Берем «рыбу» готовим… перечень от Дяди Лёни

Вид материала

Документы

Содержание ООО «Дядя Лёня» Раздел II. ОБЩИЕ ПОЛОЖЕНИЯ 2. Цели обработки персональных данных Работников 3. Сроки обработки и уничтожения персональных данных Работников 1. Состав персональных данных Клиентов 2. Цели обработки персональных данных Клиентов 3. Сроки обработки персональных данных Клиентов 1. Технологическая информация 2. Программно-технические средства обработки 3. Средства защиты ПДн 4. Каналы информационного обмена и телекоммуникации

Подобный материал:

• Берем «рыбу» готовим… положение от Дяди Лёни, 322.55kb.
• Берем «рыбу» готовим… инструкцию от Дяди Лёни, 939.02kb.
• Нахлебничек нахлебник Поклонник Разбойник Одихмантий Лохмотьевы: 5 ртов Жители города, 441.11kb.
• Дяди Лёни «рыба», 251.67kb.
• Тренинг для руководителей Две стратегии роста продаж или разумный подход к управлению, 55.96kb.
• Дяди Лёни «подстелем соломку…», 309.81kb.
• Шпаргалка руководителю от Дяди Лёни, 162.27kb.
• Прекрасная и ужасная жизнь лени рифеншталь реж, 793.87kb.
• Готовим детей к школе, 1421.79kb.
• Информационно-коммуникационные технологии как современное средство активизации самостоятельной, 229.58kb.

ПРИЛОЖЕНИЕ №7

к Положению о мерах по организации защиты

ИСПДн ООО «Дядя Лёня»

КОММЕРЧЕСКАЯ ТАЙНА

Общество с ограниченной ответственностью «Дядя Лёня»

Москва, Ленинский проспект, д.180, корпус 6

Экз. № 1

УТВЕРЖДАЮ

Генеральный директор ООО «Дядя Лёня»

____________________ И.И.Иванов

«___» _____ 20___ года

ПЕРЕЧЕНЬ

персональных данных и иных объектов,

подлежащих защите в информационных системах

ООО «Дядя Лёня»

город Москва 2011 год

Раздел I. ТЕРМИНЫ, ОБЪЕКТЫ И СОКРАЩЕНИЯ

Общество с ограниченной ответственностью «Дядя Лёня»	Общество
Персональные данные	ПДн
Информационная система персональных данных	ИСПДн
Информационная безопасность	ИБ
Информационная система	ИС
Автоматизированное рабочее место	АРМ
Автоматизированная система	АС
База данных	БД
Система управления базами данных	СУБД
Автоматизированное рабочее место	АРМ
Федеральный закон № 152-ФЗ от 27 июля 2006 года «О персональных данных»	Федеральный закон «О персональных данных»
Федеральная служба безопасности	ФСБ России
Федеральная служба по техническому и экспортному контролю	ФСТЭК России

Раздел II. ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящий Перечень персональных данных и иных объектов, подлежащих защите в информационных системах персональных данных (далее по тексту - Перечень) Общества с ограниченной ответственностью «Дядя Лёня» разработан в соответствии с результатами анализа, осуществленного в рамках проведенной внутренней проверки ИСПДн Общества (см. Отчет о результатах проведения внутренней проверки, утвержденный Генеральным директором «___» ____ 20___ года).

Перечень содержит полный список категорий персональных данных и объектов, безопасность которых должна обеспечиваться системой защиты персональных данных ИСПДн Общества.

2. Сведениями, составляющими персональные данные, в Обществе является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

2.1. Объектами защиты являются:

- информация, обрабатываемая в ИСПДн;

- технические средства обработки и защиты информации.

2.2. Объекты защиты каждой ИСПДн включают:

а) Обрабатываемая информация:

- персональные данные Работников;

- персональные данные Клиентов.

б) Технологическая информация.

в) Программно-технические средства обработки.

г) Средства защиты ПДн.

д) Каналы информационного обмена и телекоммуникации.

ж) Объекты и помещения, в которых находятся компоненты ИСПДн.

