Weitere ähnliche Inhalte
Ähnlich wie Последние изменения в законодательстве по персональным данным
Ähnlich wie Последние изменения в законодательстве по персональным данным (20)
Mehr von Aleksey Lukatskiy
Mehr von Aleksey Lukatskiy (20)
Последние изменения в законодательстве по персональным данным
- 1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Последние изменения
законодательства о
персональных данных
Алексей Лукацкий
Cisco Russia & CIS
8 October 2015
- 2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Изменения по направлению ПДн
Что было?
• Приказ ФСТЭК №21 по защите
ПДн в ИСПДн
• Приказ об отмене «приказа трех»
по классификации ИСПДн
• Приказ и методичка РКН по
обезличиванию
• Закон 242-ФЗ о запрете хранения
ПДн россиян за границей
• Письмо Банка России 42-Т
• Приказ ФСБ №378 по
использованию СКЗИ для защиты
ПДн
• ПП-911 по отмене обязательного
обезличивания
Что могло быть?
• Работа Межведомственного
экспертного совета при
Минкомсвязи по
совершенствованию
законодательства в области
регулирования отношений,
связанных с обработкой ПДн
• Отраслевые модели угроз
• Ратификация дополнительного
протокола Евроконвенции (181)
• Законопроект по ответственности
за неуведомление о утечке ПДн
• Законопроект по запрету отказа от
предоставления услуг при отказе
от дачи согласия на обработку
ПДн
• Поправки в ФЗ-242
Что есть и будет?
• Законопроект Совета Федерации
по внесению изменений в ФЗ-152
• Законопроект по внесению
изменений в КоАП
• Постановление Правительства по
надзору в сфере ПДн
• Выход РКН из под действия 294-
ФЗ
• Изменения в приказ №21
• Совет Европы примет новый
вариант ЕвроКонвенции
• Методичка ФСТЭК по
моделированию угроз
• Методичка ФСБ по
моделированию угроз
• Методичка РКН о порядке
организации и осуществления
контроля за обработкой ПДн
• Постатейный комментарий РКН
- 3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Регуляторы хотят расширить понятие ПДн
§ Советник Президента г-н Щеголев
(бывший министра связи и массовых
коммуникаций) 20 апреля предложил
расширить толкование термина
«персональные данные» и ужесточить
требования к Интернет-сервисам
§ Руководитель Роскомнадзора
Александр Жаров назвал предложения
Щеголева глубокими и
содержательными, заявив, что его
ведомство будет над ними работать
вместе с Советом Федерации и
Госдумой
- 4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Что такое ПДн?
Из разъяснений РКН
§ Имя, фамилия и должность - ПДн
Мнение РКН
§ Имя и фамилия, а также идентификационный номер - ПДн
Мнение РКН
§ Имя, фамилия и email – не ПДн (без отчества)
Мнение РКН
§ Только фамилия, только email – не ПДн
Мнение РКН
§ Фамилия и имя, записанные латиницей – ПДн
Мнение РКН
- 5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Разъяснения РКН по поводу ФЗ-152
§ Постатейный комментарий к ФЗ-152,
подготовленный сотрудниками РКН
176 страниц
Продается за деньги – 265/100 рублей (бумажный/
электронный вариант)
§ Теме ФЗ-242 внимания почти не уделено
§ Некоторые разъяснения противоречат
предыдущим разъяснениям РКН
Данным при прежнем руководстве
§ РКН не имеет права официально
комментировать законодательство
Но стоит обратить внимание на позицию регулятора,
используемую при проверках
- 6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Разъяснения РКН по поводу ФЗ-242
§ Портал, созданный РАЭК, для ответ на
вопросы, касающиеся ФЗ-242
http://pd-info.ru
Все ответы согласованы с РКН
§ Некоторые разъяснения вызывают
вопросы
Например, деление операторов ПДн на первичных и
иных
§ Некоторые разъяснения противоречат
друг другу
Например, в одном гостиничным сервисам не
требуется перенос в России, а в другом - требуется
- 7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
