Найти тему
PersData
46 подписчиков

Акт определения уровня защищенности персональных данных

308
3 мин
Оглавление
Источник: Шедеврум
Источник: Шедеврум

Акт определения уровня защищенности персональных данных представляет собой важный документ, в котором отражаются реализуемые требования к защите этой ценной информации. Этот акт не носит конфиденциального характера, так как оператор персональных данных обязан опубликовать его или иным образом обеспечить неограниченный доступ к содержащимся в нем сведениям.

Для определения уровня защищенности персональных данных в организации создается специальная комиссия, в состав которой обязательно входит ответственный за организацию их обработки. Комиссия назначается приказом руководителя, а по результатам своей работы она составляет акт, утверждаемый руководителем предприятия. Этот документ подписывается всеми членами комиссии.

Акт составляется отдельно для каждой информационной системы персональных данных (ИСПДн) и прилагается к соответствующему уведомлению об обработке, если таковое требуется. Для каждой ИСПДн должна быть четко определена ее структура, включая характеристики режима обработки данных.

На основе полученных данных для каждой ИСПДн необходимо определить требуемый уровень защищенности персональных данных. Правильное выявление этого уровня имеет решающее значение для установления соответствующих требований к обеспечению безопасности ИСПДн. Определение уровня защищенности осуществляется в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах, утвержденными постановлением Правительства РФ от 01.11.2012 №1119.

В акте указываются следующие ключевые моменты:

  • Обрабатываемые категории персональных данных: специальные, биометрические, общедоступные и иные.
  • Объем обрабатываемых персональных данных: общий объем информации, подлежащей защите.
  • Вред, который может быть причинен субъектам: потенциальные последствия нарушения Федерального закона "О персональных данных".
  • Тип актуальных угроз: угрозы, связанные с недокументированными (недекларированными) возможностями (НДВ) в системном и прикладном программном обеспечении ИСПДн.
  • Уровень защищенности: оценка безопасности персональных данных с учетом их типа, объема и актуальных угроз.

Обрабатываемые категории персональных данных в ИСПДн

Существует четыре категории персональных данных, которые могут обрабатываться в ИСПДн:

  1. Специальные категории: данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья или интимной жизни субъектов.
  2. Биометрические персональные данные: информация о физиологических и биологических особенностях человека, позволяющая идентифицировать его личность и не относящаяся к специальным категориям.
  3. Общедоступные персональные данные: данные, полученные исключительно из общедоступных источников.
  4. Иные категории: данные, не относящиеся к специальным, биометрическим или общедоступным.

ИСПДн, обрабатывающие персональные данные третьей категории, встречаются достаточно редко. Это связано с тем, что для решения реальных задач требуется не только информация, идентифицирующая субъекта (ФИО, паспортные данные), но и дополнительная информация о нем (например, сведения о зарплате).

Наиболее часто встречаются ИСПДн, обрабатывающие персональные данные второй категории, такие как системы расчета заработной платы сотрудников.

Специальные категории персональных данных обычно встречаются в учреждениях здравоохранения, социальной сферы, труда и занятости.

Объем обрабатываемых персональных данных

Объем обрабатываемых персональных данных определяется количеством субъектов, информация о которых хранится в системе. Существует два варианта:

  • Более 100 000 субъектов персональных данных;
  • Менее 100 000 субъектов персональных данных.

Тип актуальных угроз для ИСПДн

Для ИСПДн могут быть актуальны три типа угроз:

  • Угрозы 1-го типа: угрозы, связанные с наличием НДВ в системном программном обеспечении, используемом в ИСПДн.
  • Угрозы 2-го типа: угрозы, актуальные для прикладного программного обеспечения, используемого в ИСПДн и связанные с наличием НДВ.
  • Угрозы 3-го типа: угрозы, не связанные с НДВ в системном и прикладном программном обеспечении.

Уровень защищенности ИСПДн определяется на основе обрабатываемых персональных данных, их объема и типа актуальных угроз.

Желаете подробно ознакомиться с документом? Подпишись и Скачивай документ! 👇🏻

Акт определения УЗ ПДн Акт установления уровня защищенности персональных данных при их обработке в информационной системе персональных данных Желаете подробно ознакомиться с документом? Скачивайте документ! 👇🏻 📎Акт определения УЗ ПДн.pdf
PersData1 октября 2023

Читайте также

Требования Правительства РФ к защите ПДн при их обработке в ИСПДн
PersData7 августа 2023
Определение типа актуальных угроз безопасности персональных данных
PersData7 сентября 2023
Недокументированные (недекларированные) возможности
PersData24 декабря 2023
Порядок оценки вреда, который может быть причинен субъектам персональных данных
PersData31 августа 2023

Взгляните на эти темы
Безопасность и правопорядок
Общество
Найти тему
ЖКХ
История религии
Общественный транспорт
Экология
Новости Голливуда
Моя Тула
Умный город
Земельные вопросы
Достижения России
Как живут в Финляндии
Почтовые услуги
Рынок такси
Мой Волгоград
Пожары и последствия
Безопасность дорожного движения
Лотереи
Мой Курск
Мой Сочи
Общество
14,16 млн интересуются