Информация, которую предоставляют полиции люди, обращающиеся в органы внутренних дел по самым разным поводам, не должна никуда "протекать" и берется под особую защиту.
Официальный сайт МВД России опубликовал для общественной экспертизы инструкцию, как защищать персональные данные, содержащиеся в автоматизированных информационных системах полиции.
Ведь как бывает? Предъявил где-то паспорт, взял какую-то справку, указал в заявлении свой адрес и год рождения - и вдруг получаешь от какой-то коммерческой фирмы поздравление, прайс-лист или "заманчивое" предложение. И это еще полбеды. Заинтересоваться вами могут не только добропорядочные коммерсанты, но и всякого рода мошенники, хуже того - налетчики. А если вы - человек известный, информацией о вас могут воспользоваться конкуренты и даже шантажисты. Не случайно федеральный закон от 2006 года "О персональных данных" конкретно запрещает любым структурам делиться с третьей стороной информацией о своих клиентах. Чего греха таить, запреты срабатывают далеко не всегда - "пиратские" диски с адресами, фамилиями можно купить на любом "развале".
Чтобы источником такой неприятной "утечки" не оказалась полиция, разработана специальная инструкция по защите персональных данных. Судя по документу, предусмотрено буквально все - от перечня официальных бумаг, необходимых для работы и засекречивания информации, до алгоритма проверок должностных лиц.
Так, инструкция прописывает, как необходимо обеспечить контроль безопасности персональных данных. В частности, требуется выявить проблемные вопросы в безопасности конфиденциальной информации. Затем следуют рекомендации по выработке мер по оказанию методической и практической помощи подразделениям полиции и повышении ответственности руководителей. То есть в случае чего будут наказывать конкретных начальников. Такие проверки должны проводиться не реже одного раза в год.
Особые требования инструкция предъявляет к подразделениям и должностным лицам, которым позволен и положен доступ к персональным данным. Такой доступ возможен только на основании списков, утвержденных руководителем полицейского подразделения. А вот самых разных документов для этой процедуры потребуется не менее десятка.
Например, надо разработать и представить модель угроз и модель нарушителя, перечень защищаемых информационных ресурсов, список должностных лиц, доступ которых к персональным данным необходим для выполнения служебных обязанностей, матрицу доступа, описание технологического процесса обработки информации, перечень разрешенного к использованию программного обеспечения, перечень помещений, в которых осуществляется обработка информации. Причем с указанием лиц, доступ которым в данные помещения разрешен. Еще нужен список сотрудников, ответственных за обеспечение безопасности персональных данных, и за разработку, проведение мероприятий по защите информации.
А еще инструкция требует четко прописать должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных и администраторов.