Презентация вебинара 06.09.2012

1. Изменения законодательства
в области информационной
безопасности и практики
его правоприменения
Емельянников
Михаил Юрьевич,
Управляющий партнер
6 сентября 2012 года, вебинар
Учебный центр «Информзащита»

2. 1. Наиболее значимые изменения российского законодательства в
области информационной безопасности за последний год.
2. Законодательство о персональных данных. ФЗ-261 – новая
редакция закона, а не перечень поправок.
3. Есть ли в российских законах конфиденциальная информация и
что это такое?
4. Ограничение информации о деятельности органов
государственной власти и местного самоуправления.
5. Информационная безопасность при предоставлении
государственных и муниципальных услуг в электронном виде.
6. Информационная безопасность национальной платежной
системы. Требования, регуляторы, ответственность.
7. Лицензирование деятельности в области информационной
безопасности – новый закон, новые положения.
8. Обязательная сертификация средств защиты информации как
форма оценки соответствия. Ввоз криптографических средств в
Россию – как не нарушить таможенные правила.
9. Парадоксы правосудия – коммерческая тайна и персональные
данные в российских судах.
10. Уступка прав требования и агентские схемы взыскания
задолженности с физических лиц через призму персональных
данных.
11. Контроль, надзор и проверки. К чему готовиться, кого ждать.
2

3. 1. Изменения российского законодательства в области ИБ
Наиболее значимые
изменения за последний год
1. Существенное корректировка законодательства о
персональных данных, не законченная на
настоящее время.
2. Изменения в лицензировании деятельности,
связанной с информационной безопасностью.
3. Регулирование вопросов информационной
безопасности в Национальной платежной
системе.
4. Введение ответственности провайдера за контент,
«черные списки» в Интернете.
5. Уточнение понятий конфиденциальности и
ограничения доступа к информации.
3
БТ01, КП05, КП30, КП31, КП32, КП36, КП37, КП39

4. 1. Изменения российского законодательства в области ИБ
Причины
происходящих изменений
1. Необходимость совершенствования
законодательства в связи с изменениями в
смежных областях, складывающейся практикой
правоприменения и выявляемыми недостатками
и несоответствиями.
2. Появление новых областей деятельности, для
которых ИБ является критичной (НПС, СМЭВ,
электронные государственные услуги и др.).
3. Ужесточение контрольных и надзорных функций
государства в целом.
4. Вступление России в ВТО и необходимость
закрепления особых правил регулирования в
некоторых областях.
4
БТ01, КП05, КП30, КП31, КП32, КП36, КП37, КП39

5. 1. Изменения российского законодательства в области ИБ
Направленность
происходящих изменений
1. Усиление государственного влияния на
обеспечение информационной безопасности и
государственного регулирования связанной с ней
деятельности.
2. Упрощение порядка использования информации
ограниченного доступа, в том числе – о
гражданах, в целях выполнения государственных
функций.
3. Противодействие угрозам в информационной
сфере в условиях цифрового мира и усиления
противоправной деятельности в сети Интернет.
4. Усиление ответственности за невыполнение
установленных государством требований и
правил.
5
БТ01, КП05, КП30, КП31, КП32, КП36, КП37, КП39

6. 1. Изменения российского законодательства в области ИБ
Возможные последствия
происходящих изменений
1. Существенный рост рисков для предприятий и
организаций, связанных с невыполнением
требований государственных регуляторов.
2. Повышение ответственности, в том числе
материальной, за невыполнение требований до
уровня, критичного для бизнеса в целом.
3. Неизбежный в перспективе перенос значительной
части споров (с работниками, контрагентами,
органами исполнительной власти), связанных с
проблемами информационной безопасности, в
суды.
4. Необходимость корректировки отношения
руководителей (в первую очередь – коммерческих
организаций) к вопросам соответствия
требованиям в области ИБ. 6
БТ01, КП05, КП30, КП31, КП32, КП36, КП37, КП39

7. 2. Законодательство о персональных данных
261-ФЗ – новая редакция
закона, а не перечень поправок
1. Значительное изменение понятийного аппарата
(определение персональных данных, оператора,
способов обработки, обработки без
использования средств автоматизации,
биометрии и т.д.).
2. Приоритет цели обработки и ее центральное
место в законе (вместо согласия субъекта).
3. Появление новых обязанностей оператора
(ст.18.1), перенос в закон требований по
технической защите (ст.19).
4. Появление в законе обработчика (лица,
осуществляющего обработку персональных
данных по поручению оператора).
7
БТ01, КП32, КП33, КП36, КП37, КП39

8. 2. Законодательство о персональных данных
Цель обработки как
краеугольный камень закона
Ст.5. Принципы обработки персональных данных
2. Обработка должна ограничиваться достижением
конкретных, заранее определенных и законных целей. Не
допускается обработка, несовместимая с целями сбора
персональных данных.
3. Не допускается объединение баз ПДн, обработка
которых осуществляется в целях, несовместимых между
собой.
4. Обработке подлежат только персональные данные,
которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых ПДн должны
соответствовать заявленным целям обработки.
Обрабатываемые ПДн не должны быть избыточными по
отношению к заявленным целям их обработки.
7. Хранение персональных данных должно
осуществляться не дольше, чем этого требуют цели
обработки персональных данных. 8
БТ01, КП32, КП33, КП36, КП37, КП39

