VI. Обеспечение безопасности персональных данных при их обработке
60. Обеспечение безопасности персональных данных при их обработке в ОАО "РЖД" осуществляется в соответствии:
1) с законодательством Российской Федерации в области обработки и защиты персональных данных;
2) с требованиями ФСТЭК России, ФСБ России и Роскомнадзора;
3) с нормативными документами ОАО "РЖД".
61. Комплекс мер, обеспечивающих безопасность персональных данных, включает в себя в том числе:
1) организацию работы с персональными данными, обеспечивающей сохранность носителей персональных данных и средств защиты информации;
2) размещение информационных систем, обрабатывающих персональные данные, и специального оборудования в помещениях, исключающих возможность неконтролируемого пребывания в них посторонних лиц;
3) разграничение доступа пользователей и работников, обслуживающих средства вычислительной техники, к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
4) учет документов и информационных массивов, содержащих персональные данные;
5) регистрацию действий пользователей информационных систем, обрабатывающих персональные данные, и работников, обслуживающих средства вычислительной техники в установленном ОАО "РЖД" порядке;
6) контроль действий и недопущение несанкционированного доступа к персональным данным пользователей информационных систем ОАО "РЖД" и персонала, обслуживающего средства вычислительной техники;
7) хранение и использование материальных носителей персональных данных, исключающих их хищение, подмену и уничтожение;
8) необходимое резервирование технических средств и дублирование массивов и носителей информации, содержащей персональные данные.
62. Для каждой информационной системы, обрабатывающей персональные данные, в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, в зависимости от уровня защищенности персональных данных при их обработке в информационных системах назначается должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационной системе, либо на одно из структурных подразделений ОАО "РЖД" возлагаются функции по обеспечению безопасности персональных данных в информационной системе.
63. Организационные и (или) технические меры защиты для каждой информационной системы, обрабатывающей персональные данные, определяются с учетом уровней защищенности персональных данных, актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационной системе ОАО "РЖД".
Уровень защищенности информационных систем, обрабатывающих персональные данные, определяется в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и Методическими указаниями по классификации АСУ ОАО "РЖД" для задания требований защиты информации в соответствии с Приказом ФСТЭК от 18 февраля 2013 г. N 21, утвержденными ОАО "РЖД" 21 сентября 2015 г.
64. Обработка персональных данных осуществляется уполномоченными работниками с обязательным принятием мер, исключающих возможность ознакомления с персональными данными посторонних лиц, в том числе работников ОАО "РЖД", не уполномоченных на обработку персональных данных, таких как:
1) экран монитора размещается таким образом, чтобы исключить возможность просмотра информации посторонними лицами (в том числе другими работниками подразделения);
2) уполномоченные работники используют для доступа к информационным системам, обрабатывающим персональные данные, индивидуальные пароли, отвечающие установленным в ОАО "РЖД" требованиям;
3) средства вычислительной техники блокируются с помощью защищенной паролем экранной заставки во время перерывов в работе;
4) в информационных системах, обрабатывающих персональные данные, и (или) на отдельных автоматизированных рабочих местах, предназначенных для работы с персональными данными, в обязательном порядке используются средства антивирусной защиты. При отсутствии таких средств или окончании срока действия лицензии на них подается соответствующая заявка в Единую службу поддержки пользователей;
5) все пароли доступа работника ОАО "РЖД" к информационным системам, обрабатывающим персональные данные, в обязательном порядке меняются при его переходе из одного подразделения ОАО "РЖД" в другое;
6) бумажные носители, содержащие персональные данные, размещаются таким образом, чтобы исключить возможность просмотра информации посторонними лицами (в том числе другими работниками подразделения);
7) все бумажные или съемные машинные носители с персональными данными помещаются в сейфы, запираемые шкафы или ящики столов после окончания работы с ними либо при оставлении рабочего помещения;
8) испорченные бланки, черновики и промежуточные редакции документов, содержащие персональные данные, по окончании работы с ними уничтожаются в соответствии с Инструкцией по делопроизводству и документированию управленческой деятельности в ОАО "РЖД".
65. При работе с персональными данными уполномоченным работникам запрещается:
1) работать под чужими или общими учетными записями в информационных системах, обрабатывающих персональные данные, и передавать кому-либо индивидуальные пароли;
2) допускать использование своего автоматизированного рабочего места другими работниками ОАО "РЖД" и посторонними лицами;
3) использовать (загружать, запускать и т.п.) для обработки персональных данных программные средства, не разрешенные для применения в информационных системах ОАО "РЖД";
4) сообщать ставшие им известными в связи с исполнением своих должностных обязанностей персональные данные лицам, не имеющим права доступа к этим данным;
5) делать копии документов, содержащих персональные данные, не требующиеся для выполнения своих служебных обязанностей;
6) держать на рабочем месте материальные носители с персональными данными дольше времени, необходимого на их обработку.
66. Работник ОАО "РЖД" немедленно ставит в известность руководителя своего подразделения:
1) о факте утраты (утери, хищения) материальных носителей персональных данных;
2) о факте разглашения или неправомерной обработки персональных данных;
3) о ставших известными ему фактах или возможностях несанкционированного доступа к информационным системам, обрабатывающим персональные данные.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2025
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей