Может ли работник передавать данные своей учетной записи кис оао ржд другим пользователем сдо

Обновлено: 26.01.2025

1. Политика обработки персональных данных в ОАО "РЖД" (далее - Политика), разработанная в соответствии с Федеральным законом "О персональных данных", устанавливает цели, основные принципы и правила обработки персональных данных и определяет основные меры по обеспечению их безопасности.

2. Настоящая Политика разработана для реализации в ОАО "РЖД" требований законодательства Российской Федерации в области персональных данных, а также обеспечения защиты прав физических лиц при обработке их персональных данных.

3. Положения настоящей Политики являются основой для разработки и актуализации распорядительных и организационно-правовых документов (далее - нормативных документов) ОАО "РЖД", регламентирующих процессы обработки персональных данных различных категорий субъектов персональных данных, а также порядок реализации мер для защиты обрабатываемых персональных данных.

Разработка указанных нормативных документов осуществляется подразделениями ОАО "РЖД" в установленном порядке.

4. Положения настоящей Политики обязательны для исполнения работниками ОАО "РЖД", имеющими доступ к персональным данным.

5. В настоящей Политике используются следующие понятия:

безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах;

биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются ОАО "РЖД" для установления личности субъекта персональных данных;

защита персональных данных - деятельность, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные;

информационная система - совокупность содержащейся в базах данных информации (персональных данных) и обеспечивающих ее обработку информационных технологий и технических средств;

конфиденциальность персональных данных - обязательное для соблюдения требование не раскрывать третьим лицам и не допускать распространения персональных данных без согласия субъектов персональных данных или наличия иного законного основания;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

пользователь услуг ОАО "РЖД" - пассажир, грузоотправитель, грузополучатель либо иное физическое или юридическое лицо, пользующиеся услугами, оказываемыми ОАО "РЖД";

субъекты персональных данных - пользователи услуг ОАО "РЖД", работники ОАО "РЖД" и их близкие родственники, кандидаты для приема на работу (соискатели), пенсионеры, состоящие на учете в ОАО "РЖД", и их представители, а также иные лица, чьи персональные данные стали известны в силу предоставления им со стороны ОАО "РЖД" социальных льгот, гарантий и компенсаций либо выполнения функций и задач, возложенных на ОАО "РЖД";

специальные категории персональных данных - персональные данные субъектов персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и (или) в результате которых уничтожаются материальные носители персональных данных.

6. Обработка персональных данных ОАО "РЖД" осуществляется в целях:

исполнения договоров перевозки и предоставления дополнительных услуг во время осуществления перевозки;

обеспечения транспортной безопасности;

повышения качества обслуживания и доступности железнодорожных перевозок, в том числе путем реализации дополнительных программ поощрения пользователей услуг ОАО "РЖД";

предоставления информации об оказываемых услугах, разработке новых продуктов и услуг, а также об услугах, оказываемых дочерними и зависимыми обществами ОАО "РЖД";

сбора и разработки идей, направленных на совершенствование управления перевозочным процессом;

экспертизы стартап-проектов с инновационными решениями;

проведения акций, опросов, маркетинговых, статистических и иных исследовательских действий;

исполнения договоров, заключенных с физическими лицами, состоящими в договорных и иных гражданско-правовых отношениях с ОАО "РЖД";

ведения кадровой работы, включая привлечение и отбор кандидатов на работу в ОАО "РЖД", дочерние и зависимые общества ОАО "РЖД";

выполнения договорных соглашений с работниками;

предоставления со стороны ОАО "РЖД" социальных льгот, гарантий и компенсаций;

осуществления и выполнения возложенных законодательством Российской Федерации на ОАО "РЖД" функций, полномочий и обязанностей, а также для достижения целей, предусмотренных международными договорами Российской Федерации или законами.

IV. Принципы и правила обработки персональных данных

7. Обработка персональных данных в ОАО "РЖД" осуществляется с соблюдением следующих принципов и правил:

обработка осуществляется на законной и справедливой основе;

обработка ограничивается достижением конкретных, заранее определенных и законных целей;

обработке подлежат персональные данные, отвечающие целям обработки, при обязательном соответствии их объема и содержания заявленным целям обработки;

не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

при обработке обеспечиваются точность и достаточность персональных данных и, при необходимости, актуальность по отношению к целям обработки с принятием мер по удалению или уточнению неполных или неточных данных либо обеспечением принятия таких мер;

хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

8. Обработка персональных данных в ОАО "РЖД" осуществляется с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

9. При обработке персональных данных ОАО "РЖД" соблюдает их конфиденциальность.

