Тенденции развития законодательства по ИБ

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Тенденции развития
законодательства по ИБ
Алексей Лукацкий
Бизнес-консультант по безопасности
21 January 2016

2008
2010
2012 2013
2014
2015
Journey of building a stronger Security Business
2011
2000-е
Краткий обзор развития законодательства по ИБ
ПДн
СТОv4
382-П АСУ ТП
ПДн
БДУ
ГИС
ПДн
ПДн
CERTы
СОПКА
МИБАСУ ТП
КИИ
ПДн
СТОv5
СТО/РС
СТР-К
ПКЗ

3© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Доктринальные документы

Настало время изменения доктринальных документов
Что было?
•  Душанбинская декларация о МИБ от
имени ШОС
•  Основы госполитики в области МИБ
•  Двусторонние соглашения по МИБ с
Кубой, Беларусью и Бразилией
•  CERT для ОДКБ
•  Сотрудничество по ИБ в рамках СНГ
•  Соглашение о мерах доверия в
киберпространстве с США
•  «Пакт о ненападении в
киберпространстве» ООН
Что будет?
•  Двусторонние соглашения по МИБ с
Китаем
•  Гармонизация законодательства по
ИБ в рамках ОДКБ
•  Конвенция по МИБ для стран-
участниц БРИКС
•  Доктрина ИБ
•  Основы госполитики в области
формирования культуры ИБ

Новая Доктрина информационной безопасности
§  Является доктринальным документом,
определяющим развитие ИБ в России на долгие
годы вперед
§  Принятие запланировано на конец 2015-го года
Если не будет замечаний у Президента РФ
§  Реализация начнется в 2016-м году

Национальная платежная
система и банки

Изменения по направлению НПС/банковской тайны
Что было?
•  382-П (3361-У)
•  42-Т
•  49-Т
•  242-П (3241-У)
•  437-П
•  СТО БР ИББС 1.0 и 1.2
•  Отмена РС 2.3 и 2.4
•  Принятие новых РС 2.5, 2.6, 2.7
и 2.8
Что будет?
•  Новые РС
•  Требования для организаций
финансового рынка
•  FinCERT
•  Отраслевая модель угроз ПДн
•  НСПК
•  Поправки в УК, УПК…
•  Оценка соответствия
приложений
•  Смена «владельца» 382-П (?)

Новые РС – 2.7 и 2.8
§  Рекомендации в области стандартизации Банка
России «Обеспечение информационной
безопасности организаций банковской системы
Российской Федерации. Обеспечение
информационной безопасности при
использовании технологий виртуализации» (РС БР
ИББС-2.7-2014)
§  Рекомендации в области стандартизации Банка
России «Обеспечение информационной
безопасности организаций банковской системы
Российской Федерации. Ресурсное обеспечение
информационной безопасности» (РС БР
ИББС-2.8-2014)

Новости стандартизации
§  ЦБ готовит в 2015-2016 гг. РС по
предотвращению утечек, по антифроду, по
распределению ролей, по облакам и
аутсорсингу, по расследованию инцидентов
РС по классификации информации частично вошла в РС по
предотвращению утечек
§  ЦБ планирует пересмотреть СТО БР
ИББС-1.1, РС БР ИББС-2.0, РС БР ИББС-2.1,
РС БР ИББС-2.2
§  ЦБ планирует расширить действие СТО 1.0 и
1.2 на все отрасли, которые попали под ЦБ
после слияния с ФСФР

Что с отраслевой моделью угроз ПДн?
§  Проект Указания Банка России «Об определении
угроз безопасности персональных данных,
актуальных при обработке персональных данных
в информационных системах персональных
данных»
Полностью переиграли документ в условиях текущей
геополитической ситуации
Угрозы 1-го и 2-го типа уже не считаются неактуальными
изначально – решение отдается на откуп банкам
Заново отправлен на согласование в ФСТЭК и ФСБ
§  Переподписание «письма шести»
После актуализации СТО БР

