11.1. Защита персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для выполнения требований законодательства в области защиты персональных данных. Конкретные меры, которые выполняет Оператор, закреплены во внутренних документах Оператора и могут быть предоставлены по запросу.
11.2. Избирая указанные меры, Оператор принимает во внимание положения ст. 18.1 Закона о персональных данных, которые, в частности, могут включать следующее:
— Назначение ответственного за организацию обработки персональных данных.
— Издание документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений.
— Осуществление регулярного внутреннего контроля соответствия обработки персональных данных Закону о персональных данных, требованиям к защите персональных данных, политике
Оператора в отношении обработки персональных данных и иным локальным актам Оператора.
— Оценка вреда, который может быть причинен Пользователю в случае нарушения законодательства о персональных данных, соотношение указанного вреда и принимаемых Оператором мер.
— Ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
— Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, правилам работы с персональными данными.
11.3. Избирая меры по обеспечению безопасности данных, Оператор принимает во внимание меры, указанные в положениях ст. 19 Закона о персональных данных, которые могут, в частности, но не ограничиваясь, включать следующее:
— Установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных и утверждение перечня лиц, доступ которых необходим для выполнения ими служебных (трудовых) обязанностей.
— Обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных.
— Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
— Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.
— Применение средств защиты информации, заложенных в прикладные программные продукты, программные средства защиты, предотвращающие несанкционированный доступ к персональным данным, контроль доступа на объекты и в помещения Оператора.
— Регулярная оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных.
— Учет машинных носителей персональных данных.
— Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.
— Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
— Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.