Основная информация
| Дата опубликования: | 13 февраля 2019г. |
| Номер документа: | RU93000201900163 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Республика Крым |
| Принявший орган: | Министерство чрезвычайных ситуаций Республики Крым |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
МІНІСТЕРСТВО НАДЗВИЧАЙНИХ СИТУАЦІЙ РЕСПУБЛІКИ КРИМ
МИНИСТЕРСТВО ЧРЕЗВЫЧАЙНЫХ СИТУАЦИЙ
РЕСПУБЛИКИ КРЫМ
КЪЫРЫМ ДЖУМХУРИЕНТИНИНЪ ФЕВКЪУЛЬАДЕ ВАЗИЕТ НАЗИРЛИГИ
ПРИКАЗ
«13» ФЕВРАЛЯ 2019 Г.
№ 35-ОСН
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОЦЕНКИ ВРЕДА, КОТОРЫЙ МОЖЕТ БЫТЬ ПРИЧИНЕН
СУБЪЕКТАМ ПЕРСОНАЛЬНЫХ ДАННЫХ В СЛУЧАЕ НАРУШЕНИЯ ТРЕБОВАНИЙ ПО ОБРАБОТКЕ И ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ЧРЕЗВЫЧАЙНЫХ СИТУАЦИЙ РЕСПУБЛИКИ КРЫМ
С целью реализации Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Закон), руководствуясь пунктом 5 части 1 статьи 18.1 указанного Закона, Постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», Положением о Министерстве чрезвычайных ситуаций Республики Крым, утверждённым постановлением Совета министров Республики Крым от 27 июня 2014 года № 151
ПРИКАЗЫВАЮ:
1. Утвердить Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в Министерстве чрезвычайных ситуаций Республики Крым, согласно Приложению 1 к настоящему приказу.
2. Создать Комиссию по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», соотношению указанного вреда и принимаемых Министерством чрезвычайных ситуаций Республики Крым мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом, (далее – Комиссия) в составе согласно Приложению 2 к настоящему приказу.
3. Заведующему отделом правового обеспечения (Станько С.А.) обеспечить:
3.1 направление настоящего приказа пресс-секретарю министра Стамболиной М.Ю. для размещения в информационно – телекоммуникационной сети Интернет на официальном сайте Министерства чрезвычайных ситуаций Республики Крым Портала Правительства Республики Крым;
3.2 направление копии настоящего приказа в прокуратуру Республики Крым в электронном и бумажном видах;
3.3 направление копии настоящего приказа в Аппарат Совета министров Республики Крым в электронном виде в формате «pdf» и в виде текста в одном из следующих форматов «doc», «docx», «odt», «rtf» в 3-дневный срок после дня первого официального опубликования настоящего приказа с указанием сведений об источниках его официального опубликования.
4. Руководителям самостоятельных структурных подразделений Министерства чрезвычайных ситуаций Республики Крым в срок до «18» февраля 2019 года ознакомить государственных гражданских служащих Министерства чрезвычайных ситуаций Республики Крым с настоящим приказом, представив ведомости ознакомления в отдел государственной гражданской службы и кадровой работы по форме согласно Приложению 3 к настоящему приказу.
5. Контроль за исполнением настоящего приказа возложить на первого заместителя министра Онищенко В.А.
Министр С.Н. Шахов
Приложение 1
к приказу МЧС Республики Крым
от «13» февраля 2019 года № 35 -осн
ПРАВИЛА
оценки вреда, который может быть причинен субъектам
персональных данных в случае нарушения требований
по обработке и обеспечению безопасности персональных данных
в Министерстве чрезвычайных ситуаций Республики Крым
1. Общие положения
1.1. Настоящие Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в Министерстве чрезвычайных ситуаций Республики Крым (далее - Правила), определяют порядок оценки вреда, который может быть причинен субъектам персональных в случае нарушения Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ), соотношения указанного возможного вреда и принимаемых Министерством чрезвычайных ситуаций Республики Крым (далее - Оператор) мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ.
1.2. Настоящие Правила разработаны в соответствии с действующим законодательством Российской Федерации в области обработки и защиты персональных данных.
2. Основные понятия
2. В настоящих Правилах используются следующие основные понятия с соответствующими определениями:
2.1. Информация - сведения (сообщения, данные) независимо от формы их представления;
2.2. Безопасность информации - состояние защищенности информации, при которой обеспечены ее конфиденциальность, доступность и целостность;
2.3. Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
2.4. Целостность информации - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими право на такое изменение;
2.5. Доступность информации - состояние информации (ресурсов информационной системы), при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно;
2.6. Убытки - расходы, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено;
2.7. Моральный вред - физические или нравственные страдания, причиняемые действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом;
2.8. Оценка возможного вреда - определение уровня вреда на основании учета причиненных убытков и морального вреда, нарушения конфиденциальности, целостности и доступности персональных данных.
