пятница, 19 октября 2012 г.

Определены правила организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации


Приказом МВД РФ от 6 июля 2012 г. № 678 утверждена «Инструкция по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации».

Инструкция определяет порядок выполнения мероприятий по защите персональных данных (ПДн), содержащихся в информационных системах органов внутренних дел РФ, в том числе полученных при трансграничной передаче; устанавливает методы и способы защиты информации в информационных системах персональных данных (ИСПДн), а также обязанности должностных лиц (п.2).

МВД России является оператором, организующим и / или осуществляющим обработку ПДн, а также определяющим цели обработки ПДн, состав подлежащих обработке ПДн, действия, совершаемые с ПДн (п.3). Оператор также определяет подразделения органов внутренних дел, осуществляющие обработку ПДн в эксплуатируемых ведомством информационных системах (п.5).

В целях обеспечения безопасности ПДн создается системы защиты персональных данных (СЗПДн), которая должна обеспечивать конфиденциальность, целостность и доступность ПДн при их обработке (п.9). СЗПДн включает в себя организационные и технические меры, средства защиты информации, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки ПДн, а также используемые в ИСПДн информационные технологии.

Для обеспечения сохранности информационных ресурсов ИСПДн производится их резервное копирование на материальный носитель, обеспечивающее возможность восстановления содержащихся в информационной системе сведений.
Порядок и периодичность проведения резервного копирования информации определяются в конструкторской документации на ИСПДн, а также в инструкции по эксплуатации ИСПДн (п.20).

Для каждой ИСПДн предусматривается ведение следующих журналов(п.21):
  • Учета эксплуатирующего персонала, в том числе администраторов безопасности ИСПДн, администраторов ИСПДн, пользователей ИСПДн, непосредственно обрабатывающих ПДн в ИСПДн, и инженерно-технического персонала, имеющего доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании;
  • Учета и выдачи машинных носителей ПДн;
  • Проведения инструктажей по обеспечению безопасности ПДн;
  • Проверки исправности технических средств и технического обслуживания.
Запросы пользователей ИСПДн на получение ПДн, а также факты предоставления ПДн по этим запросам регистрируются средствами ИСПДн в электронном журнале обращений (п.26).

Мой комментарий: При чтении данного нормативно-правового акта возникает ощущение, что он  написан больше «для галочки». Инструкция содержит в основном душеспасительные общие слова и очень мало конкретных положений и требований, которые реально могли бы способствовать усилению защиты персональных данных :(

Характерно, что в Инструкции нет разделов, посвященных действиям в случае инцидентов с персональными данными, несанкционированного доступа и утечек (например, по «разбору полётов», предотвращению повторных инцидентов, оповещению субъектов ПДн и компенсации понесенного ими ущерба) – молчаливо предполагается, что такого в МВД России не бывает…

Источник: Консультант Плюс
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=135562

Комментариев нет:

Отправить комментарий