МЕНЮ

Политика безопасности персональных данных

1. Общие положения

1.1. Настоящее Положение о порядке организации и проведении работ по обеспечению безопасности персональных данных в ОАО «Электроцинк» (далее —Положение) определяет содержание и порядок осуществления мероприятий по защите персональных данных, обрабатываемых с использованием средств автоматизации, в ОАО «Электроцинк» (далее - Предприятие).

1.2. Настоящее Положение составлено в соответствии Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства РФ от 01.11.2012 г.  № 1119.

2. Основные понятия, используемые в Положении

Предприятие - ОАО «Электроцинк»

Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

ПО – программное обеспечение;

Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Информационная система персональных данных (ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

К общедоступным персональным данным относятся персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

ИСПДн обработки специальных категорий персональных данных (далее - ИСПДн-С);

К специальным категориям персональных данных относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Источник угрозы безопасности персональных данных - Объект или субъект, реализующий угрозы безопасности персональных данных путем воздействия на объекты среды обработки персональных данных организации.

Объект среды обработки персональных данных - Материальный объект среды хранения, передачи, обработки, уничтожения и т.д. персональных данных.

Оценка риска нарушения безопасности персональных данных - Систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков нарушения безопасности персональных данных, обрабатываемых в организации.

Риск нарушения безопасности персональных данных - Риск, связанный с угрозой безопасности персональных данных.

Угроза безопасности персональных данных - Угроза нарушения свойств безопасности персональных данных — доступности, целостности или конфиденциальности персональных данных организации.

3. Нормативно-методическая документация

При организации и проведении работ по обеспечению безопасности ПДн необходимо руководствоваться следующими нормативными и методическими документами:

  • Конституция Российской Федерации;

  • Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

  • Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»;

  • Указ Президента от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера»;

  • Требования к защите персональных данных при их обработке в информационных системах персональных данных» (утв. Постановлением Правительства РФ от 01.11.2012 г.  № 1119);

  • Совместный приказ ФСТЭК/ФСБ/Мининформсвязи России от 13.02.2008 №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

  • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утв. руководством 8 Центра ФСБ России 21.02.2008 №149/6/6-622).

4. Цель положения

4.1. Целью данного Положения является организация мероприятий по защите персональных данных (ПДн) и приведение существующих информационных систем персональных данных (ИСПДн) Предприятия в соответствие с предъявляемыми требованиями по информационной безопасности.

4.2. Мероприятия по защите ПДн, отнесенных к конфиденциальной информации Предприятия, являются неотъемлемой составной частью деятельности Предприятия.

5. Объекты защиты

 5.1. На предприятии подлежат защите автоматизированные системы (АС), локальные вычислительные сети (ЛВС), средства и системы связи и передачи информации, другие технические средства, используемые в рамках процессов Предприятия, в которых обрабатываются персональные данные.

5.2. Защита ПДн на Предприятии обеспечивается выполнением комплекса организационных, технологических, технических и программных мер, средств, и механизмов защиты информации от несанкционированного доступа, программно-технических воздействий с целью нарушения целостности (модификации, уничтожения) и доступности информации в процессе ее обработки, передачи и хранения, а также обеспечения работоспособности технических средств.

6. Ответственные за защиту ПДн на Предприятии.

6.1. Организация выполнения и (или) реализации требований по обеспечению безопасности персональных данных возлагается на отдел экономической безопасности ОАО «Электроцинк».

6.2. Должностные лица подразделений Предприятия, в обязанность которых входит обработка ПДн, обязаны обеспечить каждому субъекту ПДн возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законодательством Российской Федерации. 

6.3. Обязанности по администрированию средств защиты и механизмов защиты, реализующих требования по обеспечению ИБ ИСПДн Предприятия, возлагаются приказами (распоряжениями) на администраторов информационной безопасности ИСПДн, либо сотрудника службы директора по безопасности и режиму, ответственного за информационную безопасность. 

6.4. Настоящее Положение является обязательным для исполнения всеми работниками, ответственными за защиту ПДн. 

