Справочно:
персональные данные - зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся к определенному физическому лицу или дающая возможность его идентификации;
биометрические данные - персональные данные, характеризующие анатомические и физиологические особенности субъекта;
генетические данные - персональные данные, относящиеся к унаследованным или приобретенным характеристикам субъекта, которые являются результатом анализа биологического образца субъекта или анализа другого элемента, позволяющего получить эквивалентную информацию;
специальные персональные данные - данные о расовом или социальном происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся физического или душевного (психического) здоровья, сведения о частной жизни и судимости.
Документом утверждено Положение об определении степени защищенности персональных данных при их обработке. В соответствии с ним:
- собственник и (или) оператор при обработке персональных данных, исходя из имеющихся угроз их безопасности, принимает организационные и технические меры по их защите;
- под угрозами безопасности для персональной информации понимается совокупность условий и факторов, могущих повлечь ее изменение, дополнение, использование, предоставление, передачу, распространение, обезличивание, уничтожение, копирование в результате несанкционированного, в том числе случайного доступа к базе данных;
- в зависимости от декларирования в системном и практическом программном обеспечении базы данных угрозы классифицируются на три типа;
- предусматриваются четыре степени защиты персональных данных, для установления конкретной степени необходимо наличие хоть одного из условий, перечисленных ниже:
|
Уровень защиты |
Условия применения соответствующего уровня |
Необходимые меры защиты |
|
I степень защиты |
- наличие угроз I типа и обработка специальной и (или) биометрической и (или) генетической информации; - наличие угроз II типа и обработка специальных персональных данных более 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора. |
- обеспечение режима безопасности зданий, в которых находятся базы данных, предотвращение бесконтрольного доступа лиц, не имеющих право доступа к этому зданию и их нахождению в здании; - обеспечение безопасности физических предметов, на которых хранятся персональные данные; утверждение собственником и (или) оператором круга лиц, имеющих доступ к базе данных; - обеспечение защиты от угроз, при необходимости использование средств информационной безопасности, прошедших оценку соответствия законодательству в сфере обеспечения информационной защиты; назначение ответственного должностного лица (сотрудника), обеспечивающего безопасность базы персональных данных; - предоставление права доступа к сведениям журнала электронных сообщений базы данных исключительно сотрудникам,осуществляющим соответствующие обязанности, а также уполномоченным лицам; - автоматическая регистрация в электронном журнале безопасности изменений полномочий сотрудника собственника и (или) оператора по доступу к базе данных; - создание структурного подразделения, ответственного за обеспечение безопасности базы данных или возложение такой обязанности на существующее подразделение. |
|
II степень защиты |
- наличие угроз I типа и обработка специальной и (или) биометрической и (или) генетической информации и обработка общедоступной информации; - наличие угроз II типа и обработка специальных персональных данных менее 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора; - наличие угроз II типа и обработка биометрической и (или) генетической информации; - наличие угроз II типа и обработка общедоступной информации более 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора; - наличие угроз III типа и обработка специальных персональных данных более 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора. |
- обеспечение режима безопасности зданий, в которых находятся базы данных, предотвращение бесконтрольного доступа лиц, не имеющих право доступа к этому зданию и их нахождению в здании; - обеспечение безопасности физических предметов, на которых хранятся персональные данные; - утверждение собственником и (или) оператором круга лиц, имеющих доступ к базе данных; - обеспечение защиты от угроз, при необходимости использование средств информационной безопасности, прошедших оценку соответствия законодательству в сфере обеспечения информационной защиты; - назначение ответственного должностного лица (сотрудника), обеспечивающего безопасность базы персональных данных; - предоставление права доступа к сведениям журнала электронных сообщений базы данных исключительно сотрудникам,осуществляющим соответствующие обязанности, а также уполномоченным лицам. |
|
III степень защиты |
- наличие угроз II типа и обработка общедоступной информации сотрудников собственники и (или) оператора и (или) обработка общедоступной информации менее 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора; - наличие угроз III типа и обработка специальных персональных данных сотрудников собственники и (или) оператора и (или) обработка специальных персональных данных менее 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора; - наличие угроз III типа ҳамда обработка биометрической и (или) генетической информации. |
- обеспечение режима безопасности зданий, в которых находятся базы данных, предотвращение бесконтрольного доступа лиц, не имеющих право доступа к этому зданию и их нахождению в здании; - обеспечение безопасности физических предметов, на которых хранятся персональные данные; утверждение собственником и (или) оператором круга лиц, имеющих доступ к базе данных; - обеспечение защиты от угроз, при необходимости использование средств информационной безопасности, прошедших оценку соответствия законодательству в сфере обеспечения информационной защиты; - назначение ответственного должностного лица (сотрудника), обеспечивающего безопасность базы персональных данных. |
|
IV степень защиты |
- наличие угроз III типа и обработка общедоступной информации.
|
- обеспечение режима безопасности зданий, в которых находятся базы данных, предотвращение бесконтрольного доступа лиц, не имеющих право доступа к этому зданию и их нахождению в здании; - обеспечение безопасности физических предметов, на которых хранятся персональные данные утверждение собственником и (или) оператором круга лиц, имеющих доступ к базе данных; - обеспечение защиты от угроз, при необходимости использование средств информационной безопасности, прошедших оценку соответствия законодательству в сфере обеспечения информационной защиты. |
Также постановлением утверждено Положение о требования к материальным носителям, хранящим биометрические и генетические данные, а также к технологиям их хранения вне баз персональных данных.
Документ опубликован в Национальной базе данных законодательства и вступает в силу 07.01.2023 года, сообщает «Norma».