Раздел III. ОБРАБАТЫВАЕМАЯ ИНФОРМАЦИЯ

Статья 1. Персональные данные Работников

1. Состав персональных данных Работников

1.1. Персональные данные Работников Общества включают:

Фамилия, имя, отчество

Фамилия при рождении (либо другие фамилии, если они были)

День, месяц, год и место рождения

Паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ)

Гражданство

Адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания

Номера телефонов (мобильного и домашнего), в случае их регистрации на субъекта персональных данных или по адресу его места жительства

Сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки (серия, номер, дата выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, факультет или отделение, квалификация и специальность по окончании образовательного учреждения, ученая степень, ученое звание, владение иностранными языками и другие сведения)

Сведения о повышении квалификации и переподготовке (серия, номер, дата выдачи документа о повышении квалификации или о переподготовке, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, квалификация и специальность по окончании образовательного учреждения и другие сведения

Сведения о трудовой деятельности (данные о трудовой занятости на текущее время с полным указанием должности, подразделения, наименования, адреса и телефона Работодателя, а также реквизитов других организаций с полным наименование занимаемых ранее в них должностей и времени работы в этих организациях, а также другие сведения

Данные о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты)

Сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней.

Содержание гражданско-правового договора с гражданином

Сведения о заработной плате (номера счетов для расчета с Работниками, в том числе номера их банковских карточек)

Сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии\снятии на(с) учет(а) и другие сведения

Сведения о семейном положении (состояние в браке, данные свидетельства о заключении брака, фамилия, имя, отчество супруга(и), паспортные данные супруга(и), данные справки по форме 2НДФЛ супруга(и)

Сведения о номере и серии страхового свидетельства государственного пенсионного страхования

Сведения об идентификационном номере налогоплательщика

Сведения из страховых полисов обязательного (добровольного) медицинского страхования (в том числе данные соответствующих карточек медицинского страхования)

Сведения, указанные в оригиналах и копиях приказов по персоналу Общества и материалах к ним, в том числе информация об отпусках, о командировках и т.п.

Копии приказов, изданных в Обществе, и относящиеся к субъекту персональных данных;

Сведения о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях (в том числе наименование или название награды, звания или поощрения, дата и вид нормативного акта о награждении или дата поощрения) Работников Общества

Материалы по аттестации и оценке Работников Общества

Материалы по внутренним служебным расследованиям в отношении Работников Общества

Сведения о временной нетрудоспособности Работников Общества

Табельный номер Работника Общества

Сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющийся основанием для предоставления льгот и статуса, и другие сведения).

1.2. Персональные данные Работников, отнесенные ФЗ «О персональных данных» к категории биометрических или специальных, в том числе данные, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, в ИСПДн не обрабатываются.

2. Цели обработки персональных данных Работников

Целью обработки указанных выше персональных данных Работников является:

- выполнение уставных задач Общества, в соответствии с Уставом и Гражданским Кодексом Российской Федерации, исполнение обязанностей, возложенных на Общество федеральным законодательством, регламентирующим сферу обработки персональных данных;

- организация учета Работников Общества для обеспечения соблюдения их законных прав, и исполнения обязанностей, установленных Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации и иными нормативно-правовыми актами, а также Уставом и внутренними локальными нормативными актами Общества.

3. Сроки обработки и уничтожения персональных данных Работников

Сроки обработки указанных выше персональных данных Работников определяются в соответствие со сроком действия Трудового либо гражданско-правового договора с субъектом ПДн, нормативов, установленных приказами Росархива, сроками исковой давности, а также иными требованиями законодательства и нормативными документами.

Персональные данные Работников Общества, содержащиеся на электронных носителях, уничтожаются в течение тридцати дней со дня окончания претензионного срока по индивидуальным трудовым спорам, установленного ст.392 Трудового кодекса РФ, по причине достижения Обществом цели обработки персональных данных этого Работника и на основании п.4.ст.21. Федерального закона «О персональных данных».

Статья 2. Персональные данные Клиентов

1. Состав персональных данных Клиентов

1.1. Персональные данные Клиентов Общества включают:

Фамилия, имя, отчество

Фамилия при рождении (либо другие фамилии, если были)

Фамилия, имя в латинской транскрипции, как они указаны в заграничном паспорте

Год, месяц и число рождения

Место рождения

Гражданство при рождении

Гражданство в настоящее время

Пол

Семейное положение

Фамилия, имя отца

Фамилия, имя матери

Данные об общегражданском паспорте Российской Федерации:

- Серия и номер общероссийского паспорта

- дата его выдачи

- наименование органа, выдавшего паспорт

- срок действия общероссийского паспорта либо свидетельства о рождении

Данные о заграничном паспорте Российской Федерации:

