Политика обработки персональных данных

Область применения

1.1. Настоящая Политика разработана в соответствии с Федеральным законом Российской Федерации от 27 июля 2006г. №152-ФЗ «О персональных данных» и определяет порядок обработки, защиты персональных данных в АО «Уралэлектромедь»
1.2. Требования Политики являются обязательными для всех работников АО «Уралэлектромедь», осуществляющих обработку и защиту персональных данных.
1.3. Настоящая Политика не распространяется на случаи, если осуществляется:

-хранение, комплектование, учет и использование архивных документов, содержащих персональные данные, в соответствии с законодательством об архивном деле в Российской Федерации;
-обработка персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.


2. Термины, определения и сокращения

2.1. В настоящей Политике применены термины с соответствующими определениями:

2.1.1. автоматизированная обработка персональных данных: Обработка персональных данных с помощью средств вычислительной техники.
2.1.2. информационная система персональных данных, ИСПДн: Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.1.3. информационные технологии: Процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
2.1.4. обработка персональных данных: Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.1.5. оператор: Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.1.6. персональные данные, ПДн: Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).


2.2. В настоящей Политике применены следующие сокращения:
АО - акционерное общество «Уралэлектромедь;
СЗПДн - система защиты персональных данных, обрабатываемых в информационных системах персональных данных ОАО;
СЗИ - средство защиты информации;
КАО - контрольно-аналитический отдел;
РФ - Российская Федерация.



3. Общие требования

3.1. Политика содержит сведения о реализуемых требованиях к защите ПДн.
3.2. При сборе ПДн с использованием информационно-телекоммуникационных сетей Политика должна быть опубликована в соответствующей информационно-телекоммуникационной сети, а также должна быть обеспечена возможность доступа к Политике с использованием средств соответствующей информационно-телекоммуникационной сети.
3.3. За соблюдением структурными подразделениями АО законодательства РФ и локальных нормативных актов ОАО в области ПДн, в том числе требований к защите ПДн, должен осуществляется контроль с целью:

проверки соответствия обработки ПДн;
проверки принятых мер, направленных на предотвращение и выявление нарушений в области ПДн;
выявления возможных каналов утечки и несанкционированного доступа к ПДн;
устранения последствий нарушений.


4. Построение защиты персональных данных

4.1. В каждом структурном подразделении АО распоряжением руководителя подразделения должен быть назначен ответственный за организацию обработки ПДн. Копию распоряжения о назначении ответственного за обработку ПДн передают в отдел кадров.
4.2. Обработка ПДн в АО должна осуществляться в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
4.3. Защита ПДн, обрабатываемых без использования средств автоматизации, должна строиться на основании требований Постановления Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
4.4. СЗПДн должна строиться на основании требований нормативных правовых актов, принятых в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а также:

актов определения уровня защищенности ПДн при их обработке в ИСПДн;
моделей угроз безопасности ПДн при их обработке в ИСПДн.


4.5. Определение уровня защищенности ПДн при их обработке в ИСПДн должно осуществляться в соответствии с порядком, установленным Постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
4.6. СЗПДн должна включать в себя следующие подсистемы:

идентификации и аутентификации субъектов доступа и объектов доступа;
управления доступом субъектов доступа к объектам доступа;
защиты машинных носителей ПДн;
регистрации событий безопасности;
антивирусной защиты;
контроля (анализа) защищенности ПДн;
обеспечения доступности ПДн;
защиты среды виртуализации;
защиты технических средств;
защиты ИСПДн, ее средств, систем связи и передачи данных;
выявления инцидентов и реагирования на них;
управления конфигурацией ИСПДн и СЗПДн.


4.7. Состав требований, реализуемых каждой из подсистем СЗПДн, зависит от:
уровня защищенности ПДн при их обработке в ИСПДн;
структурно-функциональных характеристик и особенностей функционирования ИСПДн;
состава актуальных угроз безопасности ПДн при их обработке в ИСПДн.


5. Ответственность и контроль

5.1. Ответственность за соблюдением требований в организации обработки и защиты ПДн в подразделении несет специалист, назначенный распоряжением по подразделению.
5.2. Ответственность за соблюдение требований законодательства РФ и локальных нормативных актов АО в области ПДн в подразделении АО, а также за обеспечение конфиденциальности и безопасности ПДн, несет руководитель подразделения.
5.3. Внутренний контроль за соблюдением структурными подразделениями АО законодательства РФ и локальных нормативных актов АО в области ПДн, в том числе требований к защите ПДн, осуществляется лицом, ответственным за организацию обработки персональных данных в АО.
5.4. Контроль исполнения требований настоящей Политики осуществляет директор по правовым вопросам. 


Дворец спорта УГМК
Афиша