9. 2. Законодательство о персональных данных
Цель обработки как
краеугольный камень закона
Цель обработки упоминается в законе около 50 раз!
Оператор - лицо, определяющее цели обработки
В поручении оператора на обработку персональных
данных другому лицу должны быть определены цели
обработки.
Согласие в письменной форме субъекта
персональных данных на обработку должно включать
в себя цели обработки.
Субъект персональных данных вправе требовать от
оператора уточнения его персональных данных, их
блокирования или уничтожения в случае, если
персональные данные не являются необходимыми
для заявленной цели обработки.
9
БТ01, КП32, КП33, КП36, КП37, КП39

10. 2. Законодательство о персональных данных
Базовые подходы к обработке
и правовые основания для нее
Новые основания для обработки:
• осуществление правосудия, исполнение
судебного акта;
• предоставление государственной или
муниципальной услуги;
• исполнение или заключение договора, стороной
которого либо выгодоприобретателем или
поручителем по которому является субъект;
• осуществление прав и законных интересов
оператора или третьих лиц, достижение
общественно значимых целей;
• обработка персональных данных, доступ
неограниченного круга лиц к которым
предоставлен субъектом либо по его просьбе.
10
БТ01, КП32, КП33, КП36, КП37, КП39

11. 2. Законодательство о персональных данных
Персональные данные
и судебные приставы
Федеральный закон от 27.07.2010 № 213-ФЗ «О
внесении изменений в ФЗ «О судебных
приставах» и ст.64 ФЗ «Об исполнительном
производстве» по вопросам предоставления
судебных приставам персональных данных
Ст.12 п.1. В процессе принудительного исполнения
судебных актов и актов других органов,
предусмотренных федеральным законом об
исполнительном производстве, судебный пристав-
исполнитель:
… получает и обрабатывает персональные
данные при условии, что они необходимы для
своевременного, полного и правильного
исполнения исполнительных документов, в
объеме, необходимом для этого. 11
БТ01, КП32, КП33, КП36, КП37, КП39

12. 2. Законодательство о персональных данных
Персональные данные
и судебные приставы
Федеральный закон от 27.07.2010 № 213-ФЗ «О
внесении изменений в ФЗ «О судебных
приставах» и ст.64 ФЗ «Об исполнительном
производстве» по вопросам предоставления
судебных приставам персональных данных
Статья 14. Обязательность требований судебного
пристава
2. Информация, в том числе персональные
данные, документы и их копии, необходимые для
осуществления судебными приставами своих
функций, предоставляются по их требованию
безвозмездно и в установленный ими срок.
12
БТ01, КП32, КП33, КП36, КП37, КП39

13. 2. Законодательство о персональных данных
Персональные данные
и судебные приставы
Федеральный закон от 02.10.2007 № 229-ФЗ
«Об исполнительном производстве»
С 1 января 2012 года:
Статья 6.1. Банк данных в исполнительном
производстве
1. ФССП создает и ведет, в том числе в электронном
виде, банк данных, содержащий сведения,
необходимые для осуществления задач по
принудительному исполнению судебных актов,
актов других органов и должностных лиц (далее -
банк данных).
4. Сведения [содержащиеся в банке данных]
являются общедоступными …
13
БТ01, КП32, КП33, КП36, КП37, КП39

14. 2. Законодательство о персональных данных
Обязательное медицинское
страхование
Статья 20. Права и
обязанности медицинских
организаций
1. Медицинские организации
имеют право:
2) вести в соответствии с
настоящим законом
персонифицированный
учет сведений о
медицинской помощи,
оказанной застрахованным
лицам;
14
БТ01, КП32, КП33, КП36, КП37, КП39

15. 2. Законодательство о персональных данных
Персональные данные
и образование
Органы и организации …
осуществляют передачу,
обработку и предоставление
полученных в связи с
проведением единого
государственного экзамена
и приема граждан в
образовательные учреждения
персональных данных
обучающихся, участников
ЕГЭ, лиц, привлекаемых к его
проведению, а также лиц,
поступающих в
образовательные учреждения,
… без получения согласия
этих лиц на обработку.
15
БТ01, КП32, КП33, КП36, КП37, КП39

16. 3. Конфиденциальность информации
Конфиденциальность
информации
Конфиденциальность
информации – обязательное
для выполнения лицом,
получившим доступ к
определенной информации,
требование не передавать
такую информацию третьим
лицам без согласия ее
обладателя.
Обязательным является
соблюдение
конфиденциальности
информации, доступ к
которой ограничен
федеральными законами.
16
БТ01, КП30, КП32

17. 3. Конфиденциальность информации
Есть ли конфиденциальная
информация в законах?
Федеральный закон от 11.07.2011 № 200-ФЗ «О
внесении изменений в отдельные
законодательные акты РФ в связи с принятием
Федерального закона «Об информации,
информационных технологиях и о защите
информации»
Слова «Конфиденциальная информация» заменить
словами «Информации, в отношении которой
установлено требование об обеспечении ее
конфиденциальности» - 17 законов.
Слова «Конфиденциальная информация" заменить
словами «информацией ограниченного доступа»
- 5 законов.
17
БТ01, КП30, КП32

18. 3. Конфиденциальность информации
А где осталось?
Статья 12. Перечень видов
деятельности, на которые
требуются лицензии
1. В соответствии с
настоящим Федеральным
законом лицензированию
подлежат следующие виды
деятельности:
5) деятельность по
технической защите
конфиденциальной
информации.
18
БТ01, КП30, КП32

