ГРАЖДАНСКОЕ ЗАКОНОДАТЕЛЬСТВО
ЗАКОНЫ КОММЕНТАРИИ СУДЕБНАЯ ПРАКТИКА
Гражданский кодекс часть 1
Гражданский кодекс часть 2

Уровень защищенности пдн - гражданское законодательство и судебные прецеденты

"Политика государственной корпорации "Агентство по страхованию вкладов" в отношении обработки и защиты персональных данных" (утв. решением Правления ГК "Агентство по страхованию вкладов" от 25.08.2012, протокол N 71) (с изм. и доп. от 11.04.2019)
актам, требованиям к защите ПДн, Политике и внутренним регулятивным документам Агентства; 4) проводится оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Закона о ПДн, определяется соотношение указанного вреда и принимаемых Агентством мер, направленных на обеспечение исполнения обязанностей, предусмотренных Законом о ПДн. 5.7. Обеспечение безопасности ПДн в Агентстве при их обработке в ИСПДн достигается в Агентстве, в частности, путем: 1) определения угроз безопасности ПДн. Тип актуальных угроз безопасности ПДн и необходимый уровень защищенности ПДн определяются в соответствии с требованиями законодательства и с учетом проведения оценки возможного вреда; 2) определения в установленном порядке состава и содержания мер по обеспечению безопасности ПДн, выбора средств защиты информации. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПДн, а также с учетом экономической целесообразности Агентством могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности ПДн. В этом случае в ходе разработки СЗПДн проводится обоснование применения компенсирующих мер для обеспечения
"Положение о требованиях, предъявляемых к организации обработки и защиты персональных данных специализированными организациями в связи с оказанием ими услуг ликвидируемым кредитным организациям" (утв. решением Правления ГК "Агентство по страхованию вкладов" от 03.04.2014, протокол N 40)
субъектов ПДн, не являющихся работниками специализированной организации, и обрабатывать ПДн без использования средств автоматизации; б) обрабатывать в информационных системах ПДн данные менее 100 000 субъектов ПДн, не являющихся работниками специализированной организации, и обрабатывать ПДн без использования средств автоматизации; в) в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" обеспечивать первый, второй либо третий уровень защищенности ПДн (при обработке ПДн в информационных системах); г) обрабатывать ПДн только без использования средств автоматизации; д) обрабатывать специальные ПДн. 2.2. Положения, содержащиеся в подпунктах 1 и 2 пункта 2.1 настоящего Положения, включаются в договор о взаимодействии, заключаемый в соответствии с Положением об отборе, если оказание услуг специализированной организацией ликвидируемой кредитной организации связано с обработкой ПДн. В договор о взаимодействии с аккредитованной специализированной организацией также включается требование об обязательстве указанной организации незамедлительно уведомлять Агентство об
"Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2014" (принят и введен в действие Распоряжением Банка России от 17.05.2014 N Р-399)
в рамках которых обрабатываются персональные данные 7.11.1. СИБ банковского платежного технологического процесса, в рамках которого обрабатываются персональные данные, должна соответствовать требованиям пункта 7.8 настоящего стандарта. СИБ банковского информационного технологического процесса, в рамках которого обрабатываются персональные данные, должна соответствовать требованиям пункта 7.9 и 7.11 настоящего стандарта. 7.11.2. Реализация требований по обеспечению ИБ, установленных в разделе 7 и разделе 8 настоящего стандарта, рекомендуется для обеспечения выполнения требований к защите персональных данных для третьего и четвертого уровня защищенности ПДн при их обработке в ИСПДн, установленных Постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" [9]. 7.11.3. Требования по обеспечению информационной безопасности, установленные в разделе 7 и разделе 8 настоящего стандарта, направлены на нейтрализацию актуальных <1> (применительно к большинству организаций БС РФ) угроз безопасности персональных данных. -------------------------------- <1> Актуальными являются те угрозы, риск реализации которых в
