Правительственный законопроект: Закон о защите частной жизни (изменение № 13), 5784-2024
Справочный материал
Переведено: 2026-03-13 · 5 167 слов · Перевод выполнен ИИ
Фоновый материал
1
(обновлено - 13 июля 2024)
К: Члены комитета по конституции, законодательству и правосудию
От: Юридическая консультация комитета
Документ подготовки от юридической консультации для обсуждения № 17 (третья часть) законопроекта о защите частной жизни
Дополнительно о санкциях за нарушение правил безопасности информации
Применение правил:
База данных, управляемая частным лицом - санкции, предложенные правительством:
Согласно правилам 21(4) обязанности, применимые к владельцу контроля базы данных, управляемой частным лицом, являются обязанностями, указанными в правилах 2
[Подготовка документа определений базы данных], 6(а) [Физическая и экологическая безопасность], 9(а) [Идентификация и аутентификация], 11(а) [Документирование инцидентов безопасности],
12 [Мобильные устройства (включая ноутбук, мобильный телефон или
flash-диск)], 13 [Безопасное и актуальное управление системами базы данных], 14[Безопасность передачи данных] и 20 [Регулирование и сопоставимые стандарты]:
Базы данных, на которые распространяются
Уровень базовой безопасности
База данных на уровне базовой безопасности определяется в общем виде. Она не является базой данных, управляемой частным лицом, и не находится на уровне
средней или высокой безопасности.
На эти базы данных распространяются правила 1 до 3 ,4а), (б), (г), (д) и (- ,)е(5(а), (б) и ,)д(6 ,)а(7(а) и - ,)б(8 ,9(а) и - ,)г(11(а) и - ,)б(12 до 15 ,17 ,19 и 20:
Базы данных, на которые распространяется уровень средней безопасности
Базы данных, целью которых является сбор информации для передачи ее другим, или базы данных, находящиеся в собственности государственного органа или содержащие чувствительную информацию о 10,000 и более лицах или с числом пользователей доступа к этой информации, превышающим 10.
На эти базы данных распространяются правила 1
до 4 ,5(а), (б) и ,)д(6 до 15 ,16а), (б), (г) и (- ,)д(17 ,18 ,)а(19 и 20:
Базы данных, на которые распространяется уровень высокой безопасности
Базы данных, целью которых является сбор информации для передачи другим, или содержащие чувствительную информацию о 100,000 и более лицах или с числом пользователей доступа к этой информации, превышающим 100.
На эти базы данных распространяются правила 1 до 20.
Дополнительные правила, важные в отношении дополнения:
- Обязанности владельца базы данных распространяются на администратора базы данных и хранителя, а также на документирование выполнения действия
(а) Обязанности, применимые в этих правилах к владельцу базы данных, также будут применяться и к администратору базы данных, и, за исключением обязанностей, установленных в правилах 2 и 15(а), они также будут применяться на хранителя базы данных с необходимыми изменениями и в соответствии с ситуацией.
(б) Лицо, на которое возложена обязанность или ответственность по выполнению действия, не связанному с созданием документа согласно этим правилам, должно разумно документировать способ выполнения действия в соответствии с ситуацией; регистратор может дать указания относительно способа такого документирования.
"20. Полномочия регистратора
(1) Регистратор может, если посчитает это необходимым, освободить определенную базу данных от обязанностей по безопасности информации согласно этим правилам или наложить на определенную базу данных обязанности согласно этим правилам, полностью или частично, в зависимости от обстоятельств дела, в том числе с учетом размера базы данных, типа содержащейся информации, объема деятельности базы данных или числа владельцев доступа к ней.
(2) Освобождение от обязанностей или наложение обязанностей согласно пункту (1) будет осуществляться путем письменного уведомления владельца базы данных; в таком уведомлении регистратор определит дату начала освобождения или наложения, в зависимости от ситуации, и может установить разные сроки для различных правил."
2
...
"25. Отношение к другим законодательным актам
Эти правила применяются в дополнение к положениям о безопасности информации в других законодательных актах, кроме случаев, когда они противоречат этим правилам."
"Третье дополнение [еще не окончательно утверждено - требует повторного возврата в комитет]
(статья 23кг(д))
Финансовая санкция за нарушение правил защиты частной жизни (безопасность информации), 5777–2017 согласно закону
В этом дополнении –
"Внешний источник" – в значении, установленном в правилах 15(а);
"База данных, управляемая частным лицом", "базы данных, на которые распространяется уровень базовой безопасности", "базы данных, на которые распространяется уровень средней безопасности" и "базы данных, на которые распространяется уровень высокой безопасности" – в соответствии с их определениями в правилах
– база данных, владельцем контроля которой является частное лицо или юридическое лицо с единственным владельцем или двумя частными лицами, при этом не более
двух дополнительных владельцев разрешений могут использовать ее, и у них есть возможность ее использовать, за исключением баз данных, изложенных ниже:
"Частное лицо" – человек и его родственник, человек и его представитель, партнеры в партнерстве, компания и члены общества.
(1) База данных, основной целью которой является сбор информации с последующей передачей ее другому лицу в качестве услуги или за вознаграждение, включая услуги прямой рассылки, как определено в статье 17г;
(2) База данных, содержащая информацию о 10,000 и более лицах;
(3) База данных, информация в которой находится под обязательством профессиональной тайны в соответствии с законом или в соответствии с принципами профессиональной этики;
"База данных, на которую распространяется уровень базовой безопасности" – база данных, не являющаяся базой данных, управляемой частным лицом, содержащая все следующие элементы:
(1) Основная цель которой не является сбор информации для передачи ее другому лицу в качестве услуги или за вознаграждение, включая услуги прямой рассылки, как определено в статье 17г;
(2) Владелец контроля базы данных не является государственным органом, как определено в статье 23 закона;
(3) Если база данных содержит особенно чувствительную информацию, она также содержит один из следующих элементов:
(а) Число владельцев разрешений для базы данных у владельца контроля не превышает десяти;
(б) база данных включает информацию исключительно о работниках владельца контроля или его поставщиках; она используется для управления бизнесом владельца контроля [#владельца базы данных] и относится только к следующим типам: [формулировка адаптирована для особенно чувствительной информации, как будет установлено в законе]
(1) [Биометрическая] информация, как указано в абзаце #(4) определения "особо чувствительной информации", которая является только изображением лица;
(2) Медицинская информация, информация о криминальном прошлом, данные о связи и финансовая информация;
(3) Информация о частной жизни работника или его супруга, как таковая, полученная из регистрации, предоставленной работником;
"База данных, на которую распространяется уровень средней безопасности" – база данных, не являющаяся базой данных, управляемой частным лицом, и не имеющая уровня высокой безопасности и содержащая один из следующих элементов:
(1) Основная цель которой является сбор информации для передачи ее другому лицу в качестве услуги или за вознаграждение, включая услуги прямой рассылки, как определено в статье 17г;
(2) Владелец контроля базы данных является государственным органом, как определено в статье 23 закона;
в базе данных содержится особенно чувствительная информация, как определено в статье 3 — за исключением особенно чувствительной информации, исключенной в пункте (3)(б) определения "База данных, на которую распространяется уровень базовой безопасности;"
"База данных, на которую распространяется уровень высокой безопасности" – база данных, в которой существует один из следующих элементов:
(1) База данных, как указано в пункте (1(1) или (1(3) определения "База данных, на которую распространяется уровень средней безопасности", где число владельцев разрешений у владельца контроля превышает 100 или в ней содержится информация о 100,000 и более лицах;
(2) База данных, содержащая биометрические идентификаторы 100,000 и более лиц;
"Правила" – Правила о защите частной жизни (безопасность информации), 5777–2017.
1
КТ 5777, стр. 1022.
4
Нарушение
Столбец А Столбец Б
[Частное лицо]
Столбец Б Столбец Г
[Базовый]
Столбец Г Столбец Д
[Средний]
Столбец Д Столбец Е
[Высокий]
Столбец Ж
[Мега база] -
База данных, управляемая частным лицом
База данных, управляемая частным лицом или база данных, на которую распространяется уровень базовой безопасности База данных, на которую распространяется уровень средней безопасности [в общем без конфиденциальной информации] База данных, на которую распространяется уровень высокой безопасности База данных, на которую распространяется высокий уровень безопасности, содержащая информацию о 1,000,000 и более людях
(1) Конфликт интересов у назначенного сотрудника по безопасности информации:
Владелец контроля базы данных, которому назначен ответственный за безопасность информации согласно статье 17, в случае, если база данных не управляется частным лицом, —
является хранителем или администратором такой базы данных, что назначенный по безопасности в базе данных исполнял другую роль, которая может привести к возникновению конфликта интересов в исполнении его обязанностей как ответственного за безопасность базы данных, в нарушение предписаний правила 3(4) и предписаний, как они были применены в правиле 19(а) [=хранитель];
- 1,000 20,000 80,000
(2) Структура базы данных и ее системы: Владелец контроля базы данных, которая не управляется частным лицом, является хранителем базы данных или администратором базы данных, который не держал актуализированный документ о структуре базы данных или актуализированный перечень систем базы данных в соответствии с требованиями правила 5(а) или предписания, как они были применены в правиле 19(а), в зависимости от ситуации;
- 1,000 20,000 80,000 160,000
5
Нарушение
Столбец А Столбец Б
[Частное лицо]
Столбец Б Столбец Г
[Базовый]
Столбец Г Столбец Д
[Средний]
Столбец Д Столбец Е
[Высокий]
Столбец Ж
[Мега база] -
(3) Сохранение структуры базы данных; Передача деталей #структуры базы данных и перечня запасов # по мере необходимости: владелец базы данных, не управляемой частным лицом, хранитель базы данных или администратор базы данных, который не сохранил актуализированный документ о структуре базы данных или перечень запасов в соответствии с установленными разрешениями доступа согласно правилам 5(б) или предписаниям, как они были применены согласно правилу 19(а), в зависимости от ситуации;
