данных, обеспечивающей нейтрализацию всех перечисленных в модели угроз; - определение необходимости использования криптосредств для обеспечения безопасности персональных данных и, в случае положительного решения, определение на основе модели угроз цели использования криптосредств для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных и (или) иных неправомерных действий при их обработке; - установку и ввод в эксплуатацию криптосредств в соответствии с эксплуатационной и технической документацией к этим средствам; - проверку готовности криптосредств к использованию с составлением заключений о возможности их эксплуатации; - обучение лиц, использующих криптосредства, работе с ними; - поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним, носителейперсональных данных; - учет лиц, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных в информационной системе (пользователи криптосредств); - контроль за соблюдением условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним; - разбирательство и составление заключений по фактам нарушения
протоколов сетевого взаимодействия и каналов передачи данных. В таких ИСПДн возможны: угрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват паролей или идентификаторов, модификацию базовой системы ввода/вывода (BIOS), перехват управления загрузкой; угрозы, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа с применением стандартных функций ( уничтожение, копирование, перемещение, форматирование носителей информации и т.п.) операционной системы или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.); угрозы внедрения вредоносных программ. 6.2. Типовая модель угроз безопасности персональных данных, обрабатываемых в автоматизированных рабочих местах, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена При обработке ПДн на автоматизированном рабочем месте, имеющем подключения к сетям связи общего пользования и (или) сетям международного информационного обмена, возможна реализация следующих УБПДн: угрозы утечки информации по техническим каналам; угрозы
│ ├─────────────────────────┼─────────────────────────┤ │ │ │ │ └─────────────────────┴─────────────────────────┴─────────────────────────┘ провела уничтожение криптографических ключей: ┌─────┬───────┬───────────┬───────────────────┬───────────────┬───────────┐ │ N │ Дата │ Тип │ Регистрационный │ Наименование │Примечание │ │ п/п │ │ носителя │ номер носителя │ СКЗИ │ │ │ │ │ ключа │ ключа │ │ │ ├─────┼───────┼───────────┼───────────────────┼───────────────┼───────────┤ │ │ │ │ │ │ │ ├─────┼───────┼───────────┼───────────────────┼───────────────┼───────────┤ │ │ │ │ │ │ │ └─────┴───────┴───────────┴───────────────────┴───────────────┴───────────┘ Всего носителей криптографических ключей _____________________________ (цифрами и прописью) На указанных носителях криптографические ключи уничтожены путем ___________ __________________________________________________________________________. (стирания на устройстве гарантированного уничтожения информации и т.п.) Перечисленные носители криптографических ключей уничтожены путем __________ __________________________________________________________________________. (разрезания, сжигания, механического уничтожения, сдачи предприятию по утилизации вторичного сырья и т.п.) Председатель комиссии: _______________ / / Члены комиссии: _______________ / / _______________ / / КонсультантПлюс: примечание. Нумерация приложений дана в соответствии с официальным текстом документа. Приложение 17 ТИПОВЫЕ ОШИБКИ ПРИ РЕАЛИЗАЦИИ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ В таблице приведены типовые и распространенные ошибки
АРМ № 9 (осуществляющее указанную выше обработку и выгрузку) не указана установка и эксплуатация ПО «Гермес», а установленное программное обеспечение MS Office 2010 не активировано; Версия СЗИ от НСД Secret Net Studio не соответствует Приложению В к аттестату (установлена более новая версия, данные об проведении обновления в аттестате или в журнале обновлений ПО отсутствуют); ни один из журналов, ведение которых предусмотрено действующим аттестатом не ведется, а именно - журнал поэкземплярного учета СКЗИ, журнал уничтоженияносителейперсональных данных, журнал обновлений программного обеспечения) - в наличие имеются не прошитые и не заполненные листы, без указания каких-либо мероприятий; комиссии был представлен архив выгрузок из ПО «Гермес», записанных на оптические диски-носители информации за период с апреля 2019 года, который хранился в не опечатанном книжном шкафу помещения № 25. Согласно п. 5 приложения № 1 к приказу «О проведении мероприятий в области защиты информации» № 95 от 16.04.2019г. - обрабатываемые персональные данные подлежат уничтожению
уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных. Порядок и условия уничтожения персональных данных установлены Регламентом уничтожения персональных данных в Медицинском университете «Реавиз», утвержденным ректором от 15.01.2018 г. Уничтожение документов производится в присутствии всех членов комиссии по организации информационной безопасности и защите персональных данных, которые несут персональную ответственность за правильность и полноту уничтожения документов, перечисленных в Акте об уничтожении пересыльных данных. Отобранные к уничтожению материалы измельчаются механическим способом до степени, исключающей возможность прочтения текста, или сжигаются. После уничтожения бумажных носителейперсональных данных членами миссии по организации информационной безопасности и защите персональных данных подписывается Акт об уничтожении персональных данных в двух экземплярах. Отобранные к уничтожению материалы измельчаются механическим способом до степени, исключающей возможность прочтения текста, или сжигаются, после уничтожения бумажных носителей персональных данных членами по организации информационной безопасности и защите
установлен Федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом (статья 7 Закона о персональных данных). В случаях, предусмотренных Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом электронной подписью (часть 4 статьи 9 Закона о персональных данных). В соответствии со статье 6 Закона о персональных данных не требуется согласия на обработку, хранение и распространение персональных
информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); 3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; 8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носителиперсональных данных; Согласно части 1 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (в редакции, действовавшей на момент заключения кредитного договора), субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано
п.4 Приказ №12-СЕО-П01-001/17 от 10.01.2017 г. «Об утверждении Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально», «Строго конфиденциально» в ОАО «МегаФон Ритейл»; - п.5 Инструкция по организации работы с документами ограниченного доступа с грифом «Конфиденциально», «Строго конфиденциально» в ОАО «МегаФон Ритейл», утвержденная Приказом №12-СЕО-П01-001/17 от 10.01.2017; - п.22 Положение «Об обработке персональных данных в ОАО «МегаФон Ритейл», утвержденное Приказом №12-СЕО-П04-039/16 от 22.04.2016; - п.24 Инструкция о порядке учета, хранения и уничтоженияносителейперсональных данных в ОАО «МегаФон Ритейл», утвержденная Приказом № 12-СЕО-П11-015/15 от 11.11.2015; - п.40 Приказ №12/7-СЕО-П07-121/10 от 26.07.2010 г. «О введении в действии инструкции «По работе в информационной системе персональных данных «АРМ пользователя»; - п.41 Инструкция администратора информационной системы персональных данных «АРМ пользователя» ОАО «Мегафон Ритейл», утвержденная Приказом №12/7-СЕО-П07-121/10 от 26.07.2010; - п.42 Инструкция пользователя информационной системы персональных данных «АРМ пользователя» ОАО «Мегафон Ритейл», утвержденная Приказом №12/7-СЕО-П07-121/10 от 26.07.2010; - п.43 Положение «О правилах
г.Самара в составе: председательствующего судьи Бойко Л.А. при секретаре Вальберг В.А. рассмотрев в открытом судебном заседании гражданское дело № по иску ФИО1 к ООО»Газпром межрегионгаз Самара» о признании незаконным использования персональных данных, взыскании компенсации морального вреда., суд УСТАНОВИЛ ФИО1 обратился с иском к ООО»Газпром межрегионгаз Самара « о прекращении обработки персональных данных и уничтожении его персональных данных, обязании ООО»Газпром межрегионгаз Самара осуществить уничтожение всех документов, фото и видео файлов, на бумажных носителях и в электронном виде, составленных в ходе проверки от 18.02.20г. с участием ФИО1,содержащие сведения о персональных данных ФИО1,хранящиеся в ООО»Газпром межрегионгаз Самара» в копиях и оригиналах. Обязании ООО»Газпром межрегионгаз Самара осуществить уничтожение всех документов, фото и видео файлов, на бумажных носителях и в электронном виде, составленных в ходе проверки от 18.02.20г. с участием ФИО1,содержащие сведения о персональных данных ФИО1, направленные во все инстанции /включая Министерство энергетики, ООО»СВГК»,органы полиции,органы прокуратуры и т.д./. Обязать ООО»Газпром межрегионгаз Самара» предоставить ФИО1 документы,подтверждающие