А еще у нас есть третьи разъяснения J
http://www.minsvyaz.ru/ru/personaldata/
- 8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Правонарушение
Нарушаемая статья
законодательства
Наказание для
должностных лиц
Наказание для
юридических лиц
Нарушение требований к согласию Ст.9 ФЗ-152 3-8 тысяч рублей 15-50 тысяч рублей
Обработка ПДн без согласия Ст.6 ФЗ-152 5-15 тысяч рублей 30-50 тысяч рублей
Незаконная обработка
спецкатегорий ПДн
Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей
Неопубликование политики в
области ПДн
Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей
Отказ в предоставлении
информации субъекту
Ст.14, ст.20 ФЗ-152 4-6 тысяч рублей 20-40 тысяч рублей
Отказ в уничтожении или
блокировании ПДн
Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей
Нарушение правил хранения
материальных носителей ПДн
ПП-687 4-10 тысяч рублей 25-50 тысяч рублей
Нарушение правил обезличивания
(для госов)
ПП-211 и приказ РКН
№996
3-6 тысяч рублей Не предусмотрено
Законопроект по штрафам завис на первом чтении
§ Комитет по конституционному законодательству против (не хочет давать
РКН дополнительные полномочия)
- 9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Меры по защите ПДн: в 2016-м ждем новую редакцию
Защитная мера ПДн ГИС АСУ ТП
Управление инцидентами
+ +
Управление конфигурацией информационной системы и системы защиты КИ
+ +
Безопасная разработка прикладного и специального программного обеспечения разработчиком
+
Управление обновлениями программного обеспечения
+
Планирование мероприятий по обеспечению защиты информации
+
Обеспечение действий в нештатных (непредвиденных) ситуациях
+
Информирование и обучение пользователей
+
Анализ угроз безопасности информации и рисков от их реализации
+
• Планы
– Унификация перечня защитных мер для всех трех приказов
– Выход на 2-хлетний цикл обновления приказов
§ В 2016-м году будет готовиться вторая редакция 21-го приказа ФСТЭК
§ Предполагается унифицировать набор защитных мер во всех 3-х
приказах ФСТЭК по защите ГИС/МИС, ИСПДн и АСУ ТП
- 10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Проект методики моделирования угроз ФСТЭК
§ Методика определения угроз безопасности
информации в информационных системах
§ Распространяется на
ГИС / МИС
ИСПДн (рекомендательный характер)
§ Не распространяется на угрозы СКЗИ и ПЭМИН
§ Отменяет «методику определения актуальных
угроз…» 2008-го года
§ Применяется совместно с банком данных угроз
ФСТЭК
§ Будет принята осенью 2015-го года
- 11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Методика моделирования угроз ФСБ
§ Методика определения актуальных угроз
безопасности ПДн в ИСПДн
§ Предназначена только для органов власти,
пишущих отраслевые модели угроз для
подведомственных учреждений
§ Ориентирована только на компетенцию ФСБ –
СКЗИ
§ СКЗИ обязательны при передаче ПДн по
каналам связи
§ Помните, что это всего лишь методические
рекомендации
- 12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Проект модели угроз ПДн Банка России
§ Тип - Указание Банка России
Обязательна для всех банков, действующих на территории РФ
§ Согласована с ФСТЭК и ФСБ
§ Вторая редакция
Первая – 2013 год
Модель угроз ПДн из РС 2.4 отменена в 2014-м году
§ 10 угроз безопасности ПДн
47 (21) - в первой редакции
88 – в РС 2.4
Угрозы НДВ (1-го и 2-го типа) оцениваются самим оператором
ПДн
Угрозы биометрическим и общедоступным ПДн не
рассматриваются
- 13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Законопроект РГ Совета Федерации: сдули пыль и…
§ При этом депутат Левин (Глава комитета ГД по информационной политике)
и Администрация Президента против данного законопроекта
- 14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Вы не забыли про Конвенцию?
