Приложение 9. Оценка вреда в результате неправомерного или случайного доступа к персональным данным обрабатываемым в департаменте по регулированию контрактной системы Краснодарского края. Приказ департамента по регулированию контрактной системы Краснодарского края от 13.05.2020 N 41 "Об организационных мероприятиях по обеспечению безопасности персональных данных, обрабатываемых в департаменте по регулированию контрактной системы Краснодарского края" (с изменениями и дополнениями)

Приложение 9

Утверждена
приказом департамента по
регулированию контрактной системы
Краснодарского края
от 13.05.2020 N 41

Оценка
вреда в результате неправомерного или случайного доступа к персональным данным обрабатываемым в департаменте по регулированию контрактной системы Краснодарского края

1. Общие положения

1.1. Настоящий документ содержит оценку вреда, который может быть причинён субъектам персональных данных, (далее - Оценка возможного вреда) в результате неправомерного или случайного доступа к персональным данным обрабатываемых в департаменте по регулированию контрактной системы Краснодарского края (далее - Департамент). Методику проведения оценки возможного вреда, а также соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").

1.2. Оценка возможного вреда осуществляется в соответствии с требованиями статьи 18.1 Федерального закона "О персональных данных".

1.3. В связи с отсутствием нормативных документов Правительства Российской Федерации, Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю Российской Федерации по Оценке возможного вреда субъектам персональных данных, производится качественная Оценка возможного вреда по методике, указанной в разделе 3 настоящего документа.

2. Методики Оценки возможного вреда

2.1. Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2.2. Перечисленные неправомерные действия определяются как следующие нарушения характеристик безопасности информации (персональных данных):

2.2.1. Неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных.

2.2.2. Неправомерное блокирование персональных данных является нарушением доступности персональных данных.

2.2.3. Неправомерное уничтожение персональных данных является нарушением доступности и целостности персональных данных.

2.2.4. Неправомерное изменение персональных данных является нарушением целостности персональных данных.

2.2.5. Нарушение права субъекта персональных данных требовать от оператора персональных данных уточнения его персональных данных, их блокирования или уничтожение является нарушением целостности информации.

2.2.6. Нарушение права субъекта на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных.

2.2.7. Обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объёме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных.

2.2.8. Неправомерное получение персональных данных, является нарушением конфиденциальности персональных данных.

2.3. Субъекту персональных данных может быть причинён вред в форме:

2.3.1. Морального вреда - физические или нравственные страдания, причинённые субъекту персональных данных, действиями (или бездействием) оператора персональных данных, нарушающими личные неимущественные права субъекта персональных данных, либо посягающими на принадлежащие субъекту персональных данных нематериальные блага, а также в случаях нарушения правил обработки персональных данных и требований к защите персональных данных, предусмотренных законом.

2.3.2. Убытков - расходы, которые лицо (субъект персональных данных), чьё право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода).

2.4. Оценка возможного вреда субъектам персональных данных определяется в соответствии со следующими качественными критериями оценки нарушения заданных характеристик безопасности персональных данных:

2.4.1. Высокий - приводит к значительным негативным последствиям для субъекта персональных данных, а именно:

нанесение крупного ущерба субъекту персональных данных;

крупные финансовые потери для субъекта персональных данных в результате неправомерных действий с персональными данными;

возможно нанесение тяжелого вреда здоровью субъекта или возможность реализации прямой угрозы жизни.

2.4.2. Средний - приводит к негативным последствиям для субъекта персональных данных, а именно:

причинение ущерба субъекту персональных данных;

значительные финансовые потери в результате неправомерных действий с персональными данными;

возможно нанесение вреда, не создающего угрозы жизни или здоровью субъекту персональных данных.

2.4.3. Низкий - приводит к незначительным последствиям для субъекта персональных данных, а именно:

нанесение незначительного ущерба субъекту персональных данных или отсутствие подобного вреда;

отсутствие финансовых потерь или незначительные потери для субъекта персональных данных;

отсутствие вреда здоровью или жизни субъекту персональных данных, или незначительный вред.

3. Оценка возможного вреда

3.1. Степень возможного вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", определяется по наибольшему значению возможного нарушения каждой из характеристик безопасности информации и отношении категорий субъектов персональных данных, чьи персональные данные обрабатываются в Департаменте.

3.2. Оценка возможно вреда приведена в приложении 1 к настоящему документу.

3.3. Для всех категорий субъектов персональных данных, чьи персональные данные обрабатываются в Департаменте, определена средняя степень возможного ущерба, так как:

в составе персональных данных, обрабатываемых в Департаменте, отсутствуют сведения, неправомерные действия с которыми, могут привести к причинению значительного вреда субъекту персональных данных;

угроза нанесения тяжкого вреда здоровью или угроза жизни и здоровью субъектам персональных данных отсутствует.

4. Соотношение возможного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных"

4.1. В Департаменте принимаются правовые, организационные и технические меры, необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.

4.2. Состав мер, направленных на защиту персональных данных, определяется исходя из требований, установленных:

Федеральным законом "О персональных данных".

Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

Федеральным законом от 25 декабря 2008 г. N 273-ФЗ "О противодействии коррупции";

Указом Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";

постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке информационных системах персональных данных";

постановлением Правительства Российской Федерации от 15 августа 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату названного постановления Правительства Российской Федерации следует читать как "от 15 сентября 2008 г. N 687"

приказом Федеральной службы по техническому и экспертному контролю Российской Федерации от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

приказом Федеральной службы по техническому и экспертному контролю Российской Федерации России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".

4.3. Соотношение возможного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных", приведено в приложении 2 к настоящему документу.

Заместитель начальника отдела информационно-аналитического сопровождения

И.М. Мусин