Техническая защита персональных данных: что проверит НЦЗПД
Фото: magnific.com
Национальный центр защиты персональных данных (НЦЗПД) проверяет не только организационные и документарные аспекты работы с персональными данными, но и техническую защиту информации. На основе анализа типичных нарушений центр подготовил чек-лист вопросов, которые изучаются в ходе контрольных мероприятий.
Подписывайтесь на Telegram‑канал и Viber. Главное об экономике Беларуси — раньше, чем в новостях TelegramViber
1. Назначение лица (подразделения), ответственного за информационную безопасность.
Проверяется наличие приказа о назначении такого лица и создании структурного подразделения, а также должностной инструкции либо положения о структурном подразделении.
2. Прохождение обучения лицом, ответственным за обеспечение информационной безопасности.
Проверяется наличие свидетельства о повышении квалификации по вопросам технической и (или) криптографической защиты информации.
3. Перечень информационных ресурсов (систем), содержащих персональные данные (ПД), владельцем которых является оператор (уполномоченное лицо) (далее – оператор), а также категорий ПД, обрабатываемых в таких ресурсах (системах).
Проверяется ведение перечня информационных ресурсов и правильность категорирования обрабатываемой в них информации путем анализа баз данных или иных инструментов. Дополнительно может запрашиваться оборотно-сальдовая ведомость нематериальных активов для проверки полноты и актуальности перечня.
4. Информационные ресурсы (системы), связанные с деятельностью оператора, а также документы и техническая документация, определяющие порядок их функционирования.
Проверяется отсутствие избыточной обработки ПД, а также объема передаваемых данных в соответствии с технической документацией для глобальных (смежных) информационных ресурсов (систем).
5. Типовые информационные ресурсы (системы), используемые операторами, включая кадровый учет, бухгалтерские системы и иные ресурсы, в которых обрабатываются ПД.
Проверяется отсутствие избыточности обработки ПД, используемых для ведения хозяйственной деятельности оператора, включая трудовые отношения и бухучет.
6. Порядок осуществления видеонаблюдения.
Проверяется соответствие законодательству мест установки камер и зон их охвата, прав доступа к записям, сроки их хранения, а также информирование субъектов ПД.
7. Официальные интернет-ресурсы оператора (уполномоченного лица).
Проверяются:
-
аккаунты в мессенджерах или социальных сетях на предмет неправомерного распространения ПД работников и иных лиц;
-
обработка cookie-файлов;
-
размещение документов, определяющих политику обработки ПД;
-
использование форм обратной связи;
-
обработка ПД в личных кабинетах пользователей (при их наличии);
-
принадлежность доменного имени.
8. Порядок доступа к персональным данным, в т.ч. обрабатываемым в информационном ресурсе (системе).
Проверяется соблюдение порядка доступа ко всем информационным ресурсам (системам), используемым у оператора (уполномоченного лица), а также систематизированным местам хранения документов, содержащих ПД.
Производится сверка технологических ролей (прав) доступа работников в информационных ресурсах (системах) на соответствие указанному в порядке доступа.
Также анализируется учет представителей уполномоченных лиц, имеющих доступ к информационным ресурсам (системам), собственником (владельцем) которых является проверяемый оператор (уполномоченное лицо).
9. Местонахождение систем хранения данных и (или) передача данных на территории других стран.
Проверяется используемая инфраструктура – местонахождение, взаимодействие между системами, передача третьим лицам и т.д.
10. Аттестат соответствия системы защиты информации информационной системы требованиям по защите информации.
При наличии аттестата проверяется соответствие реального состава и структуры объектов информационной системы общей схеме системы защиты информации (проверка наличия средств защиты информации, сертификатов на них, сверка серийных номеров). Проверка внешних маршрутов и подключений.
При отсутствии аттестата изучается объем выполненных требований по кибербезопасности объектов информационной инфраструктуры государственных органов и иных организаций, определенных приказом ОАЦ от 25.07.2023 № 130.
11. Привлекаемые уполномоченные лица в сфере информационных технологий.
Проверяются доступы работников уполномоченных лиц к информационным ресурсам и системам оператора на предмет соответствия прав доступа для выполнения возложенных обязанностей.
12. Выборочное изучение персональных электронных вычислительных машин работников на предмет обработки ПД в нарушение установленного порядка.
Проверяются хранимые на компьютерах работников и в файловых хранилищах документы/скан, копии/фотографии, содержащие ПД на предмет избыточности, а также сроки их хранения.
13. Техническая организация рабочих мест удаленных работников.
Проверяется использование служебных устройств на предмет использования средств защиты информации (при организации рабочих мест) и учет рабочего времени для удаленных работников.
14. Система контроля и управления доступом.
Проверяется обработка такой системой ПД на избыточность и на сроки хранения учетной информации о работниках.
15. Методы и средства контроля удаления или блокирования ПД уполномоченными лицами при отсутствии оснований для обработки.
Проверяются методы прекращения обработки ПД (как техническое, так и документационное обеспечение) уполномоченными лицами и способы контроля такой деятельности со стороны оператора.
16. Использование служебных SIM-карт.
Проверяется наличие (отсутствие) функционала установления местонахождения работников, предоставляемого операторами электросвязи по заключенным договорам на услуги электросвязи.
Когда НЦЗПД проводит внеплановые проверки
НЦЗПД обращает внимание, что перечень является примерным.
При осуществлении контрольных мероприятий могут изучаться и иные вопросы с учетом специфики бизнес-процессов конкретного оператора.
При получении центром информации о критической уязвимости информационного ресурса (например, когда код подтверждения регистрации передается в открытом виде в теле HTTP-ответа), как правило, проводится внеплановая проверка по конкретному вопросу обеспечения технической защиты ПД, связанного с критической уязвимостью.
По результатам такой проверки выносится требование о приостановке обработки ПД в указанном информационном ресурсе (системе) до устранения критической уязвимости.
При получении центром информации о возможной утечке ПД регулятор, как правило, информирует оператора о возможном инциденте. По результатам проведения расследования оператор направляет уведомление о нарушении системы защиты ПД либо информационное письмо об отсутствии факта утечки.
Источник «Экономическая газета»
