WWW.KN.LIB-I.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Различные ресурсы
 


«Акционерное общество «Дальневосточная распределительная сетевая компания» УТВЕРЖДАЮ И.о. Генерального директора _п/п_ А.Г. Палей ...»

П-ИСМ-4.2.4-01.20-173-01 Страница 1 из 35

Акционерное общество

«Дальневосточная распределительная сетевая компания»

УТВЕРЖДАЮ

И.о. Генерального директора

_____п/п_______ А.Г. Палей

26.07.2017

ПОЛОЖЕНИЕ

ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

П-ИСМ-4.2.4-01.20-173-01

Учтный номер экземпляра: ___________

Статус: введено в действие приказом от 26.07.2017 № 240

действует до 26.07.2022

срок действия продлн до «_____»________20__ г. ________ дата подпись срок действия продлн до «_____»________20__ г. ________ дата подпись П-ИСМ-4.2.4-01.20-173-01 Страница 2 из 35 Лист согласования Заместитель Генерального директора по безопасности С.А. Клачков п/п 26.07.2017 ОПРИСМ, заместитель Генерального директора по правовому и корпоративному обеспечению А.С. Блейхман п/п 26.07.2017 Помощник Генерального директора по информационной политике – начальник отдела по связям с общественностью О.А. Амельченко п/п** 25.07.2017 Начальник департамента правового обеспечения С.А. Коврижкин п/п** 25.07.2017 Начальник департамента информационных технологий Н.С. Артемов п/п** 25.07.2017 Начальник департамента управления персоналом Н.Ю. Пузырва п/п** 25.07.2017 Начальник отдела организационного проектирования и менеджмента качества И.В. Ермакова п/п** 26.07.2017 Начальник отдела документационного обеспечения управления С.А. Фоменко п/п** 25.07.2017 П-ИСМ-4.2.4-01.20-173-01 Страница 3 из 35 Лист согласования Директор филиала «Амурские электрические сети» п/п* Е.В. Семенюк 25.07.2017 Директор филиала «Приморские электрические сети» п/п* С.И. Чутенко 26.07.2017 Директор филиала «Хабаровские электрические сети» п/п* А.В. Бакай 25.07.2017 Директор филиала «Электрические сети

–  –  –

Содержание

1. Общие положения _______________________________________________________ 6

1.1. Цель разработки _____________________________________________________ 6

1.2. Область применения _________________________________________________ 6

2. Нормативные ссылки ____________________________________________________ 6

3. Сокращения, термины и определения ______________________________________ 7

3.1. Сокращения _________________________________________________________ 7

3.2. Термины и определения ______________________________________________ 7

4. Общие требования при обработке персональных данных субъектов и гарантии их защиты __________________________________________________________________ 9

5. Сбор, обработка и защита персональных данных ____________________________ 10

6. Хранение и использование персональных данных ___________________________ 12

7. Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных ____________________________ 13

8. Неавтоматизированная обработка персональных данных _____________________ 19

9. Обязанности Общества при передаче персональных данных субъектов _________ 20

10. Порядок работы с обращениями и запросами субъектов персональных данных _ 21

11. Права субъектов персональных данных ___________________________________ 22

12. Использование внутренней справочной системы ___________________________ 23

13. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных субъектов ___________________________________________ 23





14. Требования к хранению ________________________________________________ 23 Приложение А (обязательное) ____________________________________________ 25 Приложение Б (обязательное) ____________________________________________ 26 Приложение В (обязательное) ____________________________________________ 28 Приложение Г (обязательное) ____________________________________________ 30 Приложение Д (обязательное) ____________________________________________ 31 Приложение Е (обязательное) ____________________________________________ 32 Приложение Ж (обязательное) ____________________________________________ 33 Приложение И (обязательное) ____________________________________________ 34 П-ИСМ-4.2.4-01.20-173-01 Страница 6 из 35

1. Общие положения

1.1. Цель разработки Положение по обработке персональных данных (далее - Положение) устанавливает принципы, порядок, правила обработки и защиты персональных данных. Положение разработано в целях определения политики АО «ДРСК», как оператора, в отношении обработки персональных данных, и направлено на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

1.2. Область применения 1.2.1. Настоящее Положение является внутренним нормативным документом и обязательно для исполнения всеми работниками Общества.

1.2.2. Контроль исполнения настоящего документа осуществляет заместитель Генерального директора по безопасности.

2. Нормативные ссылки При разработке настоящего Положения использованы следующие нормативные документы:

1) Конституция РФ;

2) Федеральный закон от 30.12.2001 № 197-ФЗ «Трудовой кодекс Российской Федерации»;

3) Федеральный Закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

4) Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

5) Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;

6) Указ президента РФ от 07.03.2007 № 188 «Об утверждении перечня сведений конфиденциального характера»;

7) Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК России 15.02.2008);

8) Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв.

ФСТЭК России 14.02.2008);

9) Постановление Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

10) Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

11) Постановление Правительства от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

12) Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данП-ИСМ-4.2.4-01.20-173-01 Страница 7 из 35 ных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищнности»;

13) Специальные требования и рекомендации по технической защите конфиденциальной информации (утв. Гостехкомиссией России 30.08.2002);

14) Политика обработки персональных данных ПАО «РусГидро», утвержденная приказом ПАО «РусГидро» от 26.06.2017 № 407;

15) ДП-ИСМ-4.2.3-01.21-01 «Документированная процедура по управлению документацией»;

16) Р-ИСМ-6.3-01.15-40 «Регламент организации процесса технологического присоединения к электрическим сетям АО «ДРСК»;

17) Р-ИСМ-7.5.4-01.14-10 «Регламент формирования и оборота актов о неучтнном потреблении электрической энергии в АО «ДРСК»;

18) И-ИСМ-4.2.3-01.20-06 «Инструкция по работе с документами и материальными носителями, содержащими информацию, составляющую персональные данные»;

19) Положение о закупке продукции для нужд АО «ДРСК»;

20) П-ИСМ-7.2.2-01.16-30 «Положение по организации договорной работы»;

21) И-ИСМ-4.2.3-01.01-03 «Инструкция по делопроизводству»;

22) ДП-ИСМ-7.2.3-01.19-24 «Документированная процедура по организации работы с жалобами и обращениями потребителей»;

3. Сокращения, термины и определения

3.1. Сокращения В тексте настоящей Инструкции использованы аббревиатуры и сокращения в соответствии с ПР-ИСМ-4.2-01.21-09 «Перечень единых сокращений и аббревиатур

ОАО «ДРСК», а также следующие сокращения:

­ АО «ДРСК», Общество - Акционерное общество «Дальневосточная распределительная сетевая компания»;

­ ИСПДн - информационная система персональных данных;

­ КВС – корпоративная вычислительная сеть ­ ПДн - персональные данные;

­ ПЭВМ - персональная электронно-вычислительная машина;

­ СЗПДн - система защиты персональных данных.

3.2. Термины и определения Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств автоматизации.

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта перП-ИСМ-4.2.4-01.20-173-01 Страница 8 из 35 сональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Лица, допущенные к обработке персональных данных – работники Общества, определяемые утверждаемым списком, в должностные инструкции которых входят обязанности по обработке персональных данных.

