Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ департамента по обеспечению деятельности мировых судей Краснодарского края от 1 февраля 2021 г. N 8 "О внесении изменений в приказ департамента по обеспечению деятельности мировых судей Краснодарского края от 21 ноября 2018 г. N 262 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" в департаменте по обеспечению деятельности мировых судей Краснодарского края"
- Приложение 1
Приложение 1
Приложение 1
к приказу департамента по
обеспечению деятельности
мировых судей Краснодарского края
от 01.02.2021 N 8
"Приложение N 12
Утверждена
приказом департамента по
обеспечению деятельности мировых
судей Краснодарского края
от 01.02.2021 N 8
ГАРАНТ:
По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо "Утверждена приказом департамента по обеспечению деятельности мировых судей Краснодарского края от 01.02.2021 N 8" имеется в виду "Утверждена приказом департамента по обеспечению деятельности мировых судей Краснодарского края от 21.11.2018 года N 262"
Оценка
вреда, который может быть причинён субъектам персональных данных департамента по обеспечению деятельностей мировых судей Краснодарского края
1. Общие положения
1.1. Настоящий документ содержит оценку вреда, который может быть причинён субъектам персональных данных, (далее - оценка возможного вреда), обрабатываемых в департаменте по обеспечению деятельности мировых судей Краснодарского края (далее - департамент). Методику проведения оценки возможного вреда, а также соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").
1.2. Оценка возможного вреда осуществляется в соответствии с требованиями статьи 18.1 Федерального закона "О персональных данных".
1.3. В связи с отсутствием нормативных документов Правительства Российской Федерации, Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю Российской Федерации по Оценке возможного вреда субъектам персональных данных, производится качественная Оценка возможного вреда по методике, описанной в разделе 3 настоящего документа.
2. Термины и определения
2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определённому, или определяемому физическому лицу (субъекту персональных данных).
2.2. Специальные категории персональных данных - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
2.3. Биометрические персональные данные - персональные данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных (за исключением сведений, относящихся к специальным категориям персональных данных).
2.4. Общедоступные персональные данные - персональные данные, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьёй 8 Федерального закона "О персональных данных".
2.5. Иные персональные данные - любая информация, относящаяся к прямо или косвенно определённому, или определяемому физическому лицу (субъекту персональных данных), за исключением персональных данных, относящихся к специальным, биометрическим или общедоступным персональным данным.
2.6. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.7. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
2.8. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
2.9. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.10. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.11. Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определённой информации, требование не передавать такую информацию третьим лицам без согласия её обладателя.
2.12. Целостность информации - состояние информации, при котором отсутствует любое её изменение либо изменение осуществляется только преднамеренно субъектами, имеющими право на такое изменение.
2.13. Доступность информации - состояние информации (ресурсов информационной системы), при которой субъекты, имеющие права доступа, могут реализовать их беспрепятственно.
3. Методики оценки возможного вреда
3.1. Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
3.2. Перечисленные неправомерные действия определяются как следующие нарушения характеристик безопасности информации (персональных данных):
3.2.1. Неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных.
3.2.2. Неправомерное блокирование персональных данных является нарушением доступности персональных данных.
3.2.3. Неправомерное уничтожение персональных данных является нарушением доступности и целостности персональных данных.
3.2.4. Неправомерное изменение персональных данных является нарушением целостности персональных данных.
3.2.5. Нарушение права субъекта персональных данных требовать от оператора персональных данных уточнения его персональных данных, их блокирования или уничтожение является нарушением целостности информации.
3.2.6. Нарушение права субъекта на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных.
3.2.7. Обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объёме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных.
3.2.8. Неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных.
3.3. Субъекту персональных данных может быть причинён вред в форме:
3.3.1. Морального вреда - физические или нравственные страдания, причинённые субъекту персональных данных, действиями (или бездействием) оператора персональных данных, нарушающими личные неимущественные права субъекта персональных данных, либо посягающими на принадлежащие субъекту персональных данных нематериальные блага, а также в других случаях, предусмотренных законом.