10. Субъект персональных данных имеет право:

получать полную информацию, касающуюся обработки в ОАО "РЖД" своих персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;

требовать уточнения, блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

требовать извещения всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них изменениях;

отозвать согласие на обработку своих персональных данных;

обжаловать действия или бездействие ОАО "РЖД" при обработке его персональных данных в соответствии с законодательством Российской Федерации;

реализовывать иные права, предусмотренные законодательством Российской Федерации.

VI. Категории и объем обрабатываемых персональных данных

11. Содержание и объем обрабатываемых персональных данных определяются целями их обработки, приведенными в разделе III Политики, и указываются в согласии субъекта персональных данных на обработку его персональных данных, за исключением случаев, когда обработка персональных данных может осуществляться без получения такого согласия.

12. Обработка персональных данных, избыточных по отношению к заявленной цели их обработки, не допускается.

13. Специальные категории персональных данных, а также биометрические персональные данные субъектов персональных данных обрабатываются ОАО "РЖД" в порядке, установленном законодательством Российской Федерации.

14. В целях реализации прав субъектов персональных данных ОАО "РЖД" при обработке их персональных данных:

принимает необходимые меры для выполнения обязанностей, предусмотренных законодательством Российской Федерации;

разъясняет субъекту персональных данных юридические последствия отказа предоставить персональные данные, если это является обязательным в соответствии с законодательством Российской Федерации;

осуществляет блокирование, уточнение и уничтожение неправомерно обрабатываемых персональных данных, а также прекращение их неправомерной обработки;

уведомляет субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных;

предоставляет по просьбе субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации, а также нормативными документами ОАО "РЖД".

15. В целях эффективной организации процессов обработки персональных данных назначается ответственный за организацию обработки персональных данных в ОАО "РЖД", который в соответствии с установленными полномочиями обеспечивает:

разработку и актуализацию нормативных документов ОАО "РЖД" по вопросам обработки и защиты персональных данных;

доведение до сведения работников ОАО "РЖД" положений законодательства Российской Федерации, нормативных документов ОАО "РЖД" по вопросам обработки персональных данных, а также требований по защите персональных данных;

принятие правовых, организационных и технических мер для защиты персональных данных, в том числе обрабатываемых в информационных системах, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

внутренний контроль за соблюдением в ОАО "РЖД" требований законодательства Российской Федерации и нормативных документов ОАО "РЖД" в области персональных данных, в том числе требований по защите персональных данных;

контроль за обработкой обращений и запросов субъектов персональных данных или их представителей по фактам нарушений законодательства в области персональных данных, допущенных работниками ОАО "РЖД";

взаимодействие с государственными органами по вопросам защиты персональных данных.

16. Обработка персональных данных в ОАО "РЖД" осуществляется с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).

17. К обработке персональных данных допускаются руководители ОАО "РЖД", наделенные этим правом работодателем, и только те работники ОАО "РЖД", в должностные обязанности которых входит обработка персональных данных.

Указанные руководители и работники имеют право обрабатывать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.

18. Передача персональных данных третьим лицам (в том числе трансграничная передача) осуществляется с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.

19. Передача персональных данных в государственные органы осуществляется в соответствии с требованиями законодательства Российской Федерации.

20. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, а также на территорию иностранного государства, не являющегося стороной указанной Конвенции, осуществляется в порядке, предусмотренном законодательством Российской Федерации.

21. ОАО "РЖД" вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных на основании заключаемого договора, существенным условием которого является обязанность обеспечения исполнителем условий конфиденциальности персональных данных и их безопасности при обработке.

22. При сборе персональных данных, в том числе с использованием информационно-телекоммуникационной сети Интернет, ОАО "РЖД" обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации.

23. Сроки хранения персональных данных в ОАО "РЖД" определяются в соответствии с законодательством Российской Федерации и нормативными документами ОАО "РЖД".

24. Обеспечение безопасности персональных данных, в том числе при их обработке в информационных системах, осуществляется в соответствии с законодательством Российской Федерации и требованиями уполномоченного органа государственной власти по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.

25. Ответственность за нарушение требований законодательства Российской Федерации и нормативных документов ОАО "РЖД" в области персональных данных определяется в соответствии с законодательством Российской Федерации.

26. Политика является общедоступным документом и подлежит размещению на официальном сайте ОАО "РЖД".

