Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Ontico
За последние пару лет государство все активнее обращает внимание на вопросы безопасности персональных данных, их обработки, все больше компаний задумываются о данных вопросах.
Вопросов очень много, но все не так страшно, как кажется на первый взгляд. Мы разберемся с основой персональных данных, какие существуют классы, и какие типы данных относятся к ним. Важно понять, что действительно нужно Вам и Вашему бизнесу, а не гнаться "за всеми данными", которые можно получить от клиента.
Безопасность — второй не менее важный вопрос в персональных данных. Можно защищать по закону, можно по "IТ понятиям". Рынок средств защиты данных большой, но что выбрать? Покупаем готовое или создаем свое? Мы поговорим о том, какие плюсы и минусы у данных подходов.
Все не так страшно, как преподносят. В большинстве случаев достаточно заранее подумать о подходах, что Вам действительно нужно и как будете защищать — все это очень сильно поможет при аттестации систем. Главное — почувствовать грань между законом и бизнесом.
Мифы, проблемы и решения вопросов работы с персональными данными на сайтах / ...Ontico
Тема персональных данных и правильной работы с ними вызывает много вопросов и создает большое количество мифов из-за того, что затрагивает одновременно юридические, технические аспекты, а также серьезно зависит от законодательных инициатив и позиции регуляторов.
Чтобы разобраться с мифами и вопросами по поводу персональных данных, обрабатываемых на сайте, я кратко пройдусь по тому, для чего создавался закон "О персональных данных", что и от кого требуют, и каковы его основные риски. Это даст общее понимание.
Затем будут разобраны основные мифы, касающиеся выполнения данного закона.
В завершении разложим по полочкам, что нужно делать, чтобы регуляторы (Роскомнадзор, ФСБ и ФСТЭК России) были довольны, не пришли с внеплановыми проверками, не приостановили деятельность и не наложили штрафы за неправильный сбор, хранение и иную обработку персональных данных на сайте.
По итогам этого доклада слушатели смогут:
- понимать основные риски, присущие обработке персональных данных.
- привести свой сайт и веб-системы в соответствие с требованиями законодательства малой кровью.
- познать позицию регулирующих органов, чтобы уверенно чувствовать себя в случае проверок, "писем счастья" и наездов со стороны клиентов.
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Ontico
За последние пару лет государство все активнее обращает внимание на вопросы безопасности персональных данных, их обработки, все больше компаний задумываются о данных вопросах.
Вопросов очень много, но все не так страшно, как кажется на первый взгляд. Мы разберемся с основой персональных данных, какие существуют классы, и какие типы данных относятся к ним. Важно понять, что действительно нужно Вам и Вашему бизнесу, а не гнаться "за всеми данными", которые можно получить от клиента.
Безопасность — второй не менее важный вопрос в персональных данных. Можно защищать по закону, можно по "IТ понятиям". Рынок средств защиты данных большой, но что выбрать? Покупаем готовое или создаем свое? Мы поговорим о том, какие плюсы и минусы у данных подходов.
Все не так страшно, как преподносят. В большинстве случаев достаточно заранее подумать о подходах, что Вам действительно нужно и как будете защищать — все это очень сильно поможет при аттестации систем. Главное — почувствовать грань между законом и бизнесом.
Мифы, проблемы и решения вопросов работы с персональными данными на сайтах / ...Ontico
Тема персональных данных и правильной работы с ними вызывает много вопросов и создает большое количество мифов из-за того, что затрагивает одновременно юридические, технические аспекты, а также серьезно зависит от законодательных инициатив и позиции регуляторов.
Чтобы разобраться с мифами и вопросами по поводу персональных данных, обрабатываемых на сайте, я кратко пройдусь по тому, для чего создавался закон "О персональных данных", что и от кого требуют, и каковы его основные риски. Это даст общее понимание.
Затем будут разобраны основные мифы, касающиеся выполнения данного закона.
