20 января вступил в силу Типовый порядок обработки персональных данных в базах персональных данных, утвержденный Приказом Министерства юстиции Украины №3659/5 от 30.12.2011 г.

Предполагается, что этот удивительно короткий документ устанавливает общие требования к организационным и техническим мерам защиты персональных данных во время их обработки в базах персональных данных. Предыдущий проект был раз в 6 объемнее, гораздо более детальным и последовательным.

Новый Порядок не содержит ни типовых формулировок целей обработки ПД, ни конкретной последовательности действий, ни ссылок на нормативные документы системы технической защиты информации (НД ТЗИ) или ДСТУ, ни сколь-нибудь понятных требований к минимально необходимым мерам по защите персональных данных. Вместо этого – сплошные размытые формулировки “обработка персональных данных может осуществляться…”, “владелец базы персональных данных может разграничивать режим доступа”, “обработка персональных данных может осуществляться с применением средств сетевой защиты от несанкционированного доступа”, “может осуществляться регистрация”.

Все эти “может” не дают владельцам ПД четкого понимания, обязательно ли внедрять эти меры. Если подходить строго, то обязательными они не являются, исходя из принятого порядка.

Получается, что обязательным необходимым минимумом мер по защите персональных данных являются:

1. Регистрация фактов предоставления и отказа в праве доступа работникам к персональным данным и их обработке.
2. Регистрация попыток и фактов несанкционированных и/или незаконных действий по обработке персональных данных.
3. Безопасное уничтожение персональных данных без возможности их восстановления в дальнейшем.
4. Предоставление доступа на обработку персональных данных работникам владельца баз ПД только после авторизации.
5. Обеспечение антивирусной защиты в информационной системе.
6. Обеспечение использования технических средств бесперебойного питания элементов информационной системы.
7. Опись документов картотеки ПД и хранение картотек ПД в помещениях, защищенных от несанкционированного доступа, с дверьми, оборудованными замками или средствами контроля доступа.

Все остальное – на усмотрение владельца или распорядителя баз персональных данных.

Считаю, что более последовательным подходом было бы определение по пунктам типового порядка минимального обеспечения свойств конфиденциальности, целостности, доступности и наблюдаемости информации; более детально, после анализа угроз, этот порядок должен быть прописан во внутреннем положении об обработке и защите персональных данных предприятия со ссылками на НД ТЗИ, ДСТУ, международные стандарты или стандарты НБУ, как предусмотрено в п.14 Формы дополнительной информации по базам персональных данных.

Tags: защита персональных данных, персональные данные, порядок обработки персональных данных