VI. ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОАО "РЖД"

41. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

42. Доступ к персональным данным разрешается только уполномоченным работникам, которым эти персональные данные необходимы для исполнения должностных обязанностей.

43. При работе с персональными данными уполномоченным работникам запрещается:

1) обрабатывать персональные данные, не отвечающие целям их обработки;

2) работать под чужими учетными записями в информационных системах ОАО "РЖД", в которых обрабатываются персональные данные, и передавать кому-либо индивидуальные атрибуты доступа;

3) допускать несанкционированное использование своего автоматизированного рабочего места другими работниками ОАО "РЖД" и посторонними лицами;

4) использовать (загружать, запускать и т.п.) для обработки персональных данных программные средства, не разрешенные для применения в информационных системах ОАО "РЖД";

5) разглашать ставшие им известными в связи с исполнением своих должностных обязанностей персональные данные лицам, не имеющим права доступа к этим данным;

6) делать копии документов, содержащих персональные данные, не требующиеся для исполнения своих должностных обязанностей;

7) держать на рабочем месте материальные носители, содержащие персональные данные, дольше времени, необходимого для их обработки (включая хранение);

8) хранить материальные носители, содержащие персональные данные, на рабочих местах ненадлежащим образом;

9) выносить материальные носители, содержащие персональные данные, из рабочих помещений без служебной необходимости.

44. При обработке персональных данных должна быть исключена возможность ознакомления с ними посторонних лиц, в том числе работников ОАО "РЖД", не уполномоченных на их обработку, путем принятия следующих мер:

1) экран монитора автоматизированного рабочего места, используемого для работы с персональными данными, а также бумажные носители, содержащие персональные данные, должны размещаться таким образом, чтобы исключить возможность просмотра информации посторонними лицами, включая других работников ОАО "РЖД";

2) для доступа к информационным системам ОАО "РЖД", в которых обрабатываются персональные данные, должны использоваться индивидуальные пароли, отвечающие установленным ОАО "РЖД" требованиям;

3) автоматизированные рабочие места, используемые уполномоченными работниками для обработки персональных данных, во время перерывов в работе должны блокироваться с помощью защищенной паролем экранной заставки;

4) в информационных системах ОАО "РЖД", в которых обрабатываются персональные данные, и (или) на отдельных автоматизированных рабочих местах, предназначенных для работы с персональными данными, в обязательном порядке должны использоваться сертифицированные средства антивирусной защиты;

5) индивидуальные пароли доступа уполномоченного работника к информационным системам ОАО "РЖД", в которых обрабатываются персональные данные, в обязательном порядке должны меняться при его переходе на работу в другое подразделение ОАО "РЖД";

6) бумажные и съемные машинные носители, содержащие персональные данные, после окончания работы с ними или при оставлении уполномоченным работником своего рабочего места должны помещаться в запираемые ящики столов, шкафы (сейфы);

7) работа, связанная с обработкой персональных данных и хранением их носителей, должна осуществляться в находящихся в контролируемой зоне помещениях, включенных в утверждаемый руководителем подразделения ОАО "РЖД" перечень помещений;

8) бумажные носители персональных данных субъектов персональных данных должны храниться в делах в соответствии с номенклатурой дел подразделения ОАО "РЖД";

9) испорченные бланки, черновики и промежуточные редакции документов, содержащие персональные данные, по окончании работы с ними должны уничтожаться без возможности восстановления.

45. Комплекс мер, обеспечивающих безопасность персональных данных, должен включать в себя в том числе:

1) организацию работы с персональными данными, обеспечивающей сохранность носителей персональных данных и средств защиты информации;

2) определение угроз безопасности персональных данных при их обработке в информационных системах ОАО "РЖД";

3) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке;

4) проверку соответствия применяемых мер защиты информации законодательству Российской Федерации в области персональных данных и оценку их эффективности;

5) обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер реагирования;

6) восстановление персональных данных, измененных или уничтоженных вследствие несанкционированного доступа к ним;

