Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Последние изменения в законодательстве по персональным данным

12,102 views

Published on

Обзор последних изменений (с лета 2015) в области законодательства по персональным данным, а также некоторые планы на будущее

Published in: Law
  • Dating direct: ❤❤❤ http://bit.ly/369VOVb ❤❤❤
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Dating for everyone is here: ❤❤❤ http://bit.ly/369VOVb ❤❤❤
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Последние изменения в законодательстве по персональным данным

  1. 1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 Последние изменения законодательства о персональных данных Алексей Лукацкий Cisco Russia & CIS 8 October 2015
  2. 2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 Изменения по направлению ПДн Что было? • Приказ ФСТЭК №21 по защите ПДн в ИСПДн • Приказ об отмене «приказа трех» по классификации ИСПДн • Приказ и методичка РКН по обезличиванию • Закон 242-ФЗ о запрете хранения ПДн россиян за границей • Письмо Банка России 42-Т • Приказ ФСБ №378 по использованию СКЗИ для защиты ПДн • ПП-911 по отмене обязательного обезличивания Что могло быть? • Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн • Отраслевые модели угроз • Ратификация дополнительного протокола Евроконвенции (181) • Законопроект по ответственности за неуведомление о утечке ПДн • Законопроект по запрету отказа от предоставления услуг при отказе от дачи согласия на обработку ПДн • Поправки в ФЗ-242 Что есть и будет? • Законопроект Совета Федерации по внесению изменений в ФЗ-152 • Законопроект по внесению изменений в КоАП • Постановление Правительства по надзору в сфере ПДн • Выход РКН из под действия 294- ФЗ • Изменения в приказ №21 • Совет Европы примет новый вариант ЕвроКонвенции • Методичка ФСТЭК по моделированию угроз • Методичка ФСБ по моделированию угроз • Методичка РКН о порядке организации и осуществления контроля за обработкой ПДн • Постатейный комментарий РКН
  3. 3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3 Регуляторы хотят расширить понятие ПДн §  Советник Президента г-н Щеголев (бывший министра связи и массовых коммуникаций) 20 апреля предложил расширить толкование термина «персональные данные» и ужесточить требования к Интернет-сервисам §  Руководитель Роскомнадзора Александр Жаров назвал предложения Щеголева глубокими и содержательными, заявив, что его ведомство будет над ними работать вместе с Советом Федерации и Госдумой
  4. 4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4 Что такое ПДн? Из разъяснений РКН §  Имя, фамилия и должность - ПДн Мнение РКН §  Имя и фамилия, а также идентификационный номер - ПДн Мнение РКН §  Имя, фамилия и email – не ПДн (без отчества) Мнение РКН §  Только фамилия, только email – не ПДн Мнение РКН §  Фамилия и имя, записанные латиницей – ПДн Мнение РКН
  5. 5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 Разъяснения РКН по поводу ФЗ-152 §  Постатейный комментарий к ФЗ-152, подготовленный сотрудниками РКН 176 страниц Продается за деньги – 265/100 рублей (бумажный/ электронный вариант) §  Теме ФЗ-242 внимания почти не уделено §  Некоторые разъяснения противоречат предыдущим разъяснениям РКН Данным при прежнем руководстве §  РКН не имеет права официально комментировать законодательство Но стоит обратить внимание на позицию регулятора, используемую при проверках
  6. 6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Разъяснения РКН по поводу ФЗ-242 §  Портал, созданный РАЭК, для ответ на вопросы, касающиеся ФЗ-242 http://pd-info.ru Все ответы согласованы с РКН §  Некоторые разъяснения вызывают вопросы Например, деление операторов ПДн на первичных и иных §  Некоторые разъяснения противоречат друг другу Например, в одном гостиничным сервисам не требуется перенос в России, а в другом - требуется
  7. 7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 А еще у нас есть третьи разъяснения J http://www.minsvyaz.ru/ru/personaldata/
