Собственник и (или) оператор при обработке персональных данных ограниченного доступа:
- 1) устанавливают цели обработки персональных данных ограниченного доступа. Персональные данные ограниченного доступа используются в соответствии с декларируемыми целями.
- 2) определяют порядок обработки, распространения и доступа к персональным данным ограниченного доступа;
- 3) определяют порядок блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта.
- 1) определяют перечень лиц, имеющих доступ к персональным данным ограниченного доступа;
- 2) оповещают уполномоченный орган об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа;
- 3) обеспечивают установку средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа;
- 4) обеспечивают ведение журнала событий систем управления базами;
- 5) обеспечивают ведение журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа;
- 6) применяют средства контроля целостности персональных данных ограниченного доступа;
- 7) обеспечивают передачу персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Казахстан;
- 8) выделяют бизнес-процессы, содержащие персональные данные ограниченного доступа;
- 9) обеспечивают применение средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа;
- 10) применяют средства идентификации и (или) аутентификации пользователей, в том числе биометрической аутентификации для базы, содержащей более ста тысяч записей персональных данных при работе с персональными данными ограниченного доступа.