Информационная безопасность НСПК
§  НСПК – часть НПС и подчиняется требованиям 382-П
§  Отдельных документов по безопасности НСПК пока не планируется
1 этап
•  Реализация отечественного HSM,
повторяющего функционал
импортных аналогов с
использованием отечественных
криптоалгоритмов только в
автономных режимах
2 этап
•  Реализация в отечественном HSM
набора дополнительных команд с
использованием отечественных
криптоалгоритмов
•  Реализация с использованием
отечественного HSM трёхуровневой
PKI инфраструктуры с
использованием импортных и
отечественных крипто алгоритмов
•  Реализация корневого УЦ НПС
(аналога УЦ МПС Visa или
MasterCard)
3 этап
•  Разработка отечественной чиповой
карты
•  Разработка спецификаций и
приложений с поддержкой
отечественных криптоалгоритмов
для всех устройств, участвующих в
поддержке платежных транзакций.
•  Разработка программы подготовки к
эмиссии карт НПС и поэтапного
перевода всех устройств на работу с
двумя криптографическими
алгоритмами

Противодействие преступлениям в финансовой сфере
§  Подготовлены изменения в законодательство
направленное на противодействие
преступлениям в финансовой сфере с
применением современных технологий
ФЗ-395-1, ФЗ-86, ФЗ-161
В статьи 159.3 УК РФ, 187 УК РФ, 272 УК РФ, статью 152
УПК РФ, проекты статей 183.1 УК РФ и 183.2 УК РФ
Изменения в АПК
Подготовлены предложения по проекту ФЗ «О внесении
изменений в некоторые законодательные акты РФ (в части
противодействия хищению денежных средств)»

Российский PADSS? Когда?
§  Вновь поднимается идея об оценке качества
ПО АБС и платежных приложений
Распоряжение Совета Безопасности
Не до конца проработан механизм оценки – через СРО или
сертификацию?
§  Кто будет входить в СРО?
Разработчики ПО
Интеграторы
Аудиторы
§  Много открытых вопросов про СРО или оценке
соответствия
Как минимум, требуется изменение законодательства

Контроль качества данных и ПО
§  Проект Положения Банка России «О порядке расчёта величины кредитного
риска на основе внутренних рейтингов» – первый нормативный документ
Банка России, в котором планируется реализовать требования абз. 1 ст. 72.1
Федерального закона РФ от 10.07.2002 №86-ФЗ
§  Банк обеспечивает в течение всего периода функционирования ИС защиту от
несанкционированных и нерегламентированных изменений и удалений
данных путем принятия мер инф. безопасности (ИБ):
мер по обеспечению ИБ на всех стадиях жизненного цикла ИС,
мер по управлению доступом к данным и его регистрацией,
мер по применению средств защиты от воздей-я вредоносного кода,
мер по обеспечению ИБ при использовании сети Интернет,
мер по обеспечению ИБ путем экспл-и ср-в крипт. защиты инф-и,
мер по обнаружению и реагированию на инциденты ИБ,
мер по мониторингу обеспечения ИБ

Новости по отчетности
§  Вопрос о слиянии 258-й и 203-й форм так и
не решен
Т.к. они разработаны для разных целей – развития и
надзора в НПС
§  Результаты 202-й и 203-й отчетности
должны были быть опубликованы в марте
2015 года
Но видимо уже и не будут
§  Передавать (отменять) 203-ю отчетность
под FinCERT пока не планируется
И цели у 203-й отчетности иные, и FinCERT пока не
заработал

Готовится методика проверки по вопросам безопасности

FinCERT начал работу с 1-го июля 2015-го года
§  Задержка с созданием FinCERT связана с
Крымом и текущей экономической ситуацией
§  Не только НСПК
§  Большое количество вопросов, связанных с
функционированием FinCERT, порядок
предоставления в него информации,
ответственности/обязанности,
предоставляемой из FinCERT информации
Только техническая информация (черные списки, домены,
IP, анализ malware, Threat Intelligence и т.п.) или правила
антифрода?
§  Интеграция с ГосСОПКА

