Вход на хостинг
IT-новости
20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла
Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......
30.07.2015 Ищем уникальный контент для сайта
Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......
Такая система описания позволит оператору эффективно ориентироваться в документах, содержащих персональные данные, давать ответы на запросы субъектов и уполномоченного органа.
Еще одна проблема – сроки хранения документов и информации, содержащей персональные данные. Законодательство, пожалуй, впервые устанавливает для информации и документов максимальный, и к тому же условный, срок хранения – «по достижении целей обработки». Организации должны будут установить сроки хранения документов, содержащих ПДн, причем необходимо заранее продумать обоснование выбранных сроков хранения.
Что касается технических мероприятий, то они должны включать в себя учет лиц, допущенных к работе с персональными данными в информационной системе. При этом лица, доступ которых к ПДн, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, должны допускаться к соответствующим данным на основании списка, утвержденного оператором или уполномоченным лицом.
Сам по себе этот список для информационной системы мало что значит. Важно обеспечить разграничение доступа к приложениям в соответствии со списком и дать пользователям именно те права, которые им необходимы для выполнения должностных обязанностей. Сделать это без эффективной системы управления идентификацией и доступа будет весьма затруднительно.
Кроме того, должны быть реализованы мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и/или передачи их лицам, которые не имеют права доступа к такой информации, а также обеспечивающие своевременное обнаружение фактов несанкционированного доступа к ПДн. Все запросы пользователей ИСПДн на получение персональных данных и факты предоставления ПДн по этим запросам должны регистрироваться автоматизированными средствами информационной системы в электронном журнале обращений, содержание которого должно периодически проверяться ответственными лицами оператора.
Сложность при категорировании, защите и сертификации ИС возникает в связи с тем, что современные автоматизированные ИС используют программные продукты, целиком охватывающие все предприятие. При повсеместном использовании ERP-систем, где этот модуль интегрирован в саму систему, защищать и сертифицировать придется всю автоматизированную ИС.
– Как создать систему защиты ПДн?
Во-первых, нужно организовать руководство вопросами организации защиты ПДн.
Во-вторых, необходимо создать два направления по обеспечению защиты обрабатываемых ПДн. Это техническое направление и направление «нетехнической» защиты, обязанности которого, в свою очередь, можно перераспределить по структурным подразделениям согласно целям обработки.