  8. 8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Правонарушение Нарушаемая статья законодательства Наказание для должностных лиц Наказание для юридических лиц Нарушение требований к согласию Ст.9 ФЗ-152 3-8 тысяч рублей 15-50 тысяч рублей Обработка ПДн без согласия Ст.6 ФЗ-152 5-15 тысяч рублей 30-50 тысяч рублей Незаконная обработка спецкатегорий ПДн Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей Неопубликование политики в области ПДн Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей Отказ в предоставлении информации субъекту Ст.14, ст.20 ФЗ-152 4-6 тысяч рублей 20-40 тысяч рублей Отказ в уничтожении или блокировании ПДн Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей Нарушение правил хранения материальных носителей ПДн ПП-687 4-10 тысяч рублей 25-50 тысяч рублей Нарушение правил обезличивания (для госов) ПП-211 и приказ РКН №996 3-6 тысяч рублей Не предусмотрено Законопроект по штрафам завис на первом чтении §  Комитет по конституционному законодательству против (не хочет давать РКН дополнительные полномочия)
  9. 9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 Меры по защите ПДн: в 2016-м ждем новую редакцию Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации + •  Планы –  Унификация перечня защитных мер для всех трех приказов –  Выход на 2-хлетний цикл обновления приказов §  В 2016-м году будет готовиться вторая редакция 21-го приказа ФСТЭК §  Предполагается унифицировать набор защитных мер во всех 3-х приказах ФСТЭК по защите ГИС/МИС, ИСПДн и АСУ ТП
  10. 10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Проект методики моделирования угроз ФСТЭК §  Методика определения угроз безопасности информации в информационных системах §  Распространяется на ГИС / МИС ИСПДн (рекомендательный характер) §  Не распространяется на угрозы СКЗИ и ПЭМИН §  Отменяет «методику определения актуальных угроз…» 2008-го года §  Применяется совместно с банком данных угроз ФСТЭК §  Будет принята осенью 2015-го года
  11. 11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Методика моделирования угроз ФСБ §  Методика определения актуальных угроз безопасности ПДн в ИСПДн §  Предназначена только для органов власти, пишущих отраслевые модели угроз для подведомственных учреждений §  Ориентирована только на компетенцию ФСБ – СКЗИ §  СКЗИ обязательны при передаче ПДн по каналам связи §  Помните, что это всего лишь методические рекомендации
  12. 12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 Проект модели угроз ПДн Банка России §  Тип - Указание Банка России Обязательна для всех банков, действующих на территории РФ §  Согласована с ФСТЭК и ФСБ §  Вторая редакция Первая – 2013 год Модель угроз ПДн из РС 2.4 отменена в 2014-м году §  10 угроз безопасности ПДн 47 (21) - в первой редакции 88 – в РС 2.4 Угрозы НДВ (1-го и 2-го типа) оцениваются самим оператором ПДн Угрозы биометрическим и общедоступным ПДн не рассматриваются
  13. 13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 Законопроект РГ Совета Федерации: сдули пыль и… §  При этом депутат Левин (Глава комитета ГД по информационной политике) и Администрация Президента против данного законопроекта
  14. 14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14 Вы не забыли про Конвенцию? §  Ратификация дополнительного протокола к конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации (ETS N 181) §  До конца 2015-го года (возможно) будет принята новая редакция Евроконвенции §  ФЗ-152 придется гармонизировать с Евроконвенцией Очередной виток изменений (серьезных) в законодательстве Если Россия не выйдет из Совета Европа
  15. 15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15 Сюрприз от Управделами Президента §  Абсолютно непонятная НИР от Управделами Президента РФ по разработке предложений по повышению защищенности персональных данных Размещена 22-го июня
  16. 16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16 На что еще обратить внимание? §  Постановление Пленума Верховного Суда РФ от 23 июня 2015 года № 25 «О применении судами некоторых положений раздела I части первой Гражданского кодекса Российской Федерации» Разъяснения по ряду вопросов, в том числе и о том, как правомерно можно использовать изображения гражданина, размещенные в сети Интернет, и когда для такого использования нужно и не нужно согласие изображенного лица http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=181602
  17. 17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17 Что еще будет в самом скором времени? §  Законопроект «О внесении изменений в ФЗ «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты РФ» (закон о «праве на забвение») §  Законопроект «О внесении изменений в КоАП (в части установления административной ответственности операторов поисковых систем)» (о наказании нарушителей права на забвение)
  18. 18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18 18© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. Надо ли применять СКЗИ для защиты ПДн?
