Приказом МВД РФ от 6 июля 2012 г. № 678 утверждена «Инструкция по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации».
Инструкция определяет порядок выполнения мероприятий по защите персональных данных (ПДн), содержащихся в информационных системах органов внутренних дел РФ, в том числе полученных при трансграничной передаче; устанавливает методы и способы защиты информации в информационных системах персональных данных (ИСПДн), а также обязанности должностных лиц (п.2).
МВД России является оператором, организующим и / или осуществляющим обработку ПДн, а также определяющим цели обработки ПДн, состав подлежащих обработке ПДн, действия, совершаемые с ПДн (п.3). Оператор также определяет подразделения органов внутренних дел, осуществляющие обработку ПДн в эксплуатируемых ведомством информационных системах (п.5).
В целях обеспечения безопасности ПДн создается системы защиты персональных данных (СЗПДн), которая должна обеспечивать конфиденциальность, целостность и доступность ПДн при их обработке (п.9). СЗПДн включает в себя организационные и технические меры, средства защиты информации, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки ПДн, а также используемые в ИСПДн информационные технологии.
Для обеспечения сохранности информационных ресурсов ИСПДн производится их резервное копирование на материальный носитель, обеспечивающее возможность восстановления содержащихся в информационной системе сведений.
Порядок и периодичность проведения резервного копирования информации определяются в конструкторской документации на ИСПДн, а также в инструкции по эксплуатации ИСПДн (п.20).
Для каждой ИСПДн предусматривается ведение следующих журналов(п.21):
- Учета эксплуатирующего персонала, в том числе администраторов безопасности ИСПДн, администраторов ИСПДн, пользователей ИСПДн, непосредственно обрабатывающих ПДн в ИСПДн, и инженерно-технического персонала, имеющего доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании;
- Учета и выдачи машинных носителей ПДн;
- Проведения инструктажей по обеспечению безопасности ПДн;
- Проверки исправности технических средств и технического обслуживания.
Мой комментарий: При чтении данного нормативно-правового акта возникает ощущение, что он написан больше «для галочки». Инструкция содержит в основном душеспасительные общие слова и очень мало конкретных положений и требований, которые реально могли бы способствовать усилению защиты персональных данных :(
Характерно, что в Инструкции нет разделов, посвященных действиям в случае инцидентов с персональными данными, несанкционированного доступа и утечек (например, по «разбору полётов», предотвращению повторных инцидентов, оповещению субъектов ПДн и компенсации понесенного ими ущерба) – молчаливо предполагается, что такого в МВД России не бывает…
Источник: Консультант Плюс
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=135562
Комментариев нет:
Отправить комментарий