
Общие положения всякий раз, как только в документе идёт речь о:
- Администратор Персональных Данных (АПД) – под этим нужно понимать Biomol-Med Общество с ограниченной ответственностью
- Инспектор по Защите Персональных Данных (ИЗД) – под этим нужно понимать Emilię Wojdon
- область обработки под этим нужно понимать здания, помещения либо часть помещений в которых обрабатываются персональные данные.
- сбор персональных данных под этим нужно понимать каждый имеющий структуру набор данных личного характера, доступный в соответствии с определёнными критериями независимо от его начала или распределения.
- описание структуры наборов под этим нужно понимать описание структуры наборов персональных данных, обладающих содержанием отдельных информационных полей а также связей между ними.
- описание потока данных под этим нужно понимать описание потока персональных данных между наборами.
- технические и организационные средства под этим нужно понимать технические и информационные средства, необходимые для обеспечения конфиденциальности, целостности и подотчётности обрабатываемых данных.
- процедуры безопасности под этим нужно понимать процедуры, направленные на обеспечение обрабатываемых персональных данных.
Раздел 2
Администратор Персональных Данных
§ 1.
Администратор Персональных Данных в целях обеспечения защиты персональных данных назначает Инспектора по Защите Персональных Данных.
§ 2.
Администратор Персональных Данных должен в частности:
- Разработать и внедрить Политику безопасности обработки персональных данных а также Инструкцию по управлению информационной системой обрабатывающей персональные данные.
- Выдавать и аннулировать полномочия на обработку персональных данных лицам, которые должны эти данные обрабатывать.
- Вести учёт лиц, уполномоченных обрабатывать персональные данные.
- Вести учёт наборов персональных данных вместе с описанием программного обеспечения, используемого для их обработки, метода потока данных между системами и описанием применяемых защит.
- Проводить описание структуры наборов данных вместе с описанием информационных полей и связей между ними.
- Вести учёт согласий на обработку персональных данных тех лиц, к которым эти данные относятся.
- Передавать в Управление Защиты Данных наборы данных подлежащие регистрации.
§ 3.
Цель обработки данных
АПД очень тщательно заботится о том, чтобы обрабатывать персональные данные только в объеме, необходимом для тех целей, для которых они обрабатываются и стремится минимизировать все процессы обработки персональных данных. АПД почти всегда обрабатывает Ваши персональные данные, это такие персональные данные как: имя и фамилия/название компании а также контактные данные: адрес проживания/офиса, адрес почтовый, номер телефона, адрес электронной почты. Остальные персональные данные обрабатываются в объеме, определённом конкретной целью обработки, о чём Вас информируем перед покупкой услуг в связи с получением Ваших персональных данных.
Раздел 3
Технические и организационные средства
§ 4.
С целью защиты персональных данных применяются следующие организационные меры обеспечения защиты:
- Была разработана и внедрена Политика безопасности обработки персональных данных а также Инструкция управления информационной системой обрабатывающей персональные данные.
- К обработке персональных данных допускаются исключительно лица, имеющие действительные разрешения на их обработку.
- Ведётся учёт лиц, имеющих полномочия обрабатывать персональные данные.
- Лица, имеющие полномочия прошли обучение по охране персональных данных и безопасности информационной системы.
- Лица, имеющие полномочия предоставили заявление о соблюдении конфиденциальности обрабатываемых персональных данных.
- Обработка персональных данных проводится в условиях, защищающих персональные данные от доступа лиц не уполномоченных.
- Пребывание лиц не уполномоченных в пространстве обработки возможно только в присутствии лиц уполномоченных а также в условиях, обеспечивающих безопасность персональных данных.
§ 5.
Для защиты персональных данных применяются следующие физические меры безопасности:
- Двери в помещения, являющиеся пространством обработки, закрываются на ключ.
- Пространство обработки отделено от остальных помещений дверьми с цифровой клавиатурой и электромагнитом, которые делают невозможным вход лицам, которые не знают код входа.
- Персональные данные в бумажной версии хранятся в мебели, которая закрывается на ключ.
- В пространстве обработки есть доступ к устройствам для уничтожения документов и носителей данных.
- Ключи, коды доступа либо другие средства защиты пространств обработки выдаются и сдаются уполномоченными лицами.
§ 6 .
Для защиты персональных данных применяются следующие меры безопасности информационной и телекоммуникационной структуры:
- Применяется ИБП для сервера и/либо компьютеров на которых находятся обрабатываемые персональные данные.
- Доступ к компьютерам, на которых находятся персональные данные осуществляется введением логина и пароля.
- Отдалённый доступ через Интернет к персональным данным осуществляется через зашифрованное соединение SSL либо VPN и требует ввода логина и пароля.
- Применяется антивирусная система а также фаервол на компьютерах на которых находятся персональные данные.
Раздел 4
Процедуры обеспечивающие безопасность персональных данных
§ 7.
Процедура предоставления полномочий на обработку персональных данных:
- Полномочия на обработку персональных данных предоставляет ИЗД.
- К предоставлению полномочий на обработку персональных данных лицо проходит обучение об их защите а также знакомится с принципами безопасности информационной системы.
