8 (800) 555-34-52
Не смогли дозвониться?

УТВЕРЖДЕНО

Генеральный директор

ООО «ПОЛИМЕРСНАБ-М»

___________ А.М. Марусик



СОДЕРЖАНИЕ

1. Общие положения

1. Общие положения


1.1. Настоящее Положение о порядке обработки персональных данных в ООО «ПОЛИМЕРСНАБ-М» (далее – Положение) определяет порядок обработки и защиты персональных данных субъектов персональных данных в ООО «ПОЛИМЕРСНАБ-М» (далее – Организация).

1.2. Настоящее Положение разработано в соответствии с требованиями следующих законодательных и нормативных актов:

- Федеральным законом Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

- Трудовым кодексом Российской Федерации (от 30 декабря 2001 № 197-ФЗ);

- Федеральным законом Российской Федерации от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- Гражданским кодексом Российской Федерации;

- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г.).

1.3. Целью принятия Положения является определение такого порядка обработки персональных данных в Организации, при котором обеспечиваются все законные права и интересы субъектов персональных данных.

1.4. Положение обязательно для исполнения всеми лицами, участвующими в обработке персональных данных. Нарушение порядка обработки персональных данных, определённого Положением, влечёт материальную, дисциплинарную, гражданскую, административную и уголовную ответственность.

1.5. Настоящее Положение доводится под роспись работникам Организации, участвующим в обработке персональных данных, а также третьим лицам, привлекаемым к обработке персональных данных.

1.6. Положение не распространяется на обработку общедоступных или обезличенных персональных данных.

1.7. Все персональные данные в Организации, за исключением общедоступных или обезличенных, признаются информацией ограниченного доступа. Необходимость соблюдения конфиденциальности такой информации определена требованиями федерального закона «О персональных данных».

2. Основные понятия и определения

2. Термины, определения и сокращения


В настоящем Положении используются следующие основные понятия и определения:


2.1. Автоматизированная обработка персональных данных (обработка ПДн с использованием средств автоматизации) – обработка персональных данных, при которой одно или несколько действий с персональными данными таких, как использование, уточнение, распространение, уничтожение персональных данных, в отношении каждого субъекта ПДн осуществляются без непосредственного участия человека (автоматически);

2.2. Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

2.3. Биометрические персональные данные – сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность;

2.4. Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

2.5. Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

2.6. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

2.7. Неавтоматизированная обработка персональных данных (обработка ПД без использования средств автоматизации) – обработка персональных данных, при которой такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого субъекта ПДн осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных, либо были извлечены из нее;

2.8. Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

2.9. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

2.10. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

2.11. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. В данном положении под Оператором понимается ОАО КБ «ЮНИСТРИМ»;

2.12. Персональные данные (ПДн) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

2.13. Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

2.14. СЗПДн - Система защиты персональных данных;

2.15. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

2.16. Трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации.

3. Цели обработки персональных данных

3. Цели обработки персональных данных


3.1. Необходимость обработки и состав обрабатываемых персональных данных определяется исходя из принципа целесообразности такой обработки, при этом должны учитываться:

- цели обработки ПДн;

- планируемые характер и способы обработки ПДн;

- значимость обработки персональных данных для достижения целей деятельности организации;

- возникающие риски, связанные с обработкой персональных данных;

- затраты на осуществление обработки персональных данных, в том числе затраты на обеспечение требуемого уровня безопасности ПДн.

3.2. В Организации приказом назначается лицо, ответственное за обеспечение безопасности ПДн (далее – Ответственное лицо), в обязанности которого входят:

- обеспечение прав и интересов субъектов, персональные данные которых обрабатываются в Организации;

- определение соответствия характера и способа обработки целям обработки ПДн;

- определение состава обрабатываемых ПДн, перечня лиц, допущенных к обработке ПДн, перечня лиц, допущенных в помещения, в которых осуществляется обработка ПДн;

- анализ угроз безопасности ПДн;

- определение требований к системе защиты персональных данных;

- утверждение перечня и состава необходимых мероприятий по обеспечению безопасности;

- отслеживание состояния системы защиты персональных данных;

- взаимодействие с уполномоченным органом по защите прав субъектов персональных данных.

3.3. Ответственное лицо имеет право сформировать рабочую группу, состоящую из работников Организации, на которых возлагается ответственность за реализацию решений Ответственного лица в области обеспечения безопасности персональных данных. В состав рабочей группы входят представители подразделений, в которых обрабатываются персональные данные, а также представители департамента информационных технологий.