Неправомерные действия с персональными данными – преднамеренное или случайное несанкционированное ознакомление с персональными данными, их копирование, распространение, передача, уничтожение, изменение (модификация), блокирование, а также любое иное несанкционированное использование, которое может нанести ущерб субъекту персональных данных, Обществу или государству.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общедоступные персональные данные – персональные данные, доступ к которым по просьбе субъекта персональных данных имеет неограниченный круг лиц.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц, а также бездействие ответственных должностных лиц, приведшее к утрате контроля над персональными данными субъектов.

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уполномоченные органы в области защиты персональных данных – федеральные органы исполнительной власти, уполномоченные на обеспечение контроля и П-ИСМ-4.2.4-01.20-173-01 Страница 9 из 35 надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации, а также на разработку нормативных правовых актов и методических документов в области обеспечения безопасности персональных данных.

4. Общие требования при обработке персональных данных субъектов и гарантии их защиты

4.1. Обработка ПДн в Обществе осуществляется на основе следующих принципов:

- законности целей и способов обработки ПДн и добросовестности;

- соответствия целей обработки ПДн целям, заранее определнным и заявленным при сборе ПДн, а также полномочиям оператора;

- соответствия объма и характера обрабатываемых ПДн, способов обработки ПДн целям обработки;

- достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;

- недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем ПДн.

4.2. При определении объма и содержания ПДн субъектов, необходимых Обществу в связи с хозяйственной деятельностью, Общество руководствуется требованиями действующих нормативно-правовых и нормативно-методических документов РФ, распорядительными документами АО «ДРСК» и вышестоящих организаций.

4.3. Обработка ПДн субъектов может осуществляться исключительно в целях:

- исполнения любых договорных обязательств и организации взаимодействия, одной из сторон которых является субъект ПДн;

- исполнения требований трудового (иного) законодательства РФ;

- защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

- идентификации контрагентов, являющихся потребителями услуг Общества, с целью последующего выставления счетов на оплату услуг в рамках выполнения Обществом положений действующих договоров;

- рассмотрения исковых претензий контрагентов;

- составления исковых претензий к контрагентам;

- организации пропускной системы на территорию объектов Общества;

- формирования кадрового резерва;

- оформления фактов бездоговорного (безучетного) потребления электрической энергии;

- исполнения требований законодательства при проведении закупочных процедур (ПДн субъектов-бенефициаров участников закупочных процедур);

- оформления обращений субъектов по различным вопросам;

- выполнения иных требований нормативно-правовых документов РФ.

4.4. Обработка ПДн производится неавтоматизированным и автоматизированным способом в рамках имеющихся (используемых) информационных систем персональных данных.

4.5. Все ПДн субъектов, полученные Обществом, относятся к конфиденциальной информации, за исключением той, которая является общедоступной.

П-ИСМ-4.2.4-01.20-173-01 Страница 10 из 35

5. Сбор, обработка и защита персональных данных

5.1. Общество получает ПДн субъектов от них самих или от третьей стороны, с их согласия.

5.2. Субъект принимает решение о предоставлении своих ПДн и дает согласие на их обработку своей волей и в своем интересе. Субъекты отвечают за достоверность информации, которую они предоставляют Обществу о себе, в соответствии с законодательством Российской Федерации. В отдельных случаях в соответствии со ст. 6 Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных» согласие на обработку ПДн не требуется.

Если ПДн субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Общество должно сообщить субъекту о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа субъекта дать письменное согласие на их получение.

5.3. Обязанность предоставить доказательство получения согласия субъекта на обработку его ПДн возлагается на Общество.

5.4. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие на обработку персональных данных в форме электронного документа, подписанного в соответствии с требованиями Федерального закона РФ от 06.04.2011 № 63-ФЗ «Об электронной подписи» электронной подписью.

Согласие в письменной форме на обработку ПДн должно включать в себя установленные Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных» реквизиты:

- фамилию, имя, отчество, адрес субъекта ПДн, номер документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- фамилию, имя, отчество, адрес законного представителя субъекта ПДн, номер документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);

- наименование и адрес оператора, получающего согласие субъекта ПДн;

- цель обработки ПДн;

- перечень ПДн, на обработку которых дается согласие субъекта ПДн;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;

- перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;

- срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом;

- подпись субъекта ПДн.

Для субъектов ПДн, не являющихся работниками оператора, при необходимости получения согласия на обработку их ПДн, согласие должно содержать только необходимые пункты в соответствии со ст. 9 Федерального закона РФ от 27.07.2006 П-ИСМ-4.2.4-01.20-173-01 Страница 11 из 35 года № 152-ФЗ «О персональных данных». Получение излишней информации от субъекта ПДн не допускается.

5.5. Общество не вправе получать и обрабатывать ПДн субъектов:

- об их политических, религиозных и иных убеждениях, частной жизни;

- об их членстве в общественных или иных объединениях, кроме случаев, предусмотренных Федеральным законом;

- о состоянии здоровья и другие данные, выходящие за пределы финансовохозяйственных взаимоотношений.

5.6. При приме резюме и иной информации, содержащей ПДн субъекта, от соискателя на замещение вакантной должности работник, принимающий резюме, обязан получить согласие на обработку ПДн субъекта (Приложение А). Допускается с согласия субъекта ПДн передача ПДн третьим лицам с целью дальнейшего трудоустройства субъекта. Обработка ПДн соискателей на замещение вакантных должностей без письменного согласия на обработку не допускается.

5.7. При обработке ПДн работников Общества сбор ПДн осуществляется департаментом управления персоналом, в филиалах Общества - отделами управления персоналом путм предоставления работниками необходимых документов и заполнения форм в соответствии с порядком оформления кадровых процедур в Обществе.

При этом проводится проверка достоверности сведений путм сверки с имеющимися у работника документами. При приме нового работника, от него бертся согласие на обработку его ПДн (Приложение Б).

5.8. При проведении закупочных процедур сбор ПДн субъектов-бенефициаров участников закупочных процедур осуществляется службой экономической безопасности (подразделениями экономической безопасности в филиалах). При этом при предъявлении пакета документации для участия в закупочной процедуре, участником закупочной процедуры предоставляется согласие на обработку ПДн всей цепочки собственников. (Приложение В).

5.9. Сбор ПДн остальных групп субъектов осуществляется заинтересованными подразделениями путм прима необходимых документов и/или заполнения форм в соответствии с нормативно-правовыми, нормативно-методическими документами

РФ, требованиями внутренних нормативных документов:

- Положение о закупке продукции для нужд АО «ДРСК»;

- П-ИСМ-7.2.2-01.16-30 «Положение по организации договорной работы»;

- И-ИСМ-4.2.3-01.20-06 «Инструкция по работе с документами и материальными носителями, содержащими информацию, составляющую персональные данные»;

- И-ИСМ-4.2.3-01.01-03 «Инструкция по делопроизводству»;

- ДП-ИСМ-7.2.3-01.19-24 «Документированная процедура по организации работы с жалобами и обращениями потребителей»;

- Р-ИСМ-6.3-01.15-40 «Регламент организации процесса технологического присоединения к электрическим сетям АО «ДРСК»;

- Р-ИСМ-7.5.4-01.14-10 «Регламент формирования и оборота актов о неучтнном потреблении электрической энергии в АО «ДРСК».

5.10. Перед обработкой в Обществе утверждается определнный состав ПДн субъектов, подлежащих обработке. Перечень обрабатываемых ПДн составляется в отношении каждой ИСПДн, эксплуатируемой в Обществе и утверждается Генеральным директором Общества.