- Лицо, уполномоченное обрабатывать персональные данные, подписывает заявление о соблюдении конфиденциальности обрабатываемых персональных данных, к которым имеет доступ.
§ 8.
Методы и средства обеспечения доступа к персональным данным:
- Пароли доступа к персональным данным не могут быть общеизвестными именами собственными.
- Уполномоченное лицо обязуется хранить конфиденциально пароли доступа к персональным данным а также немедленно изменить их в случае обнародования.
- Запрещено хранить пароль открыто либо передавать его другим людям.
- Пароль изменяется полуавтоматически либо вручную каждые 30 дней уполномоченными лицами.
- Пароль состоит из минимум 8 символов, включая буквы прописные и строчные а также цифры либо специальные символы.
§ 9.
Процедура начала, приостановления и прекращения работы, требующей обработки персональных данных:
- Уполномоченное лицо входит в систему либо в программу, используя логин и пароль.
- Уполномоченное лицо обязано информировать ИЗД о неавторизированных попытках входа в систему либо в программу если система либо программа мониторирует такие явления.
- Уполномоченное лицо обязано сделать невозможным видеть персональные данные, отображаемые на экране монитора либо в бумажном виде неуполномоченным лицам.
- Лицо, уполномоченное обрабатывать персональные данные обязано в процессе временного оставления рабочего места запускать временное выключение экрана, защищённой паролем, либо выходить из системы и удалять распечатки с персональными данными со стола.
- После завершения работы уполномоченное лицо обязано выйти из системы либо выключить компьютер а также удалить со стола все носители, содержащие персональные данные, а также обеспечить безопасность помещения от взлома, потопа, пожара, и т.п.
§ 10.
Процедура создания резервных копий:
- В зависимости от величины увеличения количества и объёма персональных данных создаются резервные копии с интервалом не чаще чем 1 день и не реже чем 1 месяц.
- Резервные копии персональных данных в электронной версии могут храниться на внешнем носителе данных, защищённом в соответствии с организационной безопасностью.
- Лицо, создающее резервные копии, обязано их маркировать и проверять согласованность данных и возможность их повторного воспроизведения.
- Резервные копии хранятся не менее чем 1 год и не более чем 5 лет.
- По истечении периода хранения резервные копии окончательно уничтожаются либо анонимизируются.
§ 11.
Процедура хранения носителей персональных данных в бумажном и электронном виде:
- Уполномоченные лица обязаны окончательно уничтожать/удалять персональные данные после истечения цели их обработки.
- Запрещается выносить персональные данные за пределы пространства обработки без согласия ИЗД а также без обеспечения минимум таких же условий безопасности обработки персональных данных какие обязывают в пространстве обработки.
- Те персональные данные которые высылаются электронным путём за пределы пространства обработки, должны быть защищены паролем.
- Запрещено передавать носители данных, содержащие персональные данные, внешним организациям с целью ремонта, пожертвования и т.п.
- Носители персональных данных, такие как:
a. Ноутбук/Нетбук
b. Мобильный Телефон/Смартфон
c. Флешка/Карта памяти
d. Внешний жесткий диск
e. Диск CD/DVD/BR
f. Распечатка на бумаге
хранятся таким образом, чтобы сделать невозможным доступ к ним неуполномоченных лиц, а также защищает их от повреждений, вызванных, например затоплением, сжиганием, плавлением и т.п….
§ 12.
Процедура передачи и предоставления доступа к персональным данным внешним организациям:
- Каждая передача и предоставление доступа к персональным данным должны проводиться как в соответствии с Законом и законодательными актами, так и с настоящим документом, а также иметь законные основания.
- Ведётся учёт данных, которые переданы и к которым предоставлен доступ, с указанием:
a. Даты передачи
b. Обозначением лица, уполномоченного передать данные
c. Даты доступа
d. Организации, которой предоставлено доступ к данным
e. Объёма данных, которые переданы либо к которым предоставлен доступ
f. Основания предоставления доступа либо передачи
§ 13.
Процедура контроля и обучения сотрудников:
- Один раз в год проводится контроль соблюдения обязывающих правил защиты персональных данных.
- На основании контроля составляется протокол, который является основанием для актуализации протоколов а также настоящего документа.
- Один раз в год проводится активационное обучение сотрудников в области защиты персональных данных.
- Каждый сотрудник перед получением полномочий проходит индивидуальное обучение.
- Любой ремонт либо обслуживание компьютерного оборудования, содержащего персональные данные, либо помещений, являющихся пространством обработки, могут проводиться только под наблюдением уполномоченных лиц.
§ 14.
ИЗД сообщает о наборе персональных данных, которые требуют регистрации, а также об удалении набора после завершения обработки, в Управление Защиты Данных.
Раздел 5
Заключительные положения
§ 15.
Все процедуры и правила, описанные в этом документе, соблюдаются лицами, уполномоченными обрабатывать персональные данные с особенным учётом лиц, к которым эти данные относятся.
§ 16.
Передача обработки персональных данных внешней компании возможна лишь путём заключения договора в письменном виде при условии, что эта компания придерживается минимум таких же условий безопасности обработки персональных данных, как и компания Biomol-Med Общество с ограниченной ответственностью.