ФСТЭК и Банк России: схожесть подходов
Банк России
•  РС по виртуализации
•  РС по утечкам
•  РС по облакам
•  РС по жизненному циклу
•  РС по менеджменту
инцидентов
•  РС по ресурсному
обеспечению
ФСТЭК
•  ГОСТ по виртуализации
•  РД по утечкам
•  ГОСТ по облакам
•  ГОСТы по SDLC и
управлению уязвимостями
•  Методичка по управлению
инцидентами
•  ГОСТ по показателям
качества

Планы ФСТЭК

Изменения по направлению ГИС
Что было?
•  Приказ ФСТЭК №17 по защите
информации в ГИС
•  Методический документ по мерам
защиты информации в
государственных
информационных системах
Что будет?
•  Порядок моделирования угроз
безопасности информации в
•  Новая редакция приказа №17 и
«мер защиты в ГИС»
•  Методические и руководящие
документы ФСТЭК
•  Законопроекты о запрете хостинга
ГИС за пределами РФ, о
служебной тайне, по
импортозамещению…

Меры по защите информации: общее
Защитная мера ПДн ГИС АСУ ТП
Идентификация и аутентификация субъектов доступа и объектов доступа
+ + +
Управление доступом субъектов доступа к объектам доступа
+ + +
Ограничение программной среды
+ + +
Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ
+ + +
Регистрация событий безопасности
+ + +
Антивирусная защита
+ + +
Обнаружение (предотвращение) вторжений
+ + +
Контроль (анализ) защищенности персональных данных
+ + +
Обеспечение целостности информационной системы и КИ
+ + +
Обеспечение доступности персональных данных
+ + +
Защита среды виртуализации
+ + +
Защита технических средств
+ + +
Защита информационной системы, ее средств, систем связи и передачи данных
+ + +

Меры по защите информации: различия
Управление инцидентами
+ +
Управление конфигурацией информационной системы и системы защиты КИ
+ +
Безопасная разработка прикладного и специального программного обеспечения разработчиком
+
Управление обновлениями программного обеспечения
+
Планирование мероприятий по обеспечению защиты информации
+
Обеспечение действий в нештатных (непредвиденных) ситуациях
+
Информирование и обучение пользователей
+
Анализ угроз безопасности информации и рисков от их реализации
+
•  Планы
–  Унификация перечня защитных мер для всех трех приказов
–  Выход на 2-хлетний цикл обновления приказов
§  Завершаются работы по подготовке второй редакции 17-го приказа
В первой половине 2016-го года планируется принятие
§  Предполагается унифицировать набор защитных мер во всех 3-х
приказах

Новые требования к средствам защиты
§  Совершенствование сертификации
средств защиты информации
Планируется разработка большого количества РД
с требованиями к средствам защиты
Изменение подходов к сертификации
Совершенствование порядка аккредитации
органов по сертификации и испытательных
лабораторий
Совершенствование порядка сертификации
Уточнение порядка обновления
сертифицированных средств защиты информации
А также
•  Требования к средствам защиты виртуализации,
BIOS
•  Требования к средствам защиты информации от
утечки по техническим каналам

Планируемые методические документы ФСТЭК
§  Порядок аттестации информационных систем
§  Порядок обновления программного обеспечения
и информационных систем
§  Порядок выявления и устранения уязвимостей в
§  Защита информации в информационной системе при
использовании мобильных устройств
§  Порядок реагирования на инциденты, связанных с
нарушением функционирования информационной
системы
§  Защита информации в информационных системах при
применении устройств беспроводного доступа
Разработка
запланирована
на второй квартал
2015 года

Усиление внимания к безопасности ПО
§  Новые требования к СрЗИ
§  3 ГОСТа по уязвимостям
§  Проект ГОСТа по SDLC – планируется принятие
в конце года
§  Банк данных уязвимостей и угроз
§  Методика обновления ПО, включая
сертифицированное