7. Порядок организации и проведения работ по обеспечению безопасности ПДн при их обработке в ИСПДн ОАО «Электроцинк»

 7.1. Организационные меры по защите ПДн на Предприятии включают в себя следующие мероприятия:

  • Определение лиц, подразделений, ответственных за защиту информации в ОАО «Электроцинк»;

  • Определение перечня ПДн, обрабатываемых в ОАО «Электроцинк»;

  • Определение целей обработки ПДн;

  • Определение сроков обработки и хранения ПДн;

  • Определение круга лиц, допущенных к обработке ПДн;

  • Организация доступа в помещения, где осуществляется обработка ПДн;

  • Обучение и повышение осведомленности работников, допущенных к обработке ПДн, в области обеспечения информационной безопасности;

  • Учет применяемых технических средств защиты ПДн;

  • Учет носителей ПДн;

  • Разработка нормативных и организационно-распорядительных документов (далее ОРД).

7.2. Ответственность за организацию работ по обеспечению безопасности и защиты ПДн, внесение соответствующих изменений в существующее Положение о структурном подразделении, разработку и утверждение должностных инструкций работников, отвечающих за защиту ПДн, возлагается на отдел экономической безопасности.

7.3. В рамках настоящего Положения к защищаемой информации относится документированная конфиденциальная информация, обрабатываемая, созданная или полученная ОАО «Электроцинк» от юридических или физических лиц на законных основаниях.

7.4. На Предприятии обрабатываются персональные данные, определяемые в соответствии с Перечнями сведений, составляющих служебную и коммерческую тайны ОАО «Электроцинк».

7.5. Цели обработки персональных данных на Предприятии определяются на основании Перечня сведений, составляющих служебную и коммерческую тайны ОАО «Электроцинк».

7.6. Сроки хранения и обработки информации, содержащей ПДн субъектов, определяются в соответствии с Перечнями сведений, составляющих служебную и коммерческую тайны ОАО «Электроцинк».

7.7. По истечении срока хранения и обработки информации, содержащей ПДн субъектов, данная информация должна быть уничтожена.

7.8. Сбор, хранение, использование и распространение информации о частной жизни лица без письменного его согласия не допускаются.

8. Определение круга лиц, допущенных к обработке ПДн.

 8.1. Круг лиц, допущенных к обработке ПДн, определяется каждым руководителем структурного подразделения, в котором обрабатываются ПДн, и утверждается приказом в виде «Перечня подразделений и работников, допущенных к работе с персональными данными, обрабатываемыми в ОАО «Электроцинк».

8.2. Все лица, допущенные к обработке ПДн, ознакамливаются с нормативной и организационно-распорядительной документацией по обработке и защите ПДн на Предприятии.

8.3. В должностные инструкции работников, принимающих участие в обработке ПДн, включается раздел об ответственности за обеспечение информационной безопасности ПДн.

9. Организация доступа в помещения, где осуществляется обработка ПДн

9.1. В соответствии с действующими нормативными и организационно-распорядительными документами Предприятия определяется порядок доступа в помещения, в которых размещаются технические средства ИСПДн и хранятся носители персональных данных, предусматривающий контроль доступа в помещения и наличие препятствий для несанкционированного проникновения в помещения.

9.2. Перечень лиц, допущенных в помещение (серверную комнату), где располагаются серверы и телекоммуникационное оборудование, согласовывается в обязательном порядке с отделом экономической безопасности.

9.3. В целях обеспечения ограниченного доступа в серверную комнату, входная дверь должна быть снабжена функцией автоматической системы контроля доступа. В случае если установка данной системы невозможна, необходимо регистрировать вход/выход работников в соответствии с перечнем лиц, допущенных в серверное помещение.

9.4. Должна осуществляться физическая охрана помещений, в которых размещаются технические средства ИСПДн и хранятся носители персональных данных. Физическая охрана помещений может обеспечиваться как на уровне помещений Предприятия, так и на уровне всего объекта.

9.5. Доступ в помещения, где обрабатываются ПДн, лицам, не допущенным к обработке ПДн, запрещен. В случае необходимости обеспечения доступа в помещения лицам, не допущенным к обработке ПДн (например, для уборки, технического обслуживания помещения), необходимо исключить возможность несанкционированного доступа к техническим средствам обработки ПДн, их хищения и нарушения работоспособности, хищения носителей информации.

10. Обучение работников ОАО «Электроцинк»

10.1. Подразделение, ответственное за защиту ПДн совместно с УЦ предприятия, проводит обучение сотрудников, использующих средства защиты информации, применяемые в ИСПДн, правилам работы с данными средствами не реже одного раза в год. Также проводится инструктаж работников Предприятия, допущенных к обработке ПДн, правилам обработки ПДн в соответствии с утвержденными требованиями законодательства Российской Федерации и «Положения об обработке персональных данных в ОАО «Электроцинк». 

