X. ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОАО "РЖД"

97. При выявлении в подразделении ОАО "РЖД" нарушения режима защиты персональных данных (далее - нарушение) разбор (рассмотрение) его у руководителя подразделения ОАО "РЖД" проводится в срок не более 10 рабочих дней. При этом должны быть осуществлены действия, направленные на обеспечение законных прав и свобод субъектов персональных данных, а также приняты исчерпывающие меры по устранению условий, повлекших нарушение, и по минимизации ущерба. Подготовка материалов для разбора (рассмотрения) и принятие указанных мер осуществляются под контролем ответственного за организацию обработки персональных данных подразделения ОАО "РЖД".

По результатам разбора по факту выявления нарушения руководитель подразделения ОАО "РЖД" принимает решение о проведении служебного расследования.

98. Подразделение ОАО "РЖД" в случае обнаружения факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, либо в случае поступления такой информации от Роскомнадзора или от иного заинтересованного лица обязано незамедлительно уведомить Департамент управления информационной безопасностью о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставить сведения о лице, уполномоченном на взаимодействие по вопросам, связанным с выявленным инцидентом.

В течение 48 часов с момента выявления нарушения по данному факту подразделением ОАО "РЖД" проводится служебное расследование и предоставляется в Департамент управления информационной безопасностью информация о результатах служебного расследования, в том числе сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

99. В случае выявления компьютерного инцидента, повлекшего неправомерную передачу (предоставление, распространение, доступ) персональных данных, подразделение ОАО "РЖД" обязано незамедлительно направить в Департамент управления информационной безопасностью и Центр компетенций по информационной безопасности следующую информацию:

1) описание компьютерного инцидента: дата, время и место инцидента, Ф.И.О. работника ОАО "РЖД" и способ выявления им инцидента;

2) сведения о лицах, действия которых стали причиной компьютерного инцидента (в случае наличия такой информации);

3) полное название автоматизированной информационной системы ОАО "РЖД", в которой выявлен компьютерный инцидент, и подразделение, выполняющее роль функционального заказчика (в случае наличия такой информации);

4) описание используемых уязвимостей (в случае наличия такой информации);

5) краткое описание последствий компьютерного инцидента;

6) принятые меры по устранению компьютерного инцидента;

7) иная информацию, связанная с компьютерным инцидентом.

Служебное расследование по факту выявления компьютерного инцидента организует и проводит функциональный заказчик системы, в которой он выявлен. Результаты расследования должны быть переданы в установленном порядке в Департамент управления информационной безопасностью и Центр компетенций по информационной безопасности не позднее 48 часов с момента выявления компьютерного инцидента.

100. Информация о выявленных нарушениях, в том числе о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, о выявленных компьютерных инцидентах фиксируется в журнале учета нарушений порядка обработки персональных данных, составленном по форме согласно приложению N 18.

101. Для служебного расследования обстоятельств неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, а также других нарушений приказом руководителя подразделения ОАО "РЖД" образуется комиссия по расследованию нарушения режима защиты персональных данных (далее - комиссия), в состав которой включается ответственный за организацию обработки персональных данных в подразделении ОАО "РЖД". При необходимости в состав комиссии могут быть включены представители Департамента управления информационной безопасностью и иных подразделений ОАО "РЖД".

102. При проведении служебного расследования:

1) определяется обоснованность отнесения переданной, разглашенной либо утраченной информации к персональным данным;

2) устанавливаются обстоятельства расследуемого нарушения и причастные к нему лица;

3) принимаются меры по определению местонахождения материальных носителей;

4) устанавливаются причины и условия, которые привели к нарушению;

5) оценивается причиненный или возможный вред субъекту персональных данных (ОАО "РЖД") вследствие нарушения.

103. Члены комиссии имеют право:

1) опрашивать работников подразделений ОАО "РЖД", которые допустили нарушение, а также работников подразделений ОАО "РЖД", которые могут оказать содействие в установлении обстоятельств допущенного нарушения или в определении местонахождения утраченных материальных носителей, и требовать от них письменные объяснения;

2) запрашивать информацию и документы, имеющие отношение к проведению служебного расследования обстоятельств возникновения нарушения;

3) проводить осмотр помещений, в которых хранятся и обрабатываются персональные данные, рабочих мест уполномоченных работников, обследование средств вычислительной техники, используемых для обработки персональных данных, мест, где могут находиться утраченные материальные носители;

4) проверять наличие материальных носителей персональных данных, учетную документацию, отражающую их поступление и движение;

5) привлекать к работе комиссии с разрешения руководителя подразделения ОАО "РЖД", назначившего служебное расследование, работников (экспертов), обладающих специальными знаниями.

104. По завершении работы комиссии составляется заключение о результатах проведенного служебного расследования, в котором содержатся выводы о причинах и условиях совершения нарушений, рекомендации по их устранению, результаты определения материального или иного вреда, причиненного субъекту персональных данных (ОАО "РЖД") вследствие нарушения режима защиты персональных данных, а также указаны лица, виновные в совершении нарушения.

Заключение о результатах проведенного служебного расследования должно быть подписано всеми членами комиссии. При несогласии с выводами или содержанием отдельных положений член комиссии подписывает заключение и приобщает к нему свое особое мнение (в письменной форме).

105. По окончании служебного расследования руководителем подразделения ОАО "РЖД" принимается решение:

1) о возможности привлечения виновных работников к дисциплинарной и (или) материальной ответственности;

2) об обращении в правоохранительные органы с заявлением о привлечении работников, допустивших нарушение, к административной или уголовной ответственности;

3) о принятии мер по устранению причин и условий, повлекших нарушение.

106. Копия заключения о результатах проведенного служебного расследования, а также информация о мерах, принятых в отношении лиц, допустивших нарушение, направляются в течение 10 рабочих дней в Департамент управления информационной безопасностью.

107. Служебное расследование по факту нарушения, в том числе по факту неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, в подразделениях ОАО "РЖД" может проводиться Департаментом управления информационной безопасностью по указанию генерального директора - председателя правления ОАО "РЖД" либо ответственного за обработку персональных данных в ОАО "РЖД".

Для проведения служебного расследования приказом директора ОАО "РЖД" - начальника Департамента управления информационной безопасностью образуется комиссия. При необходимости в состав комиссии могут быть включены представители иных подразделений ОАО "РЖД".

Основанием для проведения служебного расследования является предписание, составленное в 2 экземплярах по форме согласно приложению N 19, которое подписывается ответственным за организацию обработки персональных данных в ОАО "РЖД".

Срок проведения служебного расследования устанавливается лицом, инициировавшим служебное расследование.

108. Заключение о результатах проведенного служебного расследования в установленном порядке докладывается инициировавшему его проведение лицу.