Методика моделирования угроз
§  Методика определения угроз безопасности
информации в информационных системах
§  Распространяется на
ГИС / МИС
ИСПДн
§  Не распространяется на угрозы СКЗИ и ПЭМИН
§  Отменяет «методику определения актуальных
угроз…» 2008-го года
§  Применяется совместно с банком данных угроз
ФСТЭК

Процедура моделирования угроз
§  Определить область применения методики моделирования угроз
§  Идентифицировать источники и угрозы безопасности
Определение типа и вида нарушителя
Определение возможных способов реализации угроз
§  Оценить возможности реализации и опасности угрозы
Определение возможности реализации угроз
Определение уровня защищенности
Определение потенциала нарушителя
Определение уровня опасности угрозы
§  Мониторить и переоценивать угрозы

Приложения к методике моделирования угроз
§  Рекомендации по формированию экспертной группы и по повышению
качества экспертной оценки
§  Структура модели угроз
§  Определение потенциала нарушителя

Новые ГОСТы по защите информации
§  Готовящиеся ГОСТы
Безопасность суперкомпьютерных и грид-технологий
ИБ виртуализации
ИБ «облачных вычислений»
Документация по технической защите информации на объекте
информатизации
Угрозы безопасности информации
Номенклатура показателей качества
Основные термины и определения
Гармонизация 72-х стандартов ISO

АСУ ТП, КСИИ, КИИ и КВО

Изменения по направлению КИИ / КСИИ / КВО / АСУ ТП
Что было?
•  Приказ ФСТЭК №31 по защите
АСУ ТП
•  Концепция государственной
системы обнаружения,
предупреждения и ликвидации
последствий компьютерных атак
на информационные ресурсы
РФ
Что будет?
•  Законопроект по безопасности
критических информационных
инфраструктур
•  Законопроект о внесении
изменений в связи с принятием
закона о безопасности КИИ
•  Подзаконные акты
•  Приказы и методички ФСБ
•  Методические документы
ФСТЭК

А будет ли закон?
§  Неоднократные слухи об отказе от разработки
проекта закона «О безопасности критической
информационной инфраструктуры»
Слишком много непонятных моментов в законопроекте – кто
регулятор, кто крайний, как делить ответственность между
регуляторами по ИБ и ПБ?
§  Активизация 8-го Центра ФСБ в части разработки
требований к ГосСОПКА и обязательному
подключению к ней государственных органов и
компаний

Поправки в связи с принятием закона о безопасности КИИ
§  Поправки в УК РФ и УПК РФ
Внесение изменений в статьи 272, 274, 151 (УПК)
§  Поправки в закон «О государственной тайне»
Сведения о степени защищенности и мерах безопасности объектов средней и высокой степени
опасности
§  Поправки в 294-ФЗ
Выведение из под порядка проведения проверок КИИ
§  Поправки в 184-ФЗ
Исключение двойного регулирования

Что еще готовится в связи с законопроектом о
безопасности КИИ?
§  Определение ФОИВ, уполномоченного в области безопасности КИИ
Через 6 месяцев после принятия закона
§  Постановления Правительства «Об утверждении показателей критериев
категорирования элементов критической информационной инфраструктуры»
Принятие в течение 6 месяцев после определения ФОИВ, уполномоченного в области безопасности
КИИ
§  Постановление Правительства «Об утверждении порядка подготовки и
использования ресурсов единой сети связи электросвязи для обеспечения
функционирования и взаимодействия объектов КИИ»
§  Приказ Минкомсвязи об условиях установки СОВ на сетях электросвязи

Планируемые приказы уполномоченного ФОИВа
§  Приказ уполномоченного ФОИВ об утверждении требований по
безопасности КИИ
Это не 31-й приказ!!!
§  Приказ уполномоченного ФОИВ об аккредитации организаций,
уполномоченных проводить оценку защищенности КИИ
§  Приказ уполномоченного ФОИВ о представлении сведений для
категорирования
§  Приказ уполномоченного ФОИВ о контроле/надзоре
§  Приказ уполномоченного ФОИВ о реестре объектов КИИ