5.11. Защита ПДн субъекта от реализации угроз безопасности, неправомерноП-ИСМ-4.2.4-01.20-173-01 Страница 12 из 35 го их использования или утраты, обеспечивается Обществом за счет своих средств и в порядке, установленном законодательными нормативными актами, внутренними нормативными документами Общества.

5.12. Список работников, уполномоченных на обработку ПДн в Обществе, утверждается приказом Генерального директора Общества (в исполнительном аппарате) и директорами филиалов Общества (в филиалах).

5.13. В должностные инструкции работников, уполномоченных на обработку и использование ПДн, включаются обязанности по обеспечению конфиденциальности ПДн и безопасности ПДн при их обработке.

5.14. При передаче персональных данных третьей стороне должны соблюдаться следующие требования:

- на всех этапах передачи ПДн не допускается использование открытых (незащищнных) каналов связи или способов передачи материальных носителей защищаемой информации;

- передача Обществом ПДн третьей стороне осуществляется на основании договора (соглашения) или на основании действующего законодательства РФ;

- существенным условием договора является обеспечение третьей стороной конфиденциальности ПДн и безопасности ПДн при их обработке с заключением соглашения о конфиденциальности;

5.15. Субъекты ПДн в целях обеспечения защиты ПДн имеют право:

- на ознакомление с документами Общества, устанавливающими порядок обработки ПДн, а также с их правами и обязанностями в этой области;

- получать полную информацию об имеющихся в Обществе своих ПДн, источниках их получения, сроках и характере их обработки;

- знакомиться со своими ПДн, обрабатываемыми Обществом, включая право на получение копий любой записи, содержащей ПДн субъекта;

- требовать уточнения своих ПДн, блокирования или уничтожения, в случае если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являющимися необходимыми для заявленной цели обработки. При отказе Обществом исключить или исправить ПДн контрагента, субъект ПДн имеет право заявить в письменной форме Обществу о свом несогласии, с соответствующим обоснованием такого несогласия;

- требовать от Общества извещения всех лиц, которым ранее были сообщены недостоверные или неполные ПДн субъекта, обо всех произведнных в них исключениях, исправлениях или дополнениях;

- обжаловать в установленном порядке неправомерные действия или бездействие Общества при обработке и защите их ПДн;

- на получение сведений о лицах, которые имеют доступ к ПДн или которым может быть предоставлен такой доступ.

5.16. Работники Общества должны быть ознакомлены под роспись с настоящим Положением, устанавливающим порядок обработки ПДн, а также их права и обязанности в этой области.

6. Хранение и использование персональных данных

6.1. Подразделения, ответственные за работу с ПДн, и работники, уполномоченные на обработку ПДн, организуют их обработку, хранение и использование в строгом соответствии с действующим законодательством Российской Федерации, П-ИСМ-4.2.4-01.20-173-01 Страница 13 из 35 внутренними нормативными документами Общества, регламентирующими порядок работы с ПДн и настоящим Положением.

6.2. Обработка, использование и хранение ПДн субъектов осуществляется в рамках отдельных видов финансово-хозяйственной деятельности Общества, заявленных в Уставе.

6.3. Обработка, использование и хранение ПДн работников осуществляются для ведения кадровой работы, количественного и качественного анализа персонала, подготовки статистической отчтности, предоставления руководству Общества оперативной информации.

6.4. Хранение ПДн субъектов на бумажных, съмных электронных и других материальных носителях осуществляется в специально предназначенных для этих целей помещениях, исключающих доступ посторонних лиц.

6.5. Документы, содержащие ПДн, могут храниться в ИСПДн в следующем виде:

- в виде записей в базах данных информационной системы;

- в виде отдельных файлов на рабочих станциях лиц, ответственных за обработку ПДн или на сетевых ресурсах подразделений, доступ к которым строго регламентирован;

- в виде документов на бумажных носителях.

6.6. При работе с документами, содержащими ПДн, запрещается:

- брать документы для работы и на хранение домой;

- выносить документы из офиса без разрешения руководителя подразделения, ответственного за обработку ПДн;

- держать документы вне сейфа (запираемого шкафа, ящика) без необходимости в процессе работы;

- передавать документы на хранение лицам, не имеющим права доступа к данным документам.

6.7. Двери помещений, в которых осуществляется хранение ПДн, должны быть оборудованы наджными замками. После окончания рабочего дня помещения сдаются под охрану в установленном порядке.

6.8. При работе с ПДн, в целях исключения их хищения и исключения доступа посторонних лиц, запрещается оставлять документы и другие носители с ПДн без присмотра.

6.9. Выдача личных дел работников по запросу Генерального директора, заместителей Генерального директора и других уполномоченных работников, действующих в объеме предоставленных им Генеральным директором Общества прав и обязанностей в области трудовых отношений, с соблюдением требований настоящего Положения, производится на срок не более одного рабочего дня.

6.10. Уполномоченное должностное лицо, получив на ознакомление личное дело работника, до конца рабочего дня обязано обеспечить его возвращение в департамент управления персоналом (отдел управления персоналом филиала).

6.11. Все работники Общества, допущенные к обработке ПДн, обязаны подписать обязательство о неразглашении персональных данных (Приложение Г).

7. Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных

–  –  –

нальных данных (ИСПДн) достигается путм исключения несанкционированного, в т.ч. случайного доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иных несанкционированных действий.

7.2. Безопасность ПДн в ИСПДн обеспечивается с помощью системы защиты ПДн, включающей организационные и технические меры. К техническим мерам могут относиться средства криптографической защиты информации, средства защиты от несанкционированного доступа, средства защиты от утечки информации по техническим каналам, средства антивирусной защиты, системы обнаружения вторжений, средства анализа уязвимостей, системы анализа и предотвращения утечек информации.

7.3. Применяемые методы и способы защиты ИСПДн зависят от уровня защищнности ПДн, определнного в ИСПДн и актуальных угроз безопасности ПДн.

7.4. Определение уровня защищнности проводится комиссией, созданной приказом Генерального директора Общества, в состав которой входят представители заинтересованных структурных подразделений Общества.

7.5. Определение уровня защищнности ПДн проводится во вновь создаваемых, а также ранее введнные в эксплуатацию ИСПДн.

7.6. Результаты определения уровня защищнности ПДн оформляются соответствующим актом. Определнный комиссией уровень защищнности ПДн утверждается Генеральным директором Общества.

7.7. Организация работ по обеспечению безопасности ПДн и созданию системы защиты ПДн возлагается на службу экономической безопасности, департамент информационных технологий и их подразделения в филиалах Общества в рамках действующих нормативно-правовых, нормативно-методических документов РФ.

7.8. Финансирование мероприятий по защите ПДн при их обработке в ИСПДн осуществляется в рамках соответствующих статей бюджета Общества.

7.9. Организационные меры по защите ПДн, обрабатываемых в ИСПДн Общества:

- обучение работников Общества правилам обработки ПДн проводится периодически на протяжении всего жизненного цикла ИСПДн. Первичный инструктаж проводится до начала обработки ПДн работником при установке на АРМ прикладного программного обеспечения, а также при смене пользователей на рабочей станции.

В дальнейшем особенности обеспечения безопасности ПДн доводятся пользователям ИСПДн при обновлении программного обеспечения и ремонте аппаратных средств.