- 1,000 20,000 80,000 160,000
(4) Защита систем: Владелец контроля базы данных, хранитель или администратор базы данных, который не обеспечил, что системы, указанные в правилах 5(а)(1) правил, будут храниться в защищенном месте, предотвращающем несанкционированный доступ, и в соответствии с характером деятельности базы данных и чувствительностью информации в ней, в соответствии с предписаниями правила 6(а) или предписаний, как они были применены в правиле 19(а), в зависимости от ситуации;
#Для обсуждения – требуется ли уведомление? Каков способ, соответствующий характеру деятельности?
1,000
]?[
1,000 20,000 80,000 160,000
(5) Контроль и документирование доступа к сайтам: Владелец контроля базы данных, относящейся к уровню средней или высокой безопасности, или хранитель базы данных, который не предпринял шагов для контроля и документирования в соответствии с предписаниями правила 6(б) и предписания, как они были применены в правиле 19(а), в зависимости от ситуации;
– 20,000 80,000
160,000
(6) Управление персоналом: Владелец контроля базы данных, которая не управляется частным лицом, хранитель базы данных или администратор базы данных, кто предоставил доступ к информации, находящейся в базе данных, или изменил объем выданного разрешения, не приняв при этом разумных мер, как указано в правиле 7(а), в нарушение предписаний данного правила или предписания, как они были применены в правиле 19(а), в зависимости от ситуации;
- 1,000 20,000 80,000
160,000
6
Нарушение
Столбец А Столбец Б
[Частное лицо]
Столбец Б Столбец Г
[Базовый]
Столбец Г Столбец Д
[Средний]
Столбец Д Столбец Е
[Высокий]
Столбец Ж
[Мега база] -
(7) Обучение персонала: Владелец контроля базы данных, которая не управляется частным лицом, хранитель базы данных или администратор базы данных, который предоставил владельцам разрешений доступ к информации в базе данных или значительно изменил их объем разрешений без проведения обучения или без передачи информации им, в нарушении предписаний правила 7(б) или предписания, как они были применены в правиле 19(а), в зависимости от ситуации;
- 1,000 20,000 80,000
160,000
(8) Периодическое обучение: Владелец контроля базы данных или хранитель базы данных, которая попадает под уровень средней или высокой безопасности, хранитель базы данных или администратор базы данных, который не осуществлял периодическую программу обучения для своих сотрудников согласно/# в соответствии с правилами 7(г) или предписаниями, как они были применены в правиле 19(а), в зависимости от ситуации;
– 20,000 80,000
160,000
(9) Документирование: Владелец контроля базы данных, которая не управляется частным лицом, или хранитель базы данных или администратор базы данных, который не сохранил [#в защищенном виде?] как минимум за год данные, собранные в рамках выполнения предписаний правил 6(б), 8 до 11, 14, 15(а)(4) и 16, которые применимы к нему, в соответствии с предписаниями правила 17(а) или предписания, как они были применены в правиле 19(а), в зависимости от ситуации;
- 1,000 20,000 80,000
160,000
(10) Резервное копирование данных для документирования... : Владелец контроля базы данных или хранитель базы данных, относящейся к уровню средней или высокой безопасности, хранитель базы данных или администратор базы данных, который не выполнил одно из следующих действий:
(а) создал резервные копии данных так, чтобы обеспечить возможность, в любое время, восстановить данные до их исходного состояния, как указано в правилах 17(а) в нарушении указаний правил 17(б) или предписания, как они были применены в правиле 19(а), в зависимости от ситуации;
- – 20,000
кроме
пункта (г), который не применяется к
базам данных уровней
средней безопасности
80,000 160,000
7
Нарушение
Столбец А Столбец Б
[Частное лицо]
Столбец Б Столбец Г
[Базовый]
Столбец Г Столбец Д
[Средний]
Столбец Д Столбец Е
[Высокий]
Столбец Ж
[Мега база] -
(б) установил в документе вопросы, указанные в предписаниях 18(а) правил,
в нарушении предписаний данного правила
или предписаний данного правила, как они были применены в правиле 19(а), в зависимости от ситуации;
#предлагаемая дополнительная формулировка (с целью предотвратить ситуацию, когда хранитель обязан получить разрешение владельца на порядок обеспечения безопасности восстановления данных):
(б) "установил в документе вопросы, касающиеся предписаний 18(а), включая процедуры обеспечения безопасности восстановления данных, указанные в подпункте (б), утвержденные высшим руководством органа, имеющего контроль над базой данных или владеющего ею, в зависимости от ситуации;"
к правилам или предписаниям, как они были применены в правиле 19(а), в зависимости от ситуации;
(г) "позаботился о том, чтобы была сохранена резервная копия данных и указанные предписания, указанные в правилах 18(а)(1) или указанные предписания, как указано в правилах 18(а)(2) таким образом, чтобы обеспечить целостность информации и возможность восстановления информации в нарушении предписаний, как указано в правилах 18(б) или предписаниями, как они были применены в правиле 19(а), в зависимости от ситуации."
