Положение о разграничении прав доступа к персональным данным

Приказом
Генерального директора
ООО «Дело в гору»
от 16.03.2018г. № 03

1. Общие положения

Настоящее Положение о разграничении прав доступа к обрабатываемым персональным данным (далее — Положение) ООО «Дело в гору» (далее – Оператор, Общество) разработано в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Правилами внутреннего трудового распорядка Оператора и определяет уровень доступа должностных лиц к персональным данным информационных систем персональных данных Оператора.

Для целей настоящего Положения используются следующие основные понятия:

Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями;

Обработка персональных данных — сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;

Конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия работника (родителей (законных представителей) учащегося) или иного законного основания;

Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

Использование персональных данных — действия (операции) с персональными данными, совершаемые должностным лицом школы в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников (учащихся) либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или, в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику (обучающемуся);

Информация — сведения (сообщения, данные) независимо от формы их представления.

Перечень сокращений:

ИСПДн – информационная система персональных данных
ПДн – персональные данные

2. Разграничение прав доступа при автоматизированной /неавтоматизированной обработке персональных данных

2.1. Разграничение прав осуществляется исходя из характера и режима обработки персональных данных в информационной системе персональных данных (ИСПДн).

2.2. Список групп должностных лиц, ответственных за обработку персональных данных в ИСПДн, а также их уровень прав доступа в ИСПДн представлен матрицами доступа к ИСПДн и списками, допущенных к обработке ПДн в ИСПДн. При изменении лиц, допущенных к обработке ПДн в ИСПДн, в списки вносятся изменения приказом руководителя Оператора.

2.3. Список групп должностных лиц, ответственных за неавтоматизированную обработку персональных данных в ИСПДн, а также их уровень прав доступа в ИСПДн представлен матрицами доступа к ИСПДн.

3. Матрица доступа

Матрица доступа в табличной форме отражает права всех групп пользователей ИСПДн на действия с персональными данными. Действия (операции) включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных).

4. Основные группы пользователей ИСПД

Администраторы ИСПДн – осуществляют настройку и установку технических средств ИСПДн и обеспечивают ее бесперебойную работу. Пользователи ИСПДн — осуществляют текущую работу с ПДн.

Распределение уровня доступа к ПДн:

Группа Уровень доступа к ПДн Разрешенные действия
Администратор ИСПДн Обладает правами Администратора ИСПДн. Обладает полной информацией об ИСПДн, в том числе о системном и прикладном программном обеспечении ИСПДн, о технических средствах и конфигурации ИСПДн.

Имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн.

Имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн.

Располагает всей информаций о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.

Обладает правами конфигурирования и административной настройки технических средств ИСПДн.

сбор систематизация накопление хранение уточнение использование распространение блокирование уничтожение
Пользователь ИСПДн Обладает правами доступа к подмножеству ПДн. Располагает информацией о топологии ИСПДн на базе локальной и (или) распределенной информационной системам, через которую он осуществляет доступ, и составе технических средств ИСПДн. сбор систематизация накопление хранение уточнение использование уничтожение