При необходимости обучения (консультирования) лиц, использующих средства обработки информации, применяемые в ИСПДн, правилам работы с ними осуществляется работниками департамента информационных технологий и его структурными подразделениями в филиалах;

- организация учета применяемых средств защиты ПДн. Состав средств защиты информации, применяемых в ИСПДн, фиксируется в Техническом паспорте ИСПДн;

- организация учета носителей ПДн (рабочих станций и серверов, съемных носителей, и т.д.). Учт производится в «Журнале регистрации материальных носителей информации, содержащей персональные данные» (приложение Г к И-ИСМИнструкция по работе с документами и материальными носителями, содержащими информацию, составляющую персональные данные»), который входит в состав эксплуатационной документации ИСПДн.

П-ИСМ-4.2.4-01.20-173-01 Страница 15 из 35

- организация разработки внутренних нормативных и распорядительных документов. Процессы обработки (получение, хранение, передача, а также защита) ПДн регламентируются набором внутренних нормативных и распорядительных документов в соответствии с требованиями нормативно-методических документов РФ и требованиями внутренних нормативных документов АО «ДРСК» и вышестоящих организаций;

- обеспечение режима хранения материальных носителей ПДн;

- механизм допуска работников к защищаемой информации, содержащей ПДн;

- предотвращение передачи защищаемой информации на любых носителях информации в составе средств вычислительной техники перед передачей таких средств в ремонт сторонним организациям;

- проведение периодических плановых и внеплановых проверок соблюдения требований безопасной обработки информации, содержащей ПДн;

- периодический анализ технологического процесса обработки защищаемой информации, в ходе которого сопоставляются особенности обработки информации на всех этапах и применяемые меры защиты, а также анализируются предположения о появлении новых угроз безопасности.

7.10. Технические мероприятия по защите ПДн:

- количественный и качественный набор применяемых при обработке ПДн средств и механизмов защиты определяется по результатам предпроектного обследования информационных систем;

- аппаратные и программные средства, используемые для обработки ПДн в ИСПДн, должны удовлетворять установленным в соответствии с законодательством РФ требованиям, выполнение которых обеспечивает защиту информации;

- создание СЗПДн является необходимым условием обеспечения безопасности ПДн в том случае, если принимаемые организационные меры и проводимые технические мероприятия по защите ПДн не соответствуют требованиям к обеспечению безопасности ПДн определенного уровня защищенности и (или) не могут нейтрализовать всех угроз безопасности ПДн для данной ИСПДн.

Нормативным документом ФСТЭК России «Специальные требования и рекомендации по технической защите конфиденциальной информации» при построении эффективной системы защиты информации рекомендованы следующие стадии создания информационных систем:

- предпроектная стадия, включающая предпроектное обследование ИСПДн, разработку технического (частного технического) задания на создание СЗПДн;

- стадия проектирования (разработки проекта) и реализации ИСПДн, включающая разработку СЗПДн в составе ИСПДн;

- стадия ввода в действие СЗПДн, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также оценку соответствия ИСПДн требованиям по безопасности информации.

7.11. Предпроектная стадия предусматривает выполнение следующих мероприятий:

- определение необходимости обработки ПДн в ИСПДн;

- определение перечня ПДн, подлежащих защите;

- определение условий расположения средств вычислительной техники и каналов связи ИСПДн относительно границ контролируемой зоны;

- определение конфигурации и топологии ИСПДн в целом и ее отдельных комП-ИСМ-4.2.4-01.20-173-01 Страница 16 из 35 понентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

- определение состава технических средств и систем, предполагаемых к использованию в разрабатываемой ИСПДн, условий их расположения, состава общесистемных и прикладных программных средств, имеющихся и предлагаемых к разработке;

- определение режимов обработки ПДн в ИСПДн в целом и в отдельных компонентах;

- уточнение степени участия персонала в обработке ПДн, характер взаимодействия работников между собой;

- уточнение угроз безопасности ПДн применительно к конкретным условиям функционирования ИСПДн (разработка частной модели угроз безопасности ПДн);

- определение уровня защищенности ПДн;

- по результатам предпроектного обследования с учетом установленного уровня защищенности ПДн формулировка конкретных требований по обеспечению безопасности ПДн и оформление требований по обеспечению безопасности ПДн, обрабатываемых в ИСПДн, включаемых в техническое (частное техническое) задание на разработку СЗПДн.

7.12. Техническое (частное техническое) задание на разработку СЗПДн содержит:

- обоснование разработки СЗПДн;

- исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах;

- уровень защищенности ПДн;

- ссылки на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;

- конкретизацию мероприятий и требований к СЗПДн;

- перечень предполагаемых к использованию средств и механизмов защиты информации, включая компенсирующие меры;

- обоснование применения собственных средств или методов защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;

- состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

7.13. Стадия проектирования предусматривает проведение следующих мероприятий:

- разработку задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) ИСПДн, в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;

- разработку раздела технического проекта на ИСПДн в части защиты информации;

- проведение строительно-монтажных работ в соответствии с проектной документацией;

- использование серийно выпускаемых технических средств обработки, передачи и хранения информации;

- разработку мероприятий по защите информации в соответствии с предъявляемыми требованиями;

П-ИСМ-4.2.4-01.20-173-01 Страница 17 из 35

- использование аппаратных, программных и программно-аппаратных средств защиты информации и их установку;

- при необходимости сертификацию по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные средства защиты информации;

- разработку и реализацию разрешительной системы доступа пользователей к защищаемым ресурсам ИСПДн;

- определение подразделений и назначение лиц, ответственных за эксплуатацию системы защиты информации, с их обучением по направлению обеспечения безопасности ПДн;

- разработку эксплуатационной документации на ИСПДн, а также распорядительной и внутренней нормативной документации по защите информации (приказы, инструкции, другие документы).

7.14. Стадия ввода в эксплуатацию предусматривает проведение следующих мероприятий:

- генерацию пакетов прикладных программ в комплексе с программными средствами защиты информации;

- опытную эксплуатацию средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн;

- приемо-сдаточные испытания системы защиты информации по результатам опытной эксплуатации;

- организацию охраны и физической защиты помещений ИСПДн, которые исключают несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;

- оценку эффективности реализованных в рамках СЗПДн мер по обеспечению безопасности ПДн. Данная оценка проводится Обществом самостоятельно, либо с привлечением на договорной основе юридических лиц или индивидуальных предпринимателей, имеющих лицензию на деятельность по технической защите конфиденциальной информации. Оценка проводится не реже одного раза в три года.