§ Ратификация дополнительного протокола к конвенции о защите частных лиц
в отношении автоматизированной обработки данных личного характера, о
наблюдательных органах и трансграничной передаче информации (ETS N
181)
§ До конца 2015-го года (возможно) будет принята новая редакция
Евроконвенции
§ ФЗ-152 придется гармонизировать с Евроконвенцией
Очередной виток изменений (серьезных) в законодательстве
Если Россия не выйдет из Совета Европа
- 15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Сюрприз от Управделами Президента
§ Абсолютно непонятная НИР от Управделами Президента РФ по разработке
предложений по повышению защищенности персональных данных
Размещена 22-го июня
- 16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
На что еще обратить внимание?
§ Постановление Пленума Верховного Суда РФ от 23 июня 2015 года № 25 «О
применении судами некоторых положений раздела I части первой
Гражданского кодекса Российской Федерации»
Разъяснения по ряду вопросов, в том числе и о том, как правомерно можно использовать
изображения гражданина, размещенные в сети Интернет, и когда для такого использования нужно и
не нужно согласие изображенного лица
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=181602
- 17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
Что еще будет в самом скором времени?
§ Законопроект «О внесении изменений в ФЗ «Об информации,
информационных технологиях и о защите информации» и отдельные
законодательные акты РФ» (закон о «праве на забвение»)
§ Законопроект «О внесении изменений в КоАП (в части установления
административной ответственности операторов поисковых систем)» (о
наказании нарушителей права на забвение)
- 18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
18© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Надо ли применять СКЗИ для
защиты ПДн?
- 19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
Применение СКЗИ регулируется приказом №378 ФСБ
§ Настоящий документ устанавливает состав и
содержание необходимых для выполнения
установленных Правительством Российской
Федерации требований к защите ПДн для
каждого из уровней защищенности
организационных и технических мер по
обеспечению безопасности ПДн при их
обработке в ИСПДн
§ Принят 10 июля 2014 года, вступил в силу с 28
сентября 2014 года
§ СКЗИ применяются там, где такие требования
вытекают из модели угроз (нарушителя) или
технического задания
- 20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
Вы можете использовать сертифицированные СКЗИ
§ В России разработано и предлагается
немалое количество
сертифицированных средств
криптографической защиты
информации (СКЗИ)
§ Использование таких решений
поможет поднять экономику России
Стоимость таких устройств в десятки раз
больше стоимость барреля нефти!
Модуль Cisco RVPN
(сертификат ФСБ по классам КС1/КС2/КС3)
На модуле может работать ПО С-Терра СиЭсПи,
Инфотекс, Фактор-ТС
- 21. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
А когда сертифицированных СКЗИ нет?
§ Работа иностранных представительств
§ Коммерческое IP-телевидение
§ IP-видеонаблюдение
§ Магистрали операторов связи
§ Протоколы, отличные от Ethernet (iSCSI, FC)
§ Технология Wi-Fi и стандарт 802.11i
§ Стандарты мобильной связи 2.5G, 3G, LTE, WiMAX
§ Чиповые карты международных платежных систем
§ АСУ ТП
§ Доступ из-за границы к Интернет-сайтам в РФ
- 22. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22
Конфиденциальность и шифрование
Законы
Конфиденциальность
Шифрование
НПА регуляторов
=≠
Нормативно-правовые
акты имеют вполне
определенную
иерархию и «читать»
их надо не в любом
порядке, а сверху вниз,
от закона к приказам
федеральных органов
исполнительной
власти!
- 23. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23
ФЗ-152 требует не шифрования. И не только он
§ Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4
§ Согласно ст.7 под конфиденциальностью ПДн понимается обязанность
операторами и иными лицами, получивших доступ к персональным
данным:
Не раскрывать ПДн третьим лицам
Не распространять ПДн без согласия субъекта персональных данных
Если иное не предусмотрено федеральным законом
§ Оператор при обработке персональных данных обязан принимать
необходимые правовые, организационные и технические меры или
обеспечивать их принятие для защиты персональных данных от
неправомерного или случайного доступа к ним…
Ст.19
- 24. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24
Как обеспечить конфиденциальность ПДн?