(11) Процедура резервного копирования и восстановления данных о безопасности: Владелец контроля базы данных, которой применяется уровень средней или высокой безопасности, хранитель базы данных или администратор базы данных, который не установил в документе вопросы, указанные в правилах 18(а) или предписания, как они были применены в правиле 19(а), в зависимости от ситуации;
– 20,000 80,000 160,000
8
Нарушение
Столбец А Столбец Б
[Частное лицо]
Столбец Б Столбец Г
[Базовый]
Столбец Г Столбец Д
[Средний]
Столбец Д Столбец Е
[Высокий]
Столбец Ж
[Мега база] -
(12) Резервное копирование данных по безопасности: Владелец контроля базы данных, на которую распространяется уровень высокой безопасности, хранитель базы данных или администратор базы данных, который не позаботился о том, чтобы была сохранена резервная копия данных, указанных в правилах 18(а)(1), или о процедуре, как указано в правилах 18(а)(2), в соответствии с предписаниями правила 18(б) или предписания, как они были применены в соответствии с правилом 19(а), в зависимости от ситуации;
– 20,000 80,000
(13) Обязанность документирования общих нарушений: Владелец контроля базы данных, которая не управляется частным лицом, или хранитель базы данных, указанный выше, который не задокументировал, в соответствии с предписаниями, установленными в правиле 19(б), разумным образом, каким образом было выполнено действие, не связанное с созданием документа, по которому существует обязательство или ответственность, согласно правилам, в нарушение предписаний правила 19(б);
1,000 20,000 80,000 160,000
(14) Подготовка документа определений базы данных: Владелец контроля базы данных, который не определил в документе определений базы данных все вопросы, указанные в правилах 2(а),
в нарушение предписаний данного правила
#включая различные виды информации, содержащиеся в базе данных, согласно подпункту (3), принимая во внимание список типов информации, являющихся особенностью, согласно статье 3 закона;
2,000
с учетом
процедуры предупреждения
40,000 160,000
320,000
(15) Обновление документа определений базы данных: Владелец контроля базы данных или администратор базы данных, который не обновил документ определений базы данных,
#в нарушение предписаний правила 2(б) или предписания, примененного в соответствии с правилом 19(а), в зависимости от ситуации [статья 19(а) не применяется к вышеуказанному предписанию];
2,000
с учетом
процедуры предупреждения
40,000 160,000
320,000
9
Нарушение
Столбец А Столбец Б
[Частное лицо]
Столбец Б Столбец Г
[Базовый]
Столбец Г Столбец Д
[Средний]
Столбец Д Столбец Е
[Высокий]
Столбец Ж
[Мега база] -
(16) Проверка избыточной информации:
Владелец контроля базы данных или администратор базы данных, который не [проверял или] документировал проверку, рассматривает, есть ли информация, хранящаяся в его базе данных, избыточна для целей базы данных, в нарушение предписаний правила 2(г) или предписания, как они были применены согласно правилам 19(а), в зависимости от ситуации [19(а) не применяется];
в предписaniaх только "проверить", а не "документировать" - необходимо также ссылаться на документирование.
