Документ утратил силу или отменен. Подробнее см. Справку

VI. Обеспечение безопасности персональных данных при их обработке

VI. Обеспечение безопасности персональных данных

при их обработке

60. Обеспечение безопасности персональных данных при их обработке в ОАО "РЖД" осуществляется в соответствии:

1) с законодательством Российской Федерации в области обработки и защиты персональных данных;

2) с требованиями ФСТЭК России, ФСБ России и Роскомнадзора;

3) с нормативными документами ОАО "РЖД".

61. Комплекс мер, обеспечивающих безопасность персональных данных, включает в себя в том числе:

1) организацию работы с персональными данными, обеспечивающей сохранность носителей персональных данных и средств защиты информации;

2) размещение информационных систем, обрабатывающих персональные данные, и специального оборудования в помещениях, исключающих возможность неконтролируемого пребывания в них посторонних лиц;

3) разграничение доступа пользователей и работников, обслуживающих средства вычислительной техники, к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

4) учет документов и информационных массивов, содержащих персональные данные;

5) регистрацию действий пользователей информационных систем, обрабатывающих персональные данные, и работников, обслуживающих средства вычислительной техники в установленном ОАО "РЖД" порядке;

6) контроль действий и недопущение несанкционированного доступа к персональным данным пользователей информационных систем ОАО "РЖД" и персонала, обслуживающего средства вычислительной техники;

7) хранение и использование материальных носителей персональных данных, исключающих их хищение, подмену и уничтожение;

8) необходимое резервирование технических средств и дублирование массивов и носителей информации, содержащей персональные данные.

62. Для каждой информационной системы, обрабатывающей персональные данные, в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, в зависимости от уровня защищенности персональных данных при их обработке в информационных системах назначается должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационной системе, либо на одно из структурных подразделений ОАО "РЖД" возлагаются функции по обеспечению безопасности персональных данных в информационной системе.

63. Организационные и (или) технические меры защиты для каждой информационной системы, обрабатывающей персональные данные, определяются с учетом уровней защищенности персональных данных, актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационной системе ОАО "РЖД".

Уровень защищенности информационных систем, обрабатывающих персональные данные, определяется в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и Методическими указаниями по классификации АСУ ОАО "РЖД" для задания требований защиты информации в соответствии с Приказом ФСТЭК от 18 февраля 2013 г. N 21, утвержденными ОАО "РЖД" 21 сентября 2015 г.

64. Обработка персональных данных осуществляется уполномоченными работниками с обязательным принятием мер, исключающих возможность ознакомления с персональными данными посторонних лиц, в том числе работников ОАО "РЖД", не уполномоченных на обработку персональных данных, таких как:

1) экран монитора размещается таким образом, чтобы исключить возможность просмотра информации посторонними лицами (в том числе другими работниками подразделения);

2) уполномоченные работники используют для доступа к информационным системам, обрабатывающим персональные данные, индивидуальные пароли, отвечающие установленным в ОАО "РЖД" требованиям;

3) средства вычислительной техники блокируются с помощью защищенной паролем экранной заставки во время перерывов в работе;

4) в информационных системах, обрабатывающих персональные данные, и (или) на отдельных автоматизированных рабочих местах, предназначенных для работы с персональными данными, в обязательном порядке используются средства антивирусной защиты. При отсутствии таких средств или окончании срока действия лицензии на них подается соответствующая заявка в Единую службу поддержки пользователей;

5) все пароли доступа работника ОАО "РЖД" к информационным системам, обрабатывающим персональные данные, в обязательном порядке меняются при его переходе из одного подразделения ОАО "РЖД" в другое;

6) бумажные носители, содержащие персональные данные, размещаются таким образом, чтобы исключить возможность просмотра информации посторонними лицами (в том числе другими работниками подразделения);

7) все бумажные или съемные машинные носители с персональными данными помещаются в сейфы, запираемые шкафы или ящики столов после окончания работы с ними либо при оставлении рабочего помещения;

8) испорченные бланки, черновики и промежуточные редакции документов, содержащие персональные данные, по окончании работы с ними уничтожаются в соответствии с Инструкцией по делопроизводству и документированию управленческой деятельности в ОАО "РЖД".

65. При работе с персональными данными уполномоченным работникам запрещается:

1) работать под чужими или общими учетными записями в информационных системах, обрабатывающих персональные данные, и передавать кому-либо индивидуальные пароли;

2) допускать использование своего автоматизированного рабочего места другими работниками ОАО "РЖД" и посторонними лицами;

3) использовать (загружать, запускать и т.п.) для обработки персональных данных программные средства, не разрешенные для применения в информационных системах ОАО "РЖД";

4) сообщать ставшие им известными в связи с исполнением своих должностных обязанностей персональные данные лицам, не имеющим права доступа к этим данным;

5) делать копии документов, содержащих персональные данные, не требующиеся для выполнения своих служебных обязанностей;

6) держать на рабочем месте материальные носители с персональными данными дольше времени, необходимого на их обработку.

66. Работник ОАО "РЖД" немедленно ставит в известность руководителя своего подразделения:

1) о факте утраты (утери, хищения) материальных носителей персональных данных;

2) о факте разглашения или неправомерной обработки персональных данных;

3) о ставших известными ему фактах или возможностях несанкционированного доступа к информационным системам, обрабатывающим персональные данные.