19. 3. Конфиденциальность информации
Что бы было понятно
Постановление
Правительства РФ от
03.02.2012 № 79 «О
лицензировании
деятельности по
технической защите
конфиденциальной
информации»
Конфиденциальная
информация = Информация,
не содержащая сведения,
составляющие
государственную тайну, но
защищаемая в соответствии с
законодательством РФ.
19
БТ01, КП30, КП32

20. 3. Конфиденциальность информации
Часто любят вспоминать
Указ Президента Российской Федерации от
06.03.1997 № 188 «Об утверждении перечня
сведений конфиденциального характера»
В целях дальнейшего совершенствования порядка
опубликования и вступления в силу актов
Президента, Правительства РФ и нормативных
правовых актов федеральных органов
исполнительной власти постановляю утвердить
прилагаемый Перечень сведений
конфиденциального характера.
20
БТ01, КП30, КП32

21. 4. Ограничение информации о деятельности органов госвласти
Ограничение доступа
к информации
Принципы правового
регулирования отношений в
сфере информации:
установление ограничений
доступа к информации только
федеральными законами.
Информация в зависимости от
категории доступа к ней
подразделяется на
общедоступную информацию,
а также на информацию,
доступ к которой ограничен
федеральными законами
(информация ограниченного
доступа).
21
БТ01, КП30

22. 4. Ограничение информации о деятельности органов госвласти
Ограничение доступа
к информации
Федеральными законами
устанавливаются условия
отнесения информации к
сведениям, составляющим
коммерческую тайну,
служебную тайну и иную
тайну, обязательность
соблюдения
конфиденциальности такой
информации, а также
ответственность за ее
разглашение.
22
БТ01, КП30

23. 4. Ограничение информации о деятельности органов госвласти
Часто любят вспоминать
Обладатель информации,
если иное не предусмотрено
федеральными законами,
вправе:
1) разрешать или
ограничивать доступ к
информации, определять
порядок и условия такого
доступа.
23
БТ01, КП30

24. 4. Ограничение информации о деятельности органов госвласти
Ограничение доступа
Доступ к информации о
деятельности
государственных органов и
органов местного
самоуправления
ограничивается в случаях,
если указанная информация
отнесена в установленном
федеральным законом
порядке к сведениям,
составляющим
государственную или иную
охраняемую законом тайну.
24
БТ01, КП30

25. 4. Ограничение информации о деятельности органов госвласти
Ограничение доступа
Перечень сведений,
относящихся к информации
ограниченного доступа, а
также порядок отнесения
указанных сведений к
информации ограниченного
доступа устанавливается
федеральным законом.
25
БТ01, КП30

26. 4. Ограничение информации о деятельности органов госвласти
Не будем забывать
о сфере действия
Постановление Правительства РФ от 03.11.1994
№ 1233 (ред. от 20.07.2012)
«Об утверждении Положения о порядке
обращения со служебной информацией
ограниченного распространения в федеральных
органах исполнительной власти и
уполномоченном органе управления
использованием атомной энергии»
Установить, что служебная информация,
содержащаяся в подготавливаемых в федеральных
органах исполнительной власти проектах указов и
распоряжений Президента Российской Федерации,
постановлений и распоряжений Правительства
Российской Федерации, других служебных
документов, не подлежит разглашению
(распространению). 26
БТ01, КП30

27. 4. Ограничение информации о деятельности органов госвласти
Не будем забывать
о сфере действия
Постановление Правительства РФ от 03.11.1994
№ 1233 (ред. от 20.07.2012)
«Об утверждении Положения о порядке
обращения со служебной информацией
ограниченного распространения в федеральных
органах исполнительной власти и
уполномоченном органе управления
использованием атомной энергии»
Настоящее Положение определяет общий порядок
обращения с документами и другими материальными
носителями информации (далее - документами),
содержащими служебную информацию
ограниченного распространения, в ФОИВ и УОИАЭ, а
также на подведомственных им предприятиях, в
учреждениях и организациях (далее - организациях).
27
БТ01, КП30

28. 5. ИБ при предоставлении государственных и муниципальных услуг
Согласие заявителя на
обработку информации о нем
Федеральный закон от 27.07.2010 № 210-ФЗ «Об
организации предоставления государственных и
муниципальных услуг»
5. Для обработки информации, которая связана с правами и
законными интересами заявителя, доступ к которой ограничен
федеральными законами, за исключением персональных
данных и сведений, составляющих государственную и
налоговую тайну, и которая имеется в распоряжении органов,
предоставляющих услуги, и иных органов, либо
подведомственных им организаций, такими органами и
организациями в целях представления указанной в настоящей
части информации в орган, предоставляющий услугу либо
подведомственную ему организацию, либо МФЦ на основании
межведомственных запросов таких органов или организаций
для предоставления государственной или муниципальной
услуги по запросу заявителя требуется получение согласия
заявителя. Согласие может быть получено и представлено как
в форме документа на бумажном носителе, так и в форме
электронного документа. 28
БТ01, КП32, КП33, КП36, КП37

