4.1. Министерство при обработке персональных данных обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.2. Защита персональных данных представляет собой жестко регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных, используемых в процессе деятельности Министерства.
4.3. Обеспечение безопасности персональных данных достигается, в частности:
определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учетом машинных носителей персональных данных;
обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
4.4. Основными организационными мерами по защите персональных данных в Министерстве являются:
регламентация состава сотрудников, функциональные обязанности которых требуют конфиденциальных знаний;
строгое, избирательное и обоснованное распределение документов и информации между сотрудниками;
рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;
обеспечение знания сотрудниками требований нормативно-методических документов по защите информации и сохранении тайны;
обеспечение наличия необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
грамотная организация процесса уничтожения информации;
организация регулярной воспитательной и разъяснительной работы с сотрудниками структурных подразделений Министерства по предупреждению утраты и утечки сведений при работе с конфиденциальными документами, содержащими персональные данные;
разработка комплекта внутренних документов Министерства, регламентирующих процессы обработки персональных данных.
4.5. В качестве дополнительных организационных мер защиты персональных данных в Министерстве создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ к персональным данным с целью овладения ценными сведениями и их использования, а также их искажения, уничтожения, подмены, фальсификации содержания реквизитов документа и т.д. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Министерства: посетители, физические лица и служащие других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов, содержащих персональные данные. Для защиты персональных данных от несанкционированного доступа в Министерстве необходимо обеспечить:
охрану в ночное время, в выходные и праздничные дни помещений Министерства (контролируемых зон),
постоянную работоспособность пожарной и охранной сигнализации.
4.6. В качестве технических мер защиты персональных данных в Министерстве должны применяться:
антивирусная защита;
межсетевые экраны;
специализированные средства защиты информации от несанкционированного доступа.