НЦЗПД опубликовал чек-лист по технической защите персональных данных
- Национальный центр защиты персональных данных Республики Беларусь (НЦЗПД, Центр) подготовил примерный чек-лист вопросов, которые изучаются в ходе проверок технических мер защиты персональных данных.
- Что входит в чек-лист
- Напишите нашему юристу, чтобы узнать подробности
Национальный центр защиты персональных данных Республики Беларусь (НЦЗПД, Центр) подготовил примерный чек-лист вопросов, которые изучаются в ходе проверок технических мер защиты персональных данных.
| Документ подготовлен на основе ст. 17 Закона Республики Беларусь «О защите персональных данных», которая обязывает оператора обеспечивать защиту персональных данных от несанкционированного доступа, изменения, распространения, удаления и иных неправомерных действий. |
Центр отдельно подчеркивает: технические меры не должны быть формальными. Во время проверок оценивается не только наличие локальных документов, но и фактическая реализация мер безопасности – работа информационных систем, настройка прав доступа, использование средств защиты информации и то, как обработка персональных данных организована на практике.
Подготовленный чек-лист предназначен для внутреннего аудита организаций и помогает оценить готовность к проверкам, выявить слабые места и избежать типовых нарушений.
Что входит в чек-лист
В первую очередь Центр проверяет организацию процессов информационной безопасности: назначено ли ответственное лицо, прошли ли сотрудники профильное обучение, ведется ли перечень информационных систем, содержащих персональные данные.
Отдельное внимание уделяется самим информационным ресурсам. Проверяется, не осуществляется ли обработка избыточного объема персональных данных., соответствует ли объем собираемой информации целям обработки, как организована передача данных между системами и третьим лицам.
Также в центре внимания:
- порядок доступа к персональным данным и распределение прав пользователей;
- видеонаблюдение, сроки хранения записей и зоны обзора камер;
- официальные сайты, формы обратной связи, cookie-файлы и личные кабинеты пользователей;
- использование облачной инфраструктуры и трансграничная передача данных;
- удаленные рабочие места сотрудников;
- хранение персональных данных на компьютерах работников;
- системы контроля и управления доступом;
- процедуры удаления и блокирования персональных данных.
Если у организации есть аттестат соответствия системы защиты информации, НЦЗПД проверяет соответствие фактической инфраструктуры утвержденной документации, наличие сертифицированных средств защиты и корректность внешних подключений.
Внеплановые проверки
Помимо жалоб субъектов персональных данных, серьезным основанием для внеплановой проверки со стороны Центра будет также выявление критических уязвимостей информационных систем и возможные утечки персональных данных.
В случае выявления критической уязвимости НЦЗПД может потребовать приостановить обработку персональных данных до устранения нарушения.
Что это значит для бизнеса
По сути, Центр сформировал практический перечень технических вопросов, которые организации должны проверять у себя уже сейчас. Чек-лист можно использовать как основу для внутреннего аудита и подготовки к контрольным мероприятиям, поскольку проверки будут ориентированы не только на документы, но и на реальное состояние защиты персональных данных.
| Чек-лист опубликован на сайте Центра. |
Напишите нашему юристу, чтобы узнать подробности
Написать юристу