29. 5. ИБ при предоставлении государственных и муниципальных услуг
Согласие заявителя на
обработку информации о нем
Федеральный закон от 27.07.2010 № 210-ФЗ «Об
организации предоставления государственных и
муниципальных услуг»
Перевод на русский язык:
Для оказания конкретному гражданину государственной или
муниципальной услуги, в случаях, если это оказание требует
получения информации от другого органа власти (управления)
информации, доступ к которой ограничен федеральными
законами, или передачи такой информации, необходимо
получить от заявителя конкретно выраженное согласие на
обработку (в том числе передачу от одного органа другому в
рамках межведомственного обмена) такой информации. Этого
не требуется в трех случаях: когда обрабатываемые в рамках
услуги сведения являются персональными данными,
составляют государственную или налоговую тайну.
29
БТ01, КП32, КП33, КП36, КП37

30. 5. ИБ при предоставлении государственных и муниципальных услуг
Персональные данные
при оказании госуслуг
Федеральный закон от 27.07.2010 № 210-ФЗ
«Об организации предоставления
государственных и муниципальных услуг»
Органам и организациям, предоставляющим
государственные и муниципальные услуги, для
обработки персональных данных, в том числе для
передачи в другие органы и организации в целях
предоставления услуги, а также регистрации
субъекта персональных данных на едином портале
государственных и муниципальных услуг и на
региональных порталах государственных и
муниципальных услуг не требуется получение
согласия заявителя как субъекта персональных
данных в соответствии с требованиями статьи 6
Федерального закона № 152-ФЗ «О персональных
данных». 30
БТ01, КП32, КП33, КП36, КП37

31. 5. ИБ при предоставлении государственных и муниципальных услуг
Персональные данные
при оказании госуслуг
Федеральный закон от 27.07.2010 № 210-ФЗ
«Об организации предоставления
государственных и муниципальных услуг»
В случае, если для предоставления государственной
или муниципальной услуги необходимо
представление документов и информации об
ином лице, не являющемся заявителем, заявитель
дополнительно представляет документы,
подтверждающие наличие согласия указанных лиц
или их законных представителей на обработку
персональных данных указанных лиц. Указанные
документы могут быть представлены в том числе в
форме электронного документа.
31
БТ01, КП32, КП33, КП36, КП37

32. 5. ИБ при предоставлении государственных и муниципальных услуг
Налоговая тайна
при оказании госуслуг
Федеральный закон от 27.07.2010 № 210-ФЗ
«Об организации предоставления
государственных и муниципальных услуг»
Все органы, участвующие в предоставлении услуг, в
том числе – налоговые, предоставляют друг другу
информацию, которая относится к налоговой тайне,
без согласия субъекта. Такое предоставление
информации не является разглашением налоговой
тайны.
32
БТ01, КП32, КП33, КП36, КП37

33. 6. Информационная безопасность национальной платежной системы
Защита информации в НПС
Операторы по переводу
денежных средств, банковские
платежные агенты (субагенты),
операторы платежных систем,
операторы услуг платежной
инфраструктуры обязаны
обеспечивать защиту
информации:
- о средствах и методах
обеспечения ИБ, персданных
и об иной информации,
подлежащей обязательной
защите, – в соответствии с
требованиями,
установленными
Правительством РФ. 33
БТ01, КП32, КП37, КП39

34. 6. Информационная безопасность национальной платежной системы
Защита информации в НПС
Операторы по переводу
денежных средств, банковские
платежные агенты (субагенты),
операторы платежных систем,
операторы услуг платежной
инфраструктуры обязаны
обеспечивать защиту
информации:
- при осуществлении
переводов денежных
средств – в соответствии с
требованиями,
установленными Банком
России.
34
БТ01, КП32, КП37, КП39

35. 6. Информационная безопасность национальной платежной системы
Контроль за соблюдением
установленных требований
За требованиями,
установленными
Правительством РФ – ФСБ
России и ФСТЭК России.
За требованиями,
установленными Банком
России – Банк России в
порядке, согласованном с ФСБ
России и ФСТЭК России.
35
БТ01, КП32, КП37, КП39

36. 6. Информационная безопасность национальной платежной системы
Требования, установленные
Правительством РФ
Постановление Правительства РФ от 13.06.2012
№ 584 «Об утверждении Положения о защите
информации в платежной системе»
(вступило в силу с 1 июля 2012 г.)
Перечень используемых средств защиты :
• шифровальные (криптографические) средства,
• средства защиты информации от
несанкционированного доступа,
• средства антивирусной защиты,
• средства межсетевого экранирования,
• системы обнаружения вторжений,
• средства контроля (анализа) защищенности.
36
БТ01, КП32, КП37, КП39

37. 6. Информационная безопасность национальной платежной системы
Порядок действий
оператора платежной системы
Назначение структурного подразделения
(возложение на службу ИБ) или должностного лица,
ответственного за организацию защиты информации
в платежной системе.
В соответствии с выбранной организационной
моделью управления рисками в платежной системе
определение зоны ответственности за риски,
связанные с ИБ, выявление и обработка рисков.
Проектирование системы защиты информации,
обеспечивающей снижение выявленных рисков до
приемлемого уровня и нейтрализацию актуальных
угроз безопасности.
Установление правил доступа к средствам обработки
информации.
37
БТ01, КП32, КП37, КП39

38. 6. Информационная безопасность национальной платежной системы
Порядок действий
оператора платежной системы
Разработка пакета локальных нормативных
документов, устанавливающих порядок реализации
требований к защите информации.
Организация мониторинга за выполнением
установленных правил, выявление инцидентов и
реагирование на них. Результаты документируются
не реже 1 раза в 2 года, привлекая при
необходимости лицензиатов в области ТЗКИ
(в соответствии с Постановлением Правительства
№ 79 контроль защищенности конфиденциальной
информации от несанкционированного доступа и
модификации – лицензируемый вид деятельности).
38
БТ01, КП32, КП37, КП39