3. Методика оценки возможного вреда
субъектам персональных данных в случае нарушения
Федерального закона № 152-ФЗ
3.1. Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
3.2. Перечисленные неправомерные действия определяются как следующие нарушения безопасности информации:
3.2.1. Неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных;
3.2.2. Неправомерное уничтожение и блокирование персональных данных является нарушением доступности персональных данных;
3.2.3. Неправомерное изменение персональных данных является нарушением целостности персональных данных;
3.2.4. Нарушение права субъекта требовать от оператора уточнения его персональных данных, их блокирования или уничтожение является нарушением целостности информации;
3.2.5. Нарушение права субъекта на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных;
3.2.6. Обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объеме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных;
3.2.7. Неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных;
3.2.8. Принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных без согласия на то в письменной форме субъекта персональных данных или непредусмотренное федеральными законами, является нарушением конфиденциальности персональных данных.
3.3. Вред, который может быть причинен субъекту персональных данных, определяется в виде:
3.3.1. убытков - расходов, которые субъект персональных данных, чье право
нарушено, понесло или должно будет понести для восстановления
нарушенного права, утраты или повреждения его имущества (реальный
ущерб);
3.3.2. недополученного дохода, который этот субъект персональных данных
получил бы при обычных условиях гражданского оборота, если бы его право
не было нарушено;
3.3.3. морального вреда - физических или нравственных страданий, причиняемых действиями, нарушающими личные неимущественные права субъекта персональных данных либо посягающими на принадлежащие субъекту персональных данных другие нематериальные блага, а также в других случаях, предусмотренных законом.
3.4. В оценке возможного вреда необходимо исходить из следующего способа учета последствий допущенного нарушения принципов обработки персональных данных:
3.4.1. нулевой уровень возможного вреда – вред субъекту ПДн не причиняется;
3.4.2. низкий уровень возможного вреда - последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, либо только нарушение доступности персональных данных;
3.4.3. средний уровень возможного вреда - последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, повлекшее убытки и моральный вред, либо только нарушение доступности персональных данных, повлекшее убытки и
моральный вред, либо только нарушение конфиденциальности персональных
данных;
3.4.4. высокий уровень возможного вреда - во всех остальных случаях.
4. Каждому уровню возможного вреда сопоставляется числовая оценка Y1, а именно:
0 – при нулевом уровне вреда;
0,05 – при низком уровне вреда;
0,1 – при среднем уровне вреда;
0,2 – при высоком уровне вреда.
4.4. Каждым членом комиссии на основании собственного субъективного мнения выставляется одна из возможных оценок возможного вреда субъекту для каждой актуальной угрозы безопасности его ПДн из-за несанкционированного, в том числе случайного, доступа к его ПДн при их обработке в информационных системах.
4.5. Все коэффициенты оценок суммируются по каждой актуальной угрозе.
4.6. По значению суммарной оценки Y2 определяется возможный вред следующим образом:
если Y2 > 0,9, то вред субъектам ПДн признается высоким;
если 0,5 < Y2 ≤ 0,9, то вред субъектам ПДн признается средним;
если 0,2 < Y2 ≤ 0,5, то вред субъектам ПДн признается низким;
если 0 < Y2 ≤ 0,5, то вред субъектам ПДн признается нулевым.
4. Порядок проведения оценки возможного вреда,
а также соотнесения возможного вреда
и реализуемых Оператором мер
Оценка возможного вреда субъектам персональных данных осуществляется комиссией по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», соотношению указанного вреда и принимаемых Министерством чрезвычайных ситуаций Республики Крым мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом, в составе 5 государственных гражданских служащих Министерства чрезвычайных ситуаций Республики Крым (далее – Комиссия) в соответствии с Методикой, описанной в разделе 3 настоящих Правил, с составлением акта оценки вреда, который может быть причинен субъекту персональных данных, в случае нарушения требований Закона
№ 152-ФЗ согласно Приложению к настоящим Правилам.
Состав реализуемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ определяется Комиссией исходя из правомерности и разумной достаточности указанных мер. При необходимости допускается привлечение сторонних экспертов в области защиты информации.
