Политика в отношении обработки персональных данных в ФГБОУ ВО «Амурский государственный университет»

1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) в ФГБОУ ВО «АмГУ» (далее - Университет) определяет основные подходы к обработке и защите персональных данных (далее - ПДн) в Университете. Политика представляет собой изложение целей, задач и принципов обработки ПДн и действует в отношении любой информации о субъекте ПДн (физическом лице), которую Университет вправе обрабатывать в интересах субъекта ПДн и (или) на основании законодательства РФ. Основой Политики является недопустимость не предусмотренного законодательством Российской Федерации распространения (передачи третьим лицам, разглашения, утечки) персональных данных, обрабатываемых в Университете.

2. Обработка ПДн производится, руководствуясь следующими основными нормативно-правовыми актами:

3. Политика является методологической основой для:

4. Целями обработки персональных данных являются:

Действие настоящей Политики распространяется на ПДн всех субъектов ПДн, обработка которых осуществляется в Университете.

5. Основные принципы построения системы безопасности ПДн:

5.1 Минимизация информации о ПДн. Университет обрабатывает ПДн, предоставленные самим субъектом, при этом формы, предложенные Университетом для заполнения, содержат перечень необходимых и достаточных сведений о ПДн для достижения целей взаимодействия Университета с субъектом (минимальный набор). Предоставление ПДн субъектом Университету для обработки производится на добровольной основе. В подтверждение этому субъект, при предоставлении своих ПДн, предоставляет так же свое согласие на обработку ПДн Университетом, свидетельствующее о добровольности предоставления ПДн. Обработка ПДн субъекта Университетом предоставленных третьими лицами допускается только в случаях предусмотренных законодательством РФ.

5.2 Законность. Предполагает осуществление защитных мероприятий и разработку системы безопасности ПДн Университета в соответствии с действующим законодательством направленном на защиту ПДн и сохранения конфиденциальности ПДн, а также других законодательных актов по безопасности информации Российской Федерации. Предпринимаемые меры безопасности ПДн не должны препятствовать доступу третьих лиц, в случаях, когда это предусмотрено законодательством РФ (например, правоохранительных органов). Все сотрудники Университета, имеющие доступ к ПДн, должны иметь представление об ответственности за правонарушения в области обработки ПДн.

5.З Системность. Предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн. При создании системы защиты должны учитываться все слабые и наиболее уязвимые места хранения ПДн Университета, а также пути проникновения нарушителей в такие места хранения.

5.4 Комплексность. Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами.

5.5 Непрерывность защиты. Для эффективного выполнения функций физических и технических средств защиты необходима постоянная организационная (административная) поддержка (своевременная смена полномочий сотрудников Университета и их доступа к ПДн). Непрерывность защиты направлена на предотвращение глубокого анализа злоумышленниками применяемых средств защиты и в результате предотвращение внедрения средств преодоления защиты.

5.6 Своевременность. Предполагает упреждающий характер мер обеспечения безопасности ПДн, то есть постановку задач по комплексной защите ПДн и реализацию мер обеспечения безопасности ПДн на ранних стадиях разработки ИСПДн в целом и их систем защиты, в частности. Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой ИСПДн.

5.7 Разумная достаточность. Предполагает соответствие уровня затрат на обеспечение безопасности ПДн ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения.

5.8 Персональная ответственность. Предполагает возложение ответственности за обеспечение безопасности ПДн и системы их обработки на каждого сотрудника на основании полученного им доступа к ПДн. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей, сотрудниками которые были уполномочены Университетом, в том числе заключили договор (соглашение) о неразглашении ПДн.

5.9 Минимизация полномочий. Предполагает предоставление пользователям минимальных прав доступа в соответствии со служебной необходимостью. Доступ к ПДн должен предоставляться только в том случае и объеме, если это необходимо сотруднику для выполнения его должностных обязанностей.

5.10 Обоснованность и реализуемость. Организационные меры, информационные технологии, технические и программные средства, средства и меры защиты ПДн должны быть обоснованы достижением заданного уровня безопасности информации и экономической целесообразности, а также соответствовать установленным нормам и требованиям по безопасности ПДн.

5.11 Специализация и профессионализм. Организация мер и реализация средств защиты должны осуществляться профессионально подготовленными специалистами, а эксплуатация средств защиты проинструктированными сотрудниками Университета.

5.12 Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, уточнить их при обращении в Университет (например, при смене паспорта) на основании заявления. При несвоевременном уточнении сведений о ПДн со стороны субъекта ПДн в адрес Университета возможно наступление неблагоприятных последствий для субъекта (например, затруднения с выплатами, выдачей дипломов и т.д.). Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если это предусмотрено нормами законодательства РФ.