2,000 40,000 160,000
320,000
(17) Подготовка процедуры безопасности информации: Владелец контроля базы данных или администратора базы данных, который не определил в документе процедуры безопасности информации в соответствии с документом определений базы данных и правилами (далее - процедура безопасности), в нарушение предписаний правила 4(а) или предписания, как они были применены согласно правилам 19(а), в зависимости от ситуации;
правительство просит повысить суммы, как предложено
42,000 80,000 160,000
320,000
640,000
(18) Процедура безопасности - подготовка, сохранение и установка предписаний: Владелец контроля базы данных, который не является управляемой частным лицом базой данных, хранитель базы данных или администратор базы данных, который совершил одно или несколько следующих нарушений:
не выполнил одно из следующих:
(а) не сохранил процедуру безопасности таким образом, чтобы ее детали были переданы владельцам разрешений только в объеме, необходимом для выполнения их обязанностей, в нарушении предписаний правила 4(б) или предписания, как они были применены согласно правилам 19(а), в зависимости от ситуации;
2,000 40,000 160,000 320,000
Нарушение
Столбец A Столбец B
[Частное лицо]
Столбец B Столбец C
[Базовый]
Столбец C Столбец D
[Средний]
Столбец D Столбец E
[Высокий]
Столбец F
[Мега база] -
(б) Не включил в процедуру безопасности детали, указанные в правилах 4(г); или что касается базы данных, на которую распространяется уровень средней или высокой безопасности - не включил в нее ссылки на детали, указанные в правилах 4(д) или указания, как указано в правилах 9(б)(2);
(г) Не установил в процедуре безопасности предписания относительно обработки инцидентов безопасности или о сообщении собственнику контроля базы данных в соответствии с предписаниями правила 11(б) или предписания, как они были применены согласно правилам 19(а), в зависимости от ситуации;
(д) Не изложил в процедуре безопасности вопросы, указанные в пункте (2)(а) до (е) правил 15(а), в нарушение предписаний пункта (3) к тем же правилам;
(а) Не сохранил их в соответствии с предписаниями правила 4(б) или предписания, как они были применены согласно правилам 19(а), в зависимости от ситуации;
2,000 40,000 160,000
(б) Не включил в них детали, указанные в правилах 4(г);
2,000 40,000 160,000
(в) Что касается базы данных, на которую распространяется уровень средней или высокой безопасности - не включил в них ссылки на детали, указанные в правилах 4(д) или указания, как они были применены согласно правилам 9(б)(2) ;
– 40,000 160,000
(г) Не установил предписания в отношении обработки инцидентов безопасности или о сообщении собственнику контроля базы данных в соответствии с предписаниями правила 11(б) или предписания, как они были применены согласно правилам 19(а), в зависимости от ситуации;
2,000 40,000 160,000
10
Нарушение
Столбец А Столбец Б
[Частное лицо]
Столбец Б Столбец Г
[Базовый]
Столбец Г Столбец Д
[Средний]
Столбец Д Столбец Е
[Высокий]
Столбец Ж
[Мега база] -
(е) Также не изложил вопросы, указанные в пункте (2)(а) до (е) правил 15(а), в нарушение предписаний пункта (3) к тем же правилам;
2,000 40,000 160,000
(19) Оценка рисков: Владелец контроля базы данных, на которую распространяется уровень высокой безопасности, хранитель базы данных или администратор базы данных, который не позаботился о проведении оценки в отношении выявления рисков безопасности информации, как минимум один раз в восемнадцать месяцев (далее - оценка рисков), или не обсуждал результаты оценки рисков, которые были переданы ему, и не оценивал необходимость обновления документа определения базы данных или процедуры безопасности в свете результатов, или не устранял недостатки, выявленные в ходе оценки, в нарушении предписаний правил 5(г) или предписания, как они были применены в соответствии с правилами 19(а), в зависимости от ситуации;
правительство просит повысить суммы, как предложено
- – – 160,000
320,000
11
Нарушение
Столбец А Столбец Б
[Частное лицо]
Столбец Б Столбец Г
[Базовый]
Столбец Г Столбец Д
[Средний]
Столбец Д Столбец Е
[Высокий]
Столбец Ж
[Мега база] -
(20) Проверка проникновения: Владелец контроля базы данных, на которую распространяется уровень высокой безопасности, хранитель базы данных или администратор базы данных, который не позаботился о проведении проверок на проникновение в системы базы данных, как минимум один раз в восемнадцать месяцев, или не обсуждал результаты проверок на проникновение или не устранил недостатки, выявленные в ходе проведения проверок в нарушении предписаний правил 5(д) или предписания, как они были применены согласно правилам 19(а), в зависимости от ситуации;
правительство просит повысить суммы, как предложено
- – – 160,000
320,000