3.3.2. Убытков - расходы, которые лицо (субъект персональных данных), чьё право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода).
3.4. Оценка возможного вреда субъектам персональных данных определяется в соответствии следующими качественными критериями оценки нарушения заданных характеристик безопасности персональных данных:
3.4.1. Высокий - приводит к значительным негативным последствиям для субъекта персональных данных, а именно:
нанесение крупного ущерба субъекту персональных данных;
крупные финансовые потери для субъекта персональных данных в результате неправомерных действий с персональными данными;
возможно нанесение тяжелого вреда здоровью субъекта или возможность реализации прямой угрозы жизни.
3.4.2. Средний - приводит к негативным последствиям для субъекта персональных данных, а именно:
причинение ущерба субъекту персональных данных;
значительные финансовые потери в результате неправомерных действий с персональными данными;
возможно нанесение вреда, не создающего угрозы жизни или здоровью субъекту персональных данных.
3.4.3. Низкий - приводит к незначительным последствиям для субъекта персональных данных, а именно:
нанесение незначительного ущерба субъекту персональных данных или отсутствие подобного вреда;
отсутствие финансовых потерь или незначительные потери для субъекта персональных данных;
отсутствие вреда здоровью или жизни субъекту персональных данных, или незначительный вред.
4. Оценка возможного вреда
4.1. Степень возможного вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", определяется по наибольшему значению возможного нарушения каждой из характеристик безопасности информации и отношении категорий субъектов персональных данных, чьи персональные данные обрабатываются в департаменте.
4.2. Оценка возможного вреда приведена в приложении N 1 к настоящему документу.
4.3. Для всех категорий субъектов персональных данных, чьи персональные данные обрабатываются в департаменте, определена средняя степень возможного ущерба, так как:
в составе персональных данных, обрабатываемых в департаменте, отсутствуют сведения, неправомерные действия с которыми, могут привести к значительным негативным последствиям субъекту персональных данных;
угроза нанесения тяжкого вреда здоровью или угроза жизни и здоровью субъектам персональных данных отсутствует.
5. Соотношение возможного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных"
5.1. В департаменте принимаются правовые, организационные и технические меры, необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.
5.2. Состав мер, направленных на защиту персональных данных, определяется исходя из требований, установленных:
Федеральным законом Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных".
Федеральным законом Российской Федерации от 2 марта 2007 года N 25-ФЗ "О муниципальной службе в Российской Федерации";
Федеральным законом Российской Федерации от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";
Федеральным законом Российской Федерации от 25 декабря 2008 года N 273-ФЗ "О противодействии коррупции";
Указом Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";
постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке информационных системах персональных данных";
постановлением Правительства Российской Федерации от 15 августа 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
приказом Федеральной службы по техническому и экспертному контролю Российской Федерации от 18 февраля 2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
приказом Федеральной службы по техническому и экспертному контролю Российской Федерации России от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".
5.3. Соотношение возможного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных", приведено в приложении N 2 к настоящему документу.
