Контакты
Подписка
МЕНЮ
Контакты
Подписка

ПРИКАЗ от 27 октября 2022 г. N 178 " *ОЦЕНКЕ ВРЕДА* " - Форум по вопросам информационной безопасности

ПРИКАЗ от 27 октября 2022 г. N 178 " *ОЦЕНКЕ ВРЕДА* " - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: 1 2 >

Автор: Avstry, *** | 110717 06.03.2023 15:41
Добрый день, существует такой документ как оценка вреда, с 1 марта вступил в силу приказ "об утверждении требований к оценке вреда, который может быть причинен субъектам персональных данных". Периодически формировали акт, пытаясь с юристами что-то сформировать адекватное, и убирали его в темный угол. С выходом приказа надеялся получить разъяснения, но в приказе чуть уточнили как определять степени, по факту документ так же остался "мертвым".

Вопрос, на что влияет этот документ, как его воспринимать, как его применять?

Автор: oko | 110719 06.03.2023 20:56
imho, технически, результат оценки вреда должен использоваться при моделировании угроз (в рамках определения последствий/ущерба), при создании КСЗ (в рамках выбора оптимальных затрат на ее реализацию, если ИОД == исключительно ПДн) и при эксплуатации ОИ (в рамках размера удара по шапке за пропущенные УБИ к ПДн)...
Только регуляторы как всегда не договорились и не выстроили стройную схему заранее, да и в части оценки ущерба в период суда, imho, этот Акт не будет играть никакой роли...

imho, там есть проблемы по-серьезнее:
- не вижу в приведенных критериях оценки вреда ни одного применимого к классическим "кадровым" и т.п. ИСПДн (читай, делопроизводство по работникам Оператора), т.е. не вижу в принципе - какой тогда уровень вреда фиксировать? Приказ лишен формулировок в стиле "если ни один критерий не подходит - применять Низкую степень вреда"...
- фраза про "обезличивание ПДн, в том числе..." при чтении "в лоб" намекает на отказ от любых методов обезличивания ПДн (ибо теперь автоматом Высокая степень вреда). Но как быть с ЗНИ.8 в 21 Приказе ФСТЭК - обезличивание же там считается "мерой защиты", т.е. априори не должно повышать возможную степень вреда субъекту ПДн...
Прошла пара месяцев

Автор: Ivygin | 110868 05.05.2023 15:15
to Avstry, ***

На ....Вопрос, на что влияет этот документ,...

152-ФЗ. Статья 18.1.
Оператор обязан представить документы .....оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом.....по запросу уполномоченного органа по защите прав субъектов персональных данных.
Прошел год

Автор: Петр | 111428 03.05.2024 16:10
Только сел за оценку вреда и оценил проблемы озвученные oko.

Вопрос. Я правильно понимаю, что раз РКН приравнивает сведения о состоянии здоровья в листке нетрудоспособности, медкнижке или военном билете к персданным из специальной категории, то за организациями остается выбор только Высокой степени вреда. Выбор без выбора. Ведь все ведут воинский учет.

Требования утвержденные приказом Роскомнадзора от 27.10.2022 N 178
2.1. Высокую в случаях:
обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных;

Автор: oko | 111429 05.05.2024 21:44
to Петр
Не все так однозначно. И судебная практика это тоже подтверждает. imho, при простом кадровом делопроизводстве (даже с учетом воинских особенностей, ага) никаких "спец.категорий ПДн" не обрабатывается. Если только работодатель сам не лезет в бутылку, протоколируя каждый диагноз и/или прописанные/проходящие методы лечения, каждое отклонение психического или физического здоровья и т.п. по работникам...
Все упирается в несогласованную терминологию и действия Минздрава, РКН и остальных причастных. Даже с учетом 323-ФЗ (в части определения "здоровья" и "состояния") и 149-ФЗ (в части "информации" и "сведений"). А также в лень регулирования всех вопросов по ПДн по стране в стиле "однозначно, понятно и конкретно". Ну и в классическое: законодатель обязан что-то написать, исполнитель это что-то исполнить, а суд уже трактовать и решать - при этом ни один не заморачивается над комплексностью подхода...
Это как с "показателями значимости" и всей диспозицией в КИИ. Умники по приколу выставили некорректный режим работы автоматизированного оборудования - работник порезал палец. Что на выходе? Есть ущерб здоровью (ибо по букве Минздрава), есть компьютерная атака (ибо воздействие было на компьютер с использованием соответствующих информационных интерфейсов). Т.е. при желании и по букве можно притянуть необходимость категорирования такого оборудования (с 3 кат. по социальной значимости, ага)...

Автор: Петр | 111430 06.05.2024 11:42
2 oko Большое спасибо за развернутый ответ.
Так суть в том, что военных билетах, приписных даже нет прямой информации о состоянии здоровья, только категория годности - А,Б,В,Г,Д и ее описание годен, годен с незн. ограничениями, и т.д. Но что поделать..

Автор: nekto | 111432 06.05.2024 13:13
to Петр

"...суть в том, что военных билетах, приписных даже нет прямой информации о состоянии здоровья..."

Ну так и не трактуйте эту информацию, как сведения о состоянии здоровья, трактуйте ее как сведения военного билета....

Автор: Петр | 111433 07.05.2024 17:47
2 nekto Очень интересный вариант, видимо в данной ситуации и самый правильный. Спасибо!

Автор: Петр | 111434 07.05.2024 17:51
Но какую тогда выбрать степень возможного вреда для "классических "кадровых" и т.п. ИСПДн"?! Если не один пункт не подходит. И самое главное каким критерием обосновывать..

Автор: Петр | 111435 08.05.2024 12:42
Получился примерно такой текст.
В связи с отсутствием подходящих критериев определения одной из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона, согласно п.2 Требований, утвержденных приказом Роскомнадзора от 27.10.2022 №178 и на основании того, что оператор обрабатывает иные категории персональных данных сотрудников оператора и иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора установлено, что степень вреда, который может быть причинен субъектам персональных данных обрабатываемых оператором - низкая.

Страницы: 1 2 >

Просмотров темы: 1453

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*