7) установление правил доступа к персональным данным, обрабатываемым в информационных системах ОАО "РЖД";

8) разграничение доступа пользователей к информационным системам ОАО "РЖД";

9) регистрацию действий пользователей информационных систем ОАО "РЖД" в установленном ОАО "РЖД" порядке;

10) контроль действий персонала, обслуживающего средства вычислительной техники, и недопущение несанкционированного доступа к персональным данным пользователей информационных систем ОАО "РЖД";

11) размещение информационных систем ОАО "РЖД" в помещениях, исключающих возможность неконтролируемого пребывания в них посторонних лиц;

12) учет документов, машинных носителей, информационных систем ОАО "РЖД", в которых обрабатываются персональные данные;

13) хранение и использование документов, машинных носителей, информационных систем ОАО "РЖД", в которых обрабатываются персональные данные, исключающие их хищение, подмену, уничтожение, а также несанкционированный доступ к ним;

14) внутренний контроль за соблюдением подразделениями ОАО "РЖД" при обработке персональных данных законодательства Российской Федерации и нормативных документов ОАО "РЖД" в области персональных данных;

15) оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".

46. Меры обеспечения безопасности персональных данных при их автоматизированной обработке устанавливаются в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, требованиями к технической защите информации, определенными ФСТЭК России и ФСБ России, а также нормативными документами ОАО "РЖД" в области обеспечения информационной безопасности.

47. Во время эксплуатации средств вычислительной техники, предназначенных для обработки персональных данных, должны быть предусмотрены меры по исключению случаев несанкционированного подключения к внешним информационным системам, внешним информационно-телекоммуникационным сетям, а также несанкционированного доступа к этим средствам при проведении ремонтных, профилактических и других видов работ.

48. В подразделениях ОАО "РЖД", являющихся генеральными функциональными (функциональными) заказчиками информационных систем ОАО "РЖД", в которых обрабатываются персональные данные, в установленном ОАО "РЖД" порядке назначаются ответственные за обеспечение безопасности персональных данных в информационных системах ОАО "РЖД".

49. Все машинные носители, используемые для обработки персональных данных, должны учитываться в журналах учета машинных носителей, содержащих персональные данные, составленных по форме согласно приложению N 12.

В графу 2 журнала вносится учетный номер машинного носителя.

На нерабочую поверхность машинного носителя или на этикетку (бирку, ярлык и т.п.), прикрепленную к носителю (наклеенную на носитель), наносятся любым доступным образом учетные реквизиты: учетный номер машинного носителя, сокращенное наименование подразделения, сокращение "ПДн". Если несъемный машинный носитель установлен в корпусе средства вычислительной техники автоматизированного рабочего места, учетные реквизиты наносятся на видное место на корпусе устройства, в котором он установлен.

В графе 3 журнала указывается вид машинного носителя (жесткий диск (HDD), SSD, оптический диск, USB-флеш, флеш-карта), вносится технический номер машинного носителя (идентификационный (серийный) номер, присвоенный производителем). При отсутствии технического номера в графу 3 журнала вносится номер инвентарного учета. Для несъемных машинных носителей, установленных в корпусах средств вычислительной техники автоматизированных рабочих мест, в графе 3 указывается вид (ПК, ноутбук, планшет и т.п.) и технический или инвентарный номер устройства, в котором установлен машинный носитель.

Несъемные машинные носители, входящие в состав средств вычислительной техники информационных систем ОАО "РЖД", могут учитываться в технических паспортах информационных систем в установленном ОАО "РЖД" порядке. В этом случае в журнале учета машинных носителей учетный номер присваивается всей информационной системе в целом. В графу 2 журнала вносится один учетный номер на все машинные носители, используемые в информационной системе, а в графе 3 журнала указывается наименование информационной системы и номер технического паспорта информационной системы.

При ведении журнала любые исправления заверяются подписью работника, ответственного за ведение журнала, при этом использование корректирующих средств не допускается.

В графу 5 журнала вносятся фамилия, имя, отчество и должность работника, которому выдан в пользование съемный машинный носитель или кто пользуется автоматизированным рабочим местом с установленным несъемным машинным носителем.

