Політика безпеки

  • ПОЛІТИКА БЕЗПЕКИ ПЕРСОНАЛЬНИХ ДАНИХ А ТАКОЖ ІНСТРУКЦІЯ ІЗ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ СИСТЕМОЮ, ЩО ОБРОБЛЯЄ ПЕРСОНАЛЬНІ ДАНІ

    ВСТУП

    Реалізуючи положення Закону від 29 серпня 1997 року про захист персональних даних («Dz. U.» від 1997 року № 133, пункт 883 із внесеними до нього змінами) а також положення постанови Міністра Внутрішніх Справ та Адміністрації від 29 квітня 2004 року («Dz . U.»2004 року № 100, пункт 1024 із внесеними до нього змінами) про документацію із обробки персональних даних і технічних а також організаційних умовах, яким повинні відповідати пристрої та інформаційні системи, що застосовуються для обробки персональних даних, вводиться набір правил і практичного досвіду, який регулює спосіб управління, захисту та дистрибуції конфіденційної інформації, що забезпечує захист персональних даних.


    Розділ 1


    Загальні положення щоразу, як тільки в документі йде мова про:

    1. Адміністратор Персональних Даних (АПД) – під цим потрібно розуміти Biomol-Med Товариство з обмеженою відповідальністю
    2. Інспектор із Захисту Персональних Даних (ІЗД) — під цим потрібно розуміти Emilię Wojdon
    3. область обробки під цим потрібно розуміти будівлі, приміщення або частину приміщень в яких обробляються персональні дані.
    4. комплекс персональних даних під цим потрібно розуміти кожен набір персональних даних особистого характеру , що має структуру, доступний відповідно до певних критеріїв незалежно від його початку або розподілу.
    5. опис структури комплексів під цим потрібно розуміти опис структури наборів персональних даних, якому властиві вміст окремих інформаційних полів а також зв'язків між ними.
    6. опис потоку даних під цим потрібно розуміти опис потоку персональних даних між наборами.
    7. технічні та організаційні засоби під цим потрібно розуміти технічні та інформаційні засоби, необхідні для забезпечення конфіденційності, цілісності та підзвітності даних, що обробляються.
    8. процедури безпеки під цим потрібно розуміти процедур, спрямовані на забезпечення даних, що обробляються.


    Розділ 2

    Адміністратор Персональних Даних


    § 1.


    Адміністратор Персональних Даних з метою забезпечення захисту персональних даних призначає Інспектора із Захисту Персональних Даних.


    § 2.


    Адміністратор Персональних Даних повинен зокрема:

    1. Розробити та впровадити Політику безпеки обробки персональних даних а також Інструкцію із управління інформаційною системою, що обробляє персональні дані.
    2. Видавати та анулювати повноваження на обробку персональних даних особам, які мають ці дані обробляти.
    3. Вести облік осіб, вповноважених обробляти персональні дані.
    4. Вести облік наборів персональних даних разом із описом програмного забезпечення, що використовується для їх обробки, методу потоку даних між системами та описом захистів, які застосовуються.
    5. Проводити опис структури наборів даних разом із описом інформаційних полів та зв'язків між ними.
    6. Вести облік згод на обробку персональних даних тих осіб, до яких ці дані відносяться.
    7. Передавати в Управління Захисту Даних набори даних, які підлягають реєстрації.


    § 3.


    Мета обробки даних

    АПД дуже ретельно дбає про те, щоб обробляти персональні дані тільки в об'ємі, необхідному для тих цілей, для яких вони обробляються та намагається мінімізувати всі процеси обробки персональних даних. АПД майже завжди обробляє Ваші персональні дані, а саме такі персональні дані як: ім'я та прізвище/назва компанії а також контактні дані: адреса проживання/офісу, адреса поштова, номер телефону, адреса електронної пошти. Інші персональні дані обробляються в об'ємі, визначеному конкретною метою обробки, про що Вас інформуємо перед купівлею послуг в зв'язку із отриманням Ваших персональних даних.


    Розділ 3

    Технічні та організаційні засоби


    § 4.


