9.1. Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе осуществления деятельности Главного управления.
9.2. Главное управление при обработке персональных данных обязано принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в соответствии с требованиями к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, установленными Правительством Российской Федерации.
9.3. Мероприятия по защите персональных данных подразделяются на внутреннюю и внешнюю защиту.
9.3.1. Внутренняя защита включает следующие организационно-технические мероприятия:
9.3.1.1. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководством и специалистами Главного управления.
9.3.1.2. Для защиты персональных данных в Главном управлении применяются следующие принципы и правила:
- ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;
- реализация разрешительной системы допуска работников Главного управления к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
- ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
- учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
- резервирование технических средств, дублирование массивов и носителей информации;
- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- использование защищенных каналов связи;
- строгое избирательное и обоснованное распределение документов и информации между сотрудниками;
- рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание сотрудниками требований нормативно-методических документов по защите персональных данных;
- организация порядка уничтожения информации;
- своевременное выявление нарушений требований разрешительной системы доступа сотрудниками подразделения;
- воспитательная и разъяснительная работа с работниками Главного управления по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
- защита паролями доступа персональных компьютеров, на которых содержатся персональные данные.
9.3.1.3. Личные дела работников могут выдаваться только начальнику Главного управления, заместителям начальника Главного управления, в отношении гражданских служащих и работников структурных подразделений Главного управления, деятельность которых координируется заместителями начальника Главного управления, сотрудникам отдела правовой работы, государственной службы и кадров, руководителям структурных подразделений Главного управления в отношении гражданских служащих, замещающих должности в данном подразделении с уведомлением ответственного за организацию обработки персональных данных, а также в исключительных случаях, по письменному разрешению начальника Главного управления.
9.3.2. Внешняя защита включает следующие организационно-технические мероприятия:
9.3.2.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией.
9.3.2.2. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
9.3.2.3. Для защиты персональных данных соблюдается ряд мер организационно-технического характера:
- размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
- организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
- предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.