7.15. В рамках реализации мер по обеспечению безопасности ПДн в Обществе разрабатываются следующие распорядительные, учетные документы и процедуры:

- список лиц, допущенных к обработке ПДн в исполнительном аппарате и в филиалах Общества;

- положение по обработке ПДн, в котором определяется политика Общества в отношении обработки ПДн (права и обязанности субъектов ПДн, общий порядок обработки ПДн в Обществе);

- типовые формы согласия субъектов на обработку их ПДн;

- порядок реагирования на запросы субъектов ПДн, в котором определяются сроки, порядок и состав мероприятий по реагированию работников Общества на поступившие запросы субъектов ПДн в части реализации их прав, определнных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных»;

- порядок обмена информацией с контрагентами (раздел договора с контрагентом, либо дополнительное соглашение об информационном обмене), в котором определяется порядок действий при обмене ПДн с третьим лицам для последующей обработки;

- технический паспорт ИСПДн (сегмента ИСПДн для филиалов Общества), в П-ИСМ-4.2.4-01.20-173-01 Страница 18 из 35 котором содержится информация об установленном уровне защищенности ПДн, описание технологического процесса обработки ПДн, отражаются структурные и технологические схемы, определяется состав средств обработки информации, состав используемых средств защиты информации, состав общесистемного и прикладного программного обеспечения, перечень обрабатываемых ПДн;

- разрешительная система доступа, определяющая порядок предоставления прав доступа пользователей к защищаемым ресурсам ИСПДн;

- порядок работы с носителями информации, содержащими персональные данные;

- порядок резервного копирования и восстановления массивов информации, в котором определяется алгоритм проведения мероприятий по резервному копированию информационных ресурсов, которые задействованы в обработке ПДн, а также порядок восстановления данных из резервных копий в случае сбоя или выхода из строя средств обработки ПДн;

- инструкция администратора безопасности ИСПДн, в которой содержатся права и обязанности администратора безопасности ИСПДн;

- журнал инструктажа пользователей и обслуживающего персонала ИСПДн, для фиксации фактов прохождения пользователями и обслуживающим персоналом ИСПДн инструктажа по обеспечению режима безопасности обработки ПДн. (Приложение Д);

- журнал регистрации материальных носителей, содержащих ПДн;

- журнал учета мероприятий по защите информации в ИСПДн. Документ фиксирует факты проведения различного рода мероприятий по защите ПДн, таких, как установка, замена средств защиты, внедрение организационных мер по защите ПДн и т.п. Выполняется в виде таблицы (Приложение Е);

- журнал учета ремонтно-восстановительных работ серверного и коммутационного оборудования. Журнал фиксирует процесс передачи серверного и коммутационного оборудования на сервисное обслуживание и ремонт с подробным указанием наименования технического средства, его функциональной роли, организации, выполняющей работы, и т.п. Выполняется в виде таблицы (Приложение Ж).

7.16. Модернизация функционирующих СЗПДн осуществляется в следующих случаях:

- при изменении состава, структуры ИСПДн или технических особенностей ее построения (состава или структуры программного обеспечения, технических средств обработки ПДн, топологии корпоративной вычислительной сети или ее сегментов и т.п.);

- при значительном изменении технологического процесса обработки защищаемой информации;

- при изменении перечня угроз безопасности ПДн;

- при изменении уровня защищенности ПДн.

7.17. Для определения необходимости доработки (модернизации) СЗПДн не реже одного раза в год проводится аудит состава и структуры ИСПДн, технологического процесса обработки защищаемой информации, перечня угроз безопасности ПДн в ИСПДн и уровня защищенности ПДн. Аудит проводится службой экономической безопасности с участием департамента информационных технологий. Результаты аудита оформляются актом.

7.18. С целью контроля за соблюдением установленного порядка защиты ПДн П-ИСМ-4.2.4-01.20-173-01 Страница 19 из 35 необходимо:

- в случае обнаружения фактов несоблюдения условий хранения носителей ПДн, использования средств защиты информации, применение которых может привести к нарушению заданного уровня защищенности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, нарушения заданных свойств безопасности ПДн (конфиденциальность/целостность/доступность) или получения информации о несанкционированном доступе к обрабатываемым ПДн субъектов, руководитель соответствующего структурного подразделения направляет в службу экономической безопасности служебную записку с изложением обстоятельств произошедшего;

- по выявленным фактам нарушений установленного порядка обработки ПДн специально назначенной комиссией Общества проводится служебное расследование;

- по результатам расследования принимаются меры по предотвращению подобных нарушений в дальнейшем, а также вырабатываются предложения по привлечению виновных лиц к ответственности.

8. Неавтоматизированная обработка персональных данных

8.1. Часть процессов обработки ПДн производится неавтоматизированным способом, в частности – обработка ПДн на бумажных носителях.

8.2. Требования к неавтоматизированной обработке ПДн и мероприятия по их выполнению:

- ПДн при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков);

- для выполнения данного требования при обработке ПДн исключительно на бумажных носителях, хранение документов, содержащих ПДн, осуществляется в специально отведенных местах;

- учет документов и материальных носителей осуществляется в соответствии с требованиями И-ИСМ-4.2.3-01.20-06 «Инструкция по работе с документами и материальными носителями, содержащими информацию, составляющую персональные данные»;

- при фиксации ПДн на бумажных носителях не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо несовместимы;

- работники Общества осуществляют обработку ПДн в соответствии со своими должностными обязанностями.

8.3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (типовая форма), должны соблюдаться следующие условия:

- документы, разрабатываемые в процессе неавтоматизированной обработки ПДн, должны печататься на фирменном бланке Общества, либо содержать необходимые реквизиты. При этом цель, сроки обработки ПДн должны содержаться в преамбуле документа;

- субъект ПДн до начала обработки дат сво согласие на обработку ПДн, как с использованием средств автоматизации, так и без использования таких средств, если иное не предусмотрено действующим законодательством;

П-ИСМ-4.2.4-01.20-173-01 Страница 20 из 35

- при неавтоматизированной обработке ПДн осуществляется раздельное хранение документов, содержащих ПДн субъекта, обработка которых осуществляется в различных целях;

- обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных, либо имеющих доступ к ним;

- при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.

8.4. При несовместимости целей обработки ПДн, зафиксированных на одном бумажном носителе, если такой носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн, предпринимается уничтожение ПДн, если это допускается материальным носителем. Уничтожение может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

8.5. Обработка ПДн субъектов ПДн, связанная с однократным пропуском субъекта на территорию Общества, осуществляется при соблюдении следующих условий:

- организация учета доступа посетителей в здания АО «ДРСК» по временным карточкам-пропускам системы контроля и управления доступом;

- предъявление посетителем (субъектом) документа, удостоверяющего его личность;

- ПДн субъекта фиксируются однократно в объеме, необходимом для пропуска субъекта на территорию Общества (фамилия, имя, отчество).

9. Обязанности Общества при передаче персональных данных субъектов

9.1. Передача ПДн субъектов контрольно-надзорным органам и в государственные информационные системы осуществляется в соответствии с действующим законодательством РФ. (МВД, ФСБ РФ, прокуратура РФ, судебные органы и др.).

9.2. При передаче ПДн субъектов Общество должно соблюдать следующие требования:

- не сообщать ПДн третьей стороне без письменного согласия субъекта за исключением случаев, когда это необходимо в целях выполнения требований законодательства РФ;

- письменно предупреждать лиц, получающих ПДн субъектов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получающие ПДн субъектов, обязаны соблюдать режим конфиденциальности;

- не сообщать ПДн субъектов без их письменного согласия, за исключением случаев, предусмотренных действующим законодательством.