10.2. Ответственным подразделением за подготовку материалов обучения в области обеспечения безопасности ПДн и за сбор необходимых для этого данных является отдел экономический безопасности Предприятия.

10.3. Ответственность за организацию обучения работников Предприятия возлагается на отдел экономической безопасности. 

10.4. Работнику, проводившему обучение, необходимо заносить все мероприятия по обучению в «Журнал учета мероприятий по защите информации» (Приложение А к настоящему документу) в соответствии с «Планом обучения в области обеспечения информационной безопасности ОАО «Электроцинк».

11. Общие требования по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн.

11.1. Создание ИСПДн включает разработку и согласование (утверждение) организационно-распорядительной, проектной и эксплуатационной документации на создаваемую систему. В документации должны быть отражены вопросы обеспечения безопасности обрабатываемых персональных данных.

11.2. Разработка концепций, технических заданий, проектирование, создание и тестирование, приемка и ввод в действие ИСПДн осуществляется по согласованию и под контролем отдела экономической безопасности.

11.3. Все информационные активы, принадлежащие ИСПДн, защищаются от воздействий вредоносного кода (компьютерных вирусов, троянских коней, червей и т.д.) средствами антивирусной защиты в соответствии с «Положением об организации антивирусной защиты в автоматизированных системах ОАО «Электроцинк».

11.4. Отделом экономической безопасности определяется система контроля доступа, позволяющая осуществлять контроль доступа к коммуникационным портам, устройствам ввода-вывода информации, съемным машинным носителям и внешним накопителям информации ИСПДн.

11.5. Работники, осуществляющие обработку персональных данных в ИСПДн, действуют в соответствии с инструкцией (руководством, регламентом и т.п.), входящей в состав эксплуатационной документации на ИСПДн, и соблюдают требования внутренних нормативных и организационно-распорядительных документов Предприятия по обеспечению информационной безопасности.

11.6. Порядок действий администратора информационной безопасности (специалиста службы директора по безопасности и режиму) ИСПДн и персонала, занятого в процессе обработки персональных данных, определяется инструкциями (руководствами), которые:

  • Устанавливают требования к квалификации администратора информационной безопасности и персонала в области защиты информации, а также актуальный перечень защищаемых объектов и правила его обновления;

  • Содержат в полном объеме актуальные (по времени) данные о возможных полномочиях пользователей в системе;

  • Содержат данные о технологии обработки информации в объеме, необходимом для администратора информационной безопасности;

  • Устанавливают порядок и периодичность анализа журналов регистрации событий (архивов журналов);

  • Регламентируют другие действия администратора информационной безопасности и персонала, предусмотренные настоящим Положением.

11.7. Параметры конфигурации средств защиты и механизмов защиты информации от несанкционированного доступа, используемых в зоне ответственности администратора информационной безопасности, определяются в эксплуатационной документации на ИСПДн. Порядок и периодичность проверок установленных параметров конфигурации устанавливаются в эксплуатационной документации, при условии, что проверки должны проводиться не реже чем раз в год.

11.8. Организационно-техническими мерами должно быть запрещено несанкционированное и (или) нерегистрируемое (бесконтрольное) копирование персональных данных, в том числе с использованием отчуждаемых (сменных) носителей информации, мобильных устройств копирования и переноса информации, коммуникационных портов и устройств ввода-вывода, реализующих различныеб интерфейсы (включая беспроводные), запоминающих устройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов), а также устройств фото- и видеосъемки.

12. Требования по обеспечению безопасности ПДн, обрабатываемых в ИСПДн класса «Д».

12.1. Для информационных систем обработки общедоступных и (или) обезличенных персональных данных (класс систем ИСПДн-Д) применяются все требования по обеспечению безопасности, определенные в разделе 5 настоящего Положения.

12.2. Процессы обработки персональных данных, а также порядок установки, настройки, эксплуатации и восстановления необходимых технических и программных средств регламентируются разработчиком ИСПДн в проектной и эксплуатационной документации.

12.3. Идентификация и аутентификация (проверка подлинности) субъекта доступа при входе в ИСПДн обеспечивается по идентификатору (коду) и периодически обновляемому паролю длиной не менее шести буквенно-цифровых символов.

При наличии технической возможности количество последовательных неудачных попыток ввода пароля должно быть ограничено — не более 5 попыток. При превышении указанного количества средства защиты и механизмы защиты должны блокировать возможность дальнейшего ввода пароля, включая правильное значение пароля, до вмешательства администратора информационной безопасности.