§ Получить согласие субъекта на передачу ПДн в открытом виде
§ Сделать ПДн общедоступными
§ Обеспечить контролируемую зону
§ Использовать оптические каналы связи
§ Использовать соответствующие механизмы защиты от НСД, исключая
шифрование
§ Переложить задачу обеспечения конфиденциальности на оператора связи
§ Передавать в канал связи обезличенные данные
§ Использовать СКЗИ для защиты ПДн
- 25. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25
Как поступают в органах по защите прав субъектов
ПДн?
§ Многие госорганы
постулируют на своих
сайтах защиту ПДн в
соответствие с
требованиями
законодательства
Без детализации
И без СКЗИ
§ Минкомсвязь и ФСТЭК
- 26. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26
Как поступает регулятор по защите ПДн?
§ ФСБ на своем сайте требует указания
полного спектра идентификационных
данных, включая паспортные
§ Никаких оговорок про выполнение
требований законодательства
§ Никакой защиты передаваемых данных
§ Если это позволено регулятору в области
защиты (и в частности шифрования)
персональных данных, то почему это не
позволено вам?
- 27. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27
Как поступают в органах по защите прав субъектов
ПДн?
§ РКН собирает персональные данные через форму
обратной связи на своем сайте
§ Стандартная оговорка о соблюдении
законодательства в области персональных данных
§ Никакой защиты передаваемых данных
§ Если это позволено уполномоченному органу по
защите прав субъектов персональных данных, то
почему это не позволено вам?
- 28. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28
§ РКН раньше на своем
сайте, а портал
госуслуг до сих пор
вынуждает вас
отказаться от
конфиденциальности
§ У вас есть выбор – или
соглашаться, или не
использовать
соответствующий
сервис
§ Шифрование в таком
случае не нужно Ответ Роскомнадзора
Вы можете принудить субъекта отказаться от
конфиденциальности его ПДн
- 29. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29
А если сделать их общедоступными?
§ РЖД делает
регистрационные данные
пользователей своего
сайта общедоступными
§ РКН не против
§ Шифрование в таком
случае не нужно
- 30. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30
А где у вас проходит граница ИСПДн?
§ Вы имеет полное право
самостоятельно провести
границы ИСПДн там, где
считаете нужным
§ Сеть Интернет может не
входить в вашу ИСПДн
§ Если это позволено
Правительству, то почему
не позволено вам?
§ Шифрование в таком
случае не нужно
- 31. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31
Еще четыре сценария
§ СКЗИ для защиты ПДн при передаче в канале связи должны применяться обязательно,
если не будет доказано, что в канале связи невозможно осуществление
несанкционированных воздействий на ПДн (из 378-го приказа ФСБ)
§ Уровень защищенности канала связи и его способность обойтись без СКЗИ определяет
лицензиат ФСТЭК
Обезличивание
• Обезличивание из
персональных данных
делает неперсональные
• Они выпадают из под
ФЗ-152
• Не требуется даже
конфиденциальность
Оператор связи
• Оператор связи по
закону «О связи»
обязан обеспечивать
тайну связи
• Почему бы в договоре с
оператором явно не
прописать обязанность
обеспечить
конфиденциальность
всех передаваемых
данных, включая и ПДн
Оптика
• Снять информацию с
оптического канала
связи возможно, но
непросто и недешево
• Почему бы не
зафиксировать в
модели угроз
соответствующую
мысль
Виртуальные сети
• Для защиты от
несанкционированного
доступа на сетевом
уровне могут
применяться различные
технологии; не только
шифрование
• Например, MPLS,
обеспечивающая
разграничение доступа
- 32. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32
Резюме по применению СКЗИ для защиты ПДн
§ Выбор способа обеспечения конфиденциальности персональных данных,
а также конкретный способ их защиты от несанкционированного доступа и
ознакомления определяет оператор персональных данных
§ Подходите к вопросу творчески
- 33. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 33
33© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
ФЗ-242
- 34. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 34
Закон о запрете хранения ПДн россиян за границей
§ Реализация положений ФЗ-242 «о запрете
хранения ПДн россиян за границей»
Базы ПДн, в которых происходит первичная регистрация и
актуализация ПДн россиян, должны находится на территории РФ
Хотя слова «только» в законе нет, по сути вводится апрет
хранения за пределами РФ
Наказание за нарушение
Выведение РКН из под действия
294-ФЗ
§ Вступил в силу с 1 сентября 2015 года
Слухи о переносе сроков на 1 год не подтвердились
§ Первые нарушители уже заблокированы
Реальные нарушители, незаконно распространяющие ПДн с
зарубежных сайтов
- 35. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 35
Потенциальные последствия за неисполнение ФЗ-242
§ Блокирование доступа к зарубежным ресурсам, в которых ведется
обработка ПДн российских граждан (сотрудников и клиентов)
§ Блокирование доступа к зарубежным ресурсам и третьих фирм, в которых
ведется обработка ПДн российских граждан (сотрудников и клиентов)
§ Потенциальное снижение продаж решений и невозможность выполнения
сервисных обязательств из-за потенциального блокирования основного
сайта
§ Репутационные риски
§ Административная и уголовная ответственность отсутствует
Однако есть ответственность за невыполнение предписания РКН по результатам
надзорных мероприятий
- 36. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 36
Разъяснение Роскомнадзора: что такое база данных?
- 37. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 37
Разъяснение Роскомнадзора: запрет зеркал
- 38. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 38
Разъяснение Роскомнадзора: о «гражданстве» ПДн
- 39. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 39
Кого ФЗ-242 касается в первую очередь?
§ Все иностранные
компании, работающие в
России
§ Все иностранные
компании, работающие
для российских граждан
В том числе облачные сервисы и
арендуемые за рубежом ЦОДы
§ Все российские компании,
работающие за рубежом
1
2
3
?
- 40. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 40
Зоны риска
Google, Twitter,
Facebook и иные
Интернет-компании
Американские и
европейские
компании
Остальные
иностранные
компании
Российские
компании
- 41. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 41
Отдельные моменты обработки ПДн
§ Электронная почта – не ИСПДн
Мнение РКН
§ Заказ авиабилетов не попадает под действие ФЗ-242 в связи с тем, что
заказ авиабилетов регулируется международными договорами
В отличие от бронирования гостиниц и автомобилей
§ На базы данных, созданные до вступления в силу ФЗ-242, закон не
распространяется
Если они не актуализировались после вступления в силу ФЗ-242
§ Облачные провайдеры – не операторы, а обработчики ПДн
Мнение РКН
- 42. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 42
Локализация баз данных – это не российская новация
§ Локализация баз данных – это не российский
прецедент
Например, Вьетнам и ряд других стран
§ Верховный европейский суд принял решение об
отмене договора Совета Европы и США о
хранении персональных данных европейских
граждан на территории США
Нас ждет интересное развитие событий
- 43. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 43
Локализация баз данных. Обратите внимание!
§ В ФЗ-242 речь идет о первичном сборе, записи, систематизации, накоплении,
хранении, уточнении, обновлении, изменении, извлечении ПДн, которые
должны производиться на территории России
Такие действия с ПДн, как использование, передача, распространение, предоставление, доступ,
обезличивание, блокирование, удаление, уничтожение могут производиться где угодно
§ Изменения должны вноситься в БД на территории России
§ База данных и приложение, обращающееся к ней – это разные сущности
Приложение может быть где угодно
§ На трансграничную передачу и доступ к ПДн из-за пределов России
ограничений нет
§ ПДн могут обрабатываться за пределами РФ, за исключением их сбора
Неизменяемое зеркало
- 44. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 44
Закон о запрете хранения ПДн россиян за границей
§ Обезличивание ПДн
на территории России
и передача
обезличенных данных
куда угодно
Приказ РКН №996
§ Архивирование или
шифрование ПДн на
территории России и
передача архивов куда
угодно
№ субъекта
№ субъекта
№ субъекта
ФИО
Адрес
…
Адрес …ФИО
- 45. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 45
Самая простая часть ФЗ-242 уже реализована
§ Роскомнадзор сформировал реестр
нарушителей прав субъектов персональных
данных
§ В реестр будут вноситься все интернет-
ресурсы, обрабатывающие персональные
данные с нарушениями законодательства
Включение компаний в реестр будет происходить
по решению суда по искам, которые могут
инициировать как сами субъекты персональных
данных, так и Роскомнадзор, зафиксировавший
нарушение
Реестр заработал с 1 сентября
§ Снимать блокировку будет РКН сам
При действующем судебном решении (!)
- 46. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 46
Два приказа РКН в отношении нарушений ФЗ-242/ФЗ-152
§ Приказ РКН №85 от 22.07.2015 «Об утверждении формы заявления субъекта
ПДн о принятии мер по ограничению доступа к информации,
обрабатываемой с нарушением законодательства РФ в области ПДн»
§ Приказ РКН №84 от 22.07.2015 «Об утверждении Порядка взаимодействия
оператора реестра нарушителей прав субъектов ПДн с провайдером хостинга
и Порядка получения доступа к информации, содержащейся в реестре
нарушителей прав субъектов ПДн, оператором связи»
- 47. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 47
Изменение правил надзора
§ Снижение числа проверок в отношении
операторов персональных данных
§ Переход на риск-ориентированную
модель при проведении надзорных
мероприятий
После принятия соответствующего
законопроекта
Поднадзорные организации предполагается
разделить на группы в зависимости от степени
риска нарушений для экономики и ее граждан,
и на основе такой дифференциации
планировать и проводить надзорные
мероприятия
§ Выход из под действия ФЗ-294
- 48. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 48
Готовится новое Постановление Правительства
§ Контроль и надзор за соответствием обработки
ПДн требованиям законодательства
§ Явно исключается надзор в сфере надзора за
выполнением организационных и технических
мер защиты информации
§ 3 типа проверок
Плановые
Внеплановые
Мероприятия систематического наблюдения
§ Плановые и внеплановые проверки проводятся в
форме документарных и выездных проверок
Плановые проверки и мероприятия осуществляются на
основе утвержденного плана, размещаемого на сайте РКН
- 49. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 49
Критерии формирования плана плановых проверок
§ Трехлетний период с момента окончания последней плановой проверки
§ Информация от госорганов, муниципалитетов и СМИ о нарушении
§ Обработка ПДн значительного количества субъектов ПДн, а также обработка
биометрических и специальных категорий ПДн
§ Непредставление информации РКН
- 50. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 50
Основания для внеплановых проверок
§ Внеплановые проверки проводятся на основании решения руководителя
(заместителя руководителя) РКН или его терорганов по следующим причинам:
Истечение срока выданного предписания
По доказательным обращениям граждан (требует согласования с прокуратурой)
По причине непредоставления (неполного представления) информации оператором по
запросу РКН
Наличие факта нарушения законодательства, полученное от СМИ, госорганов и
муниципалитетов
Поручение Президента или Правительства
В случае нарушения оператором законодательства, выявленного в ходе систематического
наблюдения
Несоответствие сведений, указанных в уведомлении
В случае неисполнения требования РКН об устранении выявленного нарушения
На основании представления органа прокуратуры
- 51. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 51
Предмет проверки
§ Деятельность оператора по обработке ПДн, осуществляемой с
использованием или без использования средств автоматизации
§ Документы и локальные акты
§ Принятые операторов меры в соответствии со статьей 18.1 ФЗ-152
§ Исполнение государственными и муниципальными органами обязанностей,
предусмотренных ФЗ-152 и подзаконными актами
§ Содержания ИСПДн в части касающейся обработки ПДн
- 52. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 52
Уведомление о проверке
Плановая
• Не позднее чем за 3
дня
• Почтовое
отправление с
уведомлением или
иной доступный метод
Внеплановая
• Не менее чем за 24
часа
• Любой доступный
метод уведомления
- 53. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 53
Периодичность проведения проверок
Не чаще одного раза
в 2 года
• Государственный
орган
• Муниципальный
орган
• Юридическое лицо
Не чаще одного раза
в 3 года
• Индивидуальные
предприниматели
• Физические лица
- 54. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 54
Длительность проведения проверок
Выездная
• Не более 20-ти
рабочих дней
Документарная
• Не более 60-ти
рабочих дней
§ Возможно продление указанного срока, но не более чем на 20 дней
§ При осуществлении оператором деятельности на территории нескольких
субъектов РФ, срок проведения проверок устанавливается отдельно по
каждому филиалу, но общий срок проверки не может превышать 60 дней
- 55. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 55
Особенности проверок по проекту Постановления
§ Мотивированный запрос на получение документов и локальных актов в части
ПДн
§ Приказ на проведение проверки
§ Посещение любых помещений, исключая архивы и помещения с гостайной
§ Право доступа к ИСПДн для оценки законности деятельности оператора
§ Возможность привлечения аккредитованных экспертов и экспертных
организаций
Непонятно на каком основании посторонние эксперты будут получать доступ к ПДн
- 56. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 56
Об уведомлении с 1-го сентября
§ Отдельные управления РКН требуют отправлять им информационное
сообщение о месте нахождения баз данных с ПДн
7-я часть 22-й статьи ФЗ-152 говорит только о необходимости повторного уведомления
всего в двух случаях - прекращении обработки ПДн и изменении сведений, указанных в
ранее отправленном уведомлении
§ Если раньше данные хранились в РФ
Ничего не поменялось – отправлять ничего не нужно
§ Если раньше данные хранились за пределами РФ
В уведомлении ничего не поменялось – отправлять ничего не нужно
§ Указывать версии и названия СУБД не нужно, как и адрес физического
местонахождения
А если у вас аутсорсинг, арендуемой ЦОД или облако, то как вы узнаете адрес?
- 57. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 57
Ответ РКН по части уведомления с 1-го сентября
- 58. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 58
Множество трактовок, связанных с геополитикой
§ Несколько прямо противоположных трактовок ФЗ-242 федеральными
органами исполнительной власти и органами власти (Минкомсвязь,
Роскомнадзор, Администрация Президента)
Все упомянутые органы власти не уполномочены трактовать законодательство
При этом данные органы власти (например, Роскомнадзор или прокуратура) осуществляют
контроль и надзор за выполнение данного законодательства и к их мнению стоит
прислушиваться
§ Один орган исполнительной власти может в разное время давать разные
трактовки одних и тех же норм закона
В зависимости от геополитической ситуации и смены руководство ФОИВ
§ Мнение профессионального сообщества и экспертных групп при разработке
данного закона услышано не было
Органы власти прямо называют в качестве причины принятия данного закона
геополитическую ситуацию
- 59. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 59
Возможные сценарии и ресурсы/риски, с ними связанные
применительно к ФЗ-242
§ Органы контроля/надзора не понимают, как технически можно было бы
реализовать запрет в случае использования VPN
Ничего не делать
• Минимальные усилия
• Риски блокирования
описанных ранее
сервисов
• Репутационные риски
Сделать на бумаге
• Усилия направлены
только на создание
большого количества
бумаг
• Теоретически
регулятор может
выявить данный факт
ИТ-трюки
• Обезличивание ПДн и
архивирование ПДн
позволяет передавать
их и хранить где
угодно
• Риски связаны с
несогласием
регуляторов с
использованием
данных трюков
Создание
промежуточных БД
• Средние усилия,
связанные с
переделкой части ИТ-
систем, которые
должны будут хранит
ПДн на территории РФ
и затем передавать их
за рубеж
• Риски остаются только
для сервисов,
оказываемых
третьими сторонами
Перенос сервисов в
Россию
• Максимальные
усилия, связанные с
полноценным
созданием на
территории РФ
локального ЦОДа,
который бы оказывал
внутренние и внешние
услуги компании и ее
заказчикам
• Риски остаются только
для сервисов,
оказываемых
третьими сторонами
- 60. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 60
Благодарю
за внимание