Принято постановление Кабинета Министров от 05.10.2022 г. №570 «Об утверждении некоторых нормативных правовых актов в области обработки персональных данных».
Справочно:
персональные данные – зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся к определенному физическому лицу или дающая возможность его идентификации;
биометрические данные – персональные данные, характеризующие анатомические и физиологические особенности субъекта;
генетические данные – персональные данные, относящиеся к унаследованным или приобретенным характеристикам субъекта, которые являются результатом анализа биологического образца субъекта или анализа другого элемента, позволяющего получить эквивалентную информацию;
специальные персональные данные – данные о расовом или социальном происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся физического или душевного (психического) здоровья, сведения о частной жизни и судимости.
Документом утверждено Положение об определении степени защищенности персональных данных при их обработке. В соответствии с ним:
- собственник и (или) оператор при обработке персональных данных, исходя из имеющихся угроз их безопасности, принимает организационные и технические меры по их защите;
- под угрозами безопасности для персональной информации понимается совокупность условий и факторов, могущих повлечь ее изменение, дополнение, использование, предоставление, передачу, распространение, обезличивание, уничтожение, копирование в результате несанкционированного, в том числе случайного доступа к базе данных;
- в зависимости от декларирования в системном и практическом программном обеспечении базы данных угрозы классифицируются на три типа;
- предусматриваются 4 степени защиты персональных данных, для установления конкретной степени необходимо наличие хоть одного из условий, перечисленных ниже:
|
Уровень защиты |
Условия применения соответствующего уровня |
Необходимые меры защиты |
|
I степень защиты |
- наличие угроз I типа и обработка специальной и (или) биометрической и (или) генетической информации; - наличие угроз II типа и обработка специальных персональных данных более 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора |
- обеспечение режима безопасности зданий, в которых находятся базы данных, предотвращение бесконтрольного доступа лиц, не имеющих право доступа к этому зданию и их нахождению в здании; - обеспечение безопасности физических предметов, на которых хранятся персональные данные; утверждение собственником и (или) оператором круга лиц, имеющих доступ к базе данных; - обеспечение защиты от угроз, при необходимости использование средств информационной безопасности, прошедших оценку соответствия законодательству в сфере обеспечения информационной защиты; назначение ответственного должностного лица (сотрудника), обеспечивающего безопасность базы персональных данных; - предоставление права доступа к сведениям журнала электронных сообщений базы данных исключительно сотрудникам, осуществляющим соответствующие обязанности, а также уполномоченным лицам; - автоматическая регистрация в электронном журнале безопасности изменений полномочий сотрудника собственника и (или) оператора по доступу к базе данных; - создание структурного подразделения, ответственного за обеспечение безопасности базы данных или возложение такой обязанности на существующее подразделение |
|
II степень защиты |
- наличие угроз I типа и обработка специальной и (или) биометрической и (или) генетической информации и обработка общедоступной информации; - наличие угроз II типа и обработка специальных персональных данных менее 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора; - наличие угроз II типа и обработка биометрической и (или) генетической информации; - наличие угроз II типа и обработка общедоступной информации более 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора; - наличие угроз III типа и обработка специальных персональных данных более 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора |
- обеспечение режима безопасности зданий, в которых находятся базы данных, предотвращение бесконтрольного доступа лиц, не имеющих право доступа к этому зданию и их нахождению в здании; - обеспечение безопасности физических предметов, на которых хранятся персональные данные; - утверждение собственником и (или) оператором круга лиц, имеющих доступ к базе данных; - обеспечение защиты от угроз, при необходимости использование средств информационной безопасности, прошедших оценку соответствия законодательству в сфере обеспечения информационной защиты; - назначение ответственного должностного лица (сотрудника), обеспечивающего безопасность базы персональных данных; - предоставление права доступа к сведениям журнала электронных сообщений базы данных исключительно сотрудникам, осуществляющим соответствующие обязанности, а также уполномоченным лицам |
|
III степень защиты |
- наличие угроз II типа и обработка общедоступной информации сотрудников собственника и (или) оператора и (или) обработка общедоступной информации менее 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора; - наличие угроз III типа и обработка специальных персональных данных сотрудников собственники и (или) оператора и (или) обработка специальных персональных данных менее 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора; - наличие угроз III типа и обработка биометрической и (или) генетической информации |
- обеспечение режима безопасности зданий, в которых находятся базы данных, предотвращение бесконтрольного доступа лиц, не имеющих право доступа к этому зданию и их нахождению в здании; - обеспечение безопасности физических предметов, на которых хранятся персональные данные; - утверждение собственником и (или) оператором круга лиц, имеющих доступ к базе данных; - обеспечение защиты от угроз, при необходимости использование средств информационной безопасности, прошедших оценку соответствия законодательству в сфере обеспечения информационной защиты; - назначение ответственного должностного лица (сотрудника), обеспечивающего безопасность базы персональных данных |
|
IV степень защиты |
- наличие угроз III типа и обработка общедоступной информации
|
- обеспечение режима безопасности зданий, в которых находятся базы данных, предотвращение бесконтрольного доступа лиц, не имеющих право доступа к этому зданию и их нахождению в здании; - обеспечение безопасности физических предметов, на которых хранятся персональные данные; - утверждение собственником и (или) оператором круга лиц, имеющих доступ к базе данных; - обеспечение защиты от угроз, при необходимости использование средств информационной безопасности, прошедших оценку соответствия законодательству в сфере обеспечения информационной защиты |
Также постановлением утверждено Положение о требовании к материальным носителям, хранящим биометрические и генетические данные, а также к технологиям их хранения вне баз персональных данных.
Документ опубликован в Национальной базе данных законодательства и вступает в силу 07.01.2023 г.
Собир Нурбердиев.