В завершении разложим по полочкам, что нужно делать, чтобы регуляторы (Роскомнадзор, ФСБ и ФСТЭК России) были довольны, не пришли с внеплановыми проверками, не приостановили деятельность и не наложили штрафы за неправильный сбор, хранение и иную обработку персональных данных на сайте.
По итогам этого доклада слушатели смогут:
- понимать основные риски, присущие обработке персональных данных.
- привести свой сайт и веб-системы в соответствие с требованиями законодательства малой кровью.
- познать позицию регулирующих органов, чтобы уверенно чувствовать себя в случае проверок, "писем счастья" и наездов со стороны клиентов.
Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"
Обзор и комментарии.
Романов Илья, CISA, CISM
Заместитель руководителя отдела консалтинга
ЗАО "ДиалогНаука"
Проект «РосКомСвобода». Реестр запрещенных сайтов - 6 месяцев борьбы с юмором...Artem Kozlyuk
«Спустя полгода вступления в силу пунктов закона 139-ФЗ, относящихся к введению внесудебной практики блокировки интернет-ресурсов, мы видим очевидную её несостоятельность. Ведомства, назначенные контролировать запрещенные темы и вести Реестр могут лишь отчитаться о числе поступивших заявок и принятых решений по ним, но не смогли за это время представить отчет: как данные нормы закона положительно сказались на субъектах, его касающихся, в первую очередь детях. Данный закон раздражает как интернет-общественность, так и интернет-отрасль из-за своей непродуманности, во многом связанной со спешным принятием без обсуждения. Блокировки по IP-адресам напоминают отключение от всех коммуникаций многоквартирного жилого дома из-за выявления одного подозреваемого в преступлении, живущего в нем и пока он сам этот дом не покинет все остальные сотни семей будут оставаться без света, газа и воды. Именно таким образом сейчас происходят внесудебные блокировки, решения по которым выносят госорганы.
http://rublacklist.net/
тезисы: http://rublacklist.net/5493/
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Константин Бажин
Общие сведения о ФЗ-152 "О персональных данных", основные изменения и дополнительные сведения которые операторы ПДн обязаны были предоставить в Роскомнадзор в срок до 01.01.2013
Планируемые изменения законодательства по ИБ в РоссииAleksey Lukatskiy
Планируемые изменения законодательства по ИБ в России
1. Персональные данные
2. Критические информационные инфраструктуры
3. Национальная платежная система и банковская тайна
4. Операторы связи
5. Государственные и муниципальные учреждения
Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"
Обзор и комментарии.
Романов Илья, CISA, CISM
Заместитель руководителя отдела консалтинга
ЗАО "ДиалогНаука"
Проект «РосКомСвобода». Реестр запрещенных сайтов - 6 месяцев борьбы с юмором...Artem Kozlyuk
«Спустя полгода вступления в силу пунктов закона 139-ФЗ, относящихся к введению внесудебной практики блокировки интернет-ресурсов, мы видим очевидную её несостоятельность. Ведомства, назначенные контролировать запрещенные темы и вести Реестр могут лишь отчитаться о числе поступивших заявок и принятых решений по ним, но не смогли за это время представить отчет: как данные нормы закона положительно сказались на субъектах, его касающихся, в первую очередь детях. Данный закон раздражает как интернет-общественность, так и интернет-отрасль из-за своей непродуманности, во многом связанной со спешным принятием без обсуждения. Блокировки по IP-адресам напоминают отключение от всех коммуникаций многоквартирного жилого дома из-за выявления одного подозреваемого в преступлении, живущего в нем и пока он сам этот дом не покинет все остальные сотни семей будут оставаться без света, газа и воды. Именно таким образом сейчас происходят внесудебные блокировки, решения по которым выносят госорганы.
