опечатывание помещений по окончании рабочего дня;
оборудование помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений;
3) осуществляется учет электронных и магнитных носителей информации, в том числе флэш-карт, USB-флэш-накопителей, компакт-дисков (CD-дисков, DVD-дисков), магнитных дисков (дискет), машинных носителей информации, встроенных в средства компьютерной техники на жестких магнитных дисках (HDD-накопителей), магнитных лент, иных съемных электронных (магнитных) носителей информации, а также немагнитных пленок и выполнение мер, направленных на обеспечение сохранности указанных материальных носителей информации, позволяющих:
производить хранение материальных носителей информации в установленном порядке, а в случае необходимости и в металлических шкафах (сейфах), оборудованных внутренними замками и приспособлениями для опечатывания замочных скважин и (или) кодовыми замками;
выполнять поэкземплярный учет машинных (магнитных) носителей персональных данных, который достигается путем ведения журнала учета указанных носителей с использованием регистрационных (заводских) номеров, который ведется подразделением, непосредственно осуществляющим эксплуатацию информационной системы персональных данных;
4) вынос материальных носителей информации, в том числе съемных магнитных (машинных) носителей персональных данных, за пределы контролируемой зоны допускается исключительно в связи с выполнением служебных (трудовых) обязанностей и при наличии разрешения уполномоченного должностного лица, ответственного за обеспечение безопасности персональных данных, а в случае использования средства автоматизации вне информационной системы персональных данных - при наличии разрешения уполномоченного должностного лица, ответственного за обеспечение информационной безопасности средства автоматизации как объекта информатизации;
5) организуется режим доступа к обрабатываемым персональным данным в информационных системах персональных данных, а также принимаются меры по обеспечению регистрации и учета всех действий, совершаемых с персональными данными в указанных системах, в том числе предусматривающий:
утверждение руководителями уполномоченных подразделений (пункты 38 и 39 настоящей инструкции), в ведении которых находятся информационные системы персональных данных, в соответствии с Перечнем должностей (подпункт 1 пункта 37 настоящих Правил) списков уполномоченных должностных лиц, доступ которых к обрабатываемым персональным данным, а также к электронным журналам сообщений, содержащим информацию о запросах пользователей на получение обрабатываемых персональных данных и фактах предоставления указанных данных по этим запросам (далее - электронные журналы сообщений), необходим для выполнения служебных (трудовых) обязанностей;
информирование указанных уполномоченных должностных лиц о правилах доступа к обрабатываемым персональным данным;
установление порядка доступа к электронным журналам сообщений, исключающий возможность ознакомления с их содержанием должностных лиц, не вошедших в утвержденные списки уполномоченных должностных лиц, доступ которых к электронным журналам сообщений необходим для выполнения служебных (трудовых) обязанностей;
6) осуществляется мониторинг обработки персональных данных для обнаружения фактов несанкционированного доступа к ним, выявления модифицированных или уничтоженных персональных данных вследствие несанкционированного доступа к ним для их последующего восстановления;
7) допускаются к применению в информационных системах персональных данных только технические и программные средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, когда применение таких средств необходимо для нейтрализации угроз безопасности персональных данных, актуальных при обработке;
8) при необходимости повышения уровня защищенности обрабатываемых персональных данных в информационных системах персональных данных, в том числе биометрических персональных данных:
- выполняются меры по автоматической регистрации в электронном журнале безопасности изменений полномочий в соответствии со служебными (трудовыми) обязанностями уполномоченных должностных лиц, допущенных к персональным данным, содержащимся в соответствующей информационной системе персональных данных, для чего осуществляются:
обеспечение информационной системы персональных данных автоматизированными средствами, позволяющими автоматически регистрировать в электронном журнале безопасности изменения полномочий уполномоченных должностных лиц по их доступу к персональным данным, содержащимся в ней;
отражение в электронном журнале безопасности полномочий уполномоченных должностных лиц по их доступу к персональным данным, содержащимся в соответствующей информационной системе персональных данных;
назначение в Следственном комитете уполномоченных должностных лиц, ответственных за периодический контроль (не реже 1 раза в 1 месяц) ведения электронного журнала безопасности и соответствие отраженных в нем полномочий уполномоченных должностных лиц их служебным (трудовым) обязанностям;
- может создаваться отдельное структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационных системах персональных данных, либо выполнение его функций возлагаться на одно из существующих подразделений следственных органов Следственного комитета;
9) осуществляется оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
10) осуществляется внутренний контроль принимаемых мер по обеспечению безопасности персональных данных, в том числе выполнения требуемого уровня защищенности информационных систем персональных данных и персональных данных, обрабатываемых без использования средств автоматизации.