Порядок формирования и смены паролей, а также контроля исполнения этих процедур регламентируется разработчиком ИСПДн в эксплуатационной документации в инструкциях (руководствах) администраторов информационной безопасности.

12.4. Передача персональных данных осуществляется только при условии обеспечения их целостности с помощью защитных мер, механизмов и средств, применяемых по согласованию с отделом экономической безопасности.

13. Требования по обеспечению безопасности ПДн, обрабатываемых в ИСПДн класса «И».

13.1. Выполнение функций обеспечения безопасности персональных данных в ИСПДн обеспечивается средствами защиты информации, прошедшими в установленном порядке процедуру оценки соответствия (сертификации на соответствие требованиям по безопасности информации), а также комплексом встроенных механизмов защиты электронных вычислительных машин (ЭВМ), операционных систем (ОС), систем управления базами данных (СУБД), прикладного программного обеспечения (ПО).

13.2. На стадии ввода в действие разработчиком ИСПДн выполняются настройки средств и механизмов обеспечения безопасности, не допускающие несанкционированного изменения пользователем предоставленных ему полномочий.

Разработчиком ИСПДн определяется порядок постоянного контроля фактического состояния указанных настроек на предмет их соответствия установленным правилам.

Указанный порядок должен согласовывается с Департаментом безопасности.

13.3. Регистрация входа в ИСПДн (выхода из ИСПДн) субъекта доступа является обязательной.

В журнале регистрации событий, который ведется в электронном виде в ИСПДн, указываются следующие параметры:

  • дата и время входа в систему (выхода из системы) субъекта доступа;

  • идентификатор субъекта, предъявленный при запросе доступа;

  • результат попытки входа: успешная или неуспешная (несанкционированная);

  • идентификатор (адрес) устройства (компьютера), используемого для входа в систему.

13.4. В ИСПДн не должно быть субъекта доступа, имеющего полномочия, а при возможности и технические средства по уничтожению и модификации информации, содержащейся в журнале регистрации событий.

13.5. Очистка журналов регистрации событий регламентируется разработчиком ИСПДн в эксплуатационной документации на ИСПДн. Перед очисткой журналов регистрации событий должно производиться архивирование содержащейся в них информации путем перемещения информации в соответствующий архив.

13.6. Операция по архивированию журнала регистрации событий, в свою очередь, регистрируется с указанием времени и идентификатора работника, выполнившего операцию, в качестве первой записи в действующем журнале регистрации событий.

13.7. Архивы журналов регистрации событий уничтожаются только администратором информационной безопасности (сотрудником службы директора по безопасности и режиму), в зоне ответственности которого находятся данные архивы, не ранее чем через три года с момента появления последней записи в данной архивной копии.

13.8. На Предприятии определяется и документально фиксируется порядок постановки на учет и снятия с учета машинных носителей, предназначенных для размещения персональных данных.

13.9. Снятие с учета машинных носителей, на которых были размещены персональные данные, производится по акту путем стирания с них информации средствами гарантированного стирания информации или по акту путем их уничтожения.

13.10. Процедура стирания информации регламентируется разработчиком ИСПДн в эксплуатационной документации на ИСПДн в зависимости от применяемого средства гарантированного стирания.

13.11. При наличии технической возможности осуществляется очистка освобождаемых областей памяти на носителях, ранее использованных для хранения персональных данных.

13.12. Состав и назначение программного обеспечения ИСПДн определяются и утверждаются документально.

13.13. Порядок внесения изменений в установленное ПО ИСПДн, включая контроль действий программистов в процессе модификации ПО, регламентируется и утверждается документально.

13.14. Эталонные копии ПО учитываются, доступ к ним регламентируется. Соответствующие регламенты в виде инструкций, руководств готовятся разработчиком ИСПДн в эксплуатационной документации на ИСПДн.

13.15. Сохранность и целостность программных средств ИСПДн и персональных данных являются обязательными и обеспечиваются в том числе за счет создания резервных копий. Резервному копированию подлежат все программные средства, архивы, журналы, информационные ресурсы (данные), используемые и создаваемые в процессе эксплуатации ИСПДн

Средства восстановления функций обеспечения безопасности персональных данных в ИСПДн должны предусматривать ведение не менее двух независимых копий программных средств.

13.16. Порядок создания и сопровождения резервных копий, включающий способ и периодичность копирования, процедуры создания, учета, хранения, использования (для восстановления) и уничтожения резервных копий, регламентируется разработчиком ИСПДн в эксплуатационной документации на ИСПДн.

