Латвийская Республика, Кабинет Министров, Правила №40

Обязательные технические и организационные требования к защите системы обработки личных данных

Изданы в соответствии с статьей 26 Закона о защите данных физических лиц

1. Настоящим правилами определены технические и организационные требования, предьявляемые к защите системы обработки личных данных.

2. Общие требования к безопасности систем обработки личных данных определяются правилами Кабинета Министров от 21 марта 2001 года №106 "Правила безопасности информационных систем".

3. Обязательная техническая защита систем обработки личных данных осуществляется при помощи физических и логических средств защиты, обеспечивая:

3.1. защиту от угрозы системе обработки личных данных, вызванной физическим воздействием;

3.2. защиту, реализуемую при помощи программных средств, паролей, шифрования, криптования и других средств логической защиты.

4. При обработке личных данных заведующий системой обеспечивает:

4.1. доступ уполномоченных лиц к техническим ресурсам, используемым для обработки и защиты личных данных (в том числе к личным данным);

4.2. то, что носители информации, содержащие личные данные, регистрируются, перемещаютяся, упорядочиваются, преобразовываются, передаются, копируются и подвергаются обработке другого рода, лицами обладающими соответствующими полномочиями;

4.3. то, что сбор, запись, последующее упорядочивание, сохранение, копирование, переписывание, преобразование, исправление, удаление, уничтожение, архивирование, резервное копирование, блокирование личных данных осуществляется лицами, обладающими соответствующими полномочиями, а также обеспечивает возможность выявления личных данных, которые были подвергнуты обработке без соответствующих полномочий, и возможность определения времени обработки и лица ее осуществившего;

4.4. то, что перемещение систем обработки личных данных посредством технических ресурсов осуществляется лицами, обладающими соответствующими полномочиями;

4.5. при передаче личных данных сохранение информации о:

4.5.1. времени передачи личных данных;

4.5.2. лицах, осуществивших передачу личных данных;

4.5.3. лицах, осуществивших прием личных данных;

4.5.4. личных данных, которые были переданы;

4.6. при вводе личных данных сохранение информации о:

4.6.1. времени ввода личных данных;

4.6.2. лице, осуществившем ввод личных данных в систему обработки личных данных;

4.6.3. лице, от которого были получены личные данные;

4.6.4. личных данных, введенных в систему обработки личных данных.

5. Для каждой системы обработки личных данных заведующий системой разрабатывает внутренние правила защиты системы обработки личных данных, определяющие:

5.1. лиц, ответственных за обработку личных данных, их права и обязанности;

5.2. классификацию мер защиты личных данных в соответствии с их уровнем ценностии и уровнем конфиденциальности;

5.3. технические ресурсы, посредством которых осуществляется обработка личных данных;

5.4. организационную процедуру обработки личных данных, определяя время, место и порядок обработки личных данных;

5.5. мероприятия, проводимые с целью защиты технических ресурсов в случае чрезвычайных происшествий (например, пожар, наводнение);

5.6. средства, предотвращающие умышленное повреждение и несанкционированное получение технических ресурсов;

5.7. порядок хранения и уничтожения носителя информации;

5.8. длину и условия построения пароля (минимальная длина пароля – восемь символов);

5.9. порядок использования пароля, а также период времени, по истечении которого пароль сменяется;

5.10. порядок действий в случае, если пароль или крипто-ключ стал известен другому лицу.

6. Заведующий системой осуществляет ежегодный внутренний аудит системы обработки личных данных и подготавливает отчет о принятых мерах в сфере безопасности информации.

7. Заведующий системой информирует лиц, обрабатывающих личные данные, об обязательных технических и организационных требованиях к защите системы обработки личных данных.

Премьерминистр А. Берзиньш

Министр иностранных дел вместо министра юстиции И. Берзиньш