- Серия и номер заграничного паспорта

- дата его выдачи

- наименование органа, выдавшего паспорт

- срок действия

Свидетельства о рождении (для несовершеннолетних граждан)

Адрес регистрации

Адрес электронной почты

Домашний и контактный (мобильный) телефоны

Данные о работодателе и работе:

- наименование, адрес и телефон работодателя

- должность в настоящее время

- размер заработной платы

Данные об учебном заведении (для школьников и студентов):

- наименование, адрес и телефон учебного заведения

Изображение (фотография) Клиента*

Сведения о получении пенсии и о том, кто оплачивает поездку пенсионеру (для пенсионеров)

Даты прошлых выездов в страну планируемого посещения или в группу определенных стран

Сведения о прошлых депортациях из страны планируемого посещения либо иных нарушений законодательства иностранных государств

Копии претензий и исковых заявлений, относящиеся к Клиентам

Копии ответов на претензии и копии возражений на исковые заявления, относящиеся к Клиентам

Иные сведения о Клиенте, которые он сообщает о себе в связи с особенностями планируемого им путешествия, или в связи с требованиями, которые предъявляются к информации о Клиенте консульскими службами посольств стран планируемого посещения для рассмотрения вопроса о выдаче визы, либо страховыми компаниями в интересах заключения договора, выгодоприобретателем по которому является Клиент.

* - Обработка персональных данных в форме «Изображения Клиента» необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, с целью исполнению договорного поручения Клиента по получению для него визы для въезда в страну планируемого посещения (см.под п.5., п.1.; п.4. ст.6. Федерального закона «О персональных данных»).

Фотографии Клиентов, обрабатываемые в ИСПДн для передачи в консульские отделы иностранных представительств или визовые центры, не удовлетворяют требованиям ГОСТ Р ИСО/МЭК 19794-5-2006, и на этом основании их следует считать не биометрическими персональными данными, а «Изображением гражданина». Обработка «Изображений гражданина» должна осуществляться согласно нормам статьи 152.1 ГК РФ.

1.2. Персональные данные Клиентов, отнесенные ФЗ «О персональных данных» к категории биометрических или специальных, в том числе данные, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, в ИСПДн не обрабатываются.

2. Цели обработки персональных данных Клиентов

Целью обработки указанных выше персональных данных Клиентов является выполнение уставных задач Общества, в соответствии с Уставом и Гражданским Кодексом Российской Федерации, исполнение требований, возложенных на Общество федеральным законодательством, регламентирующим сферу обработки персональных данных, исполнение обязанностей, возложенных на Общество федеральным законодательством, регламентирующим реализацию туристского продукта, и исполнение договорных обязательств перед субъектом персональных данных.

3. Сроки обработки персональных данных Клиентов

3.1. Сроки обработки указанных выше персональных данных Клиентов определяются в соответствие со сроком действия Договора реализации туристского продукта с субъектом ПДн, нормативов, установленных приказами Росархива, сроками исковой давности, а также иными требованиями законодательства и нормативными документами.

3.2. Персональные данные Клиентов Общества, содержащиеся на электронных носителях, уничтожаются в течение тридцати дней со дня окончания претензионного срока обращения Клиента с жалобой на качество предоставленных ему туристских услуг, установленного ст.10. Федерального закона № 132-ФЗ от 24.11.1996 года «Об основах туристской деятельности в Российской Федерации», по причине достижения Обществом цели обработки персональных данных этого Клиента и на основании п.4.ст.21. Федерального закона «О персональных данных».

Раздел IV. ОБЪЕКТЫ, ПОДЛЕЖАЩИЕ ЗАЩИТЕ

1. Технологическая информация

В технологическую информацию, подлежащую защите, должны быть включены следующие компоненты:

управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (пароли, ключи и иные атрибуты доступа);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о системах защиты ПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные, появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки информации.

2. Программно-технические средства обработки

В состав программно-технических средств должны быть включены следующие компоненты:

общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

3. Средства защиты ПДн

Средства защиты ПДн состоят из аппаратно-программных средств и включают в себя:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений.

4. Каналы информационного обмена и телекоммуникации

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

5. Объекты и помещения, в которых находятся компоненты ИСПДн

Объекты и помещения являются объектами защиты, если в них происходит обработка ПДн и технологической информации, установлены технические средства обработки и защиты.

СОГЛАСОВАНО

Юрисконсульт __________________ ______________

Менеджер по работе с кадрами __________________ _______________

Системный администратор __________________ _______________

«___» _____ 20__ года