Сегодня по приглашению компании ООО «Надежные программы» (hoster.by) Национальный центр защиты персональных данных принял участие в конференции «Infrastructure & Security».
На площадке обсуждали вопросы обеспечения всесторонней защиты персональных данных в организации, в том числе реализацию мер технической и криптографической защиты.
Представитель Национального центра кибербезопасности Оперативно-аналитического центра при Президенте Республики Беларусь остановился на вопросах взаимодействия организаций с Национальным центром кибербезопасности и алгоритме действий владельца ОИИ при выявлении киберинцидента. В свою очередь начальник управления контроля и аудита Национального центра защиты персональных данных Виталий Диско акцентировал внимание на реализации не только технических мер защиты данных, но и на организационных и правовых, таких как осуществление внутреннего контроля за обработкой персональных данных, издание документов, определяющих порядок работы с данными в организации, обучение сотрудников и установление порядка доступа к персональным данным.
Спикер поделился с участниками конференции мнением, что работа с персональными данными – лакмусовая бумажка, показывающая отношение работников к любой чувствительной для компании информации, а также дал конкретные рекомендации в формате памятки для работников.
Что запрещено делать с персональными данными:
- производить несанкционированную обработку ПД;
- предоставлять ПД устно или письменно кому бы то ни было, если это не вызвано служебной (трудовой) необходимостью, для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо реализации законодательства;
- оставлять без присмотра документы и другие носители информации, содержащие ПД (например, оставлять на ксероксе или принтере после копирования или печати), разрешать их фотографирование или копирование;
- разрешать ознакомление лиц, вносящих записи в книгу замечаний и предложений, с предыдущими записями;
- хранить документы и другие носители, содержащие ПД, в условиях, допускающих доступ к ним посторонних лиц;
- передавать ключи от мест хранения персональных данных посторонним лицам;
- передавать личные атрибуты доступа (логин, пароль) к информационным системам (базам данных), в которых обрабатываются ПД;
- использовать чужие атрибуты доступа (логин, пароль) для обработки ПД;
- выносить документы и другие носители информации, содержащие ПД, за пределы офиса, если это не требуется для выполнения служебных (трудовых) обязанностей;
- использовать в качестве черновиков документы, содержащие ПД;
- производить уничтожение документов способом, позволяющим восстановить информацию, содержащую ПД;
- обсуждать порядок доступа, места хранения, средства и методы защиты персональных данных с кем-либо, кроме менеджеров по защите персональных данных и безопасности, иных должностных лиц, уполномоченных на обсуждение данных вопросов.