Приложение
к Правилам оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в Министерстве чрезвычайных ситуаций Республики Крым
Акт
оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в Министерстве чрезвычайных ситуаций Республики Крым
Комиссия по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в Министерстве чрезвычайных ситуаций Республики Крым во исполнение требований пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», в составе:
Председатель комиссии:
ФИО
- замещаемая должность
(Эксперт № 1)
Секретарь:
ФИО
- замещаемая должность
(Эксперт № 2)
Члены комиссии:
ФИО
- замещаемая должность
(Эксперт № 3)
ФИО
- замещаемая должность
(Эксперт № 4)
ФИО
- замещаемая должность
(Эксперт № 5)
руководствуясь Правилами оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в Министерстве чрезвычайных ситуаций Республики Крым, определила:
ТИПЫ актуальных угроз безопасности ПДн
ОЦЕНКИ возможного вреда субъекту ПДн, определенные членами комиссии
Определение возможного вреда (Y2)
Эксперт 1
Эксперт 2
Эксперт 3
Эксперт 4
Эксперт 5
Приложение 2
к приказу МЧС Республики Крым
от 13 февраля 2019 года № 35 -осн
Должностной состав комиссии по оценке возможного вреда субъектам, чьи персональные данные обрабатываются в информационных системах Министерства чрезвычайных ситуаций Республики Крым
Председатель комиссии:
ФИО
Первый заместитель министра чрезвычайных ситуаций Республики Крым;
Секретарь:
ФИО
заведующий сектором инфокоммуникационных технологий и защиты информации управления оповещения и связи МЧС Республики Крым;
Члены комиссии:
ФИО
ФИО
ФИО
консультант отдела планирования и документооборота МЧС Республики Крым;
главный специалист отдела государственной гражданской службы и кадровой работы МЧС Республики Крым;
консультант отдела правового обеспечения МЧС Республики Крым
Приложение 3
к приказу МЧС Республики Крым
от 13 февраля 2019 года № 35 - осн
Ведомость
ознакомления с приказом Министерства чрезвычайных ситуаций Республики Крым от ___________2019 г. №_____-осн
«Об утверждении Правил оценки вреда, который может быть причинен
субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в Министерстве чрезвычайных ситуаций Республики Крым»
№ п/п
Должность
ФИО
Дата
Роспись
МІНІСТЕРСТВО НАДЗВИЧАЙНИХ СИТУАЦІЙ РЕСПУБЛІКИ КРИМ
МИНИСТЕРСТВО ЧРЕЗВЫЧАЙНЫХ СИТУАЦИЙ
РЕСПУБЛИКИ КРЫМ
КЪЫРЫМ ДЖУМХУРИЕНТИНИНЪ ФЕВКЪУЛЬАДЕ ВАЗИЕТ НАЗИРЛИГИ
ПРИКАЗ
«13» ФЕВРАЛЯ 2019 Г.
№ 35-ОСН
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОЦЕНКИ ВРЕДА, КОТОРЫЙ МОЖЕТ БЫТЬ ПРИЧИНЕН
СУБЪЕКТАМ ПЕРСОНАЛЬНЫХ ДАННЫХ В СЛУЧАЕ НАРУШЕНИЯ ТРЕБОВАНИЙ ПО ОБРАБОТКЕ И ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ЧРЕЗВЫЧАЙНЫХ СИТУАЦИЙ РЕСПУБЛИКИ КРЫМ
С целью реализации Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Закон), руководствуясь пунктом 5 части 1 статьи 18.1 указанного Закона, Постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», Положением о Министерстве чрезвычайных ситуаций Республики Крым, утверждённым постановлением Совета министров Республики Крым от 27 июня 2014 года № 151
ПРИКАЗЫВАЮ:
1. Утвердить Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в Министерстве чрезвычайных ситуаций Республики Крым, согласно Приложению 1 к настоящему приказу.
2. Создать Комиссию по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», соотношению указанного вреда и принимаемых Министерством чрезвычайных ситуаций Республики Крым мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом, (далее – Комиссия) в составе согласно Приложению 2 к настоящему приказу.
3. Заведующему отделом правового обеспечения (Станько С.А.) обеспечить:
3.1 направление настоящего приказа пресс-секретарю министра Стамболиной М.Ю. для размещения в информационно – телекоммуникационной сети Интернет на официальном сайте Министерства чрезвычайных ситуаций Республики Крым Портала Правительства Республики Крым;
3.2 направление копии настоящего приказа в прокуратуру Республики Крым в электронном и бумажном видах;
3.3 направление копии настоящего приказа в Аппарат Совета министров Республики Крым в электронном виде в формате «pdf» и в виде текста в одном из следующих форматов «doc», «docx», «odt», «rtf» в 3-дневный срок после дня первого официального опубликования настоящего приказа с указанием сведений об источниках его официального опубликования.