39. 6. Информационная безопасность национальной платежной системы
Ответственность за нарушение
установленных требований
Статья 15.36. Неисполнение
предписания Банка России,
направленного им при
осуществлении надзора в
национальной платежной системе
(введена ФЗ от 27.06.2011 № 162-
ФЗ)
Повторное в течение года
неисполнение … предписания Банка
России, направленного им при
осуществлении надзора в
национальной платежной системе, -
влечет наложение
административного штрафа на
должностных лиц в размере от 30
тысяч до 50 тысяч рублей; на
юридических лиц - от 100 тысяч до
500 тысяч рублей.
39
БТ01, КП32, КП37, КП39

40. 7. Лицензирование деятельности в области ИБ
Лицензируемые виды
деятельности
Статья 12. Перечень видов
деятельности, на которые требуются
лицензии
1. В соответствии с настоящим
Федеральным законом лицензированию
подлежат следующие виды
деятельности:
1) разработка, производство,
распространение шифровальных
(криптографических) средств, …
выполнение работ, оказание услуг в
области шифрования информации,
техническое обслуживание
шифровальных (криптографических)
средств, … (за исключением случая,
если техническое обслуживание
шифровальных (криптографических)
средств, … осуществляется для
обеспечения собственных нужд
юридического лица или
индивидуального предпринимателя); 40
БТ01, КП30, КП32, КП33, КП37, КП39

41. 7. Лицензирование деятельности в области ИБ
Лицензируемые виды
деятельности
Статья 12. Перечень видов
деятельности, на которые требуются
лицензии
1. В соответствии с настоящим
Федеральным законом лицензированию
подлежат следующие виды
деятельности:
5) деятельность по технической защите
конфиденциальной информации.
41
БТ01, КП30, КП32, КП33, КП37, КП39

42. 7. Лицензирование деятельности в области ИБ
Лицензирование деятельности,
связанной с шифрованием
Постановление Правительства РФ от 16.04.2012 № 313
«Об утверждении Положения о лицензировании деятельности
по разработке, производству, распространению шифровальных
(криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использованием
шифровальных (криптографических) средств, выполнению
работ, оказанию услуг в области шифрования информации,
техническому обслуживанию шифровальных
(криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использованием
шифровальных (криптографических) средств (за исключением
случая, если техническое обслуживание шифровальных
(криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использованием
шифровальных (криптографических) средств, осуществляется
для обеспечения собственных нужд юридического лица или
индивидуального предпринимателя)»
42
БТ01, КП30, КП32, КП33, КП37, КП39

43. 7. Лицензирование деятельности в области ИБ
Позиция Прокуратуры РФ
05 апреля 2012 года
Прокуратурой г. Уфы выявлены нарушения законодательства о
защите персональных данных
Прокуратурой г. Уфы проведена проверка соблюдения законодательства о защите
персональных данных в ООО «Исток-Сервис» и ООО «Инфорсер» при оказании
справочно-консультационных услуг при отделе государственного технического
осмотра и регистрации автомототранспортных средств ГИБДД УМВД России по
г.Уфа.
Установлено, что указанные юридические лица, осуществляли обработку
персональных данных … без соответствующей лицензии на деятельность по
технической защите информации, и не принимали предусмотренных
федеральным законодательством мер организационного, технического характера,
по защите персональных данных клиентов, что могло повлечь нарушение
конституционных прав граждан на неприкосновенность частной жизни.
По данному факту, с целью устранения нарушений действующего
законодательства прокуратурой г.Уфы в Октябрьский районный суд г.Уфы
направлены исковые заявления о приостановлении и признании незаконной
деятельности ООО «Исток-Сервис» и ООО «Инфорсер» по обработке и
хранению персональных данных, которые находятся на рассмотрении. 43
БТ01, КП30, КП32, КП33, КП37, КП39

44. 8. Обязательность сертификации СЗИ. Ввоз криптографии
Ограничения использования
средств защиты информации
Федеральными законами
могут быть установлены
ограничения использования
определенных средств
защиты информации и
осуществления отдельных
видов деятельности в области
защиты информации.
[Ограничения вводятся
путем создания системы
сертификации СЗИ и
установлением случаев,
когда применение
сертифицированных СЗИ
является обязательным]
44
БТ01, КП06, Т020, КП30, КП32, КП33

45. 8. Обязательность сертификации СЗИ. Ввоз криптографии
Техническое регулирование
Особенности оценки
соответствия продукции
(работ, услуг), а также
соответственно процессов ее
проектирования (включая
изыскания), производства,
строительства, монтажа,
наладки, эксплуатации,
хранения, перевозки,
реализации, утилизации,
захоронения устанавливаются
Правительством Российской
Федерации или
уполномоченными им
федеральными органами
исполнительной власти.
45
БТ01, КП06, Т020, КП30, КП32, КП33