(21) Определение и управление правами доступа: Владелец контроля базы данных, которая не управляется частным лицом, хранитель базы данных или администратор базы данных, который не определил права доступа владельцев разрешений в базе данных и системах базы данных, в соответствии с предписаниями правила 8(а) или предписания, как они были применены согласно правилам 19(а), в зависимости от ситуации, или не ведет актуализированный реестр в соответствии с предписаниями 8(б) правил,
- 2,000 40,000 160,000
320,000
12
Нарушение
Столбец А Столбец Б
[Частное лицо]
Столбец Б Столбец Г
[Базовый]
Столбец Г Столбец Д
[Средний]
Столбец Д Столбец Е
[Высокий]
Столбец Ж
[Мега база] -
или предписания, как они были применены согласно правилам 19(а), в зависимости от ситуации (далее - действительный список разрешений;);
(22) Применение процедуры прав доступа: Владелец контроля базы данных, хранитель базы данных или администратор базы данных, которые не предприняли разумных мер в зависимости от ситуации и в соответствии с характером базы данных и ее типом, чтобы убедиться, что доступ к базе данных и системам базы данных осуществляет только владелец разрешения, имеющий на это право, согласно действительному списку разрешений, в нарушении предписаний правил 9(а) или предписания, как они были применены согласно правилам 19(а), в зависимости от ситуации, или не позаботился о прекращении прав обладателя разрешений, который закончил свою работу, в нарушении предписаний правила 9(г) или предписания, как они были применены согласно правилам 19(а), в зависимости от ситуации;
]?
2,000
процедура
уведомления
2,000
процедура
уведомления
40,000
процедура
уведомления
160,000
процедура
уведомления
320,000
процедура
уведомления
(22а) Применение процедуры прав доступа для владельца разрешения, который закончил свою работу: Владелец контроля базы данных, хранитель базы данных, который не позаботился о прекращении прав владельца разрешения, который закончил свою работу, в нарушении предписаний правило 9(г) правил или предписания, как они были применены согласно правилам 19(а), в зависимости от ситуации;
]?
2,000
процедура
уведомления
2,000
процедура
уведомления
40,000
процедура
уведомления
160,000
процедура
уведомления
320,000
процедура
уведомления
(23) Идентификация на основе физических средств: Владелец контроля базы данных, на которую распространяется уровень средней или высокой безопасности, хранитель базы данных или администратор базы данных, который не позаботился о том, чтобы идентификация в базе данных была проведена, насколько возможно, на основе физических средств, находящихся под его исключительным контролем, в нарушении предписаний правил 9(б)(1) или предписания, как они были применены согласно правилам 19(а), в зависимости от ситуации;
– 40,000 160,000
(24) Механизм контроля и документирования доступа: Владелец контроля базы данных, на которую распространяется уровень средней или высокой безопасности, хранитель базы данных или администратор базы данных, который не выполнил одно из следующих действий:
- – 40,000 160,000
320,000
13
Нарушение
Столбец А Столбец Б
[Частное лицо]
Столбец Б Столбец Г
[Базовый]
Столбец Г Столбец Д
[Средний]
Столбец Д Столбец Е
[Высокий]
Столбец Ж
[Мега база] -
(а)
позаботился о том, чтобы механизм контроля был установлен в соответствии с предписаниями правил 10(а) и (б) (далее - механизм контроля) или предписания, как они были применены согласно правилам 19(а), в зависимости от ситуации;
(б) установил регулярную процедуру проверки данных документирования механизма контроля или не составил отчет о выявленных проблемах и мерах, которые были предприняты против них, в нарушение предписаний правил 10(г) к предписаниям, как они были применены согласно правилам 19(а), в зависимости от ситуации;
(в) не обеспечил сохранение данных документирования механизма контроля минимум на 24 месяца, в нарушение предписаний правил 10(д) или предписания, как они были применены в соответствии с правилами 19(а), в зависимости от ситуации;
(г) не проинформировал владельцев разрешений в базе данных о наличии механизма контроля, в нарушении предписаний правил 10(д) или предписания, как они были применены согласно правилам 19(а), в зависимости от ситуации;
(25) Регламент проверки механизма контроля и документирования доступа: Владелец контроля базы данных, на которую распространяется уровень средней или высокой безопасности, хранитель базы данных или администратор базы данных, который не установил регулярную процедуру проверки данных документирования механизма контроля или не составил отчет о выявленных проблемах и мерах, которые были предприняты против них, в нарушение предписаний правил 10(г) к предписаниям, как они были применены согласно правилам 19(а), в зависимости от ситуации;
– 40,000 160,000
(26) Хранение данных документирования механизма контроля: Владелец контроля базы данных, на которую распространяется уровень средней или высокой безопасности, хранитель базы данных или администратор базы данных, который не позаботился о том, чтобы данные документирования механизма контроля сохранялись в течение минимум 24 месяцев, в нарушении предписаний правил 10(д) или предписания, как они были применены в соответствии с правилами 19(а), в зависимости от ситуации;
– 40,000
160,000
14
Нарушение
Столбец А Столбец Б
[Частное лицо]
Столбец Б Столбец Г
[Базовый]
Столбец Г Столбец Д
[Средний]
Столбец Д Столбец Е
[Высокий]
Столбец Ж
[Мега база] -
(27) Уведомление о механизме контроля: Владелец контроля базы данных, на которую распространяется уровень средней или высокой безопасности, хранитель базы данных или администратор базы данных, который не уведомил владельцев разрешений в базе данных о наличии механизма контроля, в нарушении предписаний правил 10(д) или предписания, как они были применены согласно правилам 19(а), в зависимости от ситуации;
– 40,000
160,000
(28) Документирование инцидента безопасности информации: Владелец контроля базы данных, хранитель базы данных или администратор базы данных, который не обеспечил документирование каждого случая, в котором был выявлен инцидент, вызывающий опасения по поводу нарушения целостности информации, несанкционированного доступа к ней или превышения полномочий (далее - инцидент безопасности информации) в соответствии с предписаниями правила 11(а) или предписания, как они были применены в правилах 19(а), в зависимости от ситуации; [для дополнительной проверки]
2,000
]?[
2,000 40,000 160,000
320,000
(29) Периодическое обсуждение инцидентов информационной безопасности:
Владелец контроля базы данных, на которую распространяется уровень средней или высокой безопасности, или хранитель базы данных, который не проводил [проводил обсуждение и] не документировал наличие обсуждения инцидентов информационной безопасности или не оценил необходимость обновления процедуры безопасности, в нарушении предписаний правил 11(г) и правил 19(б) или предписания, как они были применены в правилах 19(а), в зависимости от ситуации;
- – 40,000 160,000
320,000
(30) Уведомление органа о серьезном инциденте безопасности: Владелец контроля базы данных, на которую распространяется уровень средней или высокой безопасности, хранитель базы данных или администратор базы данных, который не уведомил назначенное лицо о серьезном инциденте безопасности, не уведомил его о мерах, предпринятых после инцидента в соответствии с предписаниями правил 11(д)(1) или предписания, как они были применены в правилах 19(а), в зависимости от ситуации;
правительство просит увеличить суммы, как предложено
- – 40,000 80,000 320,000
640,000
(31) Подключение мобильных устройств: Владелец контроля базы данных, хранитель базы данных или администратор базы данных, который не ограничил или не предотвратил возможность подключения мобильных устройств к системам базы данных или позволил использование информации из базы данных на мобильном устройстве или ее копирование на мобильное устройство без принятия защитных мер в нарушении предписаний правил 12 или предписания, как они были применены согласно правилам 19(а), в зависимости от ситуации;
правительство просит обсудить удаление
2,000
]?[
2,000
40,000 160,000
320,000
(32) Разделение систем базы данных (изоляция): Владелец контроля базы данных, хранитель базы данных или администратор базы данных, который не отделил системы базы данных, из которых можно получить доступ к информации, от других компьютерных систем, которые он использует, в нарушении предписаний правил 13(б) или предписания, как они были применены согласно правилам 19(а), в зависимости от ситуации;
2,000 2,000 40,000
20,000
в соответствии с процедурой уведомления
160,000
80,000
в соответствии с процедурой уведомления
160,000
в соответствии с процедурой уведомления
(33) Обновление систем базы данных: Владелец контроля базы данных, хранитель базы данных или администратор базы данных, который не позаботился о том, чтобы проводились регулярные обновления систем базы данных, включая программное обеспечение, требуемое для их функционирования, или чтобы не использовались системы, для которых производитель не поддерживает аспекты безопасности без предоставления соответствующей ответной меры, в нарушении предписаний правил 13(г) или предписания, как они были применены в соответствии с правилами 19(а), в зависимости от ситуации;
правительство просит обсудить удаление
2,000
]?[
2,000 40,000 160,000
320,000
15
Столбец A Столбец B
[Частное лицо]
Столбец B Столбец C
[Базовый]
Столбец C Столбец D
[Средний]
Столбец D Столбец E
[Высокий]
Столбец F
[Мега база] -