Передача ПД работников в пределах одной организации

Работодатель обязан «осуществлять передачу ПД работника в пределах организации, у одного ИП в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись» (абз. 5 ст. 88 ТК РФ).

Передача ПД работников в пределах одной организации – это перемещение данных между структурными подразделениями. Сюда не входят случаи передачи ПД в группе компаний, которая равнозначна передаче ПД третьим лицам.

Во внутреннем локальном акте у каждой компании и ИП должны быть описаны процедура передачи ПД работников, правила и цели их обработки, перечислены структурные подразделения компании, участвующие в обработке, и т.д. С этим актом работник должен быть ознакомлен во время подписания трудового договора.

Часто предприниматели не соблюдают правило о создании локальных актов о ПД. Также многие не знают о том, что документы, регулирующие правила обработки ПД, должны быть разработаны не только для работников, но и для других категорий субъектов ПД (соискателей, клиентов и т.д.).

Кто и как может получить доступ к персональным данным, в каких случаях не нужно разрешение на их использование и передачу, могут ли не продать товар или не оказать услугу при отказе дать согласие на обработку данных, какие данные собирают владельцы сайтов и как отказаться от рекламной рассылки?

Работодатель обязан «разрешать доступ к ПД работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД работника, которые необходимы для выполнения конкретных функций» (абз. 6 ст. 88 ТК РФ).

Работодатель обязан «передавать ПД работника представителям работников в порядке, установленном настоящим кодексом […], и ограничивать эту информацию только теми ПД работника, которые необходимы для выполнения указанными представителями их функций» (абз. 8 ст. 88 ТК РФ).

В каждой организации и у ИП должны быть назначены сотрудники, которые имеют право работать с ПД коллег. Одного из них необходимо приказом руководителя назначить ответственным за обработку ПД. В его обязанности должны входить создание локальных актов в сфере обработки ПД и контроль за соблюдением работниками правил, прописанных в этих актах. Наличие такого сотрудника позволяет минимизировать риски компании и разгрузить отдел кадров и руководителя.

Остальные работники должны выполнять обязанности по непосредственной обработке ПД. Обычно это сотрудники бухгалтерии и отдела кадров. Их список необходимо установить приказом или внутренним локальным актом. Эти документы также должны содержать перечень ПД работников, которые могут обрабатываться каждым сотрудником.

Нередко компании не назначают ответственного за обработку ПД и не создают отдельных документов с перечнем лиц, наделенных правом на обработку данных сотрудников.

Ответственность за нарушение закона: штраф для ИП – от 1 тыс. до 5 тыс. руб., для юрлиц – от 30 тыс. до 50 тыс. руб. В случае повторного нарушения штраф для ИП – от 10 тыс. до 20 тыс. руб., для юрлиц – от 50 тыс. до 70 тыс. руб. (ч. 1, 2 ст. 5.27 КоАП РФ).

Также придется выплатить компенсацию морального вреда работнику, чьи права были нарушены.

Пример из личной практики

К нам обратилась компания, которую привлекли к административной ответственности в виде штрафа в размере 45 тыс. руб. по ч. 1 ст. 5.27 КоАП РФ. Госинспекция труда при проверке обнаружила отсутствие локального акта, устанавливающего порядок внутренней передачи ПД работников. Также было вынесено предписание об устранении выявленных нарушений, так как не был составлен перечень лиц, имеющих право на обработку ПД сотрудников.

Пример из судебной практики

ИП привлечен к административной ответственности по ч. 1 ст. 5.27 КоАП РФ в виде штрафа. Основание – отсутствие у ИП локального акта, регулирующего передачу ПД работников (Решение Игринского районного суда Удмуртской Республики по делу № 12-127/2018 от 19 октября 2018 г.).

Передача ПД работников третьим лицам

Работодатель обязан «не сообщать ПД работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законом» (абз. 2 ст. 88 ТК РФ).

Работодатель должен получить от работника письменное согласие на передачу его ПД третьему лицу. В согласии нужно обязательно указать реквизиты компании (ИП), которой передаются ПД работника: наименование компании (Ф.И.О. ИП), ОГРН (ОГРНИП), ИНН, адрес места нахождения.