46. 8. Обязательность сертификации СЗИ. Ввоз криптографии
Постановление Правительства
РФ от 15.05.2010 № 330
«Об особенностях оценки соответствия продукции
(работ, услуг), используемой в целях защиты
сведений, относимых к охраняемой в соответствии с
законодательством Российской Федерации
информации ограниченного доступа, не содержащей
сведения, составляющие государственную тайну, а
также процессов ее проектирования (включая
изыскания), производства, строительства, монтажа,
наладки, эксплуатации, хранения, перевозки,
реализации, утилизации и захоронения, об
особенностях аккредитации органов по
сертификации и испытательных лабораторий
(центров), выполняющих работы по подтверждению
соответствия указанной продукции (работ, услуг)»
46
БТ01, КП06, Т020, КП30, КП32, КП33

47. 8. Обязательность сертификации СЗИ. Ввоз криптографии
Постановление Правительства
РФ от 15.05.2010 № 330
Настоящее Положение не распространяется на
продукцию (работы, услуга), используемую в целях
защиты информации конфиденциального характера,
не являющейся государственным информационным
ресурсом и (или) персональными данными, а также
на связанные с ней процессы.
Оценка соответствия осуществляется в формах
обязательной сертификации и государственного
контроля (надзора).
Объектом обязательной сертификации является
продукция.
Объектом государственного контроля (надзора)
являются продукция (работы, услуги) и процессы.
47
БТ01, КП06, Т020, КП30, КП32, КП33

48. 8. Обязательность сертификации СЗИ. Ввоз криптографии
Ввоз криптографии
Решением Межгосударственного Совета
Евразийского экономического сообщества (высшего
органа таможенного союза) от 27 ноября 2009 г.
№ 19 и Решением Комиссии таможенного союза от
27 ноября 2009 г. № 132 утвержден ««Единый
перечень товаров, к которым применяются запреты
или ограничения на ввоз или вывоз государствами-
членами таможенного союза в рамках Евразийского
экономического сообщества в торговле с третьими
странами и положения о применении ограничений».
48
БТ01, КП06, Т020, КП30, КП32, КП33

49. 8. Обязательность сертификации СЗИ. Ввоз криптографии
Товары, ввоз которых
ограничивается
• Машины вычислительные и их части, имеющие
функции шифрования (криптографии);
• Устройства вычислительных машин, имеющие
функции шифрования (криптографии);
• Телекоммуникационное оборудование и его части,
имеющие функции шифрования (криптографии);
• Программные шифровальные (криптографические)
средства вне зависимости от носителя информации;
• Аппаратура доступа в сеть "Интернет" и
телевизионные приемники с коммуникационной
функцией, их части, имеющие функции шифрования
(криптографии);
• Прочие машины электрические и аппаратура,
имеющие индивидуальные функции, содержащие
шифровальные (криптографические) средства. 49
БТ01, КП06, Т020, КП30, КП32, КП33

50. 8. Обязательность сертификации СЗИ. Ввоз криптографии
Порядок ввоза-вывоза
Ввоз и вывоз шифровальных
средств осуществляется на
основании разовых лицензий
(далее - лицензий),
выдаваемых
уполномоченным органом
государства - участника
таможенного союза (далее -
уполномоченный орган), на
территории которого
зарегистрирован заявитель.
50
БТ01, КП06, Т020, КП30, КП32, КП33

51. 8. Обязательность сертификации СЗИ. Ввоз криптографии
Товары,
подлежащие нотификации
Товары с криптографическими средства, имеющие:
• симметричный криптографический алгоритм с
ключом длиной не более 56 бит;
o асимметричный криптографический алгоритм:
а) использующий разложение на множители целых
чисел, размер которых не превышает 512 бит;
б) основанный на вычислении дискретных
логарифмов в группе поля размером не более 512
бит или иной размером не более 112 бит;
в) на дискретном логарифме в группе, отличного
от поименованного в вышеприведенном подпункте
"б" размера, не превышающего 112 бит.
51
БТ01, КП06, Т020, КП30, КП32, КП33

52. 8. Обязательность сертификации СЗИ. Ввоз криптографии
Товары,
подлежащие нотификации
Шифровальные (криптографические) средства,
являющиеся компонентами программных
операционных систем, криптографические
возможности которых не могут быть изменены
пользователями, которые разработаны для
установки пользователем самостоятельно без
дальнейшей существенной поддержки поставщиком
и техническая документация (описание алгоритмов
криптографических преобразований, протоколы
взаимодействия, описание интерфейсов и т.д.) на
которые является доступной.
52
БТ01, КП06, Т020, КП30, КП32, КП33

53. 9. Парадоксы правосудия
Коммерческая тайна
или персональные данные?
В феврале 2008 г. мировой судья судебного
участка № 4 Красногорского района Каменска-
Уральского признал, что Л.В., ведущий
специалист страховой компании «Гамма»,
использовала составляющие коммерческую
тайну ОАО «Росгосстрах» сведения (клиентскую
базу) без согласия владельца (ч. 2 ст. 183 УК), и,
учитывая возраст (57 лет) и отсутствие
судимостей, приговорил ее к 6 месяцам лишения
свободы условно.
В мае 2009 года Таганский районный суд города
Москвы приговорил в особом порядке
к 1 году колонии-поселения бывшего сотрудника
«Росгосстрах» за попытку разглашения
клиентской базы (попытка продать их за 50 тыс.
руб. данные о 34 тыс. клиентах компании).
Официальный представитель «Росгосстраха»:
Работники департамента безопасности компании в постоянном
режиме ведут специальный мониторинг для выявления
несанкционированных копирований и пересылок информации,
составляющей коммерческую тайну. 53
КП05, КП30, КП32, КП39

