понедельник, 1 апреля 2013 г.

СЗПДн. Юмор. Новый стандарт РКН, ФСТЭК и ФСБ по оценке вреда субъектам ПДн


Как вы наверное знаете недавно регуляторами Роскомнадзором, ФСТЭК России и ФСБ России был разработан стандарт по оценке вреда субъектам ПДн, документ прошел экспертные слушания и  был передан на регистрацию в Минюст России.

Основные положения данного документа:
·        определение возможного вреда субъектам ПДн организуется оператором для каждой ИСПДн
·        определение возможного вреда субъектам ПДн производится коллегиально комиссией или рабочей группой
·        в комиссию должны включатся следующие лица:
o   лицо, ответственное за организацию обработки ПДн
o   субъект, персональные данные которого обрабатываются в системе
o   представитель территориального подразделения ФСТЭК России
o   представитель территориального подразделения ФСБ России
o   представитель территориального подразделения Роскомнадзора
·        представители регуляторов назначаются в ответ на письмо лица, ответственного за организацию обработки ПДн, содержащего основную информацию об обработке ПДн в ИСПДн:
o   состав ПДн
o   тип ИСПДн
o   объем обработки ПДн
o   содержание форм с ПДн   
·        оценка возможного вреда производится на основе следующей методологии: каждым членом комиссии выставляется одна из возможных оценок возможного ущерба: нулевой, незначительный, средний, значительный.  Таблица следующая

·        каждым членом комиссии оценка производится в соответствии с его субъективным мнением о значимости обрабатываемых ПДн, известных ему судебных прецедентов и случаев ущерба субъекту ПДн
·        далее оценка каждого члена комиссии заменяется на его числовой показатель и суммируется = L; далее итоговый результат:
o   вред субъектам ПДн значительный, если сумма L больше либо равна 0.9
o   вред субъектам ПДн средний, если сумма L больше либо равна 0.5
o   вред субъектам ПДн незначительный, если сумма L больше либо равна 0.2
o   вред субъектам ПДн нулевой, в иных случаях

Как видно, методика определения вреда достаточно простая и вопросов не вызывает. Результаты оценки вреда должны использоваться при моделировании угроз, определении необходимых контрмер и т.п.

Операторам ПДн стоит включить в план мероприятий организацию комиссии по оценке вреда и подготовить шаблон документа (акт об оценке вреда субъектам ПД н)






6 комментариев:

Артем Агеев комментирует...

Кстати я слышал, что со следующего года эту инфу и в уведомлении придётся указывать ;)

Сергей Борисов комментирует...

А потом ещё и о применяемых средствах защиты будут собирать !?

confido комментирует...

Вы забыли рассказать, что данные результаты придется согласовывать со всеми тремя ведомствами. см .Пункт 4.3 данного стандарта.

Дмитрий комментирует...

С 1 апреля! :) ?

Сергей Борисов комментирует...

Да, коллеги!!! всех с первым апреля.
Надеюсь юмор был тонкий.
Хотя и на избитую тему

Сергей Борисов комментирует...

Все догадались что это за ГОСТ был в основе?