Если работник не дал своего согласия, передача его ПД третьему лицу невозможна. Но есть исключения: передача данных в ПФР, ФСС, налоговые органы, по мотивированному запросу органов прокуратуры и внутренних дел, по запросу суда и т.д. Не нужно брать согласие работника и в случаях, связанных с исполнением им своих должностных обязанностей, в том числе при направлении работника в командировку 1 . Например, когда нужно купить авиабилеты, забронировать номер в гостинице и т.д. Другой пример – работодатель передает клиенту Ф.И.О. и номер телефона работника-курьера, который должен доставить посылку.

Остальные случаи передачи ПД без согласия будут нарушением закона. Например, когда работодатель передает ПД работника в охранную организацию для оформления пропуска.

Решили продавать товары или услуги через сайт – подумайте о грамотной обработке персональных данных, чтобы не пришлось платить тысячи и миллионы за нарушение закона

Работодатель обязан «не сообщать ПД работника в коммерческих целях без его письменного согласия» (абз. 3 ч. 1 ст. 88 ТК РФ).

Комментарии компетентных органов о применении данного положения закона отсутствуют. Исходя из нашей практики, речь идет не столько о передаче ПД работников третьим лицам, сколько о размещении этих данных на сайте, в рекламных материалах для привлечения клиентов, а также иных действиях работодателя, направленных на увеличение прибыли. Согласие работника здесь также необходимо, поскольку размещение его ПД на сайте не связано с исполнением им своих должностных обязанностей. Примером нарушения данного положения Трудового кодекса является ситуация, когда коммерческие, медицинские и учебные организации публикуют на своих сайтах биографии сотрудников без их согласия.

Работодатель обязан «предупредить лиц, получающих ПД работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПД работника, обязаны соблюдать режим секретности (конфиденциальности)» (абз. 4 ст. 88 ТК РФ).

Речь идет о случаях, когда работодатель получает требование о предоставлении ПД работников от организаций, у которых нет права по закону получать такие данных без согласия работника 2 . Например, работодателю поступил запрос от другой компании, в которой его сотрудник работает по совместительству. В этом случае работодатель по основному месту работы обязан получить согласие работника, а также требовать от организации соблюдения конфиденциальности и использования полученных ПД только в целях, для которых они предоставлены.

В законе не указано, как именно должно оформляться требование о соблюдении конфиденциальности. На практике подписывается соглашение о конфиденциальности или работодатель получает от компании гарантийное письмо.

Иная ситуация, когда ПД сотрудника передаются в целях исполнения договора. Например, при передаче данных работников бухгалтерам на аутсорсе. Работодатель в таком случае обязан соблюдать требования ч. 3 ст. 6 Закона о персональных данных, а именно 3 :

взять письменное согласие работника на передачу его ПД третьему лицу;
в поручении для третьего лица указать перечень возможных действий с переданными ПД, цели обработки, требования к защите обрабатываемых ПД;
в поручении для третьего лица установить его обязанность соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке.

Ни закон, ни разъяснения Роскомнадзора ничего не говорят о форме поручения. На практике под поручением понимается отдельное положение, включенное в текст договора с третьим лицом (согласно ч. 3 ст. 6 Закона о персональных данных). Например, такое поручение может содержать договор на оказание услуг.

Клиент жалуется на рекламную рассылку – предприниматель платит За ошибки при обработке персональных данных в рекламных целях организациям и ИП придется уплачивать штрафы

Ответственность за нарушения закона: штраф для ИП – от 10 тыс. до 20 тыс. руб., для юрлиц – от 15 тыс. до 75 тыс. руб. (ч. 2 ст. 13.11 КоАП РФ).

И придется выплатить компенсацию морального вреда работнику, чьи права были нарушены.

Несмотря на передачу ПД работника третьему лицу, ответственность за их обработку несет работодатель.

Примеры из личной практики

К нам обратилась компания, которая была оштрафована на 60 тыс. руб. по ч. 2 ст. 13.11 КоАП РФ. Основание – передача ПД работников без их согласия сторонней организации, оказывающей бухгалтерские услуги. После проверки документов выяснилось, что компания получала согласие на обработку ПД от каждого работника при заключении трудового договора, считая, что этого достаточно для передачи ПД третьим лицам.
Региональная сеть частных медицинских клиник была оштрафована на 35 тыс. руб. по ч. 2 ст. 13.11 КоАП РФ. Основание – размещение Ф.И.О. и данных о медицинском образовании сотрудников на официальном сайте без их согласия.