    З метою захисту персональних даних застосовуються наступні організаційні заходи забезпечення захисту:

    1. Була розроблена та впроваджена Політика безпеки обробки персональних даних а також Інструкція управління інформаційною системою, що обробляє персональні дані.
    2. До обробки персональних даних допускаються виключно особи, що мають дійсні дозволи на їх обробку.
    3. Проводиться облік осіб, які мають повноваження обробляти персональні дані.
    4. Особи, які мають повноваження пройшли навчання із охорони персональних даних та безпеки інформаційної системи.
    5. Особи, які мають повноваження надали заяву про дотримання конфіденційності персональних даних, які обробляються.
    6. Обробка персональних даних проводиться в умовах, які захищають персональні дані від доступу осіб не вповноважених.
    7. Перебування осіб не вповноважених в просторі обробки можливе тільки в присутності осіб вповноважених а також в умовах, що забезпечують безпеку персональних даних.


    § 5.


    Для захисту персональних даних застосовуються наступні фізичні заходи безпеки:

    1. Двері в приміщення, які є простором обробки, закриваються на ключ.
    2. Простір обробки відділений від решти приміщень дверима із цифровою клавіатурою та електромагнітом, які унеможливлюють вхід особам, які не знають код входу.
    3. Персональні дані в паперовій версії зберігаються в меблях, які закриваються на ключ.
    4. В просторі обробки є доступ до пристроїв для знищення документів та носіїв даних.
    5. Ключі, коди доступу чи інші засоби захисту простору обробки видаються та здаються вповноваженими особами.


    § 6 .


    Для захисту персональних даних застосовуються наступні заходи безпеки інформаційної та телекомунікаційної структури:

    1. Застосовується ДБЖ для сервера та/або комп'ютерів на яких знаходяться персональні дані, що обробляються.
    2. Доступ до комп'ютерів, на яких знаходяться персональні дані здійснюється введенням логіну та паролю.
    3. Віддалений доступ через Інтернет до персональних даних здійснюється через зашифроване з'єднання SSL або VPN та вимагає введення логіну та паролю.
    4. Застосовується антивірусна система а також фаєрвол на комп'ютерах на яких знаходяться персональні дані.


    Розділ 4

    Процедури що забезпечують безпеку персональних даних


    § 7.


    Процедура надання повноважень на обробку персональних даних:

    1. Повноваження на обробку персональних даних надає ІЗД.
    2. До надання повноважень на обробку персональних даних особа проходить навчання про їх захист а також знайомиться із принципами безпеки інформаційної системи.
    3. Особа, вповноважена обробляти персональні дані, підписує заяву про дотримання конфіденційності тих персональних даних які обробляються і до яких має доступ.


    § 8.


    Методи і засоби забезпечення доступу до персональних даних:

    1. Паролі доступу до персональних даних не можуть бути загальновідомими іменами власними.
    2. Вповноважена особа зобов'язується зберігати конфіденційно паролі доступу до персональних даних а також негайно змінити їх у випадку оприлюднення.
    3. Заборонено зберігати пароль відкрито або передавати його іншим людям.
    4. Пароль змінюється напів автоматично або вручну кожні 30 днів вповноваженими особами.
    5. Пароль складається із мінімум 8 символів, включаючи літери великі та малі а також цифри або спеціальні символи.


    § 9.


    Процедура початку, призупинення та припинення роботи, що вимагає обробки персональних даних:

    1. Вповноважена особа входить в систему або в програму, використовуючи логін та пароль.
    2. Вповноважена особа зобов'язана інформувати ІЗД про неавторизовані спроби входу в систему або в програму якщо система або програма моніторує такі явища.
    3. Вповноважена особа зобов'язана унеможливити бачення персональних даних, що відображаються на екрані монітору або в паперовому вигляді не вповноваженим особам.
    4. Особа, вповноважена обробляти персональні дані зобов'язана в процесі тимчасового залишення робочого місця запускати тимчасове виключення екрану, захищене паролем, або виходити із системи та видаляти роздруківки із персональними даними зі столу.
    5. Після завершення роботи вповноважена особа зобов'язана вийти із системи або вимкнути комп'ютер а також видалити зі столу всі носії, що містять персональні дані, а також забезпечити безпеку приміщені від злому, потопу, пожежі, і т.п.