Приказ МВД России от 06.07.2012 N 678 (ред. от 07.12.2016) "Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации" (Зарегистрировано в Минюсте России 18.09.2012 N 25488)
N 538) Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных определяются в соответствии с нормативными правовыми актами, принятыми Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона 152-ФЗ. (абзац введен Приказом МВД России от 15.07.2013 N 538) 10. Выбор средств защиты информации <1> для СЗПДн осуществляется в установленном порядке <2> подразделениями-операторами ИСПДн в зависимости от уровня защищенности ПДн , определяемого в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". (п. 10 в ред. Приказа МВД России от 15.07.2013 N 538) (см. текст в предыдущей редакции) -------------------------------- <1> Сноска исключена. - Приказ МВД России от 15.07.2013 N 538. (см. текст в предыдущей редакции) <1> Далее - "СрЗИ". (сноска введена Приказом МВД России
"Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (Выписка) (утв. ФСТЭК РФ 15.02.2008)
безопасности ПДн; разработка системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн; проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации; недопущение воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование; контроль обеспечения уровня защищенности персональных данных. В Модели угроз дано обобщенное описание ИСПДн как объектов защиты, возможных источников угрозы безопасности персональных данных (УБПДн), основных классов уязвимостей ИСПДн, возможных видов деструктивных воздействий на ПДн , а также основных способов их реализации. Угрозы безопасности ПДн, обрабатываемых в ИСПДн, содержащиеся в настоящей Модели угроз, могут уточняться и дополняться по мере выявления новых источников угроз, развития способов и средств реализации УБПДн в ИСПДн. Внесение изменений в Модель угроз осуществляется ФСТЭК России в устанавливаемом порядке. 3. Классификация угроз безопасности персональных данных Состав и содержание УБПДн определяется совокупностью
Решение № 2-4732/2015 от 25.04.2016 Уфимского районного суда (Республика Башкортостан)
защиты информации; оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн; учетом машинных носителей ПДн; обнаружением фактов несанкционированного доступа к ПДн и принятием мер к блокированию каналов несанкционированного доступа; восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн; контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ПДн в ИСПДн. 14.4. Обеспечение безопасности <данные изъяты> связи и сведений об абонентах при обработке информации в системах и сетях связи осуществляется в соответствии с требованиями законодательства РФ о связи, а также международного законодательства по межоператорскому взаимодействию». В соответствии с п.28 Постановления Пленума Верховного Суда Российской Федерации от 28.06.2012г. №17, при разрешении требований потребителей необходимо учитывать, что бремя доказывания обстоятельств, за причинением вреда, лежит на Исполнителе. Вышеуказанные документы подтверждают, нанесенный Истцу ущерб в размере
Решение № АП12-18/17 от 08.02.2017 Элистинского городского суда (Республика Калмыкия)
не была разъяснена в самом предписании от 4 августа 2016 года №ш/1056. Кроме того, полагает, что мировым судьей не были исследованы все обстоятельства совершенного деяния. Считает, что предписание от 4 августа 2016 года вынесено на основании акта проверки от 4 августа 2016 года, пунктом 2.2 которого установлено, что п.3 предписания от 4 апреля 2016 года №ш/755 «Установить уровни защищенности персональных данных» устранен не в полном объеме, а именно: к проверке представлен акт определения уровня защищенности ПДн при их обработке в информационной системе персональных данных – сегментах информационных систем персонифицированного учета УФСИН России по РК от 11 июля 2016 года №1, из которого ИСПДн присвоен 4 уровень защищенности. При определении уровня защищенности в данном акте рассматривалась только категория ПДн сотрудников оператора, остальные категории ПДн, обрабатываемые в ИСПДн УФСИН России по РК, не рассмотрены». Также в п.1 предписания от 4 августа 2016 года №ш/1056 требовалось переработать акт определения уровня защищенности персональных