54. 9. Парадоксы правосудия
Коммерческая тайна
Постановление Тринадцатого арбитражного суда от 27.02.2007
по делу № А56-39537/2006
Отказано в защите исключительных прав ООО «А.Д.Д. Дистрибуция»
на секреты производства:
1.Не доказан приоритет владельца секрета (содержащиеся в базах
данных клиентов сведения являются открытыми и общедоступными, и
могли быть получены каждым их участников спора самостоятельно.
2. Не доказано, что была передана непосредственно ИКТ, а также и то,
что именно названное лицо осуществило отправку сообщений, так как
доступ к электронному адресу имели и иные лица (системный
администратор, сотрудники службы безопасности).
54
КП05, КП30, КП32, КП39

55. 9. Парадоксы правосудия
Доступ акционера
к информации общества
Информационное письмо Президиума ВАС РФ ОТ
18.01.2011 № 144 "О некоторых вопросах практики
рассмотрения арбитражными судами споров о
предоставлении информации участникам
хозяйственных обществ»
Наличие в документах, запрашиваемых участником
(акционером), коммерческой или иной охраняемой
законом тайны не может быть безусловным основанием
для отказа в предоставлении информации. Если
документы, которые требует предоставить участник
хозяйственного общества, содержат конфиденциальную
информацию о деятельности общества, в том числе
коммерческую тайну, общество, прежде чем передать
соответствующие документы и (или) их копии, может
потребовать выдачи расписки, в которой участник
подтверждает, что предупрежден о конфиденциальности
получаемой информации и об обязанности ее
сохранять.
55
КП05, КП30, КП32, КП39

56. 9. Парадоксы правосудия
Некоторые выводы
• В России складывается практика правоприменения
гражданского, трудового и уголовного
законодательства в области коммерческой тайны.
• При соблюдении установленных законодательством
требований суды становятся на защиту
исключительных прав обладателя информации,
охраноспособной в режиме коммерческой тайны.
• Невыполнение даже части предусмотренных для
режима КТИ требований приводит к отказу в защите
прав гражданско-правовыми способами.
• Суды общей юрисдикции придают вопросам полноты
соблюдения установленных требований значительно
меньше значения, чем арбитражные суды.
• Практика меняется со временем и под влиянием
политической конъюнктуры.
56
КП05, КП30, КП32, КП39

57. 9. Парадоксы правосудия
Персональные данные
Постановление Тринадцатого арбитражного апелляционного суда
от 21 июня 2010 по делу N А56-4788/2010
В обжалуемом судебном акте суд первой инстанции правомерно
указал, что паспортные данные не отнесены Законом № 152-ФЗ к
персональным данным.
Согласно пункту 4 Описания бланка паспорта, имеющегося в
Положении о паспорте Гражданина Российской Федерации,
утвержденном Постановлением Правительства Российской
Федерации от 08.07.1997 N 828, в паспорт вносятся следующие
сведения о личности гражданина: фамилия, имя, отчество, пол, дата
рождения и место рождения.
В соответствии с пунктом 3 данного Описания нумерация бланка
паспорта состоит из 3 групп цифр. Первые 2 группы, состоящие из 4
цифр, обозначают серию бланка паспорта, третья группа, состоящая
из 6 цифр, обозначает номер бланка паспорта.
Таким образом, серия и номер паспорта относятся не к личности
гражданина, а к бланку документа, удостоверяющего его
личность.
57
КП05, КП30, КП32, КП39

58. 10. Уступка прав требования
Цессия:
Позиция Роспотребнадзора
Письмо Роспотребнадзора
от 23.08.2011 № 01/10790-1-32
«О практике применения судами
законодательства о защите прав потребителей
при замене лица в договорном обязательстве
(по делам с участием территориальных органов
Роспотребнадзора)»
Можно сделать вывод о наличии консолидированной
позиции арбитражных судов в отношении
очевидного отсутствия у так называемых
«коллекторов» законной возможности вступать с
потребителями в правоотношения, требующие
специального правого статуса, а также о влиянии
уже сформированной судебной практики на более
поздние дела, рассматриваемые арбитражными
судами. 58
КП05, КП39

59. 10. Уступка прав требования
Цессия: Позиция Высшего
арбитражного суда
Информационное письмо Президиума Высшего
Арбитражного Суда РФ № 146 от 13.09.2011
Суд указал, что требование возврата кредита,
выданного физическому лицу, не относится к числу
требований, неразрывно связанных с личностью
кредитора. Согласно ст.382 ГК РФ для перехода к
другому лицу прав кредитора не требуется согласие
должника, если иное не предусмотрено законом или
договором. Суд кассационной инстанции также
указал, что уступка требований, вытекающих из
кредитного договора, не нарушает нормативных
положений о банковской тайне (ст.26 Закона о
банках), т.к. цессионарий и его работники обязаны
хранить ставшую им известной информацию,
составляющую банковскую тайну.
59
КП05, КП39

60. 10. Уступка прав требования
Цессия:
Позиция Роскомнадзора
Управление Роскомнадзора по Новосибирской
области установило нарушения требований
законодательства о персональных данных ОАО
«Альфа-Банк» и ООО «Кредит Коллекшн Груп».
ОАО «Альфа Банк» допущена передача
персональных данных заявителя третьим лицам без
получения согласия субъекта.
В действиях ООО «Кредит Коллешн Груп» не были
выявлены основания, дающие право осуществлять
обработку персональных данных без согласия
заявителя.
Таким образом, Банком и коллекторским агентством
было нарушено требование ч.1 ст.6 152-ФЗ.
Материалы направлены на рассмотрение
прокурорам Москвы и Московской области.
60
КП05, КП39

