9.1. Безопасность персональных данных, обрабатываемых Обществом, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства о персональных данных.
9.2. Правовые меры, принимаемые Обществом, включают:
• разработку локальных актов Общества, реализующих требования законодательства, в том числе - Положения и Политики Общества в отношении обработки персональных данных;
• отказ от любых способов обработки персональных данных, не соответствующих определенным в Политике целям и требованиям законодательства.
9.3. Организационные меры, принимаемые Обществом, включают:
- назначение лица, ответственного за организацию обработки персональных данных и за обеспечение безопасности персональных данных в информационных системах персональных данных;
- ограничение состава работников Общества, имеющих доступ к персональным данным, и организацию разрешительной системы доступа к ним;
- ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных, с Политикой, другими локальными актами Общества по вопросам обработки персональных данных;
- обучение всех категорий работников Общества, непосредственно осуществляющих обработку персональных данных, правилам работы с ними и обеспечения безопасности обрабатываемых данных;
- определение в должностных инструкциях работников Общества обязанностей по обеспечению безопасности обработки персональных данных и ответственности за нарушение установленного порядка;
- регламентацию процессов обработки персональных данных;
- организацию учета материальных носителей персональных данных и их хранения, обеспечивающих предотвращение хищения, подмены, несанкционированного копирования и уничтожения;
- определение актуальных угроз безопасности персональных данных, определение уровня защищенности и требований к защите персональных данных при их обработке в информационных системах, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- размещение технических средств обработки персональных данных в пределах охраняемой территории;
- ограничение допуска посторонних лиц в помещения Общества, недопущение их нахождения в помещениях, где ведется работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны работников Общества.
9.4. Технические меры, принимаемые Обществом, включают:
|
|
- разработку на основе актуальных угроз системы защиты персональных данных для установленных Правительством Российской Федерации уровней защищенности персональных данных при их обработке в информационных системах;
- использование для нейтрализации актуальных угроз средств защиты информации, прошедших процедуру оценки соответствия;
- оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
- реализацию разрешительной системы доступа работников к персональным данным, обрабатываемым в информационных системах, и к программно-аппаратным и программным средствам защиты информации;
- регистрацию и учёт действий с персональными данными пользователей информационных систем, где обрабатываются персональные данные;
- выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети Общества, обеспечивающих соответствующую техническую возможность;
- безопасное межсетевое взаимодействие (применение межсетевого экранирования);
- обнаружение вторжений в информационную систему Общества, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (создание системы резервного копирования и восстановления персональных данных);
- периодическое проведение мониторинга действий пользователей, разбирательств по фактам нарушения требований безопасности персональных данных;
- контроль за выполнением настоящих требований (самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации) не реже 1 раза в 3 года.
Заключительные положения
|
|
10.1. Иные обязанности и права Общества как оператора персональных данных и лица, организующего их обработку по поручению других операторов, определяются законодательством Российской Федерации в области персональных данных.
10.2. Должностные лица и Работники Общества, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.
10.3. Положения Политики пересматриваются по мере необходимости. Обязательный пересмотр Политики проводится в случае существенных изменений международного или законодательства Российской Федерации в сфере персональных данных.
При внесении изменений в положения Политики учитываются:
- изменения в информационной инфраструктуре и (или) в используемых Обществом информационных технологиях;
- сложившаяся в Российской Федерации практика правоприменения законодательства в области персональных данных;
- изменение условий и особенностей обработки персональных данных Обществом в связи с внедрением в его деятельность новых информационных систем, процессов и технологий.