V. ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ ОАО "РЖД"
V. Меры по обеспечению режима защиты персональных данных
V. Меры по обеспечению режима защиты персональных данных 
18. Подразделения ОАО "РЖД" обеспечивают режим защиты персональных данных при их обработке в соответствии с законодательством Российской Федерации и нормативными документами ОАО "РЖД" на основании принимаемых ими правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
19. Режим защиты персональных данных обеспечивает предотвращение нарушения конфиденциальности, целостности и доступности персональных данных при их обработке.
20. Защита персональных данных в подразделениях ОАО "РЖД" предусматривает ограничение доступа к ним.
Доступ к персональным данным субъектов персональных данных разрешается в соответствии с Порядком обработки персональных данных только уполномоченным работникам, которым эти персональные данные необходимы для выполнения должностных обязанностей.
21. Подразделения ОАО "РЖД" обеспечивают безопасность персональных данных при их обработке в соответствии с федеральными законами, указами Президента Российской Федерации, постановлениями Правительства Российской Федерации, приказами ФСТЭК России, ФСБ России, Роскомнадзора, Порядком обработки персональных данных и другими нормативными документами ОАО "РЖД".
22. Обеспечение безопасности персональных данных достигается путем:
1) определения угроз безопасности персональных данных при их обработке;
2) применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
3) проведения проверки соответствия законодательству Российской Федерации в области обработки и защиты персональных данных применяемых мер защиты информации и оценки их эффективности;
4) учета машинных носителей персональных данных в установленном ОАО "РЖД" порядке;
5) обнаружения фактов несанкционированного доступа к персональным данным и принятия соответствующих мер;
6) восстановления персональных данных, измененных или уничтоженных вследствие несанкционированного доступа к ним;
7) установления правил доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационной системе ОАО "РЖД", в установленном ОАО "РЖД" порядке;
8) внутреннего контроля за соблюдением подразделениями ОАО "РЖД" при обработке персональных данных законодательства Российской Федерации и нормативных документов ОАО "РЖД".
23. Меры защиты персональных данных при их автоматизированной обработке устанавливаются в соответствии со специальными требованиями к технической защите информации, определенными ФСТЭК России, а также в соответствии с нормативными документами ОАО "РЖД" в области обеспечения информационной безопасности.
24. При автоматизированной обработке персональных данных для каждой информационной системы организационные и (или) технические меры определяются с учетом уровней защищенности персональных данных, актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационной системе ОАО "РЖД".