3.4. Решения об инициации новых бизнес-процессов обработки ПДн или внесении изменений в существующие бизнес-процессы обработки ПДн согласовываются Ответственным лицом.

3.5. Требования ответственного лица к мероприятиям по обеспечению безопасности персональных данных являются обязательными для всех работников, осуществляющих обработку персональных данных.

3.6. Организация не имеет права получать и обрабатывать персональные данные работников Организации об их расовой и национальной принадлежности, политических, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации, Организация вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

4. Порядок предоставления доступа к персональным данным

4. Порядок предоставления доступа к персональным данным


4.1. Доступ к персональным данным субъектов имеют работники Организации, которым персональные данные необходимы в связи с исполнением ими должностных обязанностей. Перечень работников, допущенных к персональным данным, определяется Ответственным лицом.

4.2. Процедура предоставления прав на доступ работника к персональным данным включает в себя:

а) подачу руководителем работника служебной записки в адрес Ответственного лица с указанием ФИО, должности и подразделения работника, наименования бизнес-процесса обработки ПДн, в котором будет участвовать работник, описания выполняемых работником функций по обработке ПДн в бизнес-процессе;

б) ознакомление работника с настоящим Положением, а также с другими внутренними организационно-распорядительными документами (приказами, распоряжениями, инструкциями и т.п.), регулирующими обработку и защиту персональных данных субъектов в Организации;

в) информирование работника о категориях обрабатываемых ПДн, об особенностях и правилах осуществления обработки ПДн;

г) проведение инструктажа и регистрацию Ответственным лицом факта проведения инструктажа в «Журнале учёта проведения инструктажей работников по соблюдению правил защиты персональных данных» (Приложение № 6 к настоящему Положению);

д) подписание работником письменного обязательства о соблюдении порядка обработки персональных данных.

4.3. В случае увольнения, перевода на другую должность или изменения должностных обязанностей работника, обрабатывающего персональные данные, а также изменении организационно-штатной структуры, руководитель работника, обрабатывающего ПДн, уведомляет об этом Ответственное лицо. Рабочей группой по указанию Ответственного лица осуществляется пересмотр прав доступа работника к персональным данным и при необходимости вносятся соответствующие изменения в Перечень работников, допущенных к персональным данным.

4.4. При увольнении работника, имеющего доступ к персональным данным, документы и иные носители, содержащие персональные данные субъектов, передаются другому работнику, имеющему доступ к персональным данным субъектов по указанию руководителя структурного подразделения.

4.5. Допуск работников к персональным данным до прохождения процедуры предоставления прав на доступ запрещается.

4.6. Доступ к персональным данным работников Организации без прохождения указанной процедуры имеют работники, занимающие в организации следующие должности:

- Генеральный директор Организации;

- Юрист Организации;

- Ответственное лицо;

4.7. Ответственное лицо осуществляет регулярный пересмотр Перечня работников, допущенных к персональным данным (не реже одного раза в месяц), а также списка пользователей ИСПДн (не реже одного раза в год). Работнику, имеющему право на доступ к ПДн, которому такое право более не требуется, предоставление данного права прекращается.

4.8. Доступ работников к своим персональным данным регулируется трудовым законодательством.

5. Порядок предоставления доступа к персональным данным третьим лицам

5. Порядок предоставления доступа к персональным данным третьим лицам


5.1. Передача персональных данных Организацией третьим лицам осуществляется с письменного согласия субъекта персональных данных.

5.2. Передача персональных данных судебным и контрольно-надзорным органам (налоговые инспекции, правоохранительные органы, органы социального страхования, пенсионные фонды, другие организации) может осуществляться без письменного согласия субъекта в тех случаях, когда необходимость такой передачи определена нормативно-правовыми актами, либо это необходимо в целях предупреждения угрозы жизни и здоровью субъекта.

5.3. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются с согласия Ответственного лица в письменной форме, на бланке Организации и в том объёме, который позволяет не разглашать излишний объём персональных сведений о субъектах персональных данных.

5.4. Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных субъекта несут работники Организации, а также руководители структурных подразделений, осуществляющих передачу персональных данных субъектов третьим лицам.

5.5. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта, за исключением случаев, когда передача персональных данных субъекта без его согласия допускается действующим законодательством Российской Федерации.

5.6. Документы, содержащие персональные данные субъекта, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее, конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.

6. Порядок сбора, хранения и уточнения персональных данных

6. Порядок сбора, хранения и уточнения персональных данных


6.1. Сбор персональных данных осуществляется работниками Организации в соответствии с целями обработки ПДн.

