V. Меры по обеспечению режима защиты персональных данных
V. Меры по обеспечению режима защиты персональных данных 
18. Подразделения ОАО "РЖД" обеспечивают режим защиты персональных данных при их обработке в соответствии с законодательством Российской Федерации и нормативными документами ОАО "РЖД" на основании принимаемых ими правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
19. Режим защиты персональных данных обеспечивает предотвращение нарушения конфиденциальности, целостности и доступности персональных данных при их обработке.
20. Защита персональных данных в подразделениях ОАО "РЖД" предусматривает ограничение доступа к ним.
Доступ к персональным данным субъектов персональных данных разрешается в соответствии с Порядком обработки персональных данных только уполномоченным работникам, которым эти персональные данные необходимы для выполнения должностных обязанностей.
21. Подразделения ОАО "РЖД" обеспечивают безопасность персональных данных при их обработке в соответствии с федеральными законами, указами Президента Российской Федерации, постановлениями Правительства Российской Федерации, приказами ФСТЭК России, ФСБ России, Роскомнадзора, Порядком обработки персональных данных и другими нормативными документами ОАО "РЖД".
22. Обеспечение безопасности персональных данных достигается путем:
1) определения угроз безопасности персональных данных при их обработке;
2) применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
3) проведения проверки соответствия законодательству Российской Федерации в области обработки и защиты персональных данных применяемых мер защиты информации и оценки их эффективности;
4) учета машинных носителей персональных данных в установленном ОАО "РЖД" порядке;
5) обнаружения фактов несанкционированного доступа к персональным данным и принятия соответствующих мер;
6) восстановления персональных данных, измененных или уничтоженных вследствие несанкционированного доступа к ним;
7) установления правил доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационной системе ОАО "РЖД", в установленном ОАО "РЖД" порядке;
8) внутреннего контроля за соблюдением подразделениями ОАО "РЖД" при обработке персональных данных законодательства Российской Федерации и нормативных документов ОАО "РЖД".
23. Меры защиты персональных данных при их автоматизированной обработке устанавливаются в соответствии со специальными требованиями к технической защите информации, определенными ФСТЭК России, а также в соответствии с нормативными документами ОАО "РЖД" в области обеспечения информационной безопасности.
24. При автоматизированной обработке персональных данных для каждой информационной системы организационные и (или) технические меры определяются с учетом уровней защищенности персональных данных, актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационной системе ОАО "РЖД".