  19. 19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19 Применение СКЗИ регулируется приказом №378 ФСБ §  Настоящий документ устанавливает состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн §  Принят 10 июля 2014 года, вступил в силу с 28 сентября 2014 года §  СКЗИ применяются там, где такие требования вытекают из модели угроз (нарушителя) или технического задания
  20. 20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20 Вы можете использовать сертифицированные СКЗИ §  В России разработано и предлагается немалое количество сертифицированных средств криптографической защиты информации (СКЗИ) §  Использование таких решений поможет поднять экономику России Стоимость таких устройств в десятки раз больше стоимость барреля нефти! Модуль Cisco RVPN (сертификат ФСБ по классам КС1/КС2/КС3) На модуле может работать ПО С-Терра СиЭсПи, Инфотекс, Фактор-ТС
  21. 21. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21 А когда сертифицированных СКЗИ нет? §  Работа иностранных представительств §  Коммерческое IP-телевидение §  IP-видеонаблюдение §  Магистрали операторов связи §  Протоколы, отличные от Ethernet (iSCSI, FC) §  Технология Wi-Fi и стандарт 802.11i §  Стандарты мобильной связи 2.5G, 3G, LTE, WiMAX §  Чиповые карты международных платежных систем §  АСУ ТП §  Доступ из-за границы к Интернет-сайтам в РФ
  22. 22. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22 Конфиденциальность и шифрование Законы Конфиденциальность Шифрование НПА регуляторов =≠ Нормативно-правовые акты имеют вполне определенную иерархию и «читать» их надо не в любом порядке, а сверху вниз, от закона к приказам федеральных органов исполнительной власти!
  23. 23. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23 ФЗ-152 требует не шифрования. И не только он §  Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4 §  Согласно ст.7 под конфиденциальностью ПДн понимается обязанность операторами и иными лицами, получивших доступ к персональным данным: Не раскрывать ПДн третьим лицам Не распространять ПДн без согласия субъекта персональных данных Если иное не предусмотрено федеральным законом §  Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним… Ст.19
  24. 24. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24 Как обеспечить конфиденциальность ПДн? §  Получить согласие субъекта на передачу ПДн в открытом виде §  Сделать ПДн общедоступными §  Обеспечить контролируемую зону §  Использовать оптические каналы связи §  Использовать соответствующие механизмы защиты от НСД, исключая шифрование §  Переложить задачу обеспечения конфиденциальности на оператора связи §  Передавать в канал связи обезличенные данные §  Использовать СКЗИ для защиты ПДн
  25. 25. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25 Как поступают в органах по защите прав субъектов ПДн? §  Многие госорганы постулируют на своих сайтах защиту ПДн в соответствие с требованиями законодательства Без детализации И без СКЗИ §  Минкомсвязь и ФСТЭК
  26. 26. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26 Как поступает регулятор по защите ПДн? §  ФСБ на своем сайте требует указания полного спектра идентификационных данных, включая паспортные §  Никаких оговорок про выполнение требований законодательства §  Никакой защиты передаваемых данных §  Если это позволено регулятору в области защиты (и в частности шифрования) персональных данных, то почему это не позволено вам?
  27. 27. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27 Как поступают в органах по защите прав субъектов ПДн? §  РКН собирает персональные данные через форму обратной связи на своем сайте §  Стандартная оговорка о соблюдении законодательства в области персональных данных §  Никакой защиты передаваемых данных §  Если это позволено уполномоченному органу по защите прав субъектов персональных данных, то почему это не позволено вам?
