Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

СЗПДн. Юмор. Новый стандарт РКН, ФСТЭК и ФСБ по оценке вреда субъектам ПДн

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()

Как вы наверное знаете недавно регуляторами Роскомнадзором, ФСТЭК России и ФСБ России был разработан стандарт по оценке вреда субъектам ПДн, документ прошел экспертные слушания и  был передан на регистрацию в Минюст России.

Основные положения данного документа:

·        определение возможного вреда субъектам ПДн организуется оператором для каждой ИСПДн

·        определение возможного вреда субъектам ПДн производится коллегиально комиссией или рабочей группой

·        в комиссию должны включатся следующие лица:

o   лицо, ответственное за организацию обработки ПДн

o   субъект, персональные данные которого обрабатываются в системе

o   представитель территориального подразделения ФСТЭК России

o   представитель территориального подразделения ФСБ России

o   представитель территориального подразделения Роскомнадзора

·        представители регуляторов назначаются в ответ на письмо лица, ответственного за организацию обработки ПДн, содержащего основную информацию об обработке ПДн в ИСПДн:

o   состав ПДн

o   тип ИСПДн

o   объем обработки ПДн

o   содержание форм с ПДн   

·        оценка возможного вреда производится на основе следующей методологии: каждым членом комиссии выставляется одна из возможных оценок возможного ущерба: нулевой, незначительный, средний, значительный.  Таблица следующая


·        каждым членом комиссии оценка производится в соответствии с его субъективным мнением о значимости обрабатываемых ПДн, известных ему судебных прецедентов и случаев ущерба субъекту ПДн

·        далее оценка каждого члена комиссии заменяется на его числовой показатель и суммируется = L; далее итоговый результат:

o   вред субъектам ПДн значительный, если сумма L больше либо равна 0.9

o   вред субъектам ПДн средний, если сумма L больше либо равна 0.5

o   вред субъектам ПДн незначительный, если сумма L больше либо равна 0.2

o   вред субъектам ПДн нулевой, в иных случаях


Как видно, методика определения вреда достаточно простая и вопросов не вызывает. Результаты оценки вреда должны использоваться при моделировании угроз, определении необходимых контрмер и т.п.


Операторам ПДн стоит включить в план мероприятий организацию комиссии по оценке вреда и подготовить шаблон документа (акт об оценке вреда субъектам ПД н)







Оцените материал:
Total votes: 28
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.