3.1. Безопасность персональных данных достигается путем исключения неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, распространения, предоставления, а также иных неправомерных действий в отношении их.
3.2. Персональные данные субъектов персональных данных в Департаменте обрабатываются на бумажных и электронных носителях в специальных предназначенных для этого помещениях, занимаемых структурными подразделениями Департамента, осуществляющими деятельность по обработке персональных данных.
3.3. Обеспечение безопасности персональных данных при их обработке достигается путем принятия необходимых организационных и технических мер для их защиты, установленных статьей 19 Федерального закона N 152-ФЗ, разделом III Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687, постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом ФСТЭК России от 18 февраля 2013 года N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", а также иными нормативными правовыми актами. К организационным и техническим мерам защиты персональных данных относятся в том числе:
определение мест хранения материальных носителей, содержащих персональные данные, соблюдение условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ;
организация порядка уничтожения информации, содержащей персональные данные;
обеспечение целостности программных средств информационной системы персональных данных, обрабатываемой информации, а также неизменности программной среды;
соблюдение пользователями условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
соблюдение пользователями порядка реагирования на инциденты и восстановления работоспособности информационных систем.
3.4. Не допускается обработка персональных данных в информационных системах персональных данных при отсутствии:
утвержденных организационно-технических документов, установленных нормативными правовыми актами в области защиты информации;
настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, средств резервного копирования информации и других программных и технических средств в соответствии с требованиями по защите информации, установленными Правительством Российской Федерации, ФСТЭК России, ФСБ России.