Примеры из судебной практики

Работник взыскал с работодателя компенсацию морального вреда за передачу ПД при ответе на запрос адвоката (Решение Сыктывкарского городского суда Республики Коми по делу № 2-969/2019 от 14 марта 2019 г.).
Работодатель получил предписание от Роскомнадзора об устранении нарушений порядка передачи ПД работников третьему лицу: было неверно оформлено согласие, и в договоре с третьим лицом не указан перечень действий с ПД (постановление Арбитражного суда Московского округа по делу № А40-81171/2017 от 15 января 2018 г.).

Что нужно сделать компании и ИП до передачи ПД работников?

Если ПД работника передаются в пределах одной организации

Создайте локальный акт, в котором подробно должны быть расписаны процедура передачи ПД, цели и объем передаваемых данных, структурные подразделения, которые имеют право работать с ПД.
Приказом или локальным актом определите список лиц согласно штатному расписанию, которые вправе заниматься обработкой ПД работников. Документ должен содержать перечень ПД, обрабатываемых каждым работником.
Письменно ознакомьте каждого работника с локальными актами и приказами.

Если ПД работника передаются третьему лицу, не имеющему по закону права на получение данных без согласия работника

Возьмите письменное согласие работника на передачу его ПД третьему лицу в строгом соответствии с требованиями ч. 4 ст. 9 Закона о персональных данных.
Подпишите с лицом, которому передаются ПД работника, соглашение о конфиденциальности или попросите его предоставить гарантийное письмо, в котором лицо должно гарантировать соблюдение конфиденциальности. Документ также должен содержать цели обработки ПД.

Если ПД работника передаются третьему лицу в целях исполнения договора

Возьмите письменное согласие работника на передачу его ПД третьему лицу в строгом соответствии с ч. 4 ст. 9 Закона о персональных данных.
В заключенном с третьим лицом договоре необходимо указать следующие условия:
- работодатель поручает исполнителю обработку ПД в соответствии с ч. 3 ст. 6 Закона о персональных данных;
- исполнитель обязуется соблюдать принципы и правила обработки ПД, предусмотренные Законом о персональных данных;
- перечень действий (операций) с ПД, которые будут совершаться исполнителем при обработке ПД работника;
- цели обработки ПД;
- исполнитель обязуется соблюдать конфиденциальность ПД и обеспечивать безопасность при их обработке;
- требования к защите обрабатываемых ПД согласно ст. 19 Закона о персональных данных.
1 Абзац 4 п. 4 Разъяснений Роскомнадзора от 14 декабря 2012 г. «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

от 28 ноября 2011 года N 2546р

О порядке предоставления доступа к информационным системам ОАО "РЖД"

В целях оптимизации предоставления доступа к информационным системам ОАО "РЖД", уменьшения бумажного документооборота, а также в связи с вводом в эксплуатацию автоматизированных систем обработки заявок на доступ к информационным системам ОАО "РЖД":

2. Руководителям подразделений аппарата управления, филиалов и других структурных подразделений ОАО "РЖД":

организовать ознакомление под роспись и изучение указанного Порядка работниками, являющимися пользователями информационных систем ОАО "РЖД".

3. Признать утратившими силу:

Правила работы пользователей Комплексной информационно-вычислительной сети (КИВС) ОАО "РЖД" при их подключении к сети Интернет, утвержденные ОАО "РЖД" 3 июня 2005 года;

УТВЕРЖДЕН
Распоряжением ОАО "РЖД"
от 28 ноября 2011 года N 2546р

Порядок предоставления доступа к информационным системам ОАО "РЖД"

I. Общие положения

1. Настоящий Порядок устанавливает единую процедуру организации доступа к информационным системам ОАО "РЖД" работников аппарата управления, филиалов, других структурных подразделений ОАО "РЖД", их обособленных подразделений, а также сторонних организаций.

2. В настоящем Порядке используются следующие основные понятия:

информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

информационная система общего пользования - глобальная информационная система (сеть Интернет), доступ к которой в соответствии с настоящим Порядком предоставляется за счет ресурсов ОАО "РЖД" внутренним пользователям для выполнения ими должностных обязанностей;

информационные технологии - процессы и методы поиска, сбора, хранения, обработки, предоставления и распространения информации;

подразделение ОАО "РЖД" - подразделение аппарата управления, филиал (его обособленное подразделение) или другое структурное подразделение ОАО "РЖД";

внутренний пользователь - работник подразделения ОАО "РЖД", использующий информационные системы;

внешний пользователь - работник сторонней организации (в том числе дочернего или зависимого общества ОАО "РЖД") или индивидуальный предприниматель, имеющий доступ к информационным системам ОАО "РЖД";

обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации;

доступ к информационной системе - возможность ознакомления пользователя со сведениями, находящимися в информационной системе, и использования обеспечивающих их обработку информационных технологий и технических средств;

ответственный за оформление заявок - назначаемый приказом по подразделению ОАО "РЖД" работник, оформляющий доступ пользователей к информационной системе;

распорядитель информационной системы (раздела информационной системы) - подразделение ОАО "РЖД", реализующее полномочия обладателя информации по предоставлению доступа к информационной системе в соответствии с требованиями настоящего Порядка, а также других нормативных документов ОАО "РЖД" (как правило, функциональный заказчик информационной системы);

зона ответственности подразделения, осуществляющего эксплуатацию информационной системы, - область функционирования информационной системы, где данное подразделение несет ответственность за ее работоспособность;

руководитель подразделения ОАО "РЖД" - начальник (заместитель начальника) подразделения ОАО "РЖД", имеющий право подписи исходящих документов:

сеть передачи данных ОАО "РЖД" - корпоративная транспортная инфраструктура передачи данных, предназначенная для обмена информацией между пользователями, подключенными к сети передачи данных, а также обеспечения доступа пользователей к информационным системам ОАО "РЖД";

II. Организация доступа пользователей к информационным системам ОАО "РЖД"

3. Предоставление пользователям доступа к информационным системам ОАО "РЖД" осуществляется на основании их заявок, которые оформляются с использованием автоматизированных систем обработки заявок на доступ к информационным системам ОАО "РЖД".

Подразделение ОАО "РЖД", инициирующее подключение пользователя к информационной системе (разделу информационной системы), обеспечивает оформление заявки на его доступ к информационной системе (разделу информационной системы). Заявка на доступ к информационной системе заполняется в автоматизированной системе обработки заявок ответственным за оформление заявок или самим пользователем, при этом указывается цель подключения и прилагается основание для предоставления доступа.

4. При отсутствии возможности использования автоматизированной системы обработки заявок заявка оформляется согласно приложениям N 1 или 2 и вместе с сопроводительным письмом, в котором указываются цель подключения и основание для предоставления доступа к информационной системе, пересылается почтой с соблюдением требований настоящего Порядка.

5. Основанием для предоставления доступа к информационной системе внутреннего пользователя являются его должностные обязанности, а также письменное указание руководства ОАО "РЖД" или руководителя филиала (структурного подразделения) ОАО "РЖД", копия (выписка) которого прилагается к заявке.

Срок действия заявки внутреннего пользователя - 2 года с даты ее утверждения.

6. Внешние пользователи в качестве основания для предоставления доступа к информационной системе указывают договор (соглашение) между организацией внешнего пользователя и ОАО "РЖД" об электронном обмене данными, а также соответствующие приказ или распоряжение ОАО "РЖД" (при необходимости), копии которых прилагаются. Срок действия заявки внешнего пользователя - один год с даты ее утверждения, но не более срока действия указанного договора (соглашения).

В сопроводительном письме внешние пользователи дополнительно указывают наименование информационной системы (раздела информационной системы), а также направляют вместе с заявкой копию утвержденной типовой схемы предоставления доступа к указанной информационной системе (разделу информационной системы), оформленной согласно приложению N 3, и копию договора (соглашения) об электронном обмене данными.

Типовая схема предоставления доступа внешнего пользователя к информационной системе ОАО "РЖД" согласовывается с Главным вычислительным центром или с информационно-вычислительным центром - структурным подразделением Главного вычислительного центра в случае подключения к информационной системе (разделу информационной системы), расположенной в зоне ответственности информационно-вычислительного центра. В последнем случае схема также согласовывается с соответствующим региональным центром безопасности.

После этого схема предоставления доступа внешних пользователей к информационной системе согласовывается с департаментом безопасности и утверждается департаментом информатизации и корпоративных процессов управления.