152. В целях обеспечения надлежащей эксплуатации информационных систем персональных данных Следственным комитетом должны быть осуществлены:
1) классификация информационных систем персональных данных в соответствии с требованиями к защите персональных данных, утвержденными постановлением Правительства Российской Федерации от 01.11.2012 N 1119, с оформлением соответствующих актов;
2) комплекс организационных и технических мер по обеспечению безопасности персональных данных (при их обработке в информационных системах персональных данных) в виде системы защиты персональных данных в соответствии с требованиями законодательства Российской Федерации в области обеспечения безопасности информации, в том числе в связи с использованием в Следственном комитете сети "Интернет"*(17);
3) оценка соответствия информационных систем персональных данных требованиям по обеспечению безопасности персональных данных в форме их сертификации (аттестации) или декларирования соответствия.
153. Выбор средств защиты информации для системы защиты персональных данных осуществляется в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".
154. Вывод на печать документов, содержащих персональные данные, с помощью средств автоматизации, входящих или не входящих в состав информационных систем персональных данных, допускается в целях обработки в связи с исполнением служебных (трудовых) обязанностей, в том числе для передачи их печатных копий субъектам персональных данных, персональные данные которых они содержат, либо уполномоченным должностным лицам, допущенным к обработке персональных данных.
155. Персональные данные являются служебной информацией, отнесенной к конфиденциальным сведениям (служебной тайне), доступ к которой ограничен в соответствии с Федеральным законом "О персональных данных", Федеральным законом от 27.05.2003 N 58-ФЗ "О системе государственной службы Российской Федерации"*(18), Федеральным законом от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации"*(19), Указом Президента Российской Федерации от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера"*(20), и подлежат защите уполномоченными должностными лицами при осуществлении их обработки.
156. В случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, персональные данные относятся к сведениям, составляющим государственную тайну.
157. Уполномоченные должностные лица, совершившие нарушение требований законодательства Российской Федерации в области обработки персональных данных, в том числе причинившие вред субъекту персональных данных, Следственному комитету как оператору, следственным органам и учреждениям Следственного комитета, третьим лицам (нарушив их права и свободы), привлекаются в установленном порядке к дисциплинарной или иным видам юридической ответственности в соответствии с положениями Федерального закона "О персональных данных", Трудового кодекса Российской Федерации, Кодекса Российской Федерации об административных правонарушениях*(21), части первой Гражданского кодекса Российской Федерации, части второй Гражданского кодекса Российской Федерации*(22).
IX. Порядок рассмотрения запросов субъектов персональных данных и представителей субъектов персональных данных
158. Субъект персональных данных имеет право на свободный бесплатный доступ к сведениям об обработке своих персональных данных, предусмотренных частью 7 статьи 14 Федерального закона "О персональных данных" (далее - сведения об обработке), касающихся:
1) подтверждения факта обработки персональных данных (факта начала либо осуществления указанной обработки);
2) правовых оснований и целей обработки;
3) применяемых способов обработки персональных данных;
4) сведений об уполномоченных должностных лицах, которым предоставлен доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора со Следственным комитетом или на основании федерального закона;
5) обрабатываемых персональных данных, относящихся к субъекту персональных данных, источника их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) срока обработки персональных данных, в том числе сроков их хранения;
7) порядка реализации прав, предусмотренных Федеральным законом "О персональных данных";
8) информации об осуществленной или о предполагаемой трансграничной передаче персональных данных;
9) наименования или фамилии, имени, отчества и адреса лица, осуществляющего обработку персональных данных по поручению Следственного комитета, если указанная обработка поручена или будет поручена такому лицу;
10) иных сведений, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами.
159. Субъект персональных данных в целях обеспечения защиты персональных данных имеет право:
1) привлекать для защиты персональных данных своих представителей (пункт 47 настоящих Правил);
2) потребовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства Российской Федерации в области персональных данных, а в случае получения отказа исключить или исправить персональные данные - заявить в письменной форме о своем несогласии (с соответствующим обоснованием такого несогласия);
3) дополнять письменным обращением (выражающим его собственную точку зрения) свои персональные данные, имеющие оценочный характер;
4) потребовать извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
5) обжаловать в суд неправомерные действия или бездействие оператора при обработке или защите его персональных данных.
160. Сведения об обработке предоставляются при личном обращении заявителя либо при получении от него соответствующего письменного запроса (далее - запрос).
161. Запрос должен содержать:
1) номер, сведения о дате выдачи и органе, выдавшем документ, удостоверяющий личность заявителя;