(34) Защита подключения к сети: Владелец контроля базы данных, хранитель базы данных или администратор базы данных, который подключил системы базы данных к интернету или другой публичной сети без установки соответствующих защитных средств, в нарушении предписаний правил 14(а) или предписания, как они были применены в соответствии с правилами 19(а), в зависимости от ситуации;
2,000 2,000 40,000 160,000
320,000
(35) Шифрование информации, передаваемой по сети: Владелец контроля базы данных, хранитель базы данных или администратор базы данных, который не позаботился о том, чтобы передача информации из базы данных, по публичной сети или по интернету, осуществлялась с применением общепринятых методов шифрования, в нарушении предписаний правил 14(б) или предписания, как они были применены в соответствии с правилами 19(а), в зависимости от ситуации;
2,000 40,000 160,000
(36) Средства идентификации при удаленном доступе: Владелец контроля базы данных, к которой можно получить доступ удаленно, через интернет или другую публичную сеть, хранитель базы данных или администратор базы данных, который не использовал средства для идентификации вызывающего и аутентификации его разрешения на осуществление действий в удаленном доступе и их объем, а для базы данных, на которую распространяется средний или высокий уровень безопасности, не использовал физические средства, находящиеся под исключительным контролем владельца разрешения, в нарушении предписаний правил 14(г) или предписания, как они были применены в соответствии с правилами 19(а), в зависимости от ситуации;
2,000 40,000 160,000
16
Столбец A Столбец B
[Частное лицо]
Столбец B Столбец C
[Базовый]
Столбец C Столбец D
[Средний]
Столбец D Столбец E
[Высокий]
Столбец F
[Мега база] -
(37) Периодический аудит: Владелец контроля базы данных, на которую распространяется уровень средней или высокой безопасности, хранитель базы данных или администратор базы данных, который не позаботился о проведении внутреннего или внешнего аудита в соответствии с предписаниями правил 16(а) или предписания, как они были применены в соответствии с правилами 19(а), в зависимости от ситуации, или не обсуждал отчеты аудита, которые были переданы ему, или не оценивал необходимость обновления документа, установившего основы базы данных или процедуры безопасности в соответствии с их результатами, в нарушении предписаний правила 16(г) или предписания, как они были применены в соответствии с правилами 19(а), в зависимости от ситуации;
Согласуется ли с решением комитета? Потребовалось ли особое документирование?
- – 40,000 80,000 160,000
320,000
640,000
(38) Контроль и надзор за внешним источником (аутсорсинг): Владелец контроля базы данных, который не управляется частным лицом, или администратор базы данных, который не предпринял никаких контролирующих и надзорных мер по соблюдению условий, изложенных в соглашении с ним, включая получение регулярных обновлений и, кроме того, отзыв об уничтожении информации, если в соглашении содержится обязательство уничтожить информацию, периодические проверки и устранение неполадок, и все это в необходимом объеме с учетом рисков, указанных в пункте (1) правил 15(а), в нарушении предписаний пункта (4) той же статьи:
(а) Обязанность внешнего источника вернуть информацию владельцу по окончании контракта, и если в соглашении было установлено обязательство
уничтожить информацию - обязанность внешнего источника уничтожить информацию, и обязанности внешнего источника уведомить владельца контроля базы данных или администратора, в зависимости от ситуации, о возврате или уничтожении, как это указано в соглашении в соответствии с правилами 15(а)(2)(г) правил;
4,000 80,000 320,000
640,000
17
Столбец A Столбец B
[Частное лицо]
Столбец B Столбец C
[Базовый]
Столбец C Столбец D
[Средний]
Столбец D Столбец E
[Высокий]
Столбец F
[Мега база] -
(б) Обязанность внешнего источника получить подписи владельцев разрешений на обязательство, как указано в правилах 15(а)(2)(е) правил, как это было установлено в соглашении в соответствии с теми же правилами;
(г) Обязанность внешнего источника, которому по соглашению с ним разрешается предоставлять услуги с помощью третьего лица, включить в соглашение с третьим лицом темы, которые должны быть указаны в соглашении между ним и владельцем контроля базы данных или администратором базы данных, в зависимости от ситуации, в соответствии с правилами 15(а)(2)(ж) правил;
(д) Обязанность внешнего источника уведомить владельца контроля базы данных о том, как выполняются его обязанности согласно правилам и соглашению и уведомить о случае инцидента безопасности, в соответствии с правилами 15(а)(2)(з) правил.
Данный перевод выполнен ИИ на основе официального текста Кнессета и может содержать неточности. Подробнее о методологии.
Другие документы этого законопроекта
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Официальная публикация
- Неофициальная версия закона
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Текст для 2-3 чтения