6.2. Обработка персональных данных разрешается только с согласия субъектов (форма письменного Согласия на обработку персональных данных приведена в Приложении № 1 к настоящему Положению), кроме случаев, когда такое согласие не требуется:

- обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия Организации;

- обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- обработка персональных данных осуществляется в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

6.3. Организация обязана сообщить субъекту о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение.

6.4. Персональные данные субъектов могут храниться в Организаци на бумажном носителе и в электронном виде.

6.5. Порядок хранения персональных данных определяются ответственным лицом, и должен исключать доступ к ним третьих лиц (несанкционированный доступ).

6.6. Бумажные носители персональных данных, обрабатываемых в сходных целях, могут храниться в общих хранилищах. Запрещается хранить совместно на бумажных носителях персональные данные, обрабатываемые в несовместимых целях.

6.7. Вводимые в эксплуатацию электронные носители персональных данных и хранилища бумажных носителей персональных данных учитываются ответственным лицом в «Журнале учёта носителей для хранения персональных данных» (Приложение № 4 к настоящему Положению). Для каждого электронного носителя или хранилища бумажных носителей определяется ответственный за сохранность носителя работник.

6.8. При передаче электронных носителей персональных данных, а также смене ответственного за хранилище бумажных носителей персональных данных, Ответственным лицом вносятся соответствующие записи в «Журнал учёта выдачи носителей персональных данных» (Приложение № 5 к настоящему Положению).

7. Порядок взаимодействия с субъектами персональных данных

7. Порядок взаимодействия с субъектами персональных данных


7.1. Выдача работникам Организации документов, связанных с их трудовой деятельностью (копий приказов о приеме на работу, переводах на другую работу, увольнении с работы; выписок из трудовой книжки, справок о месте работы, заработной плате, периоде работы в организации и др.) регулируется исключительно трудовым законодательством России и внутренними организационно-распорядительными документами. Взаимодействие с работниками Организации осуществляют соответствующие работники отдела кадров.

7.2. Все запросы и обращения субъектов, их законных представителей, а также уполномоченного органа по защите прав субъектов персональных данных, рассматриваются Ответственным лицом Организации. Запросы и обращения регистрируются ответственным лицом в «Журнале учёта обращений субъектов персональных данных» (Приложение № 3 к настоящему Положению) и подшиваются к журналу.

7.3. Субъект персональных данных или его законный представитель имеет право на получение информации о персональных данных, относящихся к соответствующему субъекту персональных данных, в том числе содержащей:

- сведения об операторе персональных данных (информация, содержащаяся в уведомлении об обработке персональных данных);

- о наличии у Организации персональных данных;

- подтверждение факта обработки персональных данных Организацией, а также цель такой обработки;

- способы обработки персональных данных, применяемые Организацией;

- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

- перечень обрабатываемых персональных данных и источник их получения;

- сроки обработки персональных данных, в том числе сроки их хранения;

- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

Кроме того, субъект персональных данных или его законный представитель имеет право на ознакомление с персональными данными, имеющихся у Организации и относящихся к соответствующему субъекту персональных данных.

7.4. При обращении субъекта или его законного представителя к работнику Организации с целью получения информации о персональных данных, обрабатываемых в Организации, работник Организации обязан уведомить об этом факте Ответственное лицо, удостовериться в правомерности требований и предоставить необходимую информацию.

7.5. Письменные запросы на предоставление сведений, указанных в пункте 7.3, рассматривает Ответственное лицо и в течение пяти рабочих дней предоставляет соответствующие ответы, либо предоставляет возможность ознакомиться с персональными данными.

7.6. В случае поступления требования (письменного заявления) субъекта об исключении или исправлении неверных или неполных персональных данных Ответственное лицо проверяет подтверждающие документы и вносит необходимые исправления, после чего оповещает субъекта, а также всех работников, связанных с обработкой персональных данных в Организации о внесенных изменениях.

7.7. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, переданного Организацией субъектом, Ответственный работник обязан:

а) уведомить субъекта персональных данных о возможных последствиях отзыва им согласия;

б) в случае наличия действующего договора с данным субъектом: прекратить обработку персональных данных в целях, выходящих за рамки исполнения договорных обязательств перед субъектом;

в) в случае отсутствия действующего договора с данным субъектом: прекратить обработку персональных данных субъекта и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено действующим законодательством; оповестить субъекта об уничтожении персональных данных.

8. Порядок уничтожения персональных данных

8. Порядок уничтожения персональных данных


8.1. Уничтожение персональных данных, если иное не определено законом, должно производиться в течение трёх рабочих дней по достижении целей обработки персональных данных, а также в случае утраты необходимости достижения целей обработки.

