1.1. Настоящее Положение об обеспечении безопасности персональных данных при их обработке в ООО «УРАЛПРОМСЕРВИС» (далее – Положение) определяет меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
1.2. Целью настоящего Положения является обеспечение защиты прав граждан при обработке их персональных данных в информационных системах персональных данных в сфере оказания услуг по водоснабжению и водоотведению, а также при ведении кадровой работы на предприятии.
1.3. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 17.11.2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и иными нормативно-правовыми актами.
1.4. Настоящее Положение вступает в сиду с момента его утверждения приказом ООО «УРАЛПРОМСЕРВИС» и действует бессрочно до замены его новым Положением. Все изменения в настоящее Положение вносятся приказом ООО «УРАЛПРОМСЕРВИС».
2. Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных.
2.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры и обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. 2.2. Обеспечение безопасности персональных данных достигается, в частности:
2.2.1. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
2.2.2 Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных. 2.2.3. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
2.2.4. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных. 2.2.5. Учетом машинных носителей персональных данных.
2.2.6. Обнаружение фактов несанкционировнного доступа к персональным данным и принятием мер.
2.2.7. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
2.2.8. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
2.2.9. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
3. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
3.1. Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
3.2. Определение угроз безопасности персональных данных осуществляется в модели угроз безопасности персональных данных соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России от 15.02.2008 г.