71 288 46 54 (139)
Пресс-релиз Видеогалерея Медиа Аудиогалерея СМИ о нас Анонс Рейтинг Статьи
  • Главная
  • Статьи
  • Новое в законодательстве: Усилены требования к защите персональных данных

Новости 830

Новое в законодательстве: Усилены требования к защите персональных данных

Новое в законодательстве: Усилены требования к защите персональных данных

10.10.2022 17:10:05

Принято постановление Кабинета Министров от 05.10.2022 г. №570 «Об утверждении некоторых нормативных правовых актов в области обработки персональных данных».
Справочно:
персональные данные – зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся к определенному физическому лицу или дающая возможность его идентификации;
биометрические данные – персональные данные, характеризующие анатомические и физиологические особенности субъекта;
генетические данные – персональные данные, относящиеся к унаследованным или приобретенным характеристикам субъекта, которые являются результатом анализа биологического образца субъекта или анализа другого элемента, позволяющего получить эквивалентную информацию;
специальные персональные данные – данные о расовом или социальном происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся физического или душевного (психического) здоровья, сведения о частной жизни и судимости.
Документом утверждено Положение об определении степени защищенности персональных данных при их обработке. В соответствии с ним:
собственник и (или) оператор при обработке персональных данных, исходя из имеющихся угроз их безопасности, принимает организационные и технические меры по их защите;
под угрозами безопасности для персональной информации понимается совокупность условий и факторов, могущих повлечь ее изменение, дополнение, использование, предоставление, передачу, распространение, обезличивание, уничтожение, копирование в результате несанкционированного, в том числе случайного доступа к базе данных;
в зависимости от декларирования в системном и практическом программном обеспечении базы данных угрозы классифицируются на три типа;
предусматриваются 4 степени защиты персональных данных, для установления конкретной степени необходимо наличие хоть одного из условий, перечисленных ниже:

Уровень защиты Условия применения соответствующего уровня Необходимые меры защиты
I степень защиты - наличие угроз I типа и обработка специальной и (или) биометрической и (или) генетической информации;
- наличие угроз II типа и обработка специальных персональных данных более 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора - обеспечение режима безопасности зданий, в которых находятся базы данных, предотвращение бесконтрольного доступа лиц, не имеющих право доступа к этому зданию и их нахождению в здании;
- обеспечение безопасности физических предметов, на которых хранятся персональные данные;
утверждение собственником и (или) оператором круга лиц, имеющих доступ к базе данных;
- обеспечение защиты от угроз, при необходимости использование средств информационной безопасности, прошедших оценку соответствия законодательству в сфере обеспечения информационной защиты;
назначение ответственного должностного лица (сотрудника), обеспечивающего безопасность базы персональных данных;
- предоставление права доступа к сведениям журнала электронных сообщений базы данных исключительно сотрудникам, осуществляющим соответствующие обязанности, а также уполномоченным лицам;
- автоматическая регистрация в электронном журнале безопасности изменений полномочий сотрудника собственника и (или) оператора по доступу к базе данных;
- создание структурного подразделения, ответственного за обеспечение безопасности базы данных или возложение такой обязанности на существующее подразделение
II степень защиты - наличие угроз I типа и обработка специальной и (или) биометрической и (или) генетической информации и обработка общедоступной информации;
- наличие угроз II типа и обработка специальных персональных данных менее 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора;
- наличие угроз II типа и обработка биометрической и (или) генетической информации;
- наличие угроз II типа и обработка общедоступной информации более 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора;
- наличие угроз III типа и обработка специальных персональных данных более 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора

- обеспечение режима безопасности зданий, в которых находятся базы данных, предотвращение бесконтрольного доступа лиц, не имеющих право доступа к этому зданию и их нахождению в здании;
- обеспечение безопасности физических предметов, на которых хранятся персональные данные;
- утверждение собственником и (или) оператором круга лиц, имеющих доступ к базе данных;
- обеспечение защиты от угроз, при необходимости использование средств информационной безопасности, прошедших оценку соответствия законодательству в сфере обеспечения информационной защиты;
- назначение ответственного должностного лица (сотрудника), обеспечивающего безопасность базы персональных данных;
- предоставление права доступа к сведениям журнала электронных сообщений базы данных исключительно сотрудникам, осуществляющим соответствующие обязанности, а также уполномоченным лицам
III степень защиты - наличие угроз II типа и обработка общедоступной информации сотрудников собственники и (или) оператора и (или) обработка общедоступной информации менее 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора;
- наличие угроз III типа и обработка специальных персональных данных сотрудников собственники и (или) оператора и (или) обработка специальных персональных данных менее 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора;
- наличие угроз III типа и обработка биометрической и (или) генетической информации
- обеспечение режима безопасности зданий, в которых находятся базы данных, предотвращение бесконтрольного доступа лиц, не имеющих право доступа к этому зданию и их нахождению в здании;
- обеспечение безопасности физических предметов, на которых хранятся персональные данные;
утверждение собственником и (или) оператором круга лиц, имеющих доступ к базе данных;
- обеспечение защиты от угроз, при необходимости использование средств информационной безопасности, прошедших оценку соответствия законодательству в сфере обеспечения информационной защиты;
- назначение ответственного должностного лица (сотрудника), обеспечивающего безопасность базы персональных данных
IV степень защиты - наличие угроз III типа и обработка общедоступной информации

- обеспечение режима безопасности зданий, в которых находятся базы данных, предотвращение бесконтрольного доступа лиц, не имеющих право доступа к этому зданию и их нахождению в здании;
- обеспечение безопасности физических предметов, на которых хранятся персональные данные
утверждение собственником и (или) оператором круга лиц, имеющих доступ к базе данных;
- обеспечение защиты от угроз, при необходимости использование средств информационной безопасности, прошедших оценку соответствия законодательству в сфере обеспечения информационной защиты

Также постановлением утверждено Положение о требовании к материальным носителям, хранящим биометрические и генетические данные, а также к технологиям их хранения вне баз персональных данных.
Документ опубликован в Национальной базе данных законодательства и вступает в силу 07.01.2023 г.

Источник: norma.uz

Поделиться с друзьями

+
Активная молодежь
Активисты партии
Календарь новостей