Государственное агентство по защите персональных данных проводит IT-аудит государственных органов

Государственное агентство по защите персональных данных при Кабинете Министров Кыргызской Республики продолжает осуществлять IT-аудит автоматизированных информационных систем государственных органов.

Цель аудита — проверка соответствия требованиям безопасности и защиты персональных данных, установленным:

-Постановлением Кабинета Министров Кыргызской Республики № 158 от 22 марта 2023 года «Об осуществлении контроля за использованием персональных данных, полученных органами государственной власти и органами местного самоуправления от других государственных держателей (обладателей) персональных данных»;

-Постановлением Правительства Кыргызской Республики № 760 от 21 ноября 2017 года «На соответствие Требованиям к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, утвержденных»;

- Постановлением Правительства Кыргызской Республики № 759 от 21 ноября 2017 года «Об утверждении Порядка получения согласия субъекта персональных данных на сбор и обработку его персональных данных, порядка и формы уведомления субъектов персональных данных о передаче их персональных данных третьей стороне».

В ходе проводимых проверочных мероприятий, предварительно установлены следующие часто встречающиеся нарушения:

Отсутствие регистрации контролируемого лица в Реестре держателей (обладателей) массивов персональных данных;
Отсутствие документа, определяющего политику держателя по обработке персональных данных, перечня персональных данных и целей их обработки;
Отсутствие перечня угроз безопасности персональных данных и присвоения рейтинга в соответствии с пунктом 3 пункта 5 Требований к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных;
Отсутствие порядка получения согласия субъекта персональных данных на сбор, хранение и обработку его персональных данных, включая передачу их третьим лицам, получаемого без использования информационных технологий и информационных систем;
Отсутствие контроля за доступом посторонних лиц к оборудованию, используемому для обработки персональных данных, в соответствии со ст. 21 Закона Кыргызской Республики «Об информации персонального характера»;
Уже вынесено 25 предписаний об устранении нарушений законодательства в сфере защиты персональных данных;
Работы по IT-аудиту продолжаются.

‼ Агентство подчеркивает важность строгого соблюдения норм и требований для обеспечения надежной защиты персональных данных граждан, предотвращения утечек и неправомерного использования информации.