8.2. При получении от субъекта, его законного представителя или уполномоченного органа запроса на уничтожение (блокирование) неполных, устаревших, недостоверных, незаконно полученных или избыточных для заявленной цели обработки персональных данных Ответственное лицо Организации обязано удостовериться в правомерности требований и в течение трёх рабочих дней со времени поступления запроса уничтожить персональные данные субъекта, после чего письменно уведомить его об этом.

8.3. Уничтожение персональных данных должно производиться способом, исключающим возможность восстановления этих персональных данных на носителе. Способ уничтожения персональных данных в информационных системах персональных данных должен быть реализован с помощью штатных средств.

8.4. Уничтожение носителей персональных данных должно производиться комиссией, состав которой определяется Ответственным лицом. Факт уничтожения носителя персональных данных подтверждается утверждением «Акта об уничтожении персональных данных» подготовленного в соответствии с типовой формой (Приложение № 2 к настоящему Положению).

9. Организация защиты персональных данных

9. Организация защиты персональных данных


9.1. Защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается Организацией. В отдельных случаях для выполнения части функций по обеспечению безопасности ПДн Организацией могут привлекаться сторонние организации.

9.2. Общую организацию защиты персональных данных лиц и контроль соблюдения работниками мероприятий по защите персональных данных осуществляет Ответственное лицо.

9.3. Защите подлежит все обрабатываемые в Организации персональные данные, за исключением общедоступных и обезличенных персональных данных. Необходимые для защиты персональных данных мероприятия определяются Ответственным лицом.

9.4. В случае отсутствия работника на его рабочем месте не должно быть документов, содержащих персональные данные субъектов (работник должен соблюдать «политику чистых столов»).

9.5. В случае обнаружения признаков несанкционированного доступа к персональным данным или нарушения порядка хранения персональных данных, работник, осуществляющий обработку ПДн, обязан уведомить об этом Ответственное лицо.

9.6. К мероприятиям, направленным на создание (или поддержание в актуальном состоянии) комплексной системы защиты персональных данных в Организации относятся:

а) Выявление (или уточнение) и документальное описание бизнес-процессов, предусматривающих обработку персональных данных;

б) Выявление (или уточнение) и документальное описание информационных систем персональных данных, в рамках которых осуществляется автоматизированная и неавтоматизированная обработка персональных данных;

в) Разработка (или уточнение) организационных мер защиты, направленных на обеспечение безопасности персональных данных при их обработке без использования средств автоматизации, а также при необходимости изменение порядка обработки персональных данных, осуществляемой без использования средств автоматизации.

г) Разработка (или уточнение) организационно-технических мер защиты, направленных на обеспечение безопасности персональных данных при их обработке с использованием средств автоматизации.

д) Внедрение комплексной системы защиты персональных данных как совокупности организационных и технических мер, направленных на обеспечение безопасности персональных данных при их обработке, как с использованием средств автоматизации, так и при их неавтоматизированной обработке.

9.7. Работы, направленные на создание системы обеспечения безопасности персональных данных при их обработке с использованием средств автоматизации, осуществляются в рамках трёх стадий: предпроектной стадии, стадии проектирования и реализации, стадии ввода в действие СЗПДн.

9.8. На предпроектной стадии:

а) устанавливается необходимость обработки персональных данных в информационных системах персональных данных;

б) определяется перечень персональных данных, подлежащих защите от НСД;

в) определяются условия расположения информационных систем персональных данных относительно границ контролируемой зоны;

г) определяются конфигурация и топология информационных систем персональных данных в целом и их отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

д) определяются технические средства и системы, предполагаемые к использованию в информационных системах персональных данных, условия их расположения, общесистемные и прикладные программные средства, имеющиеся и предлагаемые к разработке;

е) определяются режимы обработки персональных данных в информационных системах персональных данных в целом и в отдельных компонентах;

ж) определяются классы информационных систем персональных данных;

з) уточняется степень участия работников в обработке персональных данных, характер их взаимодействия между собой;

и) определяются (уточняются) угрозы безопасности персональных данных применительно к конкретным условиям функционирования информационных систем персональных данных (разработка частной модели угроз).

9.9. По результатам предпроектного обследования, с учетом установленных классов информационных систем персональных данных, определяются конкретные требования по обеспечению безопасности персональных данных, включаемые в техническое (частное техническое) задание на разработку СЗПДн.

