9. ПРОЦЕДУРЫ, НАПРАВЛЕННЫЕ НА ВЫЯВЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Настоящие Правила устанавливают для ПФР следующие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:

9.1. Для выявления нарушений должны быть предусмотрены процедуры по:

- осуществлению внутреннего контроля соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и принятых в соответствии с ним нормативных правовых актов, требованиям к защите персональных данных, политике ПФР в отношении обработки персональных данных, нормативным актам ПФР;

- оценке вреда, который может быть причинен субъектам персональных данных;

- ознакомлению работников, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, (включая требования к защите персональных данных), и настоящими Правилами, а также по обучению по соответствующим дополнительным профессиональным программам;

- недопущению объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

- обеспечению при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;

- обнаружению фактов несанкционированного доступа к персональным данным и принятию соответствующих мер.

9.2. Для предотвращения нарушений должны быть предусмотрены процедуры по:

- изданию нормативных актов ПФР по вопросам обработки персональных данных;

- организации обработки ПДн в ИСПДн, включающей действия по систематизации, накоплению, использованию, обезличиванию, хранению, передаче, а также уничтожению, блокированию в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

- назначению ответственных за организацию обработки персональных данных в каждом структурном подразделении Исполнительной дирекции ПФР и Ревизионной комиссии ПФР;

- назначению ответственных за обеспечение безопасности обрабатываемых ПДн;

- определению лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в ПФР и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных;

- ознакомлению (под роспись до начала работы) работников ПФР, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ПФР в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Ознакомление работников организуется Департаментом кадровой политики, а осуществляется руководителями структурных подразделений Исполнительной дирекции ПФР;

- информированию (под роспись до начала работы) работников ПФР, осуществляющих обработку персональных данных без использования средств автоматизации, а также лиц, осуществляющих такую обработку по договору с ПФР, о факте обработки ими персональных данных, обработка которых осуществляется ПФР без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами;

- организации получения ПДн лично у субъекта персональных данных, его законных представителей или третьих лиц (страхователей и т.п.) в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

- применению правовых, организационных и технических мер по обеспечению безопасности персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных, в том числе:

- идентификация и аутентификация субъектов доступа и объектов доступа;

- управление доступом субъектов доступа к объектам доступа;

- ограничение программной среды;

- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);

- регистрация событий безопасности;

- антивирусная защита;

- обнаружение (предотвращение) вторжений;

- контроль (анализ) защищенности персональных данных;

- обеспечение целостности информационной системы и персональных данных;

- обеспечение доступности персональных данных;

- защита среды виртуализации;

- защита технических средств;

- защита информационной системы, ее средств, систем связи и передачи данных;

- выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;

- управление конфигурацией информационной системы и системы защиты персональных данных.

- применению мер, необходимых для обеспечения сохранности персональных данных и исключающих несанкционированный к ним доступ при хранении материальных носителей, включающих:

- организацию режима обеспечения безопасности помещений, в которых обрабатываются персональные данные и хранятся носители персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

- обеспечение сохранности носителей персональных данных;

- обеспечение постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода, а также опечатывания помещений по окончании рабочего дня или оборудование помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений;

- утверждения правил доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях;

- утверждения перечня лиц, имеющих право доступа в помещения;

- хранение съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками и приспособлениями для опечатывания замочных скважин или кодовыми замками;

- осуществление поэкземплярного учета машинных носителей персональных данных, путем ведения журнала учета носителей персональных данных;

- назначение руководителем структурного подразделения, работники которого обрабатывают персональные данные, ответственных за реализацию указанных мер;

- применению средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям безопасности информации;

- определению угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- опубликованию на официальном сайте ПФР в информационно-телекоммуникационной сети "Интернет" документов, определяющих политику ПФР в отношении обработки персональных данных и требования к защите персональных данных.

9.3. Внутренний контроль соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и принятых в соответствии с ним нормативных правовых актов, требованиям к защите персональных данных в Исполнительной дирекции ПФР проводится Департаментом по обеспечению информационной безопасности в соответствии с годовыми планами, утверждаемыми заместителем Председателя Правления ПФР, на которого возложены обязанности по организации и осуществлению указанного внутреннего контроля.