9.3. При передаче ПДн работников Общество должно соблюдать следующие требования:

- не сообщать ПДн работника третьей стороне без письменного согласия раП-ИСМ-4.2.4-01.20-173-01 Страница 21 из 35 ботника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных Трудовым кодексом Российской Федерации и иными федеральными законами;

- письменно предупреждать лиц, получающих ПДн работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получающие ПДн работника, обязаны соблюдать режим конфиденциальности. Данное Положение не распространяется на обмен ПДн работников в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами;

- передача ПДн работников страховым компаниям, банкам, негосударственным пенсионным фондам, организациям здравоохранения, туристическим компаниям, санаториям, билетным кассам осуществляется только с согласия работников;

- родственникам, членам семьи, либо доверенным лицам работника передача ПДн осуществляется по письменному запросу о предоставлении ПДн на имя Генерального директора Общества (директора филиала) с указанием цели предоставления и характера ПДн. Такая передача ПДн осуществляется только при условии получения письменного согласия работника, данные которого запрашиваются, либо по письменному заявлению самого работника;

- передача ПДн работников в пределах Общества осуществляется с соблюдением правил, установленных законодательством, настоящим Положением, другими внутренними нормативными документами, с которыми работники должны быть ознакомлены под роспись, и распоряжениями руководителя Общества таким образом, чтобы обеспечивалась конфиденциальность этих данных, их защита от неправомерного использования или утраты.

9.4. Общество вправе передавать ПДн работника его представителям в порядке, установленном Трудовым кодексом Российской Федерации и ограничивать эту информацию только теми ПДн работника, которые необходимы для выполнения указанных представителями функций.

9.5. Передача ПДн субъектов, не являющихся работниками Общества, в пределах Общества осуществляется с соблюдением правил, установленных законодательством, настоящим Положением, другими внутренними нормативными документами и распоряжениями руководителя Общества таким образом, чтобы обеспечивалась конфиденциальность этих данных, их защита от неправомерного использования или утраты.

9.6. Общество вправе передавать ПДн субъектов, не являющихся работниками Общества, его законным представителям при предъявлении последним юридически значимых документов, подтверждающих полномочия по защите законных интересов субъектов ПДн.

10. Порядок работы с обращениями и запросами субъектов персональных данных

10.1. Все обращения от субъектов ПДн по вопросам обработки их ПДн регистрируются отделом документационного обеспечения управления и их подразделениями в филиалах. После регистрации обращение рассматривается руководителем Общества (филиала, СП, РЭС) и определяется исполнитель для подготовки ответа на обП-ИСМ-4.2.4-01.20-173-01 Страница 22 из 35 ращение.

10.2. При обращении субъекта ПДн ему предоставляется информация о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также возможность ознакомления с ними.

10.3. При получении письменного запроса субъекта ПДн на предоставление информации об обработке ПДн, относящихся к соответствующему субъекту, ему предоставляется необходимая информация в письменном виде в течение семи рабочих дней с даты получения запроса.

В случае отказа в предоставлении субъекту ПДн сведений о соответствующем субъекте ПДн, а также об их наличии Общество обязано дать в письменной форме мотивированный ответ, содержащий ссылку на положение ст. 14 Федерального закона «О персональных данных» или иного федерального закона, являющегося основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта ПДн, либо с даты получения запроса.

Учет обращений субъектов персональных данных ведется в СЭД 1С: «Документооборот».

10.4. При предоставлении субъектом ПДн сведений о том, что его ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, заинтересованными подразделениями Общества вносятся в них необходимые изменения или они уничтожаются (блокируются). Об этом уведомляется субъект ПДн, а также третьи лица, которым ПДн этого субъекта были переданы.

Запросы субъектов ПДн, касающиеся уточнения ПДн, получения сведений об операторе, о месте его нахождения, о наличии у оператора ПДн, относящихся к соответствующему субъекту ПДн, а также ознакомления с такими ПДн могут направляться как в письменном виде, так и в виде электронных документов, подписанных с использованием средств электронной подписи в соответствии с законодательством Российской Федерации.

10.5. Сведения, предоставленные субъекту ПДн при запросе или обращении, не должны содержать ПДн, относящихся к другим субъектам ПДн.

10.6. При получении запроса уполномоченного органа по защите прав субъектов ПДн, ему предоставляются необходимые для осуществления деятельности указанного органа сведения в течение семи рабочих дней с даты получения запроса.

11. Права субъектов персональных данных

В целях обеспечения защиты ПДн, обрабатывающихся в Обществе, субъекты

ПДн имеют право на:

- получение полной информации об имеющихся в Обществе своих ПДн и специфике обработки этих данных;

- свободный доступ к своим ПДн на основании письменного заявления в установленном в Обществе порядке, включая право на получение копий любой записи, содержащей ПДн субъекта, в течение семи рабочих дней со дня письменного обращения, за исключением случаев, предусмотренных Федеральным Законом;

- требование об исключении или исправлении неверных или неполных ПДн, а также данных, обрабатываемых с нарушением требований законодательства РФ. При отказе Обществом исключить или исправить ПДн субъекта, субъект ПДн имеет право П-ИСМ-4.2.4-01.20-173-01 Страница 23 из 35 заявить в письменной форме Обществу о своем несогласии с соответствующим обоснованием такого несогласия. ПДн оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

- требование об извещении Обществом всех лиц, которым ранее были сообщены неверные или неполные ПДн субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- обжалование в суде любых неправомерных действий или бездействия Общества при обработке и защите его ПДн.

12. Использование внутренней справочной системы

При эксплуатации внутренней справочной системы Общества с письменного согласия работников (Приложение И) используются следующие персональные данные работника:

- фамилия, имя, отчество;

- должность;

- подразделение;

- номер контактного телефона;

- адреса служебной электронной почты;

- адрес места дислокации, номер кабинета;

- дата рождения;

- сведения (даты) о нахождении в командировке, отпуске, пребывании на больничном;

- фотография.

По письменному требованию работника набор сведений о нем может быть скорректирован.

13. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных субъектов Лица, виновные в нарушении норм, регулирующих обработку и защиту ПДн субъектов, несут дисциплинарную, административную, гражданско-правовую и (или) уголовную ответственность в соответствии с Федеральными Законами Российской Федерации.

–  –  –

Подлинник настоящего Положения хранится в службе экономической безопасности. «Журнал учета мероприятий по защите информации в ИСПДн АО «ДРСК», «Журнал учта ремонтно - восстановительных работ серверного и коммутационного оборудования АО «ДРСК», «Журнал инструктажа пользователей и обслуживающего персонала ИСПДн АО «ДРСК», «Журнал регистрации съмных носителей информации» хранятся в службе экономической безопасности и ее подразделениях в филиалах.

Электронная версия Положения располагается на внутреннем сайте в разделе П-ИСМ-4.2.4-01.20-173-01 Страница 24 из 35 «Нормативные документы», а также в открытом доступе на интернет-сайте сервиса «Личный кабинет» и на официальном интернет-сайте АО «ДРСК» в разделе «Карьера».

Изменения в данный документ вносятся в соответствии с ДП-ИСМ-4.2.3-01.21Документированная процедура по управлению документацией».

–  –  –

Я, _____________________________________________________________________, (фамилия, имя, отчество полностью) в соответствии со статьей 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", в целях:

- рассмотрения моей кандидатуры на замещения вакантных должностей и формирования и ведения кадрового резерва даю согласие АО «Дальневосточная распределительная сетевая компания», расположенному по адресу: г. Благовещенск, ул. Шевченко, д. 28, на автоматизированную, а также без использования средств автоматизации обработку моих персональных данных, а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, предоставление филиалам АО «Дальневосточная распределительная сетевая компания».