7. В договоре (соглашении) между организацией внешнего пользователя и ОАО "РЖД" об электронном обмене данными указываются информационная система (раздел информационной системы), содержание передаваемой информации, порядок приостановления или прекращения доступа внешнего пользователя к информационной системе, требования по обеспечению защиты информации в соответствии с политикой и стандартами безопасности ОАО "РЖД", а также следующие обязательства организации внешнего пользователя:

обеспечивать конфиденциальность информации, составляющей коммерческую тайну ОАО "РЖД";

передавать полученную информацию третьим лицам только с письменного согласия ОАО "РЖД";

незамедлительно сообщать ОАО "РЖД" о допущенном организацией внешнего пользователя либо ставшем ей известном факте разглашения или об угрозе разглашения, о незаконном получении или незаконном использовании третьими лицами информации, составляющей коммерческую тайну ОАО "РЖД";

возместить убытки ОАО "РЖД" в случае разглашения организацией внешнего пользователя информации, составляющей коммерческую тайну ОАО "РЖД", а также в других случаях нарушения внешним пользователем требований информационной безопасности;

обеспечить средства электронно-вычислительной техники, подключаемые к информационной системе, антивирусной защитой и защитой от несанкционированного доступа в соответствии с политикой и стандартами информационной безопасности ОАО "РЖД".

8. Договор (соглашение) об электронном обмене данными согласовывается с распорядителем информационной системы и с департаментом безопасности (с региональным центром безопасности в случае предоставления доступа к информационной системе в зоне ответственности информационно-вычислительного центра).

9. Доступ внешних пользователей к информационной системе (разделу информационной системы), содержащей информацию, обладателем которой является дочернее или зависимое общество ОАО "РЖД", возможен только при наличии письменного согласия обладателя информации.

10. Доступ внутренних и внешних пользователей к информационной системе обеспечивается путем подключения рабочей станции или персональной электронно-вычислительной машины (далее - ПЭВМ) пользователя к средствам информационного обмена Главного вычислительного центра или информационно-вычислительного центра - структурного подразделения Главного вычислительного центра, которыми для внутренних пользователей является сеть передачи данных ОАО "РЖД", а для внешних пользователей - защищенные узлы доступа из внешних сетей.

11. Доступ внешних пользователей к информационным системам осуществляется через узлы доступа Главного вычислительного центра (информационно-вычислительных центров - структурных подразделений Главного вычислительного центра) в соответствии со схемой предоставления доступа к информационным системам (разделу информационной системы) по технологиям, предусмотренным проектными решениями узлов доступа, в том числе с применением сертифицированных средств криптографической защиты.

Подключение внешних пользователей к электронно-почтовой системе ОАО "РЖД" для производственно-хозяйственной деятельности допускается только при соблюдении требований законодательства Российской Федерации.

12. Подключение по схеме "информационная система ОАО "РЖД" - автоматизированная система внешней организации", а также подключение технологического оборудования (стоек, терминалов, банкоматов и т.п.) осуществляется на основании разрабатываемого для каждого случая проекта, который согласовывается в установленном порядке с Главным вычислительным центром, департаментом безопасности и департаментом информатизации и корпоративных процессов управления.

13. Подключения пользователей подразделяются по типу на:

информационное - для получения справочных сведений из информационной системы в процессе выработки управленческих решений;

технологическое - для обмена данными с информационной системой в процессе производственной деятельности пользователя;

обеспечивающее - для сопровождения и обеспечения эффективного функционирования информационной системы (раздела информационной системы).

14. Подразделение - распорядитель информационной системы (раздела информационной системы) принимает решение о целесообразности и возможности предоставления конкретному пользователю доступа к данной информационной системе (разделу информационной системы). Указанное подразделение по согласованию с департаментом безопасности и департаментом информатизации и корпоративных процессов управления может делегировать часть своих полномочий распорядителя информационной системы подразделениям ОАО "РЖД" дорожного уровня в зоне ответственности соответствующего информационно-вычислительного центра - структурного подразделения Главного вычислительного центра.

Работник, ответственный за организацию работы с информацией, составляющей коммерческую тайну, в подразделении ОАО "РЖД" - распорядителе информационной системы, обеспечивает ведение учета заявок на подключение пользователей к информационной системе, содержащей сведения, составляющие коммерческую тайну ОАО "РЖД".

15. В Главном вычислительном центре (информационно-вычислительном центре - структурном подразделении Главного вычислительного центра) заявки на доступ к информационной системе (разделу информационной системы) рассматриваются соответствующими подразделениями (уполномоченными работниками), которые обеспечивают:

учет заявок на подключение пользователей к информационной системе (при отсутствии автоматизированной системы обработки заявок);

контроль правильности оформления заявки (при отсутствии автоматизированной системы обработки заявок);

физическое подключение ПЭВМ пользователя к сети передачи данных (если ранее ПЭВМ не была подключена) или подтверждение факта ее физического подключения;

организацию (при необходимости) работы по установке автоматизированных рабочих мест информационной системы на ПЭВМ пользователя;

предоставление прав доступа к информационной системе (разделу информационной системы) с передачей пользователю идентификационной информации;

безопасность подключения и доступа к информационной системе (разделу информационной системы).