Планируемые приказы ФСБ (8-й Центр)
§  Приказ ФСБ об утверждении порядка реагирования на компьютерные
инциденты и ликвидации последствий компьютерных атак на объектах КИИ
§  Приказ ФСБ о перечне и порядке предоставлений сведений в СОПКА
§  Приказ ФСБ о порядке доступа к информации в СОПКА
§  Приказ ФСБ об утверждении требований к техсредствам СОПКА
§  Приказ ФСБ об установке и эксплуатации техсредств СОПКА
§  Приказ ФСБ о национальном CERT
§  Приказ о порядке и периодичности проведения мероприятий по оценке
степени защищенности критической информационной инфраструктуры

Планируемые методические документы ФСБ (8-й Центр)
§  Методика обнаружения компьютерных атак на информационные системы и
информационно-телекоммуникационные сети
§  Порядок обмена информацией между федеральными органами
исполнительной власти о компьютерных инцидентах
§  Порядок обмена информацией между федеральными органами
исполнительной власти и уполномоченными органами иностранных
государств (международными организациями) о компьютерных инцидентах
§  Методические рекомендации по организации защиты критической
информационной инфраструктуры Российской Федерации от компьютерных
атак

Планируемые методические документы ФСТЭК
§  Применение «старых» документов ФСТЭК по КСИИ в качестве
рекомендательных и методических
«Рекомендации…» и «Методика определения актуальных угроз…»
§  Порядок выявления и устранения уязвимостей в АСУ ТП
§  Методика определения угроз безопасности информации в АСУ ТП
§  Порядок реагирования на инциденты, связанные с нарушением
безопасности информации
§  Меры защиты информации в АСУ ТП
По аналогии с «Мерами защиты в ГИС»
2016 год

Персональные данные

Изменения по направлению ПДн
Что было?
• Приказ ФСТЭК №21 по защите
ПДн в ИСПДн
• Приказ об отмене «приказа трех»
по классификации ИСПДн
• Приказ и методичка РКН по
обезличиванию
• Закон 242-ФЗ о запрете хранения
ПДн россиян за границей
• Письмо Банка России 42-Т
• Приказ ФСБ №378 по
использованию СКЗИ для защиты
ПДн
• ПП-911 по отмене обязательного
обезличивания
Что могло быть?
• Работа Межведомственного
экспертного совета при
Минкомсвязи по
совершенствованию
законодательства в области
регулирования отношений,
связанных с обработкой ПДн
• Отраслевые модели угроз
• Ратификация дополнительного
протокола Евроконвенции (181)
• Законопроект по ответственности
за неуведомление о утечке ПДн
• Законопроект по запрету отказа от
предоставления услуг при отказе
от дачи согласия на обработку
ПДн
• Поправки в ФЗ-242
Что есть и будет?
• Законопроект Совета Федерации
по внесению изменений в ФЗ-152
• Законопроект по внесению
изменений в КоАП
• Постановление Правительства по
надзору в сфере ПДн
• Выход РКН из под действия 294-
ФЗ
• Изменения в приказ №21
• Совет Европы примет новый
вариант ЕвроКонвенции
• Методичка ФСТЭК по
моделированию угроз
• Методичка ФСБ по
моделированию угроз
• Методичка РКН о порядке
организации и осуществления
контроля за обработкой ПДн
• Постатейный комментарий РКН

Правонарушение
Нарушаемая статья
законодательства
Наказание для
должностных лиц
Наказание для
юридических лиц
Нарушение требований к согласию Ст.9 ФЗ-152 3-8 тысяч рублей 15-50 тысяч рублей
Обработка ПДн без согласия Ст.6 ФЗ-152 5-15 тысяч рублей 30-50 тысяч рублей
Незаконная обработка
спецкатегорий ПДн
Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей
Неопубликование политики в
области ПДн
Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей
Отказ в предоставлении
информации субъекту
Ст.14, ст.20 ФЗ-152 4-6 тысяч рублей 20-40 тысяч рублей
Отказ в уничтожении или
блокировании ПДн
Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей
Нарушение правил хранения
материальных носителей ПДн
ПП-687 4-10 тысяч рублей 25-50 тысяч рублей
Нарушение правил обезличивания
(для госов)
ПП-211 и приказ РКН
№996
3-6 тысяч рублей Не предусмотрено
Законопроект по штрафам завис на первом чтении
§  Комитет по конституционному законодательству против (не хочет давать
РКН дополнительные полномочия)