http://rublacklist.net/
тезисы: http://rublacklist.net/5493/
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Константин Бажин
Общие сведения о ФЗ-152 "О персональных данных", основные изменения и дополнительные сведения которые операторы ПДн обязаны были предоставить в Роскомнадзор в срок до 01.01.2013
Планируемые изменения законодательства по ИБ в РоссииAleksey Lukatskiy
Планируемые изменения законодательства по ИБ в России
1. Персональные данные
2. Критические информационные инфраструктуры
3. Национальная платежная система и банковская тайна
4. Операторы связи
5. Государственные и муниципальные учреждения
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХDialogueScience
Один из самых интересных и животрепещущих вопросов в теме персональных данных – как регуляторами на практике применяется 152-ФЗ и соответствующие подзаконные акты? Вопрос этот важный, ведь без ответа на него не удастся грамотно организовать процессы обработки и защиты персональных данных и достичь одной из ключевых задач Операторов ПДн – снижения рисков, связанных с претензиями регуляторов и субъектов ПДн. Поэтому темой очередного вебинара АО «ДиалогНаука» было решено сделать рассмотрение правоприменительной практики в области персональных данных.
Цель вебинара – аккумулировать опыт и знания, полученные АО «ДиалогНаука» в ходе:
- Реализации проектов по тематике ПДн, в том числе по сопровождению Заказчиков в ходе проверок;
- Анализа судебной практики в области ПДн и комментариев регуляторов;
- Участия в различных публичных мероприятиях.
Спикер: Илья Романов, CISA, CISM, Заместитель руководителя отдела консалтинга АО «ДиалогНаука»
Михаил Яценко Закон «О персональных данных». Практика примененияНадт Ассоциация
Михаил Яценко, исполнительный директор Национальной Ассоциации Дистанционной Торговли, выступил с докладом на тему «Закон о персональных данных. Практика применения». В своем выступлении Михаил Яценко рассказал об опыте организации работы с персональными данными и типичных проблемах, возникающих при этом.
Russian Personal Data Legislation: Localization RequirementVladislav Arkhipov
The presentation includes some clarifications of the Federal Law No 242-FZ, dated 21 July 2014 and case studies from IP/IT practice which demonstrate experience of Dentons in resolving complex personal data and privacy issues in dynamic Russian environment. The presentation was first delivered at the Conference “Personal Data – New Realities” which was held at Hotel Four Seasons in St. Petersburg on 21 May 2015 and organized by IBM.
Презентация Павла Антонова с семинара, организованного компаниями Accountor и Tieto в Москве, 23 июня, на тему "НОВЫЕ ПРАВИЛА ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ В РФ"
Обзор тенденций ИБ-регулирования для телекома, прочитанный на конференции РБК. ФЗ-187 о безопасности критических информационных инфраструктур, закон о персданных, SIM-карты, обновление 1-го приказа Минкомсвязи
Every CISO should know how to create and implement information security policies. The best approach is defined in the ISO 27001 standard and presented in the attached presentation, "ISMS Documented Information"
3. • 149-ФЗ «Об информации, ИТ и защите информации»
• 152-ФЗ «О персональных данных»
• 98-ФЗ «О Коммерческой тайне»
• 126-ФЗ «О связи»
• ФЗ № 395-1 «О банках и банковской деятельности»
• 161-ФЗ «О национальной платежной системе»
• …
• ПП 1119 «Об утверждении требований к защите ПДн при
их обработке ИСПДн»
• ПП 2036-р «Об утверждении Стратегии развития отрасли
ИТ в РФ на 2014 - 2020 годы и на перспективу до 2025
года»
• …
Законов много
