Проектирование системы комплексной безопасности информационных систем и баз данных для ООО "Торговый Дом ЛФЗ"

Нормативная часть

Пользователь обязан сохранять свой пароль в тайне и вводить его самостоятельно.

Правила работы с учетными записями:

1. Пользователям заводятся, отключаются учетные записи и присваиваются соответствующие права по распоряжению Генерального директора.

2. Учетные записи подчиненных могут быть заблокированы на время отпуска по распоряжению непосредственного и любого вышестоящего начальника, а так же отдела кадров.

3. Учетная запись подчиненного может быть временно заблокирована и разблокирована, либо изменено время доступа по ней через распоряжение начальника, если она не была заблокирована распоряжением вышестоящего начальника.

4. Администраторы обязаны записывать в журнал операции заведения, блокирования, удаления учетных записей пользователей и групп.

Политика работы с документами

Пользователь самостоятельно или его руководитель определяют, является ли документ необходимым только пользователю или другим сотрудникам и степень его конфиденциальности. Если документ в последствии необходимым другим пользователям, он может быть помещен в папку для групповой работы. Поместить документ в существующую папку пользователь может самостоятельно, а для создания новых групповых папок следует обратиться к администраторам.

Помещая документ в общую папку, пользователь разрешает доступ к нему для всех пользователей, имеющих доступ к данной папке. Отправляя документ по электронной почте, пользователь разрешает доступ к документу тому получателю, которому он его отправляет.

Лицо, разрешающее доступ к какому-либо документу несет ответственность за возможное нежелательное открытие информации содержащейся в нем тем лицам, которым оно разрешает доступ.

Правила работы с документами и папками для документов:

1. Все документы должны храниться в личных или общих папках (паках для групповой работы) определенных системным администратором.

2. Доступ руководителя к документам подчиненного разрешается системным администратором всегда.

3. Доступ пользователя или группы к каким-либо документам может быть разрешен только владельцем документов или руководителем группы (отдела, подразделения), которой принадлежат данные документы.

4. Документы, имеющие отношение только к группе и требующие доступа со стороны всех членов группы, должны храниться исключительно в папке группы.

5. Папки для публикаций предназначены для предоставления материалов группы (отдела, подразделения) для общего использования, они открыты на чтение для всех, но на запись только для группы ведущей данную папку.

Политика работы с базами данных

Права доступа к средствам и операциям работы с базами данных, так же как и сами средства, определяются разработчиками. Администраторы и пользователи действуют на основании инструкций и документации, составленных разработчиком.

Пользователи не имеют права осуществлять самовольное копирование и сохранение баз данных.

Политика работы с электронной почтой

Все пользователи, для обеспечения рабочих потребностей имеют адрес и ящик электронной почты. Пользователи должны понимать, что при отправке и получении почты через интернет, её конфиденциальность не обеспечивается. При обмене по электронной почте действуют следующие правила:

1. Пользователи должны использовать электронную почту только для передачи сообщений и документов, но не программ.

2. Системный администратор может выдвигать дополнительные требования по содержимому сообщений обусловленные соображениями совместимости форматов сообщений и документов, пересылаемых по электронной почте, как для внутреннего, так и для внешнего обмена.

Политика работы с интернетом

1. Пользователи, обеспеченные доступом в интернет, должны использовать его только для обмена информацией, но не программами.

2. Пользователи не должны передавать закрытую информацию по каналам интернет.

3. Системный администратор предоставляет доступ только к тем сервисам и адресам интернет, которые являются безопасными.

4. Пользователи не должны игнорировать предупреждения о возможном снижении уровня безопасности или опасности содержимого при передаче/получении информации через интернет.

Сотрудникам ООО «Торговый Дом ЛФЗ» категорически запрещается:

· использовать компоненты программного и аппаратного обеспечения автоматизированной системы ООО «Торговый Дом ЛФЗ»в неслужебных целях;

· самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные формулярами рабочих станций;

· осуществлять обработку конфиденциальной информации в присутствии посторонних лиц;

· записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтенных носителях информации;

· оставлять включенной без присмотра свою рабочую станцию, не активизировав средства защиты от несанкционированного доступа;

· передавать кому-либо свой персональный ключе, делать неучтенные копии ключа, снимать защиту записи и вносить какие-либо изменения;

· использовать свою ключ для формирования цифровой подписи любых электронных документов, кроме регламентированных технологическим процессом на его рабочем месте;

· оставлять без личного присмотра на рабочем месте или где бы то ни было свою персональный ключ, персональное устройство идентификации, машинные носители и распечатки, содержащие защищаемую информацию (сведения ограниченного распространения);

· умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок - ставить в известность ответственного за безопасность информации и руководителя своего подразделения.

Несоблюдение политик информационной безопасности сотрудниками ООО «Торговый Дом ЛФЗ» может повлечь дисциплинарные меры взыскания вплоть до увольнения.

Приложение№3

УТВЕРЖДЕНО

Приказом_________

№___ от "__" _____ 2012г.

