Неверный логин или пароль
или войдите через:
×
На ваш почтовый ящик отправлены инструкции по восстановлению пароля
x
Новое на buxgalter.uzМожно ли затраты на ремонт арендуемого помещения «растянуть» на несколько лет Кто и когда выставляет односторонние ЭСФ на расходы и прочие доходы Как определить место реализации услуг, если они оказаны в электронной форме Как определить дату получения дохода в натуральной форме для исчисления НДФЛ

Усилены требования к защите персональных данных

10.10.2022

Читать на узбекском языке

Принято постановление Кабинета Министров от 05.10.2022 г. №570 «Об утверждении некоторых нормативных правовых актов в области обработки персональных данных».

  

Справочно:

персональные данные – зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся к определенному физическому лицу или дающая возможность его идентификации;

биометрические данные – персональные данные, характеризующие анатомические и физиологические особенности субъекта;

генетические данные – персональные данные, относящиеся к унаследованным или приобретенным характеристикам субъекта, которые являются результатом анализа биологического образца субъекта или анализа другого элемента, позволяющего получить эквивалентную информацию;

специальные персональные данные данные о расовом или социальном происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся физического или душевного (психического) здоровья, сведения о частной жизни и судимости.

 

Документом утверждено Положение об определении степени защищенности персональных данных при их обработке. В соответствии с ним:

  • собственник и (или) оператор при обработке персональных данных, исходя из имеющихся угроз их безопасности, принимает организационные и технические меры по их защите;
  • под угрозами безопасности для персональной информации понимается совокупность условий и факторов, могущих повлечь ее изменение, дополнение, использование, предоставление, передачу, распространение, обезличивание, уничтожение, копирование в результате несанкционированного, в том числе случайного доступа к базе данных;
  • в зависимости от декларирования в системном и практическом программном обеспечении базы данных угрозы классифицируются на три типа;
  • предусматриваются 4 степени защиты персональных данных, для установления конкретной степени необходимо наличие хоть одного из условий, перечисленных ниже:

 

Уровень защиты

Условия применения соответствующего уровня

Необходимые меры защиты

I степень защиты 

- наличие угроз I типа и обработка специальной и (или) биометрической и (или) генетической информации;
- наличие угроз II типа и обработка специальных персональных данных более 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора
- обеспечение режима безопасности зданий, в которых находятся базы данных, предотвращение бесконтрольного доступа лиц, не имеющих право доступа к этому зданию и их нахождению в здании;
- обеспечение безопасности физических предметов, на которых хранятся персональные данные;
утверждение собственником и (или) оператором круга лиц, имеющих доступ к базе данных;
- обеспечение защиты от угроз, при необходимости использование средств информационной безопасности, прошедших оценку соответствия законодательству в сфере обеспечения информационной защиты;
назначение ответственного должностного лица (сотрудника), обеспечивающего безопасность базы персональных данных;
- предоставление права доступа к сведениям  журнала электронных сообщений базы данных исключительно сотрудникам, осуществляющим соответствующие обязанности, а также уполномоченным лицам;
- автоматическая регистрация в электронном журнале безопасности изменений полномочий сотрудника собственника и (или) оператора по доступу к базе данных;
- создание структурного подразделения, ответственного за обеспечение безопасности базы данных или возложение такой обязанности на существующее подразделение 

II степень защиты 

- наличие угроз I типа и обработка специальной и (или) биометрической и (или) генетической информации и обработка общедоступной информации;
- наличие угроз II типа и обработка специальных персональных данных менее 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора;
- наличие угроз II типа и  обработка биометрической и (или) генетической информации;
- наличие угроз II типа и  обработка общедоступной информации более 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора; 
- наличие угроз III типа и обработка специальных персональных данных более 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора

- обеспечение режима безопасности зданий, в которых находятся базы данных, предотвращение бесконтрольного доступа лиц, не имеющих право доступа к этому зданию и их нахождению в здании;
- обеспечение безопасности физических предметов, на которых хранятся персональные данные;
- утверждение собственником и (или) оператором круга лиц, имеющих доступ к базе данных;
- обеспечение защиты от угроз, при необходимости использование средств информационной безопасности, прошедших оценку соответствия законодательству в сфере обеспечения информационной защиты;
- назначение ответственного должностного лица (сотрудника), обеспечивающего безопасность базы персональных данных;
- предоставление права доступа к сведениям  журнала электронных сообщений базы данных исключительно сотрудникам, осуществляющим соответствующие обязанности, а также уполномоченным лицам

III степень защиты 

- наличие угроз II типа и обработка общедоступной информации сотрудников собственника и (или) оператора и (или) обработка общедоступной информации менее 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора;
- наличие угроз III типа и обработка специальных персональных данных сотрудников собственники и (или) оператора и (или) обработка специальных персональных данных менее 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора;
- наличие угроз III типа и обработка биометрической и (или) генетической информации
- обеспечение режима безопасности зданий, в которых находятся базы данных, предотвращение бесконтрольного доступа лиц, не имеющих право доступа к этому зданию и их нахождению в здании;
- обеспечение безопасности физических предметов, на которых хранятся персональные данные;
- утверждение собственником и (или) оператором круга лиц, имеющих доступ к базе данных;
- обеспечение защиты от угроз, при необходимости использование средств информационной безопасности, прошедших оценку соответствия законодательству в сфере обеспечения информационной защиты;
- назначение ответственного должностного лица (сотрудника), обеспечивающего безопасность базы персональных данных

IV степень защиты 

- наличие угроз III типа и обработка  общедоступной информации

 

- обеспечение режима безопасности зданий, в которых находятся базы данных, предотвращение бесконтрольного доступа лиц, не имеющих право доступа к этому зданию и их нахождению в здании;
- обеспечение безопасности физических предметов, на которых хранятся персональные данные;
- утверждение собственником и (или) оператором круга лиц, имеющих доступ к базе данных;
- обеспечение защиты от угроз, при необходимости использование средств информационной безопасности, прошедших оценку соответствия законодательству в сфере обеспечения информационной защиты

 

Также постановлением утверждено Положение о требовании к материальным носителям, хранящим биометрические и генетические данные, а также к технологиям их хранения вне баз персональных данных.

 

Документ опубликован в Национальной базе данных законодательства и вступает в силу 07.01.2023 г.

 

Собир Нурбердиев.