13.17. Восстановление функций обеспечения безопасности персональных данных в ИСПДн в случае нештатной ситуация осуществляется администратором ИСПДн с обязательным привлечением администратора информационной безопасности ИСПДн. (сотрудником службы директора по безопасности и режиму) Процедура восстановления регламентируется разработчиком ИСПДн в эксплуатационной документации на ИСПДн.

13.18. Подключение ИСПДн к ИСПДн другого класса или к сети Интернет осуществляется с использованием средств межсетевого экранирования (межсетевых экранов), которые обеспечивают выполнение следующих функций:

  • фильтрацию на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);

  • идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно- постоянного действия;

  • регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана);

  • возможность проверки (контроля) целостности программной и информационной частей средства межсетевого экранирования (в том числе с применением внешних программных средств, не встроенных в средство межсетевого экранирования);

  • фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

  • восстановление свойств межсетевого экрана после сбоев и отказов оборудования (в том числе с применением внешних программных средств, не встроенных в средство межсетевого экранирования);

  • возможность проведения регламентного тестирования реализации правил фильтрации, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления (в том числе с применением внешних программных средств, не встроенных в средство межсетевого экранирования).

14. Контроль за соблюдением информационной безопасности ПДн, обрабатываемых на Предприятии.

14.1. Контроль за состоянием защиты информации и ПДн (далее — контроль) осуществляется с целью своевременного выявления и предотвращения утечки информации и ПДн, несанкционированного доступа к информации и ПДн, преднамеренных программно-технических воздействий на информацию и ПДн, а также хищения ПДн.

14.2. Контроль заключается в проверке выполнения требований законодательства Российской Федерации по вопросам защиты информации, решений Федеральной службы по техническому и экспортному контролю (ФСТЭК России), внутренних нормативных и организационно - распорядительных документов ОАО «Электроцинк», а также в проведении регулярных самооценок и аудитов информационной безопасности.

14.3. Постоянный контроль за состоянием защиты информации и ПДн в ОАО «Электроцинк» осуществляет отдел экономической безопасности.

14.4. Контроль за эффективностью применяемых на Предприятии мер и средств защиты информации проводиться в соответствии с требованиями эксплуатационной документации, других нормативных документов, но не реже одного раза в год.

15. Определение нарушений

15.1. Процесс обеспечения безопасности и защиты ПДн считается эффективным, если принимаемые меры соответствуют установленным в данном Положении и в других нормативных документах ОАО «Электроцинк» требованиям или нормам.

15.2. Несоответствие мер установленным требованиям или нормам по обеспечению безопасности и защиты ПДн является нарушением.

15.3. При обнаружении нарушений руководители структурных подразделений в рамках своей компетенции обязаны принять необходимые меры по их устранению в соответствии с нормативной и организационно-распорядительной документацией Предприятия.

15.4. Контроль за устранением этих нарушений осуществляется отделом экономической безопасности.

15.5. Разбирательство и составление заключений в обязательном порядке проводится отделом экономической безопасности в случае выявления следующих фактов:

  • Несоблюдение условий хранения носителей ПДн;

  • Использование средств защиты информации, применение которых может привести к нарушению заданного уровня безопасности (конфиденциальность, целостность, доступность) ПДн или к снижению уровня защищенности ПДн;

  • Нарушение заданного уровня безопасности ПДн (конфиденциальность, целостность, доступность).

15.6. По окончании разбирательства проводятся необходимые мероприятия п предотвращению повторения подобных нарушений.

15.7. Проведение разбирательств по инцидентам, связанным с нарушением заданного уровня безопасности ПДн, проводятся отделом экономической безопасности  ОАО «Электроцинк». 

16. Заключительные положения.

16.1. Настоящее Положение вступает в силу со дня его утверждения Генеральным Директором ОАО «Электроцинк» и действует до его отмены либо принятия нового документа,

16.2. Изменения и дополнения к настоящему Положению утверждаются Генеральным Директором Предприятия.

16.3. Если при изменении законодательства Российской Федерации отдельные статьи настоящего Положения вступают в противоречие с ним, то эти статьи утрачивают силу, и до момента внесения изменений в Положение, работники ОАО «Электроцинк» руководствуются действующим законодательством Российской Федерации. Факт прекращения действия одного или нескольких пунктов не влияет на действие настоящего Положения в целом.