VІІ. Додаткові рекомендації щодо захисту інформації від несанкціонованого доступу при обробці персональних даних у складі інформаційної (автоматизованої) системи

7.1. З метою належного захисту інформації від несанкціонованого доступу володільцям та розпорядникам бази персональних даних при обробці персональних даних рекомендується вживати наступних заходів:

7.1.1. забезпечити обробку персональних даних у такий спосіб, щоб початок обробки персональних даних був можливий лише після вчинення особою, яка допущена до такої обробки, дій, спрямованих на її авторизацію та ідентифікацію в інформаційній (автоматизованій) системі, у рамках якої здійснюється така обробка.

Володілець або розпорядник самостійно визначає спосіб авторизації та ідентифікації цих осіб. При цьому способом авторизації та ідентифікації може бути присвоєння кожній відповідальній особі та особі, яка допущена до обробки персональних даних у базі персональних даних, унікального логіну та паролю. В особливих випадках за рішенням володільця або розпорядника для забезпечення ідентифікації цих осіб додатково до логіну та паролю доступу може використовуватися електронний цифровий підпис.

7.1.2. Володільцю або розпоряднику бази персональних даних рекомендовано забезпечувати антивірусний контроль інформаційної (автоматизованої) системи, у складі якої здійснюється обробка персональних даних.

7.1.3. Для профілактики інцидентів, пов’язаних з ненавмисними діями відповідальних осіб, що можуть призвести до розголошення (втрати) персональних даних, володільцю або розпоряднику бази персональних даних рекомендовано визначити порядок захисту персональних даних під час їхньої обробки в інформаційних (автоматизованих) системах, що має містити заходи щодо:

– планової та позапланової заміни паролю відповідальної особи;

– періодичності та порядку резервного копіювання даних;

– визначення дій відповідальних осіб при виявленні вірусної небезпеки та періодичність оновлення антивірусних баз.