61. 10. Уступка прав требования
Цессия:
Позиция Роскомнадзора
Управление Роскомнадзора по Ярославской области
не выявило нарушений требований
законодательства о персональных данных.
При анализе предоставленной информации
противоправность действий ООО КБ «Юниаструм
Банк» и ОАО «КИТ Финанс Инвестиционный Банк»
не подтвердилась, так как в тексте договора с
данными кредитными организациями присутствовал
раздел о согласии клиента на передачу его
персональных данных третьим лицам.
Обратившимся гражданам направлены разъяснения
по данному вопросу.
61
КП05, КП39

62. 10. Уступка прав требования
Цессия: Позиция
Минэкономразвития России
Проект ФЗ «О внесении изменений в отдельные
законодательные акты Российской Федерации в
связи с принятием Федерального закона
«О деятельности по взысканию просроченной
задолженности»»
Внести в ФЗ от 02.11.1990 № 395-1 «О банках и банковской
деятельности» следующие изменения:
1) статью 26 дополнить абзацем следующего содержания:
Информация по операциям юридических лиц, граждан,
осуществляющих предпринимательскую деятельность без
образования юридического лица, и физических лиц с их
согласия представляются кредитными организациями
субъектам коллекторской деятельности, по основаниям, в
порядке и на условиях, которые предусмотрены заключенным с
субъектом коллекторской деятельности договором в
соответствии с Федеральным законом «О деятельности по
взысканию просроченной задолженности».
62
КП05, КП39

63. 11. Контроль, надзор и проверки
Проверки Роскомнадзора
63
КП32, КП35, КП36, КП37, КП39

64. 11. Контроль, надзор и проверки
Штрафы Роскомнадзора
64
КП32, КП35, КП36, КП37, КП39

65. 11. Контроль, надзор и проверки
Основания для проверок
АДМИНИСТРАТИВНЫЙ РЕГЛАМЕНТ
исполнения Федеральной службой по надзору в сфере
связи, информационных технологий и массовых
коммуникаций государственной функции по
осуществлению государственного контроля (надзора) за
соответствием обработки персональных данных
требованиям законодательства РФ в области
персональных данных
(Приказ Минкомсвязи от 14.11.2011 № 312)
38. Внеплановые проверки проводятся по следующим
основаниям:
38.4. Нарушение прав и законных интересов граждан
действиями (бездействием) Операторов при обработке их
персональных данных.
38.5. Нарушение Операторами требований законодательства
РФ в области персданных, а также о несоответствии сведений,
содержащихся в уведомлении об обработке персональных
данных, фактической деятельности.
65
КП32, КП35, КП36, КП37, КП39

66. 11. Контроль, надзор и проверки
Привлечение экспертов
к проверкам
Реестры граждан и организаций, привлекаемых
Роскомнадзором в качестве экспертов к проведению
мероприятий по контролю при осуществлении проверок в
отношении операторов, осуществляющих обработку
персональных данных
Виды деятельности:
• Обследование и определение уровня защищенности
негосударственных ИСПДн, используемых оператором при
осуществлении своей непосредственной деятельности.
• Оценка соответствия применяемых технических СЗИ.
• Оценка достаточности и эффективности принимаемых
оператором технических мер по обеспечению безопасности
персданных при их обработке в негосударственных ИСПДн.
• Проведение исследований, а также проведение экспертиз и
расследований, направленных на установление причинно-
следственной связи выявленного нарушения обязательных
требований законодательства РФ в области персданных.
66
КП32, КП35, КП36, КП37, КП39

67. Обо всем это подробно
Вы прослушали дайджест по изменениям
российского законодательства в области
информационной безопасности
Все рассмотренные вопросы рассматриваются
на учебных курсах УЦ «Информзащита»!
Ближайшие курсы – на следующем слайде
67

68. Код Название курса Дата
курса Учебного центра «Информзащита» проведения
БТ01 Безопасность информационных технологий 24.09-28.09
КП05 Расследование компьютерных инцидентов 01.10-04.10
КП06 Предотвращение мошенничества на сетях связи 01.11-02.11
Т020 Организационно-правовые основы применения ЭЦП и 06.11
деятельности удостоверяющих центров
КП30 Реализация режима коммерческой тайны 25.09-26.09
КП31 Организация конфиденциального делопроизводства 27.09-28.09
КП32 Защита персональных данных 17.09-18.09
КП33 Техническая защита персональных данных 19.09-21.09
КП35 Регулирование отношений при осуществлении 24.09
проверок операторов персональных данных
КП36 Информационная безопасность для специалиста 27.09
кадровой службы
КП37 Изменения законодательства о персональных данных 28.09
и последствия для операторов
КП39 Сложные проблемы применения законодательства о 14.09
персональных данных в кредитно-финансовых
учреждениях 68

69. http://emeliyannikov.blogspot.com/
69

70. Спасибо!
Вопросы?
Учебный центр Емельянников
«Информзащита» Михаил Юрьевич
Консалтинговое агентство
«Емельянников, Попова и
партнеры»
+7 (495) 980 2345, доб.04 +7 (495) 761 5865
edu@itsecurity.ru mezp11@gmail.com