Меры по защите ПДн: в 2016-м ждем новую редакцию
Управление инцидентами
+ +
Управление конфигурацией информационной системы и системы защиты КИ
+ +
Безопасная разработка прикладного и специального программного обеспечения разработчиком
+
Управление обновлениями программного обеспечения
+
Планирование мероприятий по обеспечению защиты информации
+
Обеспечение действий в нештатных (непредвиденных) ситуациях
+
Информирование и обучение пользователей
+
Анализ угроз безопасности информации и рисков от их реализации
+
•  Планы
–  Унификация перечня защитных мер для всех трех приказов
–  Выход на 2-хлетний цикл обновления приказов
§  В 2016-м году будет готовиться вторая редакция 21-го приказа ФСТЭК
§  Предполагается унифицировать набор защитных мер во всех 3-х
приказах ФСТЭК по защите ГИС/МИС, ИСПДн и АСУ ТП

Проект методики моделирования угроз ФСТЭК
§  Методика определения угроз безопасности
информации в информационных системах
§  Распространяется на
ГИС / МИС
ИСПДн (рекомендательный характер)
§  Не распространяется на угрозы СКЗИ и ПЭМИН
§  Отменяет «методику определения актуальных
угроз…» 2008-го года
§  Применяется совместно с банком данных угроз
ФСТЭК
§  Будет принята осенью 2015-го года

Методика моделирования угроз ФСБ
§  Методика определения актуальных угроз
безопасности ПДн в ИСПДн
§  Предназначена только для органов власти,
пишущих отраслевые модели угроз для
подведомственных учреждений
§  Ориентирована только на компетенцию ФСБ –
СКЗИ
§  СКЗИ обязательны при передаче ПДн по
каналам связи
§  Помните, что это всего лишь методические
рекомендации

Проект модели угроз ПДн Банка России
§  Тип - Указание Банка России
Обязательна для всех банков, действующих на территории РФ
§  Согласована с ФСТЭК и ФСБ
§  Вторая редакция
Первая – 2013 год
Модель угроз ПДн из РС 2.4 отменена в 2014-м году
§  10 угроз безопасности ПДн
47 (21) - в первой редакции
88 – в РС 2.4
Угрозы НДВ (1-го и 2-го типа) оцениваются самим оператором
ПДн
Угрозы биометрическим и общедоступным ПДн не
рассматриваются

Вы не забыли про Конвенцию?
§  Ратификация дополнительного протокола к конвенции о защите частных лиц
в отношении автоматизированной обработки данных личного характера, о
наблюдательных органах и трансграничной передаче информации (ETS N
181)
§  До конца 2015-го года (возможно) будет принята новая редакция
Евроконвенции
§  ФЗ-152 придется гармонизировать с Евроконвенцией
Очередной виток изменений (серьезных) в законодательстве
Если Россия не выйдет из Совета Европа

Закон о запрете хранения ПДн россиян за границей
§  Реализация положений ФЗ-242 «о запрете
хранения ПДн россиян за границей»
Базы ПДн, в которых происходит первичная регистрация и
актуализация ПДн россиян, должны находится на территории РФ
Хотя слова «только» в законе нет, по сути вводится апрет
хранения за пределами РФ
Наказание за нарушение
Выведение РКН из под действия
294-ФЗ
§  Вступил в силу с 1 сентября 2015 года
Слухи о переносе сроков на 1 год не подтвердились
§  Первые нарушители уже заблокированы
Реальные нарушители, незаконно распространяющие ПДн с
зарубежных сайтов

