МЕНЮ

Политика обработки персональных данных

  1. Область применения

    1. Настоящая Политика разработана в соответствии с Федеральным законом Российской Федерации от 27 июля 2006г. №152-ФЗ «О персональных данных» и определяет порядок обработки, защиты персональных данных в АО «Уралэлектромедь»
    2. Требования Политики являются обязательными для всех работников АО «Уралэлектромедь», осуществляющих обработку и защиту персональных данных.
    3. Настоящая Политика не распространяется на случаи, если осуществляется:

      -хранение, комплектование, учет и использование архивных документов, содержащих персональные данные, в соответствии с законодательством об архивном деле в Российской Федерации;

      -обработка персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

  2. Термины, определения и сокращения

    В настоящей Политике применены термины с соответствующими определениями:

    - автоматизированная обработка персональных данных: Обработка персональных данных с помощью средств вычислительной техники.

    - информационная система персональных данных, ИСПДн: Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

    - информационные технологии: Процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

    - обработка персональных данных: Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    - оператор: Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

    - персональные данные, ПДн: Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).


    В настоящей Политике применены следующие сокращения:


    АО - акционерное общество «Уралэлектромедь;
    СЗПДн - система защиты персональных данных, обрабатываемых в информационных системах персональных данных ОАО;
    СЗИ - средство защиты информации;
    КАО - контрольно-аналитический отдел;
    РФ - Российская Федерация.
  3. Общие требования

    1. Политика содержит сведения о реализуемых требованиях к защите ПДн.
    2. При сборе ПДн с использованием информационно-телекоммуникационных сетей Политика должна быть опубликована в соответствующей информационно-телекоммуникационной сети, а также должна быть обеспечена возможность доступа к Политике с использованием средств соответствующей информационно-телекоммуникационной сети.
    3. За соблюдением структурными подразделениями АО законодательства РФ и локальных нормативных актов ОАО в области ПДн, в том числе требований к защите ПДн, должен  осуществляется контроль с целью:

      • проверки соответствия обработки ПДн;
      • проверки принятых мер, направленных на предотвращение и выявление нарушений в области ПДн;
      • выявления возможных каналов утечки и несанкционированного доступа к ПДн;
      • устранения последствий нарушений.
  4. Построение защиты персональных данных

    1. В каждом структурном подразделении АО распоряжением руководителя подразделения должен быть назначен ответственный за организацию обработки ПДн. Копию распоряжения о назначении ответственного за обработку ПДн передают в отдел кадров.
    2. Обработка ПДн в АО должна осуществляться в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
    3. Защита ПДн, обрабатываемых без использования средств автоматизации, должна строиться на основании требований Постановления Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
    4. СЗПДн должна строиться на основании требований нормативных правовых актов, принятых в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ         «О персональных данных», а также:

      •  актов определения уровня защищенности ПДн при их обработке в ИСПДн;
      •  моделей угроз безопасности ПДн при их обработке в ИСПДн.
    5. Определение уровня защищенности ПДн при их обработке в ИСПДн должно осуществляться в соответствии с порядком, установленным Постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
    6. СЗПДн должна включать в себя следующие подсистемы:

      •  идентификации и аутентификации субъектов доступа и объектов доступа;
      •  управления доступом субъектов доступа к объектам доступа;
      •  защиты машинных носителей ПДн;
      •  регистрации событий безопасности;
      •  антивирусной защиты;
      •  контроля (анализа) защищенности ПДн;
      •  обеспечения доступности ПДн;
      •  защиты среды виртуализации;
      •  защиты технических средств;
      •  защиты ИСПДн, ее средств, систем связи и передачи данных;
      •  выявления инцидентов и реагирования на них;
      •  управления конфигурацией ИСПДн и СЗПДн.
    7. Состав требований, реализуемых каждой из подсистем СЗПДн, зависит от:

      •  уровня защищенности ПДн при их обработке в ИСПДн;
      •  структурно-функциональных характеристик и особенностей функционирования ИСПДн;
      •  состава актуальных угроз безопасности ПДн при их обработке в ИСПДн.
  5. Ответственность и контроль

    1. Ответственность за соблюдением требований в организации обработки и защиты ПДн в подразделении несет  специалист, назначенный распоряжением по подразделению.
    2. Ответственность за соблюдение требований законодательства РФ и локальных нормативных актов АО в области ПДн в подразделении АО, а также за обеспечение конфиденциальности и безопасности ПДн, несет руководитель подразделения.
    3. Внутренний контроль за соблюдением структурными подразделениями АО законодательства РФ и локальных нормативных актов АО в области ПДн, в том числе требований к защите ПДн, осуществляется лицом, ответственным за организацию обработки персональных данных в АО.
    4. Контроль исполнения требований настоящей Политики осуществляет директор по правовым вопросам.