4. СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Меры по обеспечению безопасности персональных данных при их обработке.
4.1.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.1.2. Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах с ограниченным доступом в
условиях, которые обеспечивают их защиту от несанкционированного доступа. Перечень мест хранения документов определяется Оператором. Ответственное лица, осуществляющее обработку персональных данных без использования средств автоматизации: определяет места хранения персональных данных (материальных носителей); осуществляет контроль наличия в структурном подразделении условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ; информирует лиц, осуществляющих обработку персональных данных без использования средств автоматизации, о перечне обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки; организует раздельное, то есть не допускающее смешение, хранение материальных носителей персональных данных (документов, дисков, дискет, USB флеш-накопителей, пр.), обработка которых осуществляется в различных целях. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, должно производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе.
4.1.3. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых Оператором информационных систем и специально обозначенных Оператором баз данных (внесистемное хранение персональных данных) не допускается. Обработка персональных данных с использованием средств автоматизации означает совершение действий (операций) с такими данными с помощью объектов вычислительной техники в компьютерной сети организации (далее - КСО). Безопасность персональных данных при их обработке в КСО обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в КСО информационные технологии. Технические и программные средства защиты информации должны удовлетворять устанавливаемым в соответствии с законодательством Республики Беларусь требованиям, обеспечивающим защиту информации. Средства защиты информации, применяемые в КСО, в установленном порядке проходят процедуру оценки соответствия. Работа с персональными данными в КСО должна быть организована таким образом, чтобы обеспечивалась сохранность носителей персональных данных и средств защиты информации, а также исключалась возможность неконтролируемого пребывания в этих помещениях посторонних лиц. При обработке персональных данных в КСО пользователями должно быть обеспечено: использование предназначенных для этого разделов (каталогов) носителей информации, встроенных в технические средства, или съемных маркированных носителей; недопущение физического воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование; недопущение несанкционированных выноса из помещений, установки, подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения. При обработке персональных данных в КСО разработчиками и администраторами информационных систем должны обеспечиваться: обучение лиц, использующих средства защиты информации, применяемые в КСО, правилам работы с ними; учет лиц, допущенных к работе с персональными данными в КСО, прав и паролей доступа; учет применяемых средств защиты информации, эксплуатационной и технической документации к ним; контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; описание системы защиты персональных данных. При работе со съемными носителями, содержащими персональные данные, запрещается: хранить съемные носители с персональными данными вместе с носителями открытой информации, на рабочих столах либо оставлять их без присмотра или передавать на хранение другим лицам; выносить съемные носители с персональными данными из служебных помещений для работы с ними на дому, в гостиницах и т. д.
4.1.4. Обеспечение безопасности персональных данных достигается, в частности:
· определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
· применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
· применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
· оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
· учетом машинных носителей персональных данных;
· обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
· восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
· установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
· контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
4.1.5. Для целей Положения под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационной системе персональных данных.
4.2. К защищаемым сведениям о Субъекте персональных данных относятся данные, позволяющие идентифицировать Субъект персональных данных и/или получить о нем дополнительные сведения, предусмотренные законодательством и настоящим Положением.
4.3. Защищаемые объекты персональных данных.
4.3.1. К защищаемым объектам персональных данных на Сайте относятся:
· объекты информатизации и технические средства автоматизированной обработки информации, содержащей персональные данные;
· информационные ресурсы (базы данных, файлы и др.), содержащие информацию об информационно-телекоммуникационных системах, в которых циркулируют персональные данные, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;
· каналы связи, которые используются для передачи персональных данных в виде информативных электрических сигналов и физических полей;
· отчуждаемые носители информации на магнитной, магнитно-оптической и иной основе, применяемые для обработки персональных данных.
4.3.2. Технологическая информация об информационных системах и элементах системы защиты персональных данных, подлежащая защите, включает:
· сведения о системе управления доступом на объекты информатизации, на которых осуществляется обработка персональных данных;
· управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);
· технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);
· характеристики каналов связи, которые используются для передачи персональных данных в виде информативных электрических сигналов и физических полей;
· информация о средствах защиты персональных данных, их составе и структуре, принципах и технических решениях защиты;
· служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки персональных данных.
4.4. Требования к системе защиты персональных данных.
4.4.1. Система защиты персональных данных должна обеспечивать:
· своевременное обнаружение и предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
· недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
· возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
· постоянный контроль за обеспечением уровня защищенности персональных данных.
4.5. Методы и способы защиты информации в информационных системах персональных данных.
4.5.1. Основными методами и способами защиты информации являются методы и способы защиты информации от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
4.5.2. Выбор и реализация методов и способов защиты информации осуществляется с учетом определяемых Оператором угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы.
4.5.3. Выбранные и реализованные методы и способы защиты информации должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке.
4.6. Меры защиты информации, составляющей персональные данные.
4.6.1. Меры по охране баз данных, содержащих персональные данные, принимаемые Оператором, должны включать в себя:
· определение перечня информации, составляющей персональные данные;
· ограничение доступа к информации, содержащей персональные данные, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка.
4.6.2. Меры по охране конфиденциальности информации признаются разумно достаточными, если:
· исключается доступ к персональным данным любых третьих лиц без согласия Оператора;
· обеспечивается возможность использования информации, содержащей персональные данные, без нарушения законодательства о персональных данных;
· при работе устанавливается такой порядок действий Оператора, при котором обеспечивается сохранность сведений, содержащих персональные данные Субъекта.
4.6.3. Персональные данные не могут быть использованы в целях, противоречащих требованиям закона, защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
4.7. Ответственность.
4.7.1. Все сотрудники Оператора, осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональные данные, в соответствии с Положением, требованиями законодательства Республики Беларусь.
4.7.2. Лица, виновные в нарушении требований Положения, несут предусмотренную законодательством Республики Беларусь ответственность.
4.7.3. Ответственность за соблюдение режима персональных данных по отношению к персональным данным, находящимся в базах данных Сайта, несут ответственные за обработку персональных данных.
5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
5.1. В случае изменения действующего законодательства Республики Беларусь, внесения изменений в нормативные документы по защите персональных данных, настоящее Положение действует в части, не противоречащей действующему законодательству до приведения его в соответствие с действующим законодательством.
5.2. Условия настоящего Положения устанавливаются, изменяются и отменяются Оператором в одностороннем порядке без предварительного уведомления Субъекта. С момента утверждения новой редакции Положения предыдущая редакция считается утратившей свою силу. В случае существенного изменения условий настоящего Соглашения Оператор извещает об этом Субъекта путем размещения на Сайтах соответствующего сообщения.