Приложение 1
к оценке вреда, который может
быть причинён субъектам
персональных данных департамента
по обеспечению деятельности
мировых судей Краснодарского края
Оценка
возможного вреда
|
N |
Категория субъектов персональных данных |
Категория персональных данных |
Характеристика безопасности информации |
Степень возможного вреда |
Примечание |
|
1 |
2 |
3 |
4 |
5 |
6 |
|
1 |
Работники департамента |
Общедоступные |
Конфиденциальность |
|
Нарушение конфиденциальности общедоступных персональных данных не несёт за собой вред субъектам |
|
Целостность |
Низкая |
|
|||
|
Доступность |
Низкая |
|
|||
|
Биометрические |
Конфиденциальность |
|
Данная категория персональных данных не обрабатывается |
||
|
Целостность | |||||
|
Доступность | |||||
|
Специальные |
Конфиденциальность |
|
Данная категория персональных данных не |
||
|
Целостность | |||||
|
|
Доступность |
|
обрабатывается |
||
|
Иные |
Конфиденциальность |
Средняя |
|
||
|
Целостность |
Средняя |
|
|||
|
Доступность |
Низкая |
|
|||
|
2 |
Граждане, претендующие на замещение вакантных должностей государственной гражданской службы |
Общедоступные |
Конфиденциальность |
|
Нарушение конфиденциальности общедоступных персональных данных не несёт за собой вред субъектам |
|
Целостность |
Низкая |
|
|||
|
Доступность |
Низкая |
|
|||
|
Биометрические |
Конфиденциальность |
|
Данная категория персональных данных не обрабатывается |
||
|
Целостность |
|
||||
|
Доступность |
|
||||
|
Специальные |
Конфиденциальность |
|
Данная категория персональных данных не обрабатывается |
||
|
Целостность |
|
||||
|
Доступность |
|
||||
|
Иные |
Конфиденциальность |
Средняя |
|
||
|
Целостность |
Средняя _ |
|
|||
|
Доступность |
Низкая |
|
|||
|
3 |
Граждане, обратившиеся в департамент в порядке, предусмотренном Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" |
Общедоступные |
Конфиденциальность |
|
Нарушение конфиденциальности общедоступных персональных данных не несёт за собой вред субъектам |
|
Целостность |
Низкая |
|
|||
|
Доступность |
Низкая |
|
|||
|
Биометрические |
Конфиденциальность Целостность Доступность |
|
Данная категория персональных данных не обрабатывается |
||
|
Специальные |
Конфиденциальность Целостность Доступность |
|
Данная категория персональных данных не обрабатывается |
||
|
Иные |
Конфиденциальность |
Средняя |
|
||
|
Целостность |
Средняя |
|
|||
|
Доступность |
Низкая |
|
Приложение 2
к оценке вреда, который может
быть причинён субъектам
персональных данных департамента
по обеспечению деятельности
мировых судей Краснодарского края
Соотношение
возможного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных"
|
N |
Перечень мер, принимаемых для обеспечения защиты персональных данных |
Степень возможного вреда субъекту персональных данных, при невыполнении меры |
|
1 |
2 |
3 |
|
1 |
Сбор согласий на обработку персональных данных, в случаях, установленных Федеральным законом "О персональных данных" |
Средняя |
|
2 |
Оценка вреда субъектам персональных данных |
Средняя |
|
3 |
Обезличивание, уточнение и уничтожение персональных данных, в случаях, когда это необходимо |
Средняя |
|
4 |
Определение правил рассмотрения запросов субъектов персональных данных или их представителей |
Средняя |
|
5 |
Определение правил работы с обезличенными данными в случае обезличивания персональных данных |
Средняя |
|
6 |
Определение порядка доступа в помещения департамента, в которых ведётся обработка персональных данных |
Средняя |
|
7 |
Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами департамента |
Средняя |
|
8 |
Определение угроз безопасности персональных данных, при их обработке в информационных системах департамента |
Средняя |
|
9 |
Определение уровня защищённости персональных данных, обрабатываемых в информационных системах департамента |
Средняя |
|
10 |
Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах департамента, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищённости персональных данных |
Средняя |
|
11 |
Исключение несанкционированного, в том числе случайного, доступа к персональным данным, а также иных неправомерных действий в отношении персональных данных |
Средняя |
|
12 |
Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации |
Средняя |
|
13 |
Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных |
Средняя |
|
14 |
Учёт машинных носителей персональных данных |
Средняя |
|
15 |
Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер |
Средняя |
|
16 |
Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним |
Средняя |
|
17 |
Установление правил доступа к персональным данным, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационных системах департамента |
Средняя |
|
18 |
Контроль за принимаемыми мерами по обеспечению безопасности персональных данных |
Средняя |
".
|
<< Назад |
Приложение 2 >> Приложение 2 |
|
|
Содержание Приказ департамента по обеспечению деятельности мировых судей Краснодарского края от 1 февраля 2021 г. N 8 "О внесении... |