9.1. Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе осуществления деятельности Министерства.
9.2. Министерство при обработке персональных данных обязано принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в соответствии с требованиями к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, установленными Правительством Российской Федерации.
9.3. Мероприятия по защите персональных данных подразделяются на внутреннюю и внешнюю защиту.
9.3.1. Внутренняя защита включает следующие организационно-технические мероприятия:
1) регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководством и специалистами Министерства;
2) для защиты персональных данных в Министерстве применяются следующие принципы и правила:
- ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;
- реализация разрешительной системы допуска работников Министерства к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
- ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
- учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
- резервирование технических средств, дублирование массивов и носителей информации;
- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- использование защищенных каналов связи;
- строгое избирательное и обоснованное распределение документов и информации между сотрудниками;
- рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание сотрудниками требований нормативно-методических документов по защите персональных данных;
- организация порядка уничтожения информации;
- своевременное выявление нарушений требований разрешительной системы доступа сотрудниками подразделения;
- воспитательная и разъяснительная работа с работниками Министерства по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
- защита паролями доступа персональных компьютеров, на которых содержатся персональные данные;
3) личные дела работников могут выдаваться только Министру, первому заместителю Министра, заместителям Министра, в отношении гражданских служащих и работников структурных подразделений Министерства, деятельность которых координируется заместителями Министра, сотрудникам управления правовой и организационно-кадровой работы Министерства, руководителям структурных подразделений Министерства в отношении гражданских служащих, замещающих должности в данном подразделении, сотрудников данного подразделения с уведомлением ответственного за организацию обработки персональных данных, а также в исключительных случаях, по письменному разрешению Министра.
9.3.2. Внешняя защита включает следующие организационно-технические мероприятия:
1) для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией;
2) целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.;
3) для защиты персональных данных соблюдается ряд мер организационно-технического характера:
- размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
- организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
- предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.