Локализация баз данных – это не российская новация
§  Локализация баз данных – это не российский
прецедент
Например, Вьетнам и ряд других стран
§  Верховный европейский суд принял решение об
отмене договора Совета Европы и США о
хранении персональных данных европейских
граждан на территории США
Нас ждет интересное развитие событий

Локализация баз данных. Обратите внимание!
§  В ФЗ-242 речь идет о первичном сборе, записи, систематизации, накоплении,
хранении, уточнении, обновлении, изменении, извлечении ПДн, которые
должны производиться на территории России
Такие действия с ПДн, как использование, передача, распространение, предоставление, доступ,
обезличивание, блокирование, удаление, уничтожение могут производиться где угодно
§  Изменения должны вноситься в БД на территории России
§  База данных и приложение, обращающееся к ней – это разные сущности
Приложение может быть где угодно
§  На трансграничную передачу и доступ к ПДн из-за пределов России
ограничений нет
§  ПДн могут обрабатываться за пределами РФ, за исключением их сбора
Неизменяемое зеркало

Самая простая часть ФЗ-242 уже реализована
§  Роскомнадзор сформировал реестр
нарушителей прав субъектов персональных
данных
§  В реестр будут вноситься все интернет-
ресурсы, обрабатывающие персональные
данные с нарушениями законодательства
Включение компаний в реестр будет происходить
по решению суда по искам, которые могут
инициировать как сами субъекты персональных
данных, так и Роскомнадзор, зафиксировавший
нарушение
Реестр заработал с 1 сентября
§  Снимать блокировку будет РКН сам
При действующем судебном решении (!)

Два приказа РКН в отношении нарушений ФЗ-242/ФЗ-152
§  Приказ РКН №85 от 22.07.2015 «Об утверждении формы заявления субъекта
ПДн о принятии мер по ограничению доступа к информации,
обрабатываемой с нарушением законодательства РФ в области ПДн»
§  Приказ РКН №84 от 22.07.2015 «Об утверждении Порядка взаимодействия
оператора реестра нарушителей прав субъектов ПДн с провайдером хостинга
и Порядка получения доступа к информации, содержащейся в реестре
нарушителей прав субъектов ПДн, оператором связи»

Изменение правил надзора
§  Снижение числа проверок в отношении
операторов персональных данных
§  Переход на риск-ориентированную
модель при проведении надзорных
мероприятий
После принятия соответствующего
законопроекта
Поднадзорные организации предполагается
разделить на группы в зависимости от степени
риска нарушений для экономики и ее граждан,
и на основе такой дифференциации
планировать и проводить надзорные
мероприятия
§  Выход из под действия ФЗ-294

Готовится новое Постановление Правительства
§  Контроль и надзор за соответствием обработки
ПДн требованиям законодательства
§  Явно исключается надзор в сфере надзора за
выполнением организационных и технических
мер защиты информации
§  3 типа проверок
Плановые
Внеплановые
Мероприятия систематического наблюдения
§  Плановые и внеплановые проверки проводятся в
форме документарных и выездных проверок
Плановые проверки и мероприятия осуществляются на
основе утвержденного плана, размещаемого на сайте РКН

И в заключение

Близится гособлако
§  Распоряжение Правительства РФ от 7 октября
2015 года №1995-р об утверждении Концепции
перевода обработки и хранении государственных
информационных ресурсов, не содержащих
сведения, составляющие государственную тайну,
в систему федеральных и региональных центров
обработки данных
Июнь 2016 – пилот для трех ФОИВов
Сентябрь 2016 – разработка правил, критериев и порядка
включения ЦОДов
Декабрь 2016 – создание системы ЦОДов
Январь 2018 – декабрь 2020 – перевод всех госорганов
Январь 2019 – декабрь 2021 – перевод всех
госкорпораций и компаний с госучастием

Благодарю
за внимание

Тенденции развития законодательства по ИБ

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Тенденции развития законодательства по ИБ

Similar to Тенденции развития законодательства по ИБ (20)

More from Cisco Russia

More from Cisco Russia (20)

Recently uploaded

Recently uploaded (9)

Тенденции развития законодательства по ИБ