  28. 28. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28 §  РКН раньше на своем сайте, а портал госуслуг до сих пор вынуждает вас отказаться от конфиденциальности §  У вас есть выбор – или соглашаться, или не использовать соответствующий сервис §  Шифрование в таком случае не нужно Ответ Роскомнадзора Вы можете принудить субъекта отказаться от конфиденциальности его ПДн
  29. 29. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29 А если сделать их общедоступными? §  РЖД делает регистрационные данные пользователей своего сайта общедоступными §  РКН не против §  Шифрование в таком случае не нужно
  30. 30. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30 А где у вас проходит граница ИСПДн? §  Вы имеет полное право самостоятельно провести границы ИСПДн там, где считаете нужным §  Сеть Интернет может не входить в вашу ИСПДн §  Если это позволено Правительству, то почему не позволено вам? §  Шифрование в таком случае не нужно
  31. 31. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31 Еще четыре сценария §  СКЗИ для защиты ПДн при передаче в канале связи должны применяться обязательно, если не будет доказано, что в канале связи невозможно осуществление несанкционированных воздействий на ПДн (из 378-го приказа ФСБ) §  Уровень защищенности канала связи и его способность обойтись без СКЗИ определяет лицензиат ФСТЭК Обезличивание • Обезличивание из персональных данных делает неперсональные • Они выпадают из под ФЗ-152 • Не требуется даже конфиденциальность Оператор связи • Оператор связи по закону «О связи» обязан обеспечивать тайну связи • Почему бы в договоре с оператором явно не прописать обязанность обеспечить конфиденциальность всех передаваемых данных, включая и ПДн Оптика • Снять информацию с оптического канала связи возможно, но непросто и недешево • Почему бы не зафиксировать в модели угроз соответствующую мысль Виртуальные сети • Для защиты от несанкционированного доступа на сетевом уровне могут применяться различные технологии; не только шифрование • Например, MPLS, обеспечивающая разграничение доступа
  32. 32. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32 Резюме по применению СКЗИ для защиты ПДн §  Выбор способа обеспечения конфиденциальности персональных данных, а также конкретный способ их защиты от несанкционированного доступа и ознакомления определяет оператор персональных данных §  Подходите к вопросу творчески
  33. 33. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 33 33© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. ФЗ-242
  34. 34. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 34 Закон о запрете хранения ПДн россиян за границей §  Реализация положений ФЗ-242 «о запрете хранения ПДн россиян за границей» Базы ПДн, в которых происходит первичная регистрация и актуализация ПДн россиян, должны находится на территории РФ Хотя слова «только» в законе нет, по сути вводится апрет хранения за пределами РФ Наказание за нарушение Выведение РКН из под действия 294-ФЗ §  Вступил в силу с 1 сентября 2015 года Слухи о переносе сроков на 1 год не подтвердились §  Первые нарушители уже заблокированы Реальные нарушители, незаконно распространяющие ПДн с зарубежных сайтов
  35. 35. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 35 Потенциальные последствия за неисполнение ФЗ-242 §  Блокирование доступа к зарубежным ресурсам, в которых ведется обработка ПДн российских граждан (сотрудников и клиентов) §  Блокирование доступа к зарубежным ресурсам и третьих фирм, в которых ведется обработка ПДн российских граждан (сотрудников и клиентов) §  Потенциальное снижение продаж решений и невозможность выполнения сервисных обязательств из-за потенциального блокирования основного сайта §  Репутационные риски §  Административная и уголовная ответственность отсутствует Однако есть ответственность за невыполнение предписания РКН по результатам надзорных мероприятий
  36. 36. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 36 Разъяснение Роскомнадзора: что такое база данных?
  37. 37. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 37 Разъяснение Роскомнадзора: запрет зеркал
  38. 38. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 38 Разъяснение Роскомнадзора: о «гражданстве» ПДн
  39. 39. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 39 Кого ФЗ-242 касается в первую очередь? §  Все иностранные компании, работающие в России §  Все иностранные компании, работающие для российских граждан В том числе облачные сервисы и арендуемые за рубежом ЦОДы §  Все российские компании, работающие за рубежом 1 2 3 ?
