9. ПРОЦЕДУРЫ, НАПРАВЛЕННЫЕ НА ВЫЯВЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Настоящие Правила устанавливают для ПФР следующие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:
9.1. Для выявления нарушений должны быть предусмотрены процедуры по:
- осуществлению внутреннего контроля соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и принятых в соответствии с ним нормативных правовых актов, требованиям к защите персональных данных, политике ПФР в отношении обработки персональных данных, нормативным актам ПФР;
- оценке вреда, который может быть причинен субъектам персональных данных;
- ознакомлению работников, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, (включая требования к защите персональных данных), и настоящими Правилами, а также по обучению по соответствующим дополнительным профессиональным программам;
- недопущению объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- обеспечению при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;
- обнаружению фактов несанкционированного доступа к персональным данным и принятию соответствующих мер.
9.2. Для предотвращения нарушений должны быть предусмотрены процедуры по:
- изданию нормативных актов ПФР по вопросам обработки персональных данных;
- организации обработки ПДн в ИСПДн, включающей действия по систематизации, накоплению, использованию, обезличиванию, хранению, передаче, а также уничтожению, блокированию в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";
- назначению ответственных за организацию обработки персональных данных в каждом структурном подразделении Исполнительной дирекции ПФР и Ревизионной комиссии ПФР;
- назначению ответственных за обеспечение безопасности обрабатываемых ПДн;
- определению лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в ПФР и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных;
- ознакомлению (под роспись до начала работы) работников ПФР, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ПФР в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Ознакомление работников организуется Департаментом кадровой политики, а осуществляется руководителями структурных подразделений Исполнительной дирекции ПФР;
- информированию (под роспись до начала работы) работников ПФР, осуществляющих обработку персональных данных без использования средств автоматизации, а также лиц, осуществляющих такую обработку по договору с ПФР, о факте обработки ими персональных данных, обработка которых осуществляется ПФР без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами;
- организации получения ПДн лично у субъекта персональных данных, его законных представителей или третьих лиц (страхователей и т.п.) в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";
- применению правовых, организационных и технических мер по обеспечению безопасности персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных, в том числе:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
- регистрация событий безопасности;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности персональных данных;
- обеспечение целостности информационной системы и персональных данных;
- обеспечение доступности персональных данных;
- защита информационной системы, ее средств, систем связи и передачи данных;
- выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;
- управление конфигурацией информационной системы и системы защиты персональных данных.
- применению мер, необходимых для обеспечения сохранности персональных данных и исключающих несанкционированный к ним доступ при хранении материальных носителей, включающих:
- организацию режима обеспечения безопасности помещений, в которых обрабатываются персональные данные и хранятся носители персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- обеспечение сохранности носителей персональных данных;
- обеспечение постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода, а также опечатывания помещений по окончании рабочего дня или оборудование помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений;
- утверждения правил доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
- утверждения перечня лиц, имеющих право доступа в помещения;
- хранение съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками и приспособлениями для опечатывания замочных скважин или кодовыми замками;
- осуществление поэкземплярного учета машинных носителей персональных данных, путем ведения журнала учета носителей персональных данных;
- назначение руководителем структурного подразделения, работники которого обрабатывают персональные данные, ответственных за реализацию указанных мер;
- применению средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям безопасности информации;
- определению угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- опубликованию на официальном сайте ПФР в информационно-телекоммуникационной сети "Интернет" документов, определяющих политику ПФР в отношении обработки персональных данных и требования к защите персональных данных.
9.3. Внутренний контроль соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и принятых в соответствии с ним нормативных правовых актов, требованиям к защите персональных данных в Исполнительной дирекции ПФР проводится Департаментом по обеспечению информационной безопасности в соответствии с годовыми планами, утверждаемыми заместителем Председателя Правления ПФР, на которого возложены обязанности по организации и осуществлению указанного внутреннего контроля.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей