SlideShare ist ein Scribd-Unternehmen logo

пр про пдн для рбк 2014 11

Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Презентация с бизнес-конференции РБК "Защита персональных данных: новые требования по локализации"

1 von 10
Downloaden Sie, um offline zu lesen
Прозоров Андрей Ведущий эксперт по информационной безопасности, CISM Обработка ПДн с учетом 242-ФЗ 2014-11
Операторы ПДн обычно читают законы очень внимательно
242-ФЗ от 21.07.2014 «О внесении изменений в отдельные законодательные акты РФ…». Суть: •Идея №1 (ст.15.5 149-ФЗ): «В целях ограничения доступа к информации в сети "Интернет", обрабатываемой с нарушением законодательства РФ в области ПДн, создается автоматизированная информационная система «Реестр нарушителей прав субъектов ПДн» … •Идея №2 (в ст.18.п.5 152-ФЗ): «При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего ФЗ.» … 242-ФЗ
1.Отсутствует требование о запрете хранения ПДн за пределами РФ 2.Отсутствует требование о хранении ПДн только на территории РФ 3.Отсутствуют требования и рекомендации по использованию «базы данных», упомянутой в законе 4.Отсутствуют требования по формату и сроку хранения ПДн 5.В 152-ФЗ остались положения про трансграничную передачу ПДн «Трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.» Что сейчас про ПДн?
Статья 12. Трансграничная передача ПДн 1. Трансграничная передача ПДн на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, осуществляется в соответствии с настоящим ФЗ и может быть запрещена или ограничена в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. 2. Уполномоченный орган по защите прав субъектов ПДн утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн и обеспечивающих адекватную защиту прав субъектов ПДн. Государство, не являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности ПДн. 3. Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача ПДн, обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления трансграничной передачи ПДн. 4. Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн, может осуществляться в случаях: 1) наличия согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн; 2) предусмотренных международными договорами Российской Федерации; 3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства; 4) исполнения договора, стороной которого является субъект ПДн; 5) защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получения согласия в письменной форме субъекта ПДн. 152-ФЗ ст.12
Вариант 3. Ничего, формально и так используют базы данных, находящихся на территории Вариант 1. Ничего, риски принимают Возможные штраф минимальны* (10 000 рублей), вероятность проверки минимальна (в 2013 году РКН провел 2418 проверок, из них 1801 плановых) Вариант 2. Ничего, выжидают Законодательство по ПДн слишком часто меняется: 152-ФЗ 14 раз (существенно в 2011); подход по защите ПДн уже 3й (в 2012 утверждено ПП1119) Вариант 4. Переделывают ИТ-инфраструктуру Строят/арендуют ЦОДы, закупают дополнительные системы хранения данных * - хотя уже несколько лет ожидаем повышение штрафов… $$$ Что делают операторы по 242-ФЗ?
И все было бы хорошо и безоблачно. Но есть еще и 97-ФЗ, который на самом деле не «о блогерах»…
97-ФЗ от 05.05.2014 (ред. от 21.07.2014) «О внесении изменений в 149-ФЗ…» Суть: •Идея №1 про обязанности организатора распространения информации в сети "Интернет" «Организатором распространения информации в сети "Интернет" является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет"». – довольно неконкретный термин, который можно очень гибко использовать … •Идея №2 про блогеров «Владелец сайта и (или) страницы сайта в сети "Интернет", на которых размещается общедоступная информация и доступ к которым в течение суток составляет более трех тысяч пользователей сети "Интернет"». •Идея №3: Новые статьи (штрафы) в КоАП 97-ФЗ
•Ст.10.1 п.3. Организатор распространения информации в сети "Интернет" обязан хранить на территории РФ информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков или иных электронных сообщений пользователей сети "Интернет" и информацию об этих пользователях в течение шести месяцев с момента окончания осуществления таких действий, а также предоставлять указанную информацию уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, в случаях, установленных федеральными законами. •… +КоАП Статья 13.31 (новая). Неисполнение обязанностей организатором распространения информации в сети "Интернет: … Штраф до 500 000 рублей Обязанности организатора распространения… Вступил в силу с 1 августа 2014 года
Спасибо за внимание! www.infowatch.ru +7 495 22 900 22 Андрей Прозоров, CISM Мой твиттер: twitter.com/3dwave Мой блог: 80na20.blogspot.com

Empfohlen

пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данныхСергей Сергеев
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхKsenia Shudrova
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системахDimOK AD
 
Юридические аспекты Dlp
Юридические аспекты DlpЮридические аспекты Dlp
Юридические аспекты DlpMFISoft
 

Empfohlen

пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данныхСергей Сергеев
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхKsenia Shudrova
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системахDimOK AD
 
Юридические аспекты Dlp
Юридические аспекты DlpЮридические аспекты Dlp
Юридические аспекты DlpMFISoft
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхАлексей Кураленко
 
Softline: защита персональных данных
Softline: защита персональных данныхSoftline: защита персональных данных
Softline: защита персональных данныхSoftline
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхУчебный центр "Эшелон"
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
17 приказ ФСТЭК
17 приказ ФСТЭК17 приказ ФСТЭК
17 приказ ФСТЭКАлексей Кураленко
 
пр 4 юр.вопроса dlp
пр 4 юр.вопроса dlpпр 4 юр.вопроса dlp
пр 4 юр.вопроса dlpAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
О проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗО проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗАнатолий Попов
 
Изменения в фз 152
Изменения в фз 152Изменения в фз 152
Изменения в фз 152ivanishko
 
пр GDPR breach
пр GDPR breachпр GDPR breach
пр GDPR breachAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Безопасность платежей 2017
Безопасность платежей 2017Безопасность платежей 2017
Безопасность платежей 2017Ksenia Shudrova
 
лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...elenae00
 
Хостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхХостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхwebdrv
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиAleksey Lukatskiy
 
GDPR (scope) - Russia
GDPR (scope) - RussiaGDPR (scope) - Russia
GDPR (scope) - RussiaAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Защита персональных данных в области рекрутмента
Защита персональных данных в области рекрутментаЗащита персональных данных в области рекрутмента
Защита персональных данных в области рекрутментаSPIBA
 
Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ «ГК ГЭНДАЛЬФ»
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭКAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про ПДн
пр про ПДнпр про ПДн
пр про ПДнAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Перечень документов (пдн в рф) 2014 07-24
Перечень документов (пдн в рф) 2014 07-24Перечень документов (пдн в рф) 2014 07-24
Перечень документов (пдн в рф) 2014 07-24Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Weitere ähnliche Inhalte

Was ist angesagt?

Softline: защита персональных данных
Softline: защита персональных данныхSoftline: защита персональных данных
Softline: защита персональных данныхSoftline
 
Изменения в фз 152
Изменения в фз 152Изменения в фз 152
Изменения в фз 152ivanishko
 
Безопасность платежей 2017
Безопасность платежей 2017Безопасность платежей 2017
Безопасность платежей 2017Ksenia Shudrova
 
лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...elenae00
 
Хостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхХостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхwebdrv
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиAleksey Lukatskiy
 
Защита персональных данных в области рекрутмента
Защита персональных данных в области рекрутментаЗащита персональных данных в области рекрутмента
Защита персональных данных в области рекрутментаSPIBA
 
Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ «ГК ГЭНДАЛЬФ»
 

Was ist angesagt? (17)

Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данных
 
Softline: защита персональных данных
Softline: защита персональных данныхSoftline: защита персональных данных
Softline: защита персональных данных
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данных
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLP
 
17 приказ ФСТЭК
17 приказ ФСТЭК17 приказ ФСТЭК
17 приказ ФСТЭК
 
пр 4 юр.вопроса dlp
пр 4 юр.вопроса dlpпр 4 юр.вопроса dlp
пр 4 юр.вопроса dlp
 
О проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗО проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗ
 
Изменения в фз 152
Изменения в фз 152Изменения в фз 152
Изменения в фз 152
 
пр GDPR breach
пр GDPR breachпр GDPR breach
пр GDPR breach
 
Безопасность платежей 2017
Безопасность платежей 2017Безопасность платежей 2017
Безопасность платежей 2017
 
лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...
 
Хостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхХостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данных
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасности
 
GDPR (scope) - Russia
GDPR (scope) - RussiaGDPR (scope) - Russia
GDPR (scope) - Russia
 
Защита персональных данных в области рекрутмента
Защита персональных данных в области рекрутментаЗащита персональных данных в области рекрутмента
Защита персональных данных в области рекрутмента
 
Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ
 

Andere mochten auch

пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Andere mochten auch (11)

пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
 
пр про ПДн
пр про ПДнпр про ПДн
пр про ПДн
 
Перечень документов (пдн в рф) 2014 07-24
Перечень документов (пдн в рф) 2014 07-24Перечень документов (пдн в рф) 2014 07-24
Перечень документов (пдн в рф) 2014 07-24
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 small
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДн
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 

Ähnlich wie пр про пдн для рбк 2014 11

Михаил Емельянников - Основные тенденции государственного регулирования в сфе...
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...Михаил Емельянников - Основные тенденции государственного регулирования в сфе...
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...Expolink
 
Законопроект (№336400-6 от 28.08.2013) об отмене "антипиратского" закона 187-ФЗ
Законопроект (№336400-6 от 28.08.2013) об отмене "антипиратского" закона 187-ФЗЗаконопроект (№336400-6 от 28.08.2013) об отмене "антипиратского" закона 187-ФЗ
Законопроект (№336400-6 от 28.08.2013) об отмене "антипиратского" закона 187-ФЗArtem Kozlyuk
 
правовое заключение о_блогерах
правовое заключение о_блогерахправовое заключение о_блогерах
правовое заключение о_блогерахSarkis Darbinyan
 
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days
 
Защита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУЗащита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУГБОУ № 509
 
20090929_Personal data
20090929_Personal data20090929_Personal data
20090929_Personal datasbur
 
Персональные данные Saransk 2009 Timur Aitov
Персональные данные Saransk 2009 Timur AitovПерсональные данные Saransk 2009 Timur Aitov
Персональные данные Saransk 2009 Timur AitovTimur AITOV
 
Михаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияМихаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияНадт Ассоциация
 
Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"Victor Poluksht
 
Анализ Закона Республики Казахстан "О персональных данных и их защите" . Июнь...
Анализ Закона Республики Казахстан "О персональных данных и их защите" . Июнь...Анализ Закона Республики Казахстан "О персональных данных и их защите" . Июнь...
Анализ Закона Республики Казахстан "О персональных данных и их защите" . Июнь...Ken Tulegenov
 
законодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данныхзаконодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данныхDimOK AD
 
Комплексная защита персональных данных
Комплексная защита персональных данныхКомплексная защита персональных данных
Комплексная защита персональных данныхspiritussancti
 
роскомнадзор
роскомнадзорроскомнадзор
роскомнадзорExpolink
 
2017 03-29 bd-lp
2017 03-29 bd-lp2017 03-29 bd-lp
2017 03-29 bd-lpIrinaSok
 
пояснительная записка к тексту проекта постановления Правительства РФ "про от...
пояснительная записка к тексту проекта постановления Правительства РФ "про от...пояснительная записка к тексту проекта постановления Правительства РФ "про от...
пояснительная записка к тексту проекта постановления Правительства РФ "про от...Victor Gridnev
 

Ähnlich wie пр про пдн для рбк 2014 11 (20)

Михаил Емельянников - Основные тенденции государственного регулирования в сфе...
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...Михаил Емельянников - Основные тенденции государственного регулирования в сфе...
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...
 
Законопроект (№336400-6 от 28.08.2013) об отмене "антипиратского" закона 187-ФЗ
Законопроект (№336400-6 от 28.08.2013) об отмене "антипиратского" закона 187-ФЗЗаконопроект (№336400-6 от 28.08.2013) об отмене "антипиратского" закона 187-ФЗ
Законопроект (№336400-6 от 28.08.2013) об отмене "антипиратского" закона 187-ФЗ
 
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИ
 
правовое заключение о_блогерах
правовое заключение о_блогерахправовое заключение о_блогерах
правовое заключение о_блогерах
 
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
 
О проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУО проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУ
 
Защита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУЗащита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУ
 
20090929_Personal data
20090929_Personal data20090929_Personal data
20090929_Personal data
 
Персональные данные Saransk 2009 Timur Aitov
Персональные данные Saransk 2009 Timur AitovПерсональные данные Saransk 2009 Timur Aitov
Персональные данные Saransk 2009 Timur Aitov
 
пр про законодательство в области иб для нн в.2
пр про законодательство в области иб для нн в.2пр про законодательство в области иб для нн в.2
пр про законодательство в области иб для нн в.2
 
яценко 20 21 сентября
яценко 20 21 сентябряяценко 20 21 сентября
яценко 20 21 сентября
 
Михаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияМихаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика применения
 
Vbяценко 20 21 сентября
Vbяценко 20 21 сентябряVbяценко 20 21 сентября
Vbяценко 20 21 сентября
 
Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"
 
Анализ Закона Республики Казахстан "О персональных данных и их защите" . Июнь...
Анализ Закона Республики Казахстан "О персональных данных и их защите" . Июнь...Анализ Закона Республики Казахстан "О персональных данных и их защите" . Июнь...
Анализ Закона Республики Казахстан "О персональных данных и их защите" . Июнь...
 
законодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данныхзаконодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данных
 
Комплексная защита персональных данных
Комплексная защита персональных данныхКомплексная защита персональных данных
Комплексная защита персональных данных
 
роскомнадзор
роскомнадзорроскомнадзор
роскомнадзор
 
2017 03-29 bd-lp
2017 03-29 bd-lp2017 03-29 bd-lp
2017 03-29 bd-lp
 
пояснительная записка к тексту проекта постановления Правительства РФ "про от...
пояснительная записка к тексту проекта постановления Правительства РФ "про от...пояснительная записка к тексту проекта постановления Правительства РФ "про от...
пояснительная записка к тексту проекта постановления Правительства РФ "про от...
 

Mehr von Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Mehr von Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)

NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
 
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy Frameworks
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Supply management 1.1.pdf
 
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 

пр про пдн для рбк 2014 11

  • 1. Прозоров Андрей Ведущий эксперт по информационной безопасности, CISM Обработка ПДн с учетом 242-ФЗ 2014-11
  • 2. Операторы ПДн обычно читают законы очень внимательно
  • 3. 242-ФЗ от 21.07.2014 «О внесении изменений в отдельные законодательные акты РФ…». Суть: •Идея №1 (ст.15.5 149-ФЗ): «В целях ограничения доступа к информации в сети "Интернет", обрабатываемой с нарушением законодательства РФ в области ПДн, создается автоматизированная информационная система «Реестр нарушителей прав субъектов ПДн» … •Идея №2 (в ст.18.п.5 152-ФЗ): «При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего ФЗ.» … 242-ФЗ
  • 4. 1.Отсутствует требование о запрете хранения ПДн за пределами РФ 2.Отсутствует требование о хранении ПДн только на территории РФ 3.Отсутствуют требования и рекомендации по использованию «базы данных», упомянутой в законе 4.Отсутствуют требования по формату и сроку хранения ПДн 5.В 152-ФЗ остались положения про трансграничную передачу ПДн «Трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.» Что сейчас про ПДн?
  • 5. Статья 12. Трансграничная передача ПДн 1. Трансграничная передача ПДн на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, осуществляется в соответствии с настоящим ФЗ и может быть запрещена или ограничена в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. 2. Уполномоченный орган по защите прав субъектов ПДн утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн и обеспечивающих адекватную защиту прав субъектов ПДн. Государство, не являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности ПДн. 3. Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача ПДн, обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления трансграничной передачи ПДн. 4. Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн, может осуществляться в случаях: 1) наличия согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн; 2) предусмотренных международными договорами Российской Федерации; 3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства; 4) исполнения договора, стороной которого является субъект ПДн; 5) защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получения согласия в письменной форме субъекта ПДн. 152-ФЗ ст.12
  • 6. Вариант 3. Ничего, формально и так используют базы данных, находящихся на территории Вариант 1. Ничего, риски принимают Возможные штраф минимальны* (10 000 рублей), вероятность проверки минимальна (в 2013 году РКН провел 2418 проверок, из них 1801 плановых) Вариант 2. Ничего, выжидают Законодательство по ПДн слишком часто меняется: 152-ФЗ 14 раз (существенно в 2011); подход по защите ПДн уже 3й (в 2012 утверждено ПП1119) Вариант 4. Переделывают ИТ-инфраструктуру Строят/арендуют ЦОДы, закупают дополнительные системы хранения данных * - хотя уже несколько лет ожидаем повышение штрафов… $$$ Что делают операторы по 242-ФЗ?
  • 7. И все было бы хорошо и безоблачно. Но есть еще и 97-ФЗ, который на самом деле не «о блогерах»…
  • 8. 97-ФЗ от 05.05.2014 (ред. от 21.07.2014) «О внесении изменений в 149-ФЗ…» Суть: •Идея №1 про обязанности организатора распространения информации в сети "Интернет" «Организатором распространения информации в сети "Интернет" является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет"». – довольно неконкретный термин, который можно очень гибко использовать … •Идея №2 про блогеров «Владелец сайта и (или) страницы сайта в сети "Интернет", на которых размещается общедоступная информация и доступ к которым в течение суток составляет более трех тысяч пользователей сети "Интернет"». •Идея №3: Новые статьи (штрафы) в КоАП 97-ФЗ
  • 9. •Ст.10.1 п.3. Организатор распространения информации в сети "Интернет" обязан хранить на территории РФ информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков или иных электронных сообщений пользователей сети "Интернет" и информацию об этих пользователях в течение шести месяцев с момента окончания осуществления таких действий, а также предоставлять указанную информацию уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, в случаях, установленных федеральными законами. •… +КоАП Статья 13.31 (новая). Неисполнение обязанностей организатором распространения информации в сети "Интернет: … Штраф до 500 000 рублей Обязанности организатора распространения… Вступил в силу с 1 августа 2014 года
  • 10. Спасибо за внимание! www.infowatch.ru +7 495 22 900 22 Андрей Прозоров, CISM Мой твиттер: twitter.com/3dwave Мой блог: 80na20.blogspot.com