В графе 6 журнала работник ОАО "РЖД", получивший в пользование машинный носитель, ставит подпись с указанием даты (число, месяц, год).

В графе 7 журнала работник ОАО "РЖД", осуществляющий в подразделении ОАО "РЖД" учет машинных носителей, ставит подпись, подтверждающую возврат машинного носителя, с указанием даты возврата (число, месяц, год).

При смене пользователя зарегистрированного ранее машинного носителя повторная регистрация машинного носителя не производится. При этом:

1) в журнале учета машинных носителей делается новая запись о выдаче машинного носителя, в графы 2 - 4 журнала вносятся сведения, указанные при первичной регистрации машинного носителя;

2) в графе 8 делается отметка о повторной выдаче машинного носителя с указанием порядкового номера новой записи в журнале.

50. При необходимости отправки машинного носителя в ремонт или вывода машинного носителя из эксплуатации, в том числе для передачи в другое подразделение ОАО "РЖД", хранящаяся на нем информация уничтожается в порядке, установленном пунктом 71 настоящего Положения. При этом в графу 7 журнала учета машинных носителей вносится дата окончания эксплуатации машинного носителя в подразделении ОАО "РЖД", отметка о его передаче в другое подразделение ОАО "РЖД" или подрядную организацию с указанием его/ее наименования, если такая передача производится.

В графе 8 делается соответствующая запись об уничтожении информации или запись об уничтожении машинного носителя.

51. Для обработки персональных данных, цели обработки которых несовместимы между собой, используются отдельные материальные носители (бумажные или съемные машинные). Материальные носители, содержащие персональные данные, обрабатываемые в различных целях, должны храниться раздельно (в разных шкафах, на разных полках, в отдельных ящиках или папках и т.п.).

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе (если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных), уполномоченным работником должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

1) при необходимости обработки определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется их копирование;

2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется весь материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию.

52. Уточнение персональных данных производится путем их обновления или изменения на материальном носителе, а если это не допускается особенностями материального носителя - путем изготовления нового материального носителя с уточненными персональными данными и уничтожением исходного материального носителя.

53. Обезличивание персональных данных, обрабатываемых в информационных системах ОАО "РЖД", должно осуществляться в соответствии с требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, утвержденными приказом Роскомнадзора от 5 сентября 2013 г. N 996.

Обезличивание персональных данных, обрабатываемых на бумажных носителях, должно осуществляться путем вымарывания части персональных данных, без которых становится невозможным определить принадлежность персональных данных конкретному субъекту персональных данных.

54. Сроки хранения, комплектования, учета, передачи и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов регламентируются законодательством об архивном деле в Российской Федерации и Инструкцией по делопроизводству и документированию управленческой деятельности в ОАО "РЖД", утвержденной приказом ОАО "РЖД" от 14 декабря 2017 г. N 120.

55. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).

56. При использовании типовой формы документов, которые предполагают или допускают включение в них персональных данных, должны соблюдаться следующие условия:

1) типовая форма или связанные с ней документы (инструкция по ее заполнению, анкеты, карточки, реестры, журналы и др.) должны содержать сведения о цели обработки персональных данных, наименование и адрес подразделения ОАО "РЖД", фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых способов обработки персональных данных. Указанные сведения должны отражаться хотя бы в одном из связанных с типовой формой документов (включая саму типовую форму);

2) типовая форма должна исключать объединение полей, предназначенных для персональных данных, цели обработки которых заведомо не совместимы;

3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных имел возможность ознакомиться со своими персональными данными, не нарушая прав и законных интересов иных субъектов персональных данных;

4) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных.

57. В случаях ведения журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъектов персональных данных на объекты ОАО "РЖД", должны соблюдаться следующие условия:

1) не допускается копирование информации, содержащейся в таких журналах (реестрах, книгах);

2) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (реестр, книгу) не более одного раза в каждом случае пропуска субъекта персональных данных на объект ОАО "РЖД".