МЕНЮ

Политика обработки персональных данных

  1. Область применения

    Настоящая Политика разработана в соответствии с Федеральным законом Российской Федерации от 27 июля 2006г. №152-ФЗ «О персональных данных» и определяет порядок обработки, защиты персональных данных в АО «Уралэлектромедь»

    Требования Политики являются обязательными для всех работников АО «Уралэлектромедь», осуществляющих обработку и защиту персональных данных.

    Настоящая Политика не распространяется на случаи, если осуществляется:

    - хранение, комплектование, учет и использование архивных документов, содержащих персональные данные, в соответствии с законодательством об архивном деле в Российской Федерации;

    - обработка персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

    Термины, определения и сокращения

    В настоящей Политике применены термины с соответствующими определениями:
    - автоматизированная обработка персональных данных: обработка персональных данных с помощью средств вычислительной техники. 

    - информационная система персональных данных, ИСПДн: совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 

    - информационные технологии: процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. 

    - обработка персональных данных: любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. 

    - оператор: государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. 

    - персональные данные, ПДн: любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). 

  2. В настоящей Политике применены следующие сокращения:


    АО - акционерное общество «Уралэлектромедь;
    СЗПДн - система защиты персональных данных, обрабатываемых в информационных системах персональных данных ОАО;
    СЗИ - средство защиты информации;
    КАО - контрольно-аналитический отдел;
    РФ - Российская Федерация.
  3. Общие требования
    Политика содержит сведения о реализуемых требованиях к защите ПДн.

    При сборе ПДн с использованием информационно-телекоммуникационных сетей Политика должна быть опубликована в соответствующей информационно-телекоммуникационной сети, а также должна быть обеспечена возможность доступа к Политике с использованием средств соответствующей информационно-телекоммуникационной сети.

    За соблюдением структурными подразделениями АО законодательства РФ и локальных нормативных актов АО в области ПДн, в том числе требований к защите ПДн, должен  осуществляется контроль с целью:
    - проверки соответствия обработки ПДн;

    - проверки принятых мер, направленных на предотвращение и выявление нарушений в области ПДн;

    - выявления возможных каналов утечки и несанкционированного доступа к ПДн;

    - устранения последствий нарушений.

    Построение защиты персональных данных
    В каждом структурном подразделении АО распоряжением руководителя подразделения должен быть назначен ответственный за организацию обработки ПДн. Копию распоряжения о назначении ответственного за обработку ПДн передают в отдел кадров.

    Обработка ПДн в АО должна осуществляться в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

    Защита ПДн, обрабатываемых без использования средств автоматизации, должна строиться на основании требований Постановления Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

    СЗПДн должна строиться на основании требований нормативных правовых актов, принятых в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а также: 
    - актов определения уровня защищенности ПДн при их обработке в ИСПДн;

    - моделей угроз безопасности ПДн при их обработке в ИСПДн.

    Определение уровня защищенности ПДн при их обработке в ИСПДн должно осуществляться в соответствии с порядком, установленным Постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

    СЗПДн должна включать в себя следующие подсистемы: 
    идентификации и аутентификации субъектов доступа и объектов доступа;

     управления доступом субъектов доступа к объектам доступа;

     защиты машинных носителей ПДн;

     регистрации событий безопасности;

     антивирусной защиты;

     контроля (анализа) защищенности ПДн;

     обеспечения доступности ПДн;

     защиты среды виртуализации;

     защиты технических средств;

     защиты ИСПДн, ее средств, систем связи и передачи данных;

     выявления инцидентов и реагирования на них;

     управления конфигурацией ИСПДн и СЗПДн.

    Состав требований, реализуемых каждой из подсистем СЗПДн, зависит от:

     уровня защищенности ПДн при их обработке в ИСПДн;

     структурно-функциональных характеристик и особенностей функционирования ИСПДн;

     состава актуальных угроз безопасности ПДн при их обработке в ИСПДн.

    Ответственность и контроль
    Ответственность за соблюдением требований в организации обработки и защиты ПДн в подразделении несет  специалист, назначенный распоряжением по подразделению.

    Ответственность за соблюдение требований законодательства РФ и локальных нормативных актов АО в области ПДн в подразделении АО, а также за обеспечение конфиденциальности и безопасности ПДн, несет руководитель подразделения.

    Внутренний контроль за соблюдением структурными подразделениями АО законодательства РФ и локальных нормативных актов АО в области ПДн, в том числе требований к защите ПДн, осуществляется лицом, ответственным за организацию обработки персональных данных в АО.

    Контроль исполнения требований настоящей Политики осуществляет директор по правовым вопросам.