7.1. Обработка и защита персональных данных в информационных системах персональных данных без использования средств автоматизации организуется на основании Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства Российской Федерации от 15.09.2008 N 687.
7.2. Применяемые меры по защите персональных данных в структурных подразделениях Управления должны быть направлены на:
- ограничение доступа персонала и посторонних лиц в помещения, где размещены информационные системы персональных данных и хранятся материальные носители персональных данных;
- организацию учета и надежного хранения материальных носителей персональных данных, их обращения, исключающие хищение, подмену и уничтожение.
7.3. Обработка и защита персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 01.11.2012 N 1119, нормативными и руководящими документами уполномоченных федеральных органов исполнительной власти.
7.4. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
7.5. Необходимыми мерами, принимаемыми для обеспечения выполнения Управлением, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями) далее - Федеральный закон) и принятыми в соответствии с ним нормативными правовыми актами, являются:
а) назначение лица, ответственного за организацию обработки персональных данных;
б) издание документов, определяющих политику Управления в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
в) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
г) осуществление внутреннего контроля соответствия обработки персональных данных нормам Федерального закона и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
д) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых Управлением мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;
е) ознакомление работников Управления, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Управления в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
ж) устранение нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных в соответствии со статьей 21 Федерального закона;
з) выполнение иных мер, установленных постановлением Правительства Российской Федерации от 24.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
7.6. В целях обеспечения безопасности всех обрабатываемых персональных данных принимаются следующие меры, соответствующие 4-му уровню защищенности информационных систем, в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных":
а) организация режима обеспечения безопасности помещений, обеспечивающего сохранность персональных данных и исключающего несанкционированный к ним доступ;
б) обеспечение сохранности носителей персональных данных, путем определения мест хранения информации, содержащей персональные данные;
в) обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
г) утверждения перечня лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных обязанностей, введением парольной политики, устанавливающей сложность ключей и атрибутов доступа (паролей), а также их периодическую смену.