Перечень моих персональных данных, на обработку которых я даю согласие:

- фамилия, имя, отчество;

- пол, возраст;

- указание населенного пункта моего проживания;

- контактный телефон;

- данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;

- сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;

- сведения о деловых и иных личных качествах, носящих оценочный характер;

- иные сведения, предоставляемые мною.

Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.

–  –  –

Я, _____________________________________________________________________, (фамилия, имя, отчество полностью) в соответствии со статьей 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", в целях:

- обеспечения соблюдения законов и иных нормативных правовых актов;

- заключения и регулирования трудовых отношений и иных непосредственно связанных с ними отношений;

- отражения информации в кадровых документах;

- начисления заработной платы;

- исчисления и уплаты предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование;

- представления работодателем установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ, сведений подоходного налога в ФНС России, сведений в ФСС РФ;

- предоставления сведений в коммерческие банки (с которыми установлены договорные отношения по вопросам ведения зарплатных проектов) для оформления счетов, банковских карт и перечисления заработной платы;

- предоставления сведений третьим лицам для оформления полиса ДМС;

- предоставления налоговых вычетов;

- контроля количества и качества выполняемой мной работы;

- обеспечения сохранности имущества работодателя даю согласие Акционерному обществу «Дальневосточная распределительная сетевая компания», расположенному по адресу: г. Благовещенск, ул. Шевченко, д. 28, на автоматизированную, а также без использования средств автоматизации обработку моих персональных данных, а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, предоставление фиП-ИСМ-4.2.4-01.20-173-01 Страница 27 из 35 лиалам АО «Дальневосточная распределительная сетевая компания».

Перечень моих персональных данных, на обработку которых я даю согласие:

- фамилия, имя, отчество;

- пол, возраст;

- дата и место рождения;

- паспортные данные (серия, номер, дата выдачи, наименование органа, выдавшего документ);

- адрес регистрации по месту жительства и адрес фактического проживания;

- контактный телефон;

- данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;

- семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления мне льгот, предусмотренных трудовым и налоговым законодательством;

- отношение к воинской обязанности;

- сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;

- СНИЛС;

- ИНН;

- информация о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности;

- сведения о доходах в АО «ДРСК»;

- сведения о деловых и иных личных качествах, носящих оценочный характер.

Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.

–  –  –

в соответствии со ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", в целях участия в закупочных процедурах, даю согласие на обработку Акционерным обществом "РусГидро Снабжение" (сокращенное наименование: АО "РГС", место нахождения: 125362, г. Москва, пр. Строительный, дом 7А, корпус 5, ОГРН: 1041500751016, ИНН:1510012774, КПП: 773301001), Публичным акционерным обществом «Федеральная гидрогенерирующая компания – РусГидро» (сокращенное наименование: ПАО «РусГидро», место нахождения: 660017, Красноярский край, город Красноярск, улица Дубровинского, дом 43, корпус 1, ОГРН:

1042401810494, ИНН: 2460066195, КПП: 24600100), Акционерным обществом «Дальневосточная распределительная сетевая компания» (сокращенное наименование: АО «ДРСК», место нахождения: 675000, Россия, город Благовещенск, Амурская область, улица Шевченко, дом 28, ОГРН 1052800111308, ИНН 2801108200, КПП 280150001) в Министерство энергетики Российской Федерации (адрес: 107996, город Москва, ГСП-6, улица Щепкина, дом 42), на автоматизированную, а также без использования средств автоматизации обработку моих персональных и иных охраняемых законом данных, а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование следующих своих данных:

- персональных данных: фамилия, имя, отчество, адрес регистрации, номер и серия основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе, сведения об ИНН);

- иных охраняемых законом данных: _____________________________.

(указать каких)

На сведения о персональных и иных охраняемых законом данных, поступивших в Министерство энергетики Российской Федерации, распространяются:

- запрет на разглашение указанных сведений;

- требования к специальному режиму хранения указанных сведений и доступа к П-ИСМ-4.2.4-01.20-173-01 Страница 29 из 35 ним;

- ответственность за утрату документов, содержащих указанные сведения, или за разглашение таких сведений.

Доступ к персональным и иным охраняемым законом данным в органе, в который такие данные поступили от Минэнерго России, имеют должностные лица, определяемые руководителем этого органа и обеспечивающие сохранность указанных сведений.

Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.

П-ИСМ-4.2.4-01.20-173-01 Страница 30 из 35

–  –  –

Я, в качестве работника АО «ДРСК » (далее Общество) в период трудовых отношений с Обществом и после их окончания обязуюсь не разглашать сведения, составляющие персональные данные субъектов, обрабатываемые Обществом, которые будут мне доверены или станут известны при исполнении мною своих должностных обязанностей.

До моего сведения доведены требования Положения «По обработке персональных данных».

Мне известно, что нарушение требований Положения «По обработке персональных данных» может повлечь дисциплинарную, административную, гражданскоправовую или уголовную ответственность, в соответствии с законодательством РФ.

–  –  –

Я, _____________________________________________________________________, (фамилия, имя, отчество полностью, должность) в соответствии со статьей 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", в целях:

- использования моих персональных данных во внутренней справочной системе акционерного общества «ДРСК»

даю согласие акционерному обществу «Дальневосточная распределительная сетевая компания», расположенному по адресу: г. Благовещенск, ул. Шевченко, д. 28, на автоматизированную обработку моих персональных данных, а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, предоставление филиалам АО «Дальневосточная распределительная сетевая компания».

Перечень моих персональных данных, на обработку которых я даю согласие:

- фамилия, имя, отчество;

- дата рождения;

- должность;

- подразделение;

- адрес места дислокации подразделения, номер кабинета;

- номер контактного телефона;

- адрес корпоративной электронной почты;

- сведения (даты) о нахождении в командировке, отпуске, пребывании на больничном;

- фотография.

Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.




Похожие работы:

«Drger X-am® 5600 Многоканальный газоанализатор Drger X-am 5600 — компактный многоканальный газоанализатор с эргономичной конструкцией, использующий инфракрасные сенсоры и способный измерять до шести газов одновременно. Идеальный для персонального обнаружения газов, этот проч...»

«+Перевод с английского языка Срджисел Фибриллар Рассасывающийся гемостатический материал (окисленная восстановленная целлюлоза) Описание Рассасывающийся гемостатический материал SURGICEL FIBRILLAR* это стерильный рассасывающийся волокнистый материал, изготовленный по методу контролируемого окисления восстановленной цел...»

«ТРОПИК ТЕПЛОВАЯ ЗАВЕСА СЕРИЯ Т100Е РУКОВОДСТВО ПО ЭКСПЛУАТАЦИИ Благодарим за приобретение тепловой завесы марки "ТРОПИК". Тепловые завесы этой марки имеют две скорости воздушного потока, две ступени нагрева, превосходный дизайн, особо прочный корпус, защищенный от коррозии...»

«Пояснительные тексты к Схеме О замеченных ошибках и опечатках просьба сообщить по адресу jokoil@mail.ru. Вам будет выслан исправленный экземпляр. XX – XIX века до н.э. ( – XX, – XIX ) 1 – Переезд Фарры, отца Авраама, из Ура Халдейского в Харран (на карте черной заливкой об...»

«ЛОДЖОНГ. ЛЕКЦИЯ 3 Я очень рад снова вас видеть. По определенным причинам я вернул свои монашеские обеты Его Святейшеству Далай-ламе. Но я останусь с вами в качестве практикующего мирянина. Не беспокойтесь, скоро мне сошьют чупу. Все непостоянно. В...»