4. Руководителям самостоятельных структурных подразделений Министерства чрезвычайных ситуаций Республики Крым в срок до «18» февраля 2019 года ознакомить государственных гражданских служащих Министерства чрезвычайных ситуаций Республики Крым с настоящим приказом, представив ведомости ознакомления в отдел государственной гражданской службы и кадровой работы по форме согласно Приложению 3 к настоящему приказу.
5. Контроль за исполнением настоящего приказа возложить на первого заместителя министра Онищенко В.А.
Министр С.Н. Шахов
Приложение 1
к приказу МЧС Республики Крым
от «13» февраля 2019 года № 35 -осн
ПРАВИЛА
оценки вреда, который может быть причинен субъектам
персональных данных в случае нарушения требований
по обработке и обеспечению безопасности персональных данных
в Министерстве чрезвычайных ситуаций Республики Крым
1. Общие положения
1.1. Настоящие Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в Министерстве чрезвычайных ситуаций Республики Крым (далее - Правила), определяют порядок оценки вреда, который может быть причинен субъектам персональных в случае нарушения Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ), соотношения указанного возможного вреда и принимаемых Министерством чрезвычайных ситуаций Республики Крым (далее - Оператор) мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ.
1.2. Настоящие Правила разработаны в соответствии с действующим законодательством Российской Федерации в области обработки и защиты персональных данных.
2. Основные понятия
2. В настоящих Правилах используются следующие основные понятия с соответствующими определениями:
2.1. Информация - сведения (сообщения, данные) независимо от формы их представления;
2.2. Безопасность информации - состояние защищенности информации, при которой обеспечены ее конфиденциальность, доступность и целостность;
2.3. Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
2.4. Целостность информации - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими право на такое изменение;
2.5. Доступность информации - состояние информации (ресурсов информационной системы), при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно;
2.6. Убытки - расходы, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено;
2.7. Моральный вред - физические или нравственные страдания, причиняемые действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом;
2.8. Оценка возможного вреда - определение уровня вреда на основании учета причиненных убытков и морального вреда, нарушения конфиденциальности, целостности и доступности персональных данных.
3. Методика оценки возможного вреда
субъектам персональных данных в случае нарушения
Федерального закона № 152-ФЗ
3.1. Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
3.2. Перечисленные неправомерные действия определяются как следующие нарушения безопасности информации:
3.2.1. Неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных;
3.2.2. Неправомерное уничтожение и блокирование персональных данных является нарушением доступности персональных данных;
3.2.3. Неправомерное изменение персональных данных является нарушением целостности персональных данных;
3.2.4. Нарушение права субъекта требовать от оператора уточнения его персональных данных, их блокирования или уничтожение является нарушением целостности информации;
3.2.5. Нарушение права субъекта на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных;
3.2.6. Обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объеме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных;
3.2.7. Неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных;
3.2.8. Принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных без согласия на то в письменной форме субъекта персональных данных или непредусмотренное федеральными законами, является нарушением конфиденциальности персональных данных.
3.3. Вред, который может быть причинен субъекту персональных данных, определяется в виде:
3.3.1. убытков - расходов, которые субъект персональных данных, чье право
нарушено, понесло или должно будет понести для восстановления
нарушенного права, утраты или повреждения его имущества (реальный
ущерб);
3.3.2. недополученного дохода, который этот субъект персональных данных
получил бы при обычных условиях гражданского оборота, если бы его право
не было нарушено;
3.3.3. морального вреда - физических или нравственных страданий, причиняемых действиями, нарушающими личные неимущественные права субъекта персональных данных либо посягающими на принадлежащие субъекту персональных данных другие нематериальные блага, а также в других случаях, предусмотренных законом.
3.4. В оценке возможного вреда необходимо исходить из следующего способа учета последствий допущенного нарушения принципов обработки персональных данных:
3.4.1. нулевой уровень возможного вреда – вред субъекту ПДн не причиняется;
3.4.2. низкий уровень возможного вреда - последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, либо только нарушение доступности персональных данных;
3.4.3. средний уровень возможного вреда - последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, повлекшее убытки и моральный вред, либо только нарушение доступности персональных данных, повлекшее убытки и
моральный вред, либо только нарушение конфиденциальности персональных
данных;
3.4.4. высокий уровень возможного вреда - во всех остальных случаях.
