Реферат: Безопасности персональных данных

Утверждено

Приказом НПФ «Сургутнефтегаз»

№150-5-01 от 22.09.2011г.


ПОЛИТИКА НПФ «СУРГУТНЕФТЕГАЗ»

В ОБЛАСТИ ОБРАБОТКИ И ОБЕСПЕЧЕНИЯ

БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Общие положения С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства НПФ «Сургутнефтегаз» считает важнейшей задачей обеспечение легитимности обработки и безопасности персональных данных субъектов в бизнес-процессах НПФ «Сургутнефтегаз».
Для решения данной задачи в НПФ «Сургутнефтегаз» введена, функционирует и проходит периодический пересмотр (контроль) система защиты персональных данных.
Обработка персональных данных в НПФ «Сургутнефтегаз» основана на следующих принципах:
законности целей и способов обработки персональных данных и добросовестности;

соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям НПФ «Сургутнефтегаз»;

соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора персональных данных;

легитимности организационных и технических мер по обеспечению безопасности персональных данных;

непрерывности повышения уровня знаний работников НПФ «Сургутнефтегаз» в сфере обеспечения безопасности персональных данных при их обработке;

стремления к постоянному совершенствованию системы защиты персональных данных.
Цели обработки персональных данных
В соответствии с принципами обработки персональных данных, в НПФ «Сургутнефтегаз» определены состав и цели обработки:

исполнение положений Трудового/Гражданского/Налогового кодексов и других нормативных актов РФ;

принятие решения о трудоустройстве кандидата в НПФ «Сургутнефтегаз»;

заключение и выполнение обязательств по трудовым договорам/договорам негосударственного пенсионного обеспечения/договорам об обязательном пенсионном страховании/агентским договорам/иным гражданско-правовым договорам.
Правила обработки персональных данных В НПФ «Сургутнефтегаз» осуществляется обработка следующих категорий ПДн:
фамилия, имя, отчество;

дата рождения;

место рождения;

адрес места жительства;

семейное положение;

имущественное положение;

социальное положение;

образование;

профессия;

иные данные, согласно утвержденному Перечню ПДн, обрабатываемых в НПФ «Сургутнефтегаз».
В НПФ «Сургутнефтегаз» НЕ допускается обработка следующих категорий ПДн:
расовая принадлежность;

политические взгляды;

философские убеждения;

состояние интимной жизни;

национальная принадлежность;

религиозные убеждения.
В НПФ «Сургутнефтегаз» осуществляется обработка следующих категорий субъектов ПДн:
работники;

участники, вкладчики, застрахованные лица, правопреемники;

представители контрагентов;

кандидаты на вакантные должности;

агенты;

заявители о смерти участников.
НПФ «Сургутнефтегаз» в ходе своей деятельности может предоставлять персональные данные субъектов следующим лицам:
Федеральной налоговой службе России;

Пенсионному фонду России;

негосударственным пенсионным фондам;

страховым компаниям;

кредитным организациям;

вкладчикам;

туристическим агентствам, агентствам по продаже билетов, гостиницам.
В НПФ «Сургутнефтегаз» НЕ обрабатываются биометрические (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) персональные данные. В НПФ «Сургутнефтегаз» НЕ осуществляется трансграничная передача персональных данных (передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу). В НПФ «Сургутнефтегаз» запрещено принятие решений относительно субъектов персональных данных на основании исключительно автоматизированной обработки их персональных данных. В НПФ «Сургутнефтегаз» НЕ осуществляется обработка данных о судимости субъектов. НПФ «Сургутнефтегаз» НЕ размещает персональные данные субъекта в общедоступных источниках без его предварительного согласия. Реализованные требования по обеспечению безопасности персональных данных С целью обеспечения безопасности персональных данных при их обработке в НПФ «Сургутнефтегаз» реализуются требования следующих нормативных документов РФ в области обработки и обеспечения безопасности персональных данных:
Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

постановление Правительства Российской Федерации от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

порядок проведения классификации информационных систем персональных данных (утвержден приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 г. № 55/86/20);

базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена заместителем директора ФСТЭК России 15.02.2008 г.);

методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена заместителем директора ФСТЭК России 14.02.2008 г.);

типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены руководством 8 центра ФСБ России 21.02.2008 г. № 149/6/6-622);

методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утверждены руководством 8 Центра ФСБ России 21.02.2008 г. №149/5-144);

положение о методах и способах защиты информации в информационных системах персональных данных (утверждено приказом ФСТЭК России от 05.02.2010 г. № 58;

отраслевые стандарты обеспечения безопасности персональных данных (НАПФ).
НПФ «Сургутнефтегаз» проводит оценку вреда, который может быть причинен субъектам персональных данных и определяет угрозы безопасности персональных данных. В соответствии с выявленными актуальными угрозами НПФ «Сургутнефтегаз» применяет необходимые и достаточные организационные и технические меры, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа, восстановление персональных данных, установление правил доступа к персональным данным, а также контроль и оценку эффективности применяемых мер. В НПФ «Сургутнефтегаз» назначены лица, ответственные за организацию обработки и обеспечения безопасности персональных данных. Руководство НПФ «Сургутнефтегаз» осознает необходимость и заинтересовано в обеспечении должного как с точки зрения требований нормативных документов РФ, так и обоснованного с точки зрения оценки рисков для бизнеса уровня безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности НПФ «Сургутнефтегаз».