Группа компаний «АВИ-Центр»

Приказ Роскомнадзора № 187 от 14.11.2022
Информационная безопасность, Новости отраслей и продуктов

Новости

Приказ Роскомнадзора № 187 от 14.11.2022

Новый ФН (2)
Сметное дело
28 августа 2023
Коллеги! Спешим поделиться важными новостями: c 26.08.2023г. на сайте ФГИС ЦС появились сметные цены строительных ресурсов в текущем уровне цен и индексы изменения сметной стоимости строительства по группам однородных строительных ресурсов для Республики Крым и г. Севастополя, а это значит, что для нас с Вами с этого момента наступил ресурсно-индексный метод определения стоимости строительства!!!
Novyj Fn
Сметное дело
14 августа 2023
Новый ФН
Внедрение CRM
04 августа 2023
Наша компания получила важную компетенцию — Крупные корпоративные внедрения Битрикс24!
Novyj Fn
Сметное дело
02 августа 2023
Новый ФН (3)
Проектирование и дизайн
26 июня 2023
Учебный центр ООО «ТУ БИ СОФТ» (лицензия Минобразования Крыма № 1561 от 20.09.2020г) впервые в Республике Крым запускает курсы повышения квалификации посвященные Технологиям Информационного Моделирования (ТИМ).
Новый ФН (1)
Внедрение CRM
20 июня 2023
Ваш сайт может находиться в зоне риска прямо сейчас. Неважно, кто разработчик ПО вашего веб-проекта — российский или иностранный. Популярный или малоизвестный бренд. Системный или самописный код. Для хакеров это не имеет значения. CMS от 1С-Битрикс упоминается в части инцидентов соответственно, так как доля продукта на рынке коммерческих CMS — более 50%.
Telegram Ib 7
29 декабря 2022

Первое, что необходимо учесть, это то, что приказ вступает в силу с 01.03.2023. А это значит, что у Вас есть время изучить матчасть и внести корректировки в процессы и внутренние организационно-распорядительные документы.

Так что же, в соответствии с Приказом необходимо делать оператору в случае неправомерной
или случайно передачи (предоставления, распространения, доступа) персональных данных
(далее – ПДн), повлекшем нарушение прав субъектов ПДн. Предусмотрено направление в РКН двух типов уведомлений: первичного и дополнительного.

Направлять их можно как на бумажном носителе, так и в форме электронного документа. Уведомление на бумажном носителе направляется по адресу РКН. Электронный вид направления уведомления подразумевает заполнение специализированной формы на Портале персональных данных РКН после прохождения идентификации и аутентификации посредством ЕСИА
и подписывается электронной подписью. Подтверждением факта направления уведомления является информационное письмо, которое направляется оператору по адресу электронной почты, указанному в первичном уведомлении и содержащее номер и ключ уведомления.
При направлении дополнительного уведомления в электронной форме через Портал оператор должен указать этот номер и ключ (пп. 5-9 Порядка).

А теперь более подробно о том, какие сведения должны содержаться в уведомлениях.

Первичное уведомление:

Сведения:

о произошедшем инциденте (дата и время выявления, характеристики ПДн, содержание скомпрометированной базы данных, количество содержащихся
в ней записей; дополнительно можно представить информацию об актуальности скомпрометированной базы данных, периоде, в течение которого собраны ПДн;

о предполагаемых причинах неправомерной или случайной передачи ПДн;

– о предполагаемом вреде, нанесенном правам субъектов ПДн;

– о принятых мерах по устранению последствий инцидента;

– о лице, уполномоченном оператором на взаимодействие с РКН по вопросам, связанным
с выявленным инцидентом.

Данные оператора, направившего уведомление:

ФИО гражданина, индивидуального предпринимателя/ полное и сокращенное наименование юридического лица;

– ИНН юридического или физического лица, ИП;

– адрес регистрации физлица или ИП/ юридического лица;

– адрес электронной почты.

  1. Иные сведения и материалы, находящиеся в распоряжении оператора,
    в том числе об источнике получения информации об инциденте, а также подтверждающие принятие мер по устранению последствий инцидента (при наличии).
  2. Если на момент направления первичного уведомления оператор располагает сведениями
    о результатах внутреннего расследования, он вправе указать
    их в первичном уведомлении.

Дополнительное уведомление должно содержать сведения:

  • о результатах внутреннего расследования выявленного инцидента – причины, повлекшие нарушение прав субъектов ПДн; вред, нанесенный правам субъектов ПДн; дополнительно принятые меры по устранению последствий инцидента (при наличии); решение оператора
    о проведении внутреннего расследования инцидента (с реквизитами);
  • о лицах, действия которых стали причиной выявленного инцидента
    (при наличии) – ФИО должностного лица оператора с указанием должности (если действия сотрудника оператора стали причиной инцидента); ФИО физического лица или ИП/полное наименование юрлица, действия которых стали причиной инцидента; IP-адрес компьютера или устройства, предполагаемое местонахождение лиц или устройств (если причиной инцидента стали действия посторонних лиц); иные сведения о выявленном инциденте.

В случае направления оператором неполных или некорректных сведений РКН не позднее 3-х рабочих дней со дня получения уведомления направляет запрос о предоставлении недостающих сведений и/или пояснений относительно некорректности представленных сведений.

Недостающие сведения/пояснение следует направить в РКН в течение 3-х рабочих дней со дня получения запроса.

NB. Напоминаем, что в соответствии с ч. 3.1. Закона 3 152-ФЗ, оператор обязан уведомить РКН:

– об инциденте (первичное уведомление) в течение 24-х часов с момента выявления инцидента оператором;

– о результатах внутреннего расследования – в течение 72-х часов.

В случае, если по истечении 72 часов дополнительное уведомление в РКН не поступило, оператору направляется требование представить сведения о результатах внутреннего расследования. Ответ на это требование необходимо направить в течение 1 (одного) рабочего дня со дня получения.

Если РКН самостоятельно выявлен факт неправомерного распространения скомпрометированной базы данных, содержание которой указывает на ее принадлежность конкретному оператору, такому оператору направляется требование о представлении уведомления об инциденте. Такое уведомления направляется в предусмотренные ч. 3.1. ст. 21 Закона № 152-ФЗ сроки. В случае не подтверждения оператором факта неправомерной или случайной передачи ПДн, к уведомлению прикладывается акт о проведенном внутреннем расследовании с обоснованием.

В случае, если выявленная РКН скомпрометированная база данных полностью совпадает со скомпрометированной ранее базой данных, оператором направляется уведомление, предусмотренное ч. 3.1. ст. 21 Закона № 152-ФЗ. Также в этом случае необходимо указать дату и номер направленного ранее уведомления (по старому инциденту).