Автор: Avstry, *** | 110717 | 06.03.2023 15:41 |
Добрый день, существует такой документ как оценка вреда, с 1 марта вступил в силу приказ "об утверждении требований к оценке вреда, который может быть причинен субъектам персональных данных". Периодически формировали акт, пытаясь с юристами что-то сформировать адекватное, и убирали его в темный угол. С выходом приказа надеялся получить разъяснения, но в приказе чуть уточнили как определять степени, по факту документ так же остался "мертвым".
Вопрос, на что влияет этот документ, как его воспринимать, как его применять? |
Автор: oko | 110719 | 06.03.2023 20:56 |
imho, технически, результат оценки вреда должен использоваться при моделировании угроз (в рамках определения последствий/ущерба), при создании КСЗ (в рамках выбора оптимальных затрат на ее реализацию, если ИОД == исключительно ПДн) и при эксплуатации ОИ (в рамках размера удара по шапке за пропущенные УБИ к ПДн)...
Только регуляторы как всегда не договорились и не выстроили стройную схему заранее, да и в части оценки ущерба в период суда, imho, этот Акт не будет играть никакой роли... imho, там есть проблемы по-серьезнее: - не вижу в приведенных критериях оценки вреда ни одного применимого к классическим "кадровым" и т.п. ИСПДн (читай, делопроизводство по работникам Оператора), т.е. не вижу в принципе - какой тогда уровень вреда фиксировать? Приказ лишен формулировок в стиле "если ни один критерий не подходит - применять Низкую степень вреда"... - фраза про "обезличивание ПДн, в том числе..." при чтении "в лоб" намекает на отказ от любых методов обезличивания ПДн (ибо теперь автоматом Высокая степень вреда). Но как быть с ЗНИ.8 в 21 Приказе ФСТЭК - обезличивание же там считается "мерой защиты", т.е. априори не должно повышать возможную степень вреда субъекту ПДн... |
Автор: Ivygin | 110868 | 05.05.2023 15:15 |
to Avstry, ***
На ....Вопрос, на что влияет этот документ,... 152-ФЗ. Статья 18.1. Оператор обязан представить документы .....оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом.....по запросу уполномоченного органа по защите прав субъектов персональных данных. |
Просмотров темы: 779