Автор: Ivygin | 110799 | 04.04.2023 20:14 |
прошу помочь разобраться:
Из закона ПДн 5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона,; Из постановления 1119 7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных". Не могу понять оценка проводится по факту (в случае нарушения) или в любом случае? |
Автор: oko | 110800 | 04.04.2023 20:40 |
А еще есть Приказ РКН от 27.10.2022 № 178, который определяет весьма неоднозначную форму Акта оценки вреда...
Обрабатываем ПДн? Значит, собираем сводный перечень ПДн, обрабатываемых у нас... Защищаем ПДн? Значит, определяемся, автоматизированная у нас обработка или нет. Неавтоматизированная? Считаем оценку вреда и составляем Акт по указанному Приказу (далее см. пункт про орг.-реж. меры)... Автоматизированная? Опять-таки считаем и составляем Акт + определяем уровни защищенности наших ИСПДн (по ПП РФ 1119 за 2012 г.) + моделируем угрозы, "последствия (ущерб)" от которых должны коррелировать с расчетами и Актом... Внедряем систему защиты? Определяем и реализуем комплекс мероприятий по 21 Приказу ФСТЭК (и 378 Приказу ФСБ, если юзаем криптографию для защиты), направленных, в том числе, на устранение угроз, признанных актуальными на прошлом этапе. Границы мероприятий также должны коррелировать с расчетами и Актом оценки вреда... При любом раскладе определяем и реализуем необходимый комплекс организационных (режимных) мероприятий вне зависимости от наличия автоматизации, направленных в том числе... и далее по тексту... Вот так оно должно быть по-хорошему. На деле конкретные связи всего вышеуказанного между собой ни одним нормотворцем не прописаны. И все положения по "оценке вреда субъектам ПДн", мягко говоря, неоднозначны. Чем многие ретивые негодяи и пользуются, ага... |
Автор: Ivygin | 110801 | 04.04.2023 20:47 |
И все положения по "оценке вреда субъектам ПДн", мягко говоря, неоднозначны.
Так все же, в любом случае, а не по факту свершившегося нарушения....То есть акт нужен в любом случае? |
Автор: Сергей | 110863 | 04.05.2023 09:24 |
Да. Исходя из приказа 178 акт составляется в любом случае. Он должен быть в компании, которая должна понимать какую степень вреда она может причинить субъекту ПДн.
|
Автор: Ivygin | 110864 | 04.05.2023 15:22 |
.............. должна понимать какую степень вреда она может причинить субъекту ПДн.
Т. е. моделируются все возможные инциденты, и к ним соотносятся соответствующие варианты вреда...Не совсем понимаю. Это как он должен выглядеть! |
Автор: Светлана , Библиотека | 110964 | 22.06.2023 14:54 |
Подскажите пожалуйста, как применяется оценка вреда при нарушении Закона 152-ФЗ по отношению к пользователям Библиотеки
|
Просмотров темы: 1185