Как правильно организовать работу с базами персональных данных

Необходимость защиты персональных данных определяется требованиями Закона Украины «О защите персональных данных» № 2297-17. Согласно Постановлению Кабинета Министров Украины № 616 определен порядок регистрации баз персональных данных в Государственном реестре баз персональных данных (ГРБПД).

Что это такое?
Законом определено, что персональными данными (ПДН) являются сведения или совокупность сведений о физических лицах, которые идентифицированы или могут быть конкретно идентифицированы. Распорядителем базы ПДН может быть юридическое или физическое лицо, которое имеет право обрабатывать ПДН и является владельцем соответствующей базы (или баз) ПДН. Далее указывается, что владельцем или распорядителем базы ПДН могут быть предприятия, учреждения и организации всех форм собственности, которые обрабатывают ПДН соответствии с законом.

Статьей 5 и 6 Закона Украины «О защите персональных данных» предусмотрены меры защиты по баз ПДН. Далее статьей 9 предусмотрена регистрация баз ПДН в Государственном реестре баз персональных данных.

Реализовать требования Закона Украины и подзаконных актов о персональных данных предлагается путем внедрения системы управления и обработки персональных данных (СУОПДн) как элемента системы управления информационной безопасностью предприятия на основе международного стандарта ISO 27001

Зачем это нужно?
Разработка системы управления и обработки персональных данных специалистами позволит пройти успешную регистрацию баз персональных данных предприятия и обеспечит предприятия и компании надежной системой которая позволит:

1). предупредить утечку, хищения, утраты, искажения и подделки информации;

2). предупредить несанкционированные действия по уничтожению, модификации, искажению, копированию, блокированию информации;

3). снизить вероятность других форм незаконного вмешательства в информационные ресурсы и системы компании, обеспечить правовой режим информации как объекта собственности;

4). адекватно и своевременно реагировать на угрозы информационной безопасности путем выбора мероприятий по защите информации на основе анализа рисков и расчета показателя возврата инвестиций в информационную безопасность.

Как внедрить СУОПД?

Система защиты персональных данных как элемент общей системы информационной безопасности должна быть интегрирована в организационно-штатную структуру предприятия и критические бизнес-процессы.

Для того что бы обеспечить свою компанию надежной системой обработки персональных данных и успешно зарегистрировать базы персональных данных в ДРБПД, специалисты выполняют последовательно следующие этапы:

Определение работ (услуг):
– Инвентаризация и подготовительные действия к внедрению СУОПД;
– Инвентаризация баз персональных данных предприятия;
– Описание баз персональных данных, определение мест обработки ПДН в информационной системе предприятия и их форм для хранения и обработки.
 
Аудит текущего состояния СУОПД и соответствия требованиям закона о защите ПДН:
– Сбор и анализ документальной информации (определение владельцев баз ПДН);
– Определение критичности баз ПД для работы предприятия и распределение ролей и обязанностей;
– Подготовка отчета по результатам аудита.
 
Определение мер защиты по баз ПДН
–Определение перечня организационных мероприятий по защите баз ПДН;
– Создание и внедрение политик и процедур по обработке и хранения баз ПДН.
 
Внедрение СУОПД
–Устранение недостатков в защите баз ПДН;
– Уведомление субъектов персональных данных об обработке их ПДН в базах предприятия;
– Процес обновления, хранения и уничтожения баз ПДН;
– Регистрация баз ПДН в Государственном реестре баз ПДН.

Это лишь общая схема которая позволит успешно зарегистрировать базу данных компании в государственном реестре баз персональных данных. В дальнейшем каждое предприятие требует индивидуального подхода для дополнения этого процесса необходимыми индивидуальными этапами.