Приложение 13. Оценка вреда, который может быть причинен субъектам персональных данных Министерства образования и науки Республики Северная Осетия-Алания. Приказ Министерства образования и науки Республики Северная Осетия-Алания от 30.04.2021 N 401 "О мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" в Министерстве образования и науки Республики Северная Осетия-Алания"

Приложение 13

к приказу Министерства

образования и науки

Республики Северная Осетия-Алания

от 30.04.2021 г. N 401

Оценка
вреда, который может быть причинен субъектам персональных данных Министерства образования и науки Республики Северная Осетия-Алания

1. Общие положения

1.1. Настоящий документ содержит оценку вреда, который может быть причинен субъектам персональных данных, (далее - Оценка возможного вреда), обрабатываемых в Министерстве образования и науки Республики Северная Осетия-Алания (далее - Министерство). Методику проведения оценки возможного вреда, а также соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").

1.2. Оценка возможного вреда осуществляется в соответствии с требованиями статьи 18.1 Федерального закона "О персональных данных".

1.3. В связи с отсутствием нормативных документов Правительства Российской Федерации, Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю Российской Федерации по Оценке возможного вреда субъектам персональных данных, производится качественная Оценка возможного вреда по методике, описанной в разделе 3 настоящего документа.

2. Методики Оценки возможного вреда

2.1. Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2.2. Перечисленные неправомерные действия определяются как следующие нарушения характеристик безопасности информации (персональных данных):

2.2.1. Неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных.

2.2.2. Неправомерное блокирование персональных данных является нарушением доступности персональных данных.

2.2.3. Неправомерное уничтожение персональных данных является нарушением доступности и целостности персональных данных.

2.2.4. Неправомерное изменение персональных данных является нарушением целостности персональных данных.

2.2.5. Нарушение права субъекта персональных данных требовать от оператора персональных данных уточнения его персональных данных, их блокирования или уничтожение является нарушением целостности информации.

2.2.6. Нарушение права субъекта на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных.

2.2.7. Обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объеме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных.

2.2.8. Неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных.

2.3. Субъекту персональных данных может быть причинен вред в форме:

2.3.1. Морального вреда - физические или нравственные страдания, причиненные субъекту персональных данных, действиями (или бездействием) оператора персональных данных, нарушающими личные неимущественные права субъекта персональных данных, либо посягающими на принадлежащие субъекту персональных данных нематериальные блага, а также в других случаях, предусмотренных законом.

2.3.2. Убытков - расходы, которые лицо (субъект персональных данных), чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода).

2.4. Оценка возможного вреда субъектам персональных данных определяется в соответствии следующими качественными критериями оценки нарушения заданных характеристик безопасности персональных данных:

2.4.1. Высокий - приводит к значительным негативным последствиям для субъекта персональных данных, а именно:

нанесение крупного ущерба субъекту персональных данных;

крупные финансовые потери для субъекта персональных данных в результате неправомерных действий с персональными данными;

возможно нанесение тяжелого вреда здоровью субъекта или возможность реализации прямой угрозы жизни.

2.4.2. Средний - приводит к негативным последствиям для субъекта персональных данных, а именно:

причинение ущерба субъекту персональных данных;

значительные финансовые потери в результате неправомерных действий с персональными данными;

возможно нанесение вреда, не создающего угрозы жизни или здоровью субъекту персональных данных.

2.4.3. Низкий - приводит к незначительным последствиям для субъекта персональных данных, а именно:

нанесение незначительного ущерба субъекту персональных данных или отсутствие подобного вреда;

отсутствие финансовых потерь или незначительные потери для субъекта персональных данных;

отсутствие вреда здоровью или жизни субъекту персональных данных, или незначительный вред.

3. Оценка возможного вреда

3.1. Степень возможного вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", определяется по наибольшему значению возможного нарушения каждой из характеристик безопасности информации и отношении категорий субъектов персональных данных, чьи персональные данные обрабатываются в Министерстве.

3.2. Оценка возможного вреда приведена в приложении N 1 к настоящему документу.

3.3. Для всех категорий субъектов персональных данных, чьи персональные данные обрабатываются в Министерстве, определена средняя степень возможного ущерба, так как:

в составе персональных данных, обрабатываемых в Министерстве, отсутствуют сведения, неправомерные действия с которыми, могут привести к причинению крупного вреда субъекту персональных данных;

угроза нанесения тяжкого вреда здоровью или угроза жизни и здоровью субъектам персональных данных отсутствует.

4. Соотношение возможного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных"

4.1. В Министерстве принимаются правовые, организационные и технические меры, необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.

4.2. Состав мер, направленных на защиту персональных данных, определяется исходя из требований, установленных:

Федеральным законом Российской Федерации "О персональных данных";

Федеральным законом Российской Федерации от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

Федеральным законом Российской Федерации от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";

Федеральным законом Российской Федерации от 25 декабря 2008 года N 273-ФЗ "О противодействии коррупции";

Указом Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";

постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке информационных системах персональных данных";

постановлением Правительства Российской Федерации от 15 августа 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату названного постановления следует читать как "от 15 сентября 2008 г."

приказом Федеральной службы по техническому и экспертному контролю Российской Федерации от 18 февраля 2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

приказом Федеральной службы по техническому и экспертному контролю Российской Федерации России от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".

4.3. Соотношение возможного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных", приведено в приложении N 2 к настоящему документу.