4. Каждому уровню возможного вреда сопоставляется числовая оценка Y1, а именно:
0 – при нулевом уровне вреда;
0,05 – при низком уровне вреда;
0,1 – при среднем уровне вреда;
0,2 – при высоком уровне вреда.
4.4. Каждым членом комиссии на основании собственного субъективного мнения выставляется одна из возможных оценок возможного вреда субъекту для каждой актуальной угрозы безопасности его ПДн из-за несанкционированного, в том числе случайного, доступа к его ПДн при их обработке в информационных системах.
4.5. Все коэффициенты оценок суммируются по каждой актуальной угрозе.
4.6. По значению суммарной оценки Y2 определяется возможный вред следующим образом:
если Y2 > 0,9, то вред субъектам ПДн признается высоким;
если 0,5 < Y2 ≤ 0,9, то вред субъектам ПДн признается средним;
если 0,2 < Y2 ≤ 0,5, то вред субъектам ПДн признается низким;
если 0 < Y2 ≤ 0,5, то вред субъектам ПДн признается нулевым.
4. Порядок проведения оценки возможного вреда,
а также соотнесения возможного вреда
и реализуемых Оператором мер
Оценка возможного вреда субъектам персональных данных осуществляется комиссией по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», соотношению указанного вреда и принимаемых Министерством чрезвычайных ситуаций Республики Крым мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом, в составе 5 государственных гражданских служащих Министерства чрезвычайных ситуаций Республики Крым (далее – Комиссия) в соответствии с Методикой, описанной в разделе 3 настоящих Правил, с составлением акта оценки вреда, который может быть причинен субъекту персональных данных, в случае нарушения требований Закона
№ 152-ФЗ согласно Приложению к настоящим Правилам.
Состав реализуемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ определяется Комиссией исходя из правомерности и разумной достаточности указанных мер. При необходимости допускается привлечение сторонних экспертов в области защиты информации.
Приложение
к Правилам оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в Министерстве чрезвычайных ситуаций Республики Крым
Акт
оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в Министерстве чрезвычайных ситуаций Республики Крым
Комиссия по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в Министерстве чрезвычайных ситуаций Республики Крым во исполнение требований пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», в составе:
Председатель комиссии:
ФИО
- замещаемая должность
(Эксперт № 1)
Секретарь:
ФИО
- замещаемая должность
(Эксперт № 2)
Члены комиссии:
ФИО
- замещаемая должность
(Эксперт № 3)
ФИО
- замещаемая должность
(Эксперт № 4)
ФИО
- замещаемая должность
(Эксперт № 5)
руководствуясь Правилами оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в Министерстве чрезвычайных ситуаций Республики Крым, определила:
ТИПЫ актуальных угроз безопасности ПДн
ОЦЕНКИ возможного вреда субъекту ПДн, определенные членами комиссии
Определение возможного вреда (Y2)
Эксперт 1
Эксперт 2
Эксперт 3
Эксперт 4
Эксперт 5
Приложение 2
к приказу МЧС Республики Крым
от 13 февраля 2019 года № 35 -осн
Должностной состав комиссии по оценке возможного вреда субъектам, чьи персональные данные обрабатываются в информационных системах Министерства чрезвычайных ситуаций Республики Крым
Председатель комиссии:
ФИО
Первый заместитель министра чрезвычайных ситуаций Республики Крым;
Секретарь:
ФИО
заведующий сектором инфокоммуникационных технологий и защиты информации управления оповещения и связи МЧС Республики Крым;
Члены комиссии:
ФИО
ФИО
ФИО
консультант отдела планирования и документооборота МЧС Республики Крым;
главный специалист отдела государственной гражданской службы и кадровой работы МЧС Республики Крым;
консультант отдела правового обеспечения МЧС Республики Крым
Приложение 3
к приказу МЧС Республики Крым
от 13 февраля 2019 года № 35 - осн
Ведомость
ознакомления с приказом Министерства чрезвычайных ситуаций Республики Крым от ___________2019 г. №_____-осн
«Об утверждении Правил оценки вреда, который может быть причинен
субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в Министерстве чрезвычайных ситуаций Республики Крым»
№ п/п
Должность
ФИО
Дата
Роспись
Дополнительные сведения
| Рубрики правового классификатора: | 150.020.030 Муниципальные информационные системы персональных данных. |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