«Альбомы для рисования Код Наименование товара Альбом д/черчения АлЧ104 Альбом д/черч. 20л.А4.Чертеж на спир.с перф. 20Ач4Асп_06548 16698 32,97р. АлЧ43 Альбом д/черч. 20л. Авто 1120/1037 22,17р. АлЧ44 Альбом д/черч. 20л. Лайнер 1120/1038 24,39р. АлЧ48 Альбом для черчения 40л А4 на спирали с перфорац. на отрыв -Палаццо06551 1670056,97р. Аль...»

«ГОСУДАРСТВЕННАЯ КОРПОРАЦИЯ ПО АТОМНОЙ ЭНЕРГИИ "РОСАТОМ" Частное образовательное учреждение дополнительного профессионального образования "Институт глобальной ядерной безопасности и физической защиты Госкорпорации "Росатом" Согласовано Утверждаю Директор Департамент...»

«Переславская Краеведческая Инициатива. — Тема: озеро. — № 2905. На кругах Серый, прохладный час. Роса не выпадала. Трубеж не курится. Деревянные, булыжные с. 59 Рыбаки — пойменный Переславль-Залесский — безмолвны: ночная смена не возвращалась с фабрик, утрення...»

«Наличие на складе дозаторы и пластик на 26.09.16 Описание продукции Каталожный Стоимость Количество на номер складе ДОЗАТОРЫ EPPENDORF Штатив-карусель для пипеток Eppendorf (6 мест) Epp 3115 000.003 172,29 USD 25 Фильтр для автоматических пипеток, 5 мл, 50 шт.в уп. Epp 3120 632.000...»

«Алексеев Г. В.П О Л И Т И КА И П Р А В О В О Е ГО С УД А Р С Т В О Расширение областей применения информационных технологий и информационная безопасность государства DOI 10.22394/1726-1139-2017-5-8-19 Алексеев Георгий Валерьевич Северо-Западный институт управления — филиал РАНХиГС (Санкт-...»

«СПАМ И ФИШИНГ В ТРЕТЬЕМ КВАРТАЛЕ 2015 Татьяна Щербакова, Мария Вергелис, Надежда Демидова СПАМ И ФИШИНГ 2 В ТРЕТЬЕМ КВАРТАЛЕ 2015 ОГЛАВЛЕНИЕ СПАМ: ОСОБЕННОСТИ КВАРТАЛА 3 Онлайн-знакомства Сезонный вредоносный спам Трюки спамеров СТАТИСТИКА 9 Доля спама в почтовом траффике Страны – источники спама Размеры спамовых писем ВРЕ...»

«Нарушается принцип эквивалентности или нет ? Л. Римша В. Римша laimontas.rimsa@yahoo.com viktor@pasvalys.lt Показано что, при помощи свободно падающих атомных часов в однородном гравитационном поле, можно однозначно установить како...»

«1. ЦЕЛИ ОСВОЕНИЯ ДИСЦИПЛИНЫ Цель дисциплины "Информационные технологии" состоит в ознакомлении студентов с методами моделирования и средствами получения и обработки информации, овладении методикой проектирования информационных технологий в предметной области, приобретении навыков практического использования автоматиз...»

«Казанский государственный университет имени В.И.Ульянова-Ленина Л.Г.Егорова ВОСТОЧНО-ЕВРОПЕЙСКАЯ СОЦИОЛОГИЯ Казань 2008 Казанский государственный университет имени В.И.Ульянова-Ленина Кафедра социологии Л.Г.Егорова ВОСТОЧНО-ЕВРОПЕЙСКАЯ СОЦИОЛОГИЯ Программа дисциплины и планы семинарских занятий Для студентов, обучающихся по специальнос...»

«Insignia Подключение и установка автосигнализации StarLine B94 2CAN на автомобиль Opel Insignia 2014 м.г. с кнопкой Старт-Стоп АКПП StarLine В94 2CAN OPEL INSIGNIA 2014 м.г. Подключение и установка автосигнализации StarLine B94 2CAN на автомобиль Opel Insignia...»

«Содержание С чего начать? Предисловие Кому нужно растягиваться?. 10 Перед телевизором Когда лучше растягиваться?. 10 До и после прогулки Зачем нужно растягиваться?. 11 Для тех, кто в пути Как правильно растягиваться?. 12 Для авиапассажир...»

«ТЕПЛОВАЯ ЗАВЕСА ТРОПИК А-СЕРИИ РУКОВОДСТВО ПО ЭКСПЛУАТАЦИИ Благодарим за приобретение тепловой завесы марки "ТРОПИК". Тепловые завесы этой марки имеют современный дизайн, прочный корпус, защищенный от коррозии, хорошие характеристики по производительности нагретого воздуха. Эти аппараты безопасны в работе, н...»

«Декларация о соответствии 1. Заявитель (изготовитель) Общество с ограниченной ответственностью "МТА" (Россия) Основной государственный регистрационный № 1037816010583 присвоен инспекцией Министерства Российской Федерации по налогам и сборам по Красногвардейско...»

«Internews Network Kazakhstan office@internews.kz http://www.internews.kz ПеРспекТиВа Электронный бюллетень Internews Network-Казахстан N 15 (169) 8-19 августа 2003 г. ГОРЯЧАЯ ТЕМА В "сетях" понятий. В законопроекте "О СМИ" пока четко не определен 2-5 статус кабельн...»

«УДК 371.3 Джавадова Севиль Эйваз кызы Javadova Sevil Eyvaz докторант отдела "Kуррикулум общего Doctoral student, Curriculum of General и внешкольного образования", and Out-Of-School Department, старший научный сотрудник отдела Senior Research Associate, "Мониторинг и оценивание" Monitoring and A...»

«АДМИНИСТРАЦИЯ ПУГАЧЁВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА САРАТОВСКОЙ ОБЛАСТИ ПОСТАНОВЛЕНИЕ от 11 февраля 2016 года № 92 О проведении ежегодного конкурса "Лучший дружинник" на территории Пу...»

«"США Канада".-2014.-№11.-С.52-66. СОЦИАЛЬНЫЕ СЕТИ И СОВРЕМЕННАЯ ИНТЕРНЕТ-ДИПЛОМАТИЯ США М.А. Алхименков Институт США и Канады РАН, г. Москва В статье рассматривается американская интернет-дипломатия, ставшая важным компонентом публичной дипломатии США. Администрация Обамы...»

«Это версия страницы http://marketing.by/novosti-rynka/globalnyy-opyt-mts-o-zakonakh-pr-v-bolshikh-korporatsiyakh-/ из кеша Google. Она представляет собой снимок страницы по состоянию на 4 апр 2015 01:36:51 GMT. Текущ ая страница за прошедшее время могла изме...»

«ПОГРУЖЕНИЕ В БИБЛИЮ УРОК 15 ЧЕСТНОСТЬ Diving into the Bible серия СТИЛЬ ЖИЗНИ 2 выпуск Исход 20:15 Десять Заповедей запрещает брать то, что не принадлежит тебе. Эта заповедь также предостерегает от воровства информации. Исход 20:16 Мы ложно свидетельств...»








 
2017 www.kn.lib-i.ru - «Бесплатная электронная библиотека - различные ресурсы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.