Опрос

 

Любимое место отдыха в Краснодарском крае на Чёрном море

Правила обработки персональных данных

Настоящая Инструкция разработана для обеспечения защиты персональных данных согласно закона «О персональных данных» 152-ФЗ РФ при оформлении заявок на сайте otelgtk.ru — при заполнении формы заявки, оформления заказа трансфера, и другое, а также при оформлении документов в ООО «Геленджикская туристическая компания» — счета, путевки, договора и другое.

«Утверждаю»

Руководитель проекта сайт otelgtk.ru 

Директор ООО «Геленджикская туристическая компания»

__________________В.Н. Аверенков

Инструкция общие положения

Персональные данные (ПДн) относятся к категории информации ограниченного распространения.

Наиболее вероятными каналами утечки информации для информационных систем персональных данных (ИСПДн) являются:

- несанкционированный доступ к информации, обрабатываемой в ИСПДн;

- хищение технических средств с хранящейся в них информацией или отдельных носителей информации;

- просмотр информации с экранов дисплеев мониторов и других средств ее отображения с помощью оптических устройств;

- воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации, работоспособности технических средств, средств защиты информации, адресности и своевременности обмена, в том числе электромагнитного, через специально внедренные электронные и программные средства («закладки»).

Работа с персональными данными строится на следующих принципах:

- принцип персональной ответственности в любой момент времени за каждый документ (не зависимо от типа носителя: бумажный, электронный) должен отвечать и распоряжаться конкретный работник, выдача документов осуществляется только под роспись;

- принцип контроля и учета — все операции с документами должны отражаться в соответствующих журналах и карточках (передача из рук в руки, снятие копии и т.п.).

Обязанности работников имеющих доступ к ПДн

Работники, получившие доступ к персональным данным, обязаны хранить в тайне сведения ограниченного распространения, ставшие им известными во время работы или иным путем и пресекать действия других лиц, которые могут привести к разглашению такой информации. О таких фактах, а также о других причинах или условиях возможной утечки персональных данных немедленно информировать директора.

Персональные данные не подлежат разглашению (распространению). Прекращение доступа к такой информации не освобождает работника от взятых им обязательств по неразглашению сведений ограниченного распространения.

В случае оставления занимаемой должности работник обязан вернуть все документы и материалы, относящиеся к деятельности подразделения, организации. В том числе: отчеты, инструкции, переписку, списки работников, компьютерные программы, а также все прочие материалы и копии названных материалов, имеющих какое-либо отношение к деятельности ООO «ГТК», полученные в течение срока работы.

Работники при работе с персональными данными обязаны:

- строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДи;

- выполнять требования, касающиеся защиты информации;

- знать и строго выполнять правила работы со средствами защиты информации (средствами разграничения доступа), используемыми на персональных компьютерах;

- хранить в тайне свой аутентификатор (пароль доступа в автоматизированную систему, либо ключевой носитель), а также информацию о системе защиты, установленной в ИСПДн;

- использовать для работы, только учтенные съемные накопители информации (гибкие магнитные диски, компакт диски и т.д.);

- контролировать обновление антивирусных баз и в случае необходимости сообщать о необходимости обновления администратору безопасности, ответственному за антивирусную защиту автоматизированной системы.

Немедленно ставить в известность директора:

- в случае утери носителя с персональными данными или при подозрении компрометации личных ключей и паролей;

- нарушений целостности пломб (наклеек с защитной и идентификационной информацией, нарушении или несоответствии номеров печатей) на аппаратных средствах ПЭВМ или иных фактов совершения в его отсутствие попыток несанкционированного доступа (НСД) к защищенной ИСПДн;

- в случае несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн.

В случае отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию рабочей станции, выхода из строя или неустойчивого функционирования узлов ПЭВМ или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения, некорректного функционирования установленных в автоматизированной системе технических средств защиты ставить в известность директора.

Ставить в известность директора при:

- необходимости обновления антивирусных баз;

- обновлении программного обеспечения;

- проведении регламентных работ, модернизации аппаратных средств или изменении конфигурации ИСПДн;

- необходимости вскрытия системных блоков персональных компьютеров входящих в состав ИСПДн;

- резервном копировании информации и т.д.

Вынос ПЭВМ, на которой проводилась обработка персональных данных, за пределы территории здания с целью их ремонта, замены и т. п. без согласования с директором запрещен. При принятии решения о выносе компьютеров, жесткие магнитные диски должны быть демонтированы и сданы на хранение ответственному за учет служебных документов ограниченного распространения. В случае действия гарантийных обязательств фирмы-поставщика вскрытие корпуса и демонтаж носителей должны быть предварительно согласованы с ней.

ПЭВМ, используемые для работы с персональными данными, должны быть размещены таким образом, чтобы исключалась возможность визуального просмотра экрана видеомонитора, не имеющими отношения к конкретно обрабатываемой информации работниками.

Сотрудникам категорически запрещается

- передавать, кому бы то ни было (в том числе родственникам) устно или письменно сведения ограниченного распространения;

- использовать сведение ограниченного распространения при подготовке открытых публикаций, докладов, научных работ и т.д.,

- выполнять работы с документами ограниченного распространения на дому, выносить их из служебных помещений, снимать копии или производить выписки из таких документов без разрешения руководителя;

- накапливать ненужные для работы персональные данные;

- передавать или принимать без расписки документы ограниченного распространения;

- оставлять на рабочих столах, в столах и незакрытых сейфах документы ограниченного распространения, а также оставлять незапертыми и не опечатанными после окончания работы сейфы, помещения и хранилища с документами конфиденциального характера.

- использовать компоненты программного и аппаратного обеспечения ИСПДн подразделения в неслужебных целях;

- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства;

- осуществлять обработку персональных данных в присутствии посторонних (не допущенных к данной информации) лиц, либо должны быть приняты меры по недопущению ознакомления посторонних лиц с персональными данными. Пример: мониторы повёрнуты в сторону от посетителей, документы убраны в стол, либо находятся в непрозрачной папке;

- записывать и хранить персональные данные на неучтенных носителях информации (гибких магнитных дисках, флешках и т.п.);

- оставлять включенной без присмотра свою рабочую станцию (ПЭВМ), не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);

- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств зашиты, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок - ставить в известность руководителя своего подразделения, ответственного за техническое и (или) программное обеспечение, администратора безопасности.

Ответственность

Пользователь несет ответственность за соблюдение требований настоящей инструкции, а также других нормативных документов в области защиты информации.

За разглашение информации ограниченного распространения, а также за нарушение порядка работы с документами или машинными носителями, содержащими такую информацию, работники могут быть привлечены к дисциплинарной или иной, предусмотренной законодательством ответственности.