  40. 40. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 40 Зоны риска Google, Twitter, Facebook и иные Интернет-компании Американские и европейские компании Остальные иностранные компании Российские компании
  41. 41. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 41 Отдельные моменты обработки ПДн §  Электронная почта – не ИСПДн Мнение РКН §  Заказ авиабилетов не попадает под действие ФЗ-242 в связи с тем, что заказ авиабилетов регулируется международными договорами В отличие от бронирования гостиниц и автомобилей §  На базы данных, созданные до вступления в силу ФЗ-242, закон не распространяется Если они не актуализировались после вступления в силу ФЗ-242 §  Облачные провайдеры – не операторы, а обработчики ПДн Мнение РКН
  42. 42. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 42 Локализация баз данных – это не российская новация §  Локализация баз данных – это не российский прецедент Например, Вьетнам и ряд других стран §  Верховный европейский суд принял решение об отмене договора Совета Европы и США о хранении персональных данных европейских граждан на территории США Нас ждет интересное развитие событий
  43. 43. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 43 Локализация баз данных. Обратите внимание! §  В ФЗ-242 речь идет о первичном сборе, записи, систематизации, накоплении, хранении, уточнении, обновлении, изменении, извлечении ПДн, которые должны производиться на территории России Такие действия с ПДн, как использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение могут производиться где угодно §  Изменения должны вноситься в БД на территории России §  База данных и приложение, обращающееся к ней – это разные сущности Приложение может быть где угодно §  На трансграничную передачу и доступ к ПДн из-за пределов России ограничений нет §  ПДн могут обрабатываться за пределами РФ, за исключением их сбора Неизменяемое зеркало
  44. 44. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 44 Закон о запрете хранения ПДн россиян за границей §  Обезличивание ПДн на территории России и передача обезличенных данных куда угодно Приказ РКН №996 §  Архивирование или шифрование ПДн на территории России и передача архивов куда угодно № субъекта № субъекта № субъекта ФИО Адрес … Адрес …ФИО
  45. 45. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 45 Самая простая часть ФЗ-242 уже реализована §  Роскомнадзор сформировал реестр нарушителей прав субъектов персональных данных §  В реестр будут вноситься все интернет- ресурсы, обрабатывающие персональные данные с нарушениями законодательства Включение компаний в реестр будет происходить по решению суда по искам, которые могут инициировать как сами субъекты персональных данных, так и Роскомнадзор, зафиксировавший нарушение Реестр заработал с 1 сентября §  Снимать блокировку будет РКН сам При действующем судебном решении (!)
  46. 46. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 46 Два приказа РКН в отношении нарушений ФЗ-242/ФЗ-152 §  Приказ РКН №85 от 22.07.2015 «Об утверждении формы заявления субъекта ПДн о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства РФ в области ПДн» §  Приказ РКН №84 от 22.07.2015 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов ПДн с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов ПДн, оператором связи»
  47. 47. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 47 Изменение правил надзора §  Снижение числа проверок в отношении операторов персональных данных §  Переход на риск-ориентированную модель при проведении надзорных мероприятий После принятия соответствующего законопроекта Поднадзорные организации предполагается разделить на группы в зависимости от степени риска нарушений для экономики и ее граждан, и на основе такой дифференциации планировать и проводить надзорные мероприятия §  Выход из под действия ФЗ-294
  48. 48. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 48 Готовится новое Постановление Правительства §  Контроль и надзор за соответствием обработки ПДн требованиям законодательства §  Явно исключается надзор в сфере надзора за выполнением организационных и технических мер защиты информации §  3 типа проверок Плановые Внеплановые Мероприятия систематического наблюдения §  Плановые и внеплановые проверки проводятся в форме документарных и выездных проверок Плановые проверки и мероприятия осуществляются на основе утвержденного плана, размещаемого на сайте РКН
  49. 49. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 49 Критерии формирования плана плановых проверок §  Трехлетний период с момента окончания последней плановой проверки §  Информация от госорганов, муниципалитетов и СМИ о нарушении §  Обработка ПДн значительного количества субъектов ПДн, а также обработка биометрических и специальных категорий ПДн §  Непредставление информации РКН
  50. 50. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 50 Основания для внеплановых проверок §  Внеплановые проверки проводятся на основании решения руководителя (заместителя руководителя) РКН или его терорганов по следующим причинам: Истечение срока выданного предписания По доказательным обращениям граждан (требует согласования с прокуратурой) По причине непредоставления (неполного представления) информации оператором по запросу РКН Наличие факта нарушения законодательства, полученное от СМИ, госорганов и муниципалитетов Поручение Президента или Правительства В случае нарушения оператором законодательства, выявленного в ходе систематического наблюдения Несоответствие сведений, указанных в уведомлении В случае неисполнения требования РКН об устранении выявленного нарушения На основании представления органа прокуратуры