    § 10.


    Процедура створення резервних копій:

    1. Залежно від величини збільшення кількості та об'єму персональних даних створюються резервні копії з інтервалом не частіше ніж 1 день і не рідше ніж 1 місяць.
    2. Резервні копії персональних даних в електронній версії можуть зберігатися на зовнішньому носії даних, захищеному відповідно до організаційної безпеки.
    3. Особа, яка створює резервні копії, зобов'язана їх маркувати та перевіряти узгодженість даних та можливість їх повторного відтворення.
    4. Резервні копії зберігаються не менше ніж 1 рік і не довше ніж 5 років.
    5. Після завершення періоду зберігання резервні копії остаточно знищуються або анонімізуються.


    § 11.


    Процедура зберігання носіїв персональних даних в паперовому та електронному вигляді:

    1. Вповноважені особи зобов'язані остаточно знищувати/видаляти персональні дані після закінчення мети їх обробки.
    2. Заборонено виносити персональні дані за межі простору обробки без згоди ІЗД а також без забезпечення мінімум таких же умов безпеки обробки персональних даних які зобов'язують в просторі обробки.
    3. Ті персональні дані які висилаються електронним шляхом за межі простору обробки, повинні бути захищені паролем.
    4. Заборонено передавати носії даних, які містять персональні дані, зовнішнім організаціям з метою ремонту, пожертвування і т.п.
    5. Носії персональних даних, такі як:

    a. Ноутбук/Нетбук

    b. Мобільний Телефон/Смартфон

    c. Флешка/Карта пам'яті

    d. Зовнішній жорсткий диск

    e. Диск CD/DVD/BR

    f. Роздруківка на папері


    зберігаються таким чином, щоб унеможливити доступ до них не вповноважених осіб, а також захистити їх від пошкоджень, спричинених, наприклад затопленням, спалюванням, плавленням і т.п….


    § 12.


    Процедура передачі і надання доступу до персональних даних зовнішнім організаціям:

    1. Кожна передача та надання доступу до персональних даних повинні проводитися як відповідно до Закону та законодавчих актів, так і з даним документом, а також мати законні підстави.
    2. Ведеться облік даних, які передані та до яких надано доступ, із зазначенням:

    a. Дати передачі

    b. Позначенням особи, вповноваженої передати дані

    c. Дати доступу

    d. Організації, якій надано доступ до даних

    e. Об'єму даних, які передано або до яких надано доступ

    f. Підстави надання доступу або передачі


    § 13.


    Процедура контролю та навчання співробітників:

    1. Один раз на рік проводиться контроль дотримання зобов'язуючих правил захисту персональних даних.
    2. На підставі контролю складається протокол, який є підставою для актуалізації протоколів а також даного документу.
    3. Один раз на рік проводиться активаційне навчання співробітників у сфері захисту персональних даних.
    4. Кожен співробітник перед отриманням повноважень проходить індивідуальне навчання.
    5. Будь-який ремонт чи обслуговування комп'ютерного обладнання, яке містить персональні дані, або приміщень, які є простором обробки, можуть проводитися тільки під наглядом вповноважених осіб.


    § 14.


    ІЗД повідомляє про о набір персональних даних, які вимагають реєстрації, а також про видалення набору після завершення обробки, в Управління Захисту Даних.


    Розділ 5

    Заключні положення


    § 15.


    Всі процедури та правила, описані в цьому документі, дотримуються особами, вповноваженими обробляти персональні дані із особливим обліком осіб, до яких ці дані відносяться.


    § 16.


    Передача обробки персональних даних зовнішній компанії можлива тільки шляхом підписання договору в письмовому вигляді за умови, що ця компанія дотримується мінімум таких же умов безпеки обробки персональних даних, як і компанія Biomol-Med Товариство з обмеженою відповідальністю.

Твій кошик
Замовляю