9.10. На стадии проектирования и реализации осуществляется:

а) разработка задания и проекта проведения работ (в том числе строительных и строительно-монтажных) по созданию (реконструкции) информационных систем персональных данных в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;

б) выполнение работ в соответствии с проектной документацией;

в) обоснование и закупка совокупности используемых в информационных системах персональных данных серийно выпускаемых технических средств обработки, передачи и хранения информации;

г) разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;

д) обоснование и закупка совокупности используемых в информационных системах персональных данных сертифицированных технических, программных и программно-технических средств защиты информации и их установка;

е) проведение сертификации по требованиям безопасности информации технических, программных и программно-технических средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные средства защиты информации;

ж) разработка и реализация разрешительной системы доступа пользователей к обрабатываемой в информационных системах персональных данных информации;

з) определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации, обучение их по направлению обеспечения безопасности персональных данных;

и) разработка эксплуатационной документации на информационные системы персональных данных и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);

к) выполнение других мероприятий, характерных для конкретных информационных систем персональных данных и направлений обеспечения безопасности персональных данных.

9.11. На стадии ввода в действие СЗПДн осуществляется:

а) формирование пакета прикладных программ в комплексе с программными средствами защиты информации;

б) опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе информационных систем персональных данных;

в) приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации;

г) организация охраны и физической защиты помещений информационных систем персональных данных, исключающих несанкционированный доступ к техническим средствам информационных систем персональных данных, их хищение и нарушение работоспособности, хищение носителей информации;

д) оценка соответствия информационных систем персональных данных требованиям безопасности персональных данных.

9.12. Мероприятия по защите персональных данных при их автоматизированной обработке реализуются в рамках подсистем: управления доступом, регистрации и учета, обеспечения целостности, криптографической защиты, антивирусной защиты, обнаружения вторжений. Кроме того, применяются средства анализа защищенности (САЗ) для выявления угроз и уязвимостей в прикладном и системном программном обеспечении информационных систем персональных данных.

9.13. Конкретный перечень мероприятий по защите персональных данных при их автоматизированной обработке устанавливается Рабочей группой ответственного лица по результатам разработки моделей угроз безопасности персональных данных для информационных систем персональных данных.

9.14. При использовании в системе защиты персональных данных криптографических средств необходимо организовать учет пользователей допущенных к работе с ними и организовать учет обращения носителей с ключевой информацией. Форма журнала учета пользователей криптографических средств приводится в Приложении № 7 к настоящему Положению. Форма журнала учета и выдачи носителей с ключевой информацией приводится в Приложении № 8 к настоящему Положению.

9.15. Модели угроз безопасности персональных данных для информационных систем персональных данных, в которых осуществляется автоматизированная обработка персональных данных, разрабатываются на основе Базовой модели угроз ФСТЭК и Методических рекомендаций ФСБ с учётом подходов, используемых в СТО БР ИББС.

9.16. Актуальность угроз безопасности персональных данных при их автоматизированной обработке осуществляется по Положению об оценке рисков информационной безопасности.

9.17. Конкретный перечень мероприятий по защите персональных данных при их неавтоматизированной обработке устанавливается Ответственным лицом по результатам обследования бизнес-процессов и информационных систем (подсистем) персональных данных, в которых осуществляется неавтоматизированная обработка, с учетом требования законодательства в области персональных данных, нормативных правовых актов и методических документов.

9.18. С целью поддержания в актуальном состоянии СЗПДн в Организации Ответственное лицо организует непрерывный процесс проверки выполнения требований законодательства в области персональных данных и нормативных правовых актов, выявления актуальных угроз безопасности персональных данных, а также поддерживает в актуальном состоянии организационно-распорядительную, проектную, эксплуатационную и прочую вспомогательную документацию СЗПДн.

9.19. Регулярный пересмотр актуальности угроз безопасности персональных данных в Организации, организационно-распорядительной, проектной, эксплуатационной и прочей вспомогательной документации СЗПДн, а также адекватности применяемых средств и методов защиты осуществляется не реже, чем один раз в год.

10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных субъекта

10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных субъекта


10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

10.2. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе, работникам Организации, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, внутренними нормативными актами (приказами, распоряжениями) Организации, влечет наложение на работника, имеющего доступ к персональным данным, дисциплинарного взыскания: замечания, выговора или увольнения.

10.3. Работник Организации, имеющий доступ к персональным данным субъектов и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба Организации (п.7 ст. 243 Трудового кодекса Российской Федерации).

10.4. Работники Организации, имеющие доступ к персональным данным субъектов, виновные в незаконном разглашении или использовании персональных данных лиц без согласия субъектов из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии со ст. 183 Уголовного кодекса Российской Федерации.