16. В департаменте безопасности (региональном центре безопасности) заявки на доступ к информационным системам рассматриваются отделом (уполномоченными работниками), который:

проверяет полноту оформления документов и легитимность подписей, в том числе электронных цифровых;

проверяет оформление допуска пользователя к сведениям, составляющим коммерческую тайну, при подключении его к информационной системе (разделу информационной системы), содержащей такие сведения;

оценивает целесообразность продления сроков подключения пользователя к определенной информационной системе (разделу информационной системы) исходя из имеющейся информации о нарушениях, допущенных данным пользователем при работе в этой информационной системе (разделе информационной системы);

контролирует соблюдение настоящего Порядка, политики и стандартов информационной безопасности ОАО "РЖД", а также правил работы внутренних пользователей.

17. Срок рассмотрения заявки на доступ пользователей к информационной системе ОАО "РЖД" каждым из причастных подразделений ОАО "РЖД" не превышает трех рабочих дней.

18. Применение введенных до 2011 года в эксплуатацию автоматизированных систем обработки заявок на доступ к информационным системам допускается при их соответствии требованиям настоящего Порядка и требованиям к работе систем с использованием электронной цифровой подписи. В указанных системах использование электронной цифровой подписи руководителями подразделений ОАО "РЖД" - распорядителей информационных систем (разделов информационных систем), служб корпоративной информатизации железных дорог ОАО "РЖД", а также уполномоченными в соответствии с настоящим Порядком работниками Главного вычислительного центра (информационно-вычислительного центра), департамента безопасности (регионального центра безопасности) и департамента информатизации и корпоративных процессов управления является обязательным.

19. Эксплуатируемые автоматизированные системы обработки заявок должны обеспечивать соответствие данных о подключаемых внутренних пользователях сведениям, содержащимся в информационной системе кадрового учета (ЕК АСУТР).

20. При наличии ошибок (неточностей) в заявках, сопроводительных письмах, прилагаемых материалах и при нарушении порядка их согласования доступ к информационным системам не предоставляется, о чем автора заявки уведомляет работник, принявший решение об отказе в предоставлении доступа.

Укажите чем руководствуется машинист при следовании вагонами вперед при проведении маневровых работ?

Укажите чем руководствуется машинист при следовании вагонами вперед при проведении маневровых работ? показанием локомотивного светофора показанием светофора командами руководителя маневров

Укажите чем руководствуется машинист при следовании локомотивом вперед при проведении маневровых работ?

Укажите чем руководствуется машинист при следовании локомотивом вперед при проведении маневровых работ? показанием локомотивного светофора показанием светофора командами руководителя маневров

Допускается ли в период гололеда применять электрическое торможение ЭПС?

Допускается ли в период гололеда применять электрическое торможение ЭПС? Да Нет

Нажатием какой кнопки машинист обязан проверить качество печати на ленте КПД-3?

Нажатием какой кнопки машинист обязан проверить качество печати на ленте КПД-3? Ч П КОНТР Т

Какие требования предъявялются к вагонам, для перевозки грузов класса 5.1 Окисляющие вещества?

Какие требования предъявялются к вагонам, для перевозки грузов класса 5.1 Окисляющие вещества? Должны быть тщательно очищены от остатков перевозимых грузов, пыли или промыты и не иметь следов минеральных и растительных масел Должны быть обиты (оклеены) изнутри стеклотканью,…

Какое легковоспламеняющееся вещество допустимо к перевозке в крытых вагонах в упаковке в стеклянной таре?

Какое легковоспламеняющееся вещество допустимо к перевозке в крытых вагонах в упаковке в стеклянной таре? Химически чистый метанол Сероуглерод Самин

Что должен сделать машинист в оставляемой кабине управления на локомотивах, оборудованных блокировочным устройством при наличии электропневматического тормоза?

Что должен сделать машинист в оставляемой кабине управления на локомотивах, оборудованных блокировочным устройством при наличии электропневматического тормоза? Выключатель управления питания этого тормоза Ручку блокировочного устройства перевести в верхнее положение Перекрыть разобщительный кран от КМ №254 к…

Как смещен писец ЭЭ по отношению к писцам давления в ТМ и заднего хода?

Укажите причину большого зарядного тока (до 50 а) на электровозах ВЛ10, ВЛ10У?

Читайте также: