5.1. Агентство принимает правовые, организационные и технические меры (или обеспечивает их принятие), необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Законом о ПДн и принятыми в соответствии с ним нормативными правовыми актами, для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
5.2. Состав указанных в пункте 5.1 Политики мер, включая их содержание и выбор средств защиты ПДн, определяется, а внутренние регулятивные документы об обработке и защите ПДн утверждаются (издаются) Агентством исходя из требований:
- Закона о ПДн;
- главы 14 Трудового кодекса Российской Федерации;
- постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- постановления Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- постановления Правительства Российской Федерации от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";
- приказа ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
- приказа ФСБ России от 10 июля 2014 г. N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";
- иных нормативных правовых актов Российской Федерации об обработке и защите ПДн.
5.3. В предусмотренных законодательством случаях обработка ПДн осуществляется Агентством с согласия субъектов ПДн.
Агентством производится устранение выявленных нарушений законодательства об обработке и защите ПДн.
5.4. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше чем этого требуют цели обработки ПДн, если срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
5.5. Агентством осуществляется ознакомление работников Агентства, непосредственно осуществляющих обработку ПДн, с положениями законодательства о ПДн, в том числе требованиями к защите ПДн, Политикой и иными внутренними регулятивными документами по вопросам обработки ПДн, и (или) обучение указанных работников по вопросам обработки и защиты ПДн.
5.6. При обработке ПДн с использованием средств автоматизации Агентством, в частности, применяются следующие меры:
1) назначается Ответственный за организацию обработки ПДн, являющийся одним из заместителей Генерального директора Агентства, определяется его компетенция;
2) утверждаются (издаются) внутренние регулятивные документы по вопросам обработки и защиты ПДн, в том числе определяющие для каждой цели обработки ПДн категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки обработки и хранения ПДн, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, также устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн Закону о ПДн и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, Политике и внутренним регулятивным документам Агентства;
4) проводится оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПДн, который может быть причинен субъектам ПДн в случае нарушения Закона о ПДн, определяется соотношение указанного вреда и принимаемых Агентством мер, направленных на обеспечение исполнения обязанностей, предусмотренных Законом о ПДн.
5.7. Обеспечение безопасности ПДн в Агентстве при их обработке в ИСПДн достигается в Агентстве, в частности, путем:
1) определения угроз безопасности ПДн. Тип актуальных угроз безопасности ПДн и необходимый уровень защищенности ПДн определяются в соответствии с требованиями законодательства Российской Федерации и с учетом проведения оценки возможного вреда;
2) определения в установленном порядке состава и содержания мер по обеспечению безопасности ПДн, выбора средств защиты информации. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПДн, а также с учетом экономической целесообразности Агентством могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности ПДн. В этом случае в ходе разработки СЗПДн проводится обоснование применения компенсирующих мер для обеспечения безопасности ПДн;
3) применения организационных и технических мер по обеспечению безопасности ПДн, необходимых для выполнения требований к защите ПДн, обеспечивающих определенные уровни защищенности ПДн, включая применение средств защиты информации, прошедших процедуру оценки соответствия, когда применение таких средств необходимо для нейтрализации актуальных угроз, а также в составе которых реализована функция уничтожения информации при осуществлении уничтожения персональных данных.
В Агентстве, в том числе, осуществляются:
оценка эффективности принимаемых и реализованных мер по обеспечению безопасности ПДн;
учет машинных носителей ПДн, обеспечение их сохранности;
обнаружение фактов несанкционированного доступа к ПДн и принятие соответствующих мер;
восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к обрабатываемым ПДн, а также обеспечение регистрации и учета действий, совершаемых с ПДн;
организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
контроль за принимаемыми мерами по обеспечению безопасности ПДн, уровня защищенности ИСПДн.
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", Агентство обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством.
5.8. Обеспечение защиты ПДн в Агентстве при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности, путем:
1) обособления ПДн от иной информации;
2) недопущения фиксации на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы;
3) использования отдельных материальных носителей для обработки каждой категории ПДн;
4) принятия мер по обеспечению раздельной обработки ПДн при несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн;
к раздельной обработке зафиксированных на одном материальном носителе ПДн и информации, не относящейся к ПДн;
уничтожению или обезличиванию части ПДн;
использованию типовых форм документов, характер информации в которых предполагается или допускается включение в них ПДн;
ведению журналов, содержащих ПДн, необходимых для выдачи однократных пропусков субъектам ПДн в занимаемые Агентством здания и помещения;
хранению ПДн, в том числе к обеспечению раздельного хранения ПДн (материальных носителей), обработка которых осуществляется в различных целях, и установлению перечня лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.
5.9. Агентство в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2025
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875