___________ (______________)

ПОЛОЖЕНИЕ

о защите персональных данных работников

ООО «Торговый Дом ЛФЗ»

1. Общие положения

1.1. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым Кодексом РФ, Федеральным законом от 27 июля 2006г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006г. № 152-ФЗ «О персональных данных» и другими нормативными правовыми актами Российской Федерации.

1.2. Настоящее Положение определяет порядок работы (получения, обработки, использования, хранения и т.д.) с персональными данными работников и гарантии конфиденциальности сведений о работнике.

1.3. Цель настоящего Положения - защита персональных данных работников ООО «Торговый Дом ЛФЗ» (далее Организация) от несанкционированного доступа, неправомерного их использования и разглашения.

1.4. Настоящее Положение является локальным нормативным актом Организации. Все дополнения и изменения к нему утверждаются генеральным директором Организации.

1.5. Все работники Организации должны быть ознакомлены с настоящим Положением, а также со всеми дополнениями и изменениями к нему под роспись. При приеме на работу ознакомление производится до подписания трудового договора.

2. Понятие и состав персональных данных

2.1. Персональными данными работника является любая информация, относящаяся к определенному или определяемому на основании такой информации работнику.

2.2. В состав персональных данных работника входят:

- анкетные и биографические данные;

- данные об образовании;

- сведения о трудовом и общем стаже;

- сведения о составе семьи;

- паспортные данные;

- сведения о воинском учете;

- сведения о заработной плате сотрудника;

- сведения о социальных льготах;

- специальность;

- наличие судимостей;

- адрес места жительства;

- домашний телефон;

- место работы или учебы членов семьи и родственников;

- характер взаимоотношений в семье;

- содержание трудового договора;

- состав декларируемых сведений о наличии материальных ценностей;

- содержание декларации, подаваемой в налоговую инспекцию;

- подлинники и копии приказов по личному составу;

- личные дела и трудовые книжки сотрудников;

- основания к приказам по личному составу;

- дела, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям.

2.3. Информация, содержащая персональные данные работников, используется в частности, в целях выполнения требований:

- трудового законодательства и иных актов, содержащих нормы трудового права, при приеме на работу, при предоставлении гарантий и компенсаций и др.;

- налогового законодательства, в частности, в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога;

- пенсионного законодательства при формировании и предоставлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование;

- заполнение первичной учетной документации в соответствии с постановлением Госкомстата РФ от 5 января 2004г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты».

3. Обработка персональных данных

3.1. Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

3.2. В целях обеспечения прав и свобод работника-гражданина, Организация и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

- обработка персональных данных работника может осуществляться исключительно в целях содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

- персональные данные следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Организация должна сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

- Организация не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны Организацией только с его письменного согласия.

- Организация не имеет право получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ и другими федеральными законами.

3.3. Доступ к персональным данным работника Организации имеют:

- Генеральный директор;

- директора департаментов;

- руководитель структурного подразделения, которому подчиняется работник;

- работники департамента по работе с персоналом;

- работники финансового департамента.

3.4. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда работнику. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством РФ.

4. Передача персональных данных

4.1. Передача персональных данных работника возможна только с согласия работника или в случаях, прямо предусмотренных законодательством РФ.

4.2. При передаче персональных данных работника Организация должна соблюдать следующие требования:

- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральными законами;

- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

- лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом РФ и другими федеральными законами;

- разрешать доступ к персональным данным работников только должностным лицам, определенным распоряжением Генерального директора Организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

4.3. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

5. Защита персональных данных

5.1. Личные дела и личные карточки работников в бумажном виде хранятся в запирающихся металлических шкафах, защищенных от несанкционированного доступа.

5.2. Трудовые книжки работников, вкладыши в них, журналы учета, бланки строгой отчетности хранятся в сейфах.

5.3. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети и персональных ЭВМ работников департамента по работе с персоналом. Доступ к электронным носителям, содержащим персональные данные работников, обеспечивается системой паролей: на уровне локальной компьютерной сети и на уровне баз данных.

6. Права и обязанности работника

6.1. В целях защиты персональных данных, хранящихся у работодателя, работник имеет право на:

- полную информацию о своих персональных данных и обработке этих данных;

- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

- определение своих представителей для защиты своих персональных данных;

- доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по его выбору;

- требование об исключениях или исправлениях неверных или неполных персональных данных;

- обжалование в суд любых неправомерных действий или бездействия Организации при обработке и защите его персональных данных.

6.2. Работник обязан:

- передавать в департамент по работе с персоналом достоверные, документированные персональные данные, состав которых установлен Трудовым кодексом РФ;

- своевременно сообщать работнику департамента по работе с персоналом об изменении своих персональных данных (изменении фамилии, имени, отчества, даты рождения, что получает отражение в трудовой книжке на основании представленных документов).

7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

7.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральными законами.

7.2. За неисполнение или ненадлежащее исполнение работником обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания.

Размещено на Allbest.ru