Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Последние изменения в законодательстве о персональных данных

7,040 views

Published on

Краткий обзор готовящихся изменений в законодательстве по персональным данным

Published in: Law
  • Dating for everyone is here: ❤❤❤ http://bit.ly/2F7hN3u ❤❤❤
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Follow the link, new dating source: ♥♥♥ http://bit.ly/2F7hN3u ♥♥♥
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Последние изменения в законодательстве о персональных данных

  1. 1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 Последние изменения законодательства о персональных данных Алексей Лукацкий Бизнес-консультант по безопасности 29 June 2015
  2. 2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 Изменения по направлению ПДн Что было? •  Приказ ФСТЭК №21 по защите ПДн в ИСПДн •  Приказ об отмене «приказа трех» по классификации ИСПДн •  Приказ и методичка РКН по обезличиванию •  Закон 242-ФЗ о запрете хранения ПДн россиян за границей •  Письмо Банка России 42-Т •  Приказ ФСБ №378 по использованию СКЗИ для защиты ПДн •  ПП-911 по отмене обязательного обезличивания Что могло быть? •  Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн •  Отраслевые модели угроз •  Ратификация дополнительного протокола Евроконвенции (181) •  Законопроект по ответственности за неуведомление о утечке ПДн •  Законопроект по запрету отказа от предоставления услуг при отказе от дачи согласия на обработку ПДн Что будет? •  Законопроект Совета Федерации по внесению изменений в ФЗ-152 •  Законопроект по внесению изменений в КоАП •  Поправки в ФЗ-242 (?) •  Постановление Правительства по надзору в сфере ПДн •  Выход РКН из под действия 294-ФЗ •  Изменения в приказ №21 •  Совет Европы примет новый вариант ЕвроКонвенции •  Методичка ФСТЭК по моделированию угроз •  Методичка ФСБ по моделированию угроз •  Модель угроз ПДн Банка России •  Методичка РКН о порядке организации и осуществления контроля за обработкой ПДн •  Постатейный комментарий РКН
  3. 3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3 Регуляторы хотят расширить понятие ПДн §  Советник Президента г-н Щеголев (бывший министра связии массовых коммуникаций) 20 апреля предложил расширить толкование термина «персональные данные» и ужесточить требования к Интернет-сервисам §  Руководитель Роскомнадзора Александр Жаров назвал предложения Щеголева глубокими и содержательными, заявив, что его ведомство будет над ними работать вместе с Советом Федерации и Госдумой
  4. 4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4 Разъяснения РКН по поводу ФЗ-152 §  Постатейный комментарий к ФЗ-152/ФЗ-242, подготовленный сотрудниками РКН 176 страниц Продается за деньги – 265/100 рублей (бумажный/ электронный вариант) §  Некоторые разъяснения противоречат предыдущим разъяснениям РКН Данным при прежнем руководстве §  РКН не имеет права официально комментировать законодательство Но стоит обратить внимание на позицию регулятора, используемую при проверках
  5. 5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 Правонарушение Нарушаемая статья законодательства Наказание для должностных лиц Наказание для юридических лиц Нарушение требований к согласию Ст.9 ФЗ-152 3-8 тысяч рублей 15-50 тысяч рублей Обработка ПДн без согласия Ст.6 ФЗ-152 5-15 тысяч рублей 30-50 тысяч рублей Незаконная обработка спецкатегорий ПДн Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей Неопубликование политики в области ПДн Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей Отказ в предоставлении информации субъекту Ст.14, ст.20 ФЗ-152 4-6 тысяч рублей 20-40 тысяч рублей Отказ в уничтожении или блокировании ПДн Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей Нарушение правил хранения материальных носителей ПДн ПП-687 4-10 тысяч рублей 25-50 тысяч рублей Нарушение правил обезличивания (для госов) ПП-211 и приказ РКН №996 3-6 тысяч рублей Не предусмотрено Законопроект по штрафам прошел первое чтение
  6. 6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Меры по защите ПДн: в 2016-м ждем новую редакцию Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации + •  Планы –  Унификация перечня защитных мер для всех трех приказов –  Выход на 2-хлетний цикл обновления приказов §  В 2016-м году возможно будет готовиться вторая редакция 21-го приказа ФСТЭК §  Предполагается унифицировать набор защитных мер во всех 3-х приказах ФСТЭК по защите ГИС/МИС, ИСПДн и АСУ ТП
  7. 7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 Проект методики моделирования угроз ФСТЭК §  Методика определения угроз безопасности информации в информационных системах §  Распространяется на ГИС / МИС ИСПДн (рекомендательный характер) §  Не распространяется на угрозы СКЗИ и ПЭМИН §  Отменяет «методику определения актуальных угроз…» 2008-го года §  Применяется совместно с банком данных угроз ФСТЭК §  Будет принята вероятно осенью 2015-го года
  8. 8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Методика моделирования угроз ФСБ §  Методика определения актуальных угроз безопасности ПДн в ИСПДн §  Предназначена только для органов власти, пишущих отраслевые модели угроз для подведомственных учреждений §  Ориентирована только на компетенцию ФСБ – СКЗИ §  СКЗИ обязательны при передаче ПДн по каналам связи §  Помните, что это всего лишь методические рекомендации
  9. 9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 Проект модели угроз ПДн Банка России §  Тип - Указание Банка России §  Согласована с ФСТЭК и ФСБ §  Вторая редакция Первая – 2013 год Модель угроз ПДн из РС 2.4 отменена в 2014-м году §  10 угроз безопасности ПДн 47 (21) - в первой редакции 88 – в РС 2.4 Угрозы НДВ (1-го и 2-го типа) оцениваются самим оператором ПДн Угрозы биометрическим и общедоступным ПДн не рассматриваются
  10. 10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Вы не забыли про Конвенцию? §  Ратификация дополнительного протокола к конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации (ETS N 181) §  До конца 2015-го года (возможно) будет принята новая редакция Евроконвенции §  ФЗ-152 придется гармонизировать с Евроконвенцией Очередной виток изменений (серьезных) в законодательстве Если Россия не выйдет из Совета Европа
  11. 11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Сюрприз от Управделами Президента §  Абсолютно непонятная НИР от Управделами Президента РФ по разработке предложений по повышению защищенности персональных данных Размещена 22-го июня
  12. 12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 Что еще будет в самом скором времени? §  Проект приказа РКН «Об утверждении формы заявления субъекта ПДн о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства РФ в области ПДн» §  Проект приказа РКН «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов ПДн с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов ПДн, оператором связи» §  Законопроект «О внесении изменений в ФЗ «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты РФ» (закон о «праве на забвение») §  Законопроект «О внесении изменений в КоАП (в части установления административной ответственности операторов поисковых систем)» (о наказании нарушителей права на забвение)
  13. 13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 Закон о запрете хранения ПДн россиян за границей §  Реализация положений ФЗ-242 «о запрете хранения ПДн россиян за границей» Запрет хранения Наказание за нарушение Выведение РКН из под действия 294-ФЗ §  Вступает в силу с 1 сентября 2015 года Множество слухов о переносе сроков на 1 год §  Ассоциация европейского бизнеса неоднократно писала письма в различные органы государственной и законодательной власти и получала ответы по данному закону
  14. 14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14 Самая простая часть уже реализуется §  Роскомнадзор до 15 августа сформирует реестр нарушителей прав субъектов персональных данных §  В реестр будут вноситься все интернет- ресурсы, обрабатывающие персональные данные с нарушениями законодательства Включение компаний в реестр будет происходить по решению суда по искам, которые могут инициировать как сами субъекты персональных данных, так и Роскомнадзор, зафиксировавший нарушение Реестр заработает с 1 сентября §  Проект Постановления Правительства уже опубликован
  15. 15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15 Изменение правил надзора §  Снижение числа проверок в отношении операторов персональных данных §  Переход на риск-ориентированную модель при проведении надзорных мероприятий После принятия соответствующего законопроекта Поднадзорные организации предполагается разделить на группы в зависимости от степени риска нарушений для экономики и ее граждан, и на основе такой дифференциации планировать и проводить надзорные мероприятия §  Выход из под действия ФЗ-294
  16. 16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16 Готовится новое Постановление Правительства §  Контроль и надзор за соответствием обработки ПДн требованиям законодательства §  Явно исключается надзор в сфере надзора за выполнением организационных и технических мер защиты информации §  3 типа проверок Плановые Внеплановые Мероприятия систематического наблюдения §  Плановые и внеплановые проверки проводятся в форме документарных и выездных проверок Плановые проверки и мероприятия осуществляются на основе утвержденного плана, размещаемого на сайте РКН
  17. 17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17 Множество трактовок, связанных с геополитикой §  Несколько прямо противоположных трактовок ФЗ-242 федеральными органами исполнительной власти и органами власти (Минкомсвязь, Роскомнадзор, Администрация Президента) Все упомянутые органы власти не уполномочены трактовать законодательство При этом данные органы власти (например, Роскомнадзор или прокуратура) осуществляют контроль и надзор за выполнение данного законодательства и к их мнению стоит прислушиваться §  Один орган исполнительной власти может в разное время давать разные трактовки одних и тех же норм закона В зависимости от геополитической ситуации §  Мнение профессионального сообщества и экспертных групп при разработке данного закона услышано не было Органы власти прямо называют в качестве причины принятия данного закона геополитическую ситуацию
  18. 18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18 Благодарю за внимание

×