  51. 51. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 51 Предмет проверки §  Деятельность оператора по обработке ПДн, осуществляемой с использованием или без использования средств автоматизации §  Документы и локальные акты §  Принятые операторов меры в соответствии со статьей 18.1 ФЗ-152 §  Исполнение государственными и муниципальными органами обязанностей, предусмотренных ФЗ-152 и подзаконными актами §  Содержания ИСПДн в части касающейся обработки ПДн
  52. 52. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 52 Уведомление о проверке Плановая •  Не позднее чем за 3 дня •  Почтовое отправление с уведомлением или иной доступный метод Внеплановая •  Не менее чем за 24 часа •  Любой доступный метод уведомления
  53. 53. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 53 Периодичность проведения проверок Не чаще одного раза в 2 года • Государственный орган • Муниципальный орган • Юридическое лицо Не чаще одного раза в 3 года • Индивидуальные предприниматели • Физические лица
  54. 54. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 54 Длительность проведения проверок Выездная • Не более 20-ти рабочих дней Документарная • Не более 60-ти рабочих дней §  Возможно продление указанного срока, но не более чем на 20 дней §  При осуществлении оператором деятельности на территории нескольких субъектов РФ, срок проведения проверок устанавливается отдельно по каждому филиалу, но общий срок проверки не может превышать 60 дней
  55. 55. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 55 Особенности проверок по проекту Постановления §  Мотивированный запрос на получение документов и локальных актов в части ПДн §  Приказ на проведение проверки §  Посещение любых помещений, исключая архивы и помещения с гостайной §  Право доступа к ИСПДн для оценки законности деятельности оператора §  Возможность привлечения аккредитованных экспертов и экспертных организаций Непонятно на каком основании посторонние эксперты будут получать доступ к ПДн
  56. 56. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 56 Об уведомлении с 1-го сентября §  Отдельные управления РКН требуют отправлять им информационное сообщение о месте нахождения баз данных с ПДн 7-я часть 22-й статьи ФЗ-152 говорит только о необходимости повторного уведомления всего в двух случаях - прекращении обработки ПДн и изменении сведений, указанных в ранее отправленном уведомлении §  Если раньше данные хранились в РФ Ничего не поменялось – отправлять ничего не нужно §  Если раньше данные хранились за пределами РФ В уведомлении ничего не поменялось – отправлять ничего не нужно §  Указывать версии и названия СУБД не нужно, как и адрес физического местонахождения А если у вас аутсорсинг, арендуемой ЦОД или облако, то как вы узнаете адрес?
  57. 57. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 57 Ответ РКН по части уведомления с 1-го сентября
  58. 58. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 58 Множество трактовок, связанных с геополитикой §  Несколько прямо противоположных трактовок ФЗ-242 федеральными органами исполнительной власти и органами власти (Минкомсвязь, Роскомнадзор, Администрация Президента) Все упомянутые органы власти не уполномочены трактовать законодательство При этом данные органы власти (например, Роскомнадзор или прокуратура) осуществляют контроль и надзор за выполнение данного законодательства и к их мнению стоит прислушиваться §  Один орган исполнительной власти может в разное время давать разные трактовки одних и тех же норм закона В зависимости от геополитической ситуации и смены руководство ФОИВ §  Мнение профессионального сообщества и экспертных групп при разработке данного закона услышано не было Органы власти прямо называют в качестве причины принятия данного закона геополитическую ситуацию
  59. 59. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 59 Возможные сценарии и ресурсы/риски, с ними связанные применительно к ФЗ-242 §  Органы контроля/надзора не понимают, как технически можно было бы реализовать запрет в случае использования VPN Ничего не делать •  Минимальные усилия •  Риски блокирования описанных ранее сервисов •  Репутационные риски Сделать на бумаге •  Усилия направлены только на создание большого количества бумаг •  Теоретически регулятор может выявить данный факт ИТ-трюки •  Обезличивание ПДн и архивирование ПДн позволяет передавать их и хранить где угодно •  Риски связаны с несогласием регуляторов с использованием данных трюков Создание промежуточных БД •  Средние усилия, связанные с переделкой части ИТ- систем, которые должны будут хранит ПДн на территории РФ и затем передавать их за рубеж •  Риски остаются только для сервисов, оказываемых третьими сторонами Перенос сервисов в Россию •  Максимальные усилия, связанные с полноценным созданием на территории РФ локального ЦОДа, который бы оказывал внутренние и внешние услуги компании и ее заказчикам •  Риски остаются только для сервисов, оказываемых третьими сторонами
  60. 60. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 60 Благодарю за внимание

×