Как правильно организовать работу с базами персональных данных
26 квітня 2012 16:03
Переглядів: 1219
Коментарів: 0
Надрукувати
Необходимость защиты персональных данных определяется требованиями
Закона Украины «О защите персональных данных» № 2297-17. Согласно
Постановлению Кабинета Министров Украины № 616 определен порядок
регистрации баз персональных данных в Государственном реестре баз
персональных данных (ГРБПД).
Что это такое?
Законом определено, что персональными данными (ПДН) являются сведения или совокупность сведений о физических лицах, которые идентифицированы или могут быть конкретно идентифицированы. Распорядителем базы ПДН может быть юридическое или физическое лицо, которое имеет право обрабатывать ПДН и является владельцем соответствующей базы (или баз) ПДН. Далее указывается, что владельцем или распорядителем базы ПДН могут быть предприятия, учреждения и организации всех форм собственности, которые обрабатывают ПДН соответствии с законом.
Статьей 5 и 6 Закона Украины «О защите персональных данных» предусмотрены меры защиты по баз ПДН. Далее статьей 9 предусмотрена регистрация баз ПДН в Государственном реестре баз персональных данных.
Реализовать требования Закона Украины и подзаконных актов о персональных данных предлагается путем внедрения системы управления и обработки персональных данных (СУОПДн) как элемента системы управления информационной безопасностью предприятия на основе международного стандарта ISO 27001
Зачем это нужно?
Разработка системы управления и обработки персональных данных специалистами позволит пройти успешную регистрацию баз персональных данных предприятия и обеспечит предприятия и компании надежной системой которая позволит:
1). предупредить утечку, хищения, утраты, искажения и подделки информации;
2). предупредить несанкционированные действия по уничтожению, модификации, искажению, копированию, блокированию информации;
3). снизить вероятность других форм незаконного вмешательства в информационные ресурсы и системы компании, обеспечить правовой режим информации как объекта собственности;
4). адекватно и своевременно реагировать на угрозы информационной безопасности путем выбора мероприятий по защите информации на основе анализа рисков и расчета показателя возврата инвестиций в информационную безопасность.
Как внедрить СУОПД?
Система защиты персональных данных как элемент общей системы информационной безопасности должна быть интегрирована в организационно-штатную структуру предприятия и критические бизнес-процессы.
Для того что бы обеспечить свою компанию надежной системой обработки персональных данных и успешно зарегистрировать базы персональных данных в ДРБПД, специалисты выполняют последовательно следующие этапы:
Определение работ (услуг):
– Инвентаризация и подготовительные действия к внедрению СУОПД;
– Инвентаризация баз персональных данных предприятия;
– Описание баз персональных данных, определение мест обработки ПДН в информационной системе предприятия и их форм для хранения и обработки.
Аудит текущего состояния СУОПД и соответствия требованиям закона о защите ПДН:
– Сбор и анализ документальной информации (определение владельцев баз ПДН);
– Определение критичности баз ПД для работы предприятия и распределение ролей и обязанностей;
– Подготовка отчета по результатам аудита.
Определение мер защиты по баз ПДН
–Определение перечня организационных мероприятий по защите баз ПДН;
– Создание и внедрение политик и процедур по обработке и хранения баз ПДН.
Внедрение СУОПД
–Устранение недостатков в защите баз ПДН;
– Уведомление субъектов персональных данных об обработке их ПДН в базах предприятия;
– Процес обновления, хранения и уничтожения баз ПДН;
– Регистрация баз ПДН в Государственном реестре баз ПДН.
Это лишь общая схема которая позволит успешно зарегистрировать базу данных компании в государственном реестре баз персональных данных. В дальнейшем каждое предприятие требует индивидуального подхода для дополнения этого процесса необходимыми индивидуальными этапами.
|