4. Военно-промышленная комиссия при Правительстве Российской Федерации (ВПК),
Госкорпорации, ГУСП, ГФС России, МВД России, МИД России, Минвостокразвития России,
Минздрав России, Минкомсвязь России, Минкультуры России, Минобороны России,
Минобрнауки России, Минприроды России, Минпромторг России, Минрегион России,
Минсельхоз России, Минспорт России, Минстрой России, Минтранс России, Минтруд
России, Минфин России, Минэкономразвития России, Минэнерго России, Минюст России,
МЧС России, Пенсионный фонд Российской Федерации, Росавиация, Росавтодор,
Росаккредитация, Росалкогольрегулирование, Росархив, Росводресуры, Росгидромет,
Росграница, Росжелдор, Росздравнадзор, Росимущество, Роскомнадзор, Роскосмос,
Рослесхоз, Росмолодежь, Росморречфлот, Роснедра, Рособоронзаказ, Рособоронпоставка,
Рособрнадзор, Роспатент, Роспечать, Роспотребназор, Росприроднадзор, Росреестр,
Росрезерв, Росрыболовство, Россвязь, Россельхознадзор, Россотрудничество, Росстандарт,
Росстат, Ростехнадзор, Ространснадзор, Роструд, Ростуризм, Росфинмониторинг,
Росфиннадзор, СВР России, Следственный комитет Российской Федерации, Спецстрой
России, Управление делами Президента РФ, ФАНО России, ФАС России, Федеральная
служба по интеллектуальной собственности, патентам и товарным знакам, Федеральное
казначейство, Федеральный фонд обязательного медицинского страхования, ФМБА
России, ФМС России, ФНС России, Фонд социального страхования Российской Федерации,
ФСБ России, ФСВТС России, ФСИН России, ФСКН России, ФСО России, ФССП России, ФСТ
России, ФСТЭК России, ФСФР России, ФТС России, Центральный банк Российской
Федерации
Ведомственных приказов много
7. Законы часто обновляются
• 98-ФЗ (от 2004 года) – 4+1 раз
• 149-ФЗ (от 2006 года) – 9 раз
(большинство про блокировки сайтов Интернет и ГосИС)
• 152-ФЗ (от 2006 года) – 11 раз
• 126-ФЗ (от 2003 года) – 40 раз
8. Изменение подхода по защите ПДн
4-книжие
ФСТЭК (2008)
Приказ 58
(2010)
ПП1119
(2012) +
Приказ 21
(2013)
…
13. Regulation.gov.ru
• Единый портал для размещения информации
о разработке федеральными органами
исполнительной власти проектов
нормативных правовых актов и результатов их
общественного обсуждения
• Настраиваемые уведомления
16. Тренды
• Увеличение требований и рекомендаций
• Общественные обсуждения документов
(+рабочие группы)
• Отечественное ПО, АО (и СЗИ)
• Контроль сети Интернет
• Новые технологии и СЗИ
(виртуализация, cloud, BYOD, DLP…)
• Кибербезопасность
• Центры реагирования на инциденты
17. Законопроект по ПДн
• Законопроект №416052-6 о внесении
изменений в 152-ФЗ и ст.28.3 КоАП
• Декабрь 2013
• Члены Совета Федерации В.И.Матвиенко,
Р.У.Гаттаров, А.А.Клишас, Л.Н.Бокова,
Ю.В.Шамков, К.Э.Добрынин
• Депутаты Государственной Думы Д.Ф.Вяткин,
З.А.Муцоев
• Текст и подробности - http://bit.ly/1hwCsN8
18. Что ожидаем от закона по ПДн1
• Понятие «обработчик» (лицо, осуществляющее
обработку ПДн по поручению оператора).
Обработчик не обязан дополнительно получать
согласие субъекта ПДн
• Не требуется защищать конфиденциальность
общедоступных и обезличенных ПДн
• Конкретнее про биометрические ПДн
(автоматическая идентификация субъекта)
• Возможность получение согласия дистанционно
• Конкретнее про трансграничную передачу
19. Что ожидаем от закона по ПДн2
• Чуть больше внимания гос.органам
(расширен их перечень в ст.18.1 п.3),
• Упрощение мер защиты (п.19)
(«может достигаться» вместо «достигается»)
• Операторы могут сами определять угрозы ПДн до
выхода документов регуляторов (ст.19.5)
• Уведомление РКН об утечках ПДн
(«факт неправомерного раскрытия»)
• +? РКН предоставляется право на возбуждение
дел по КоАП ст.13.11 (ПДн)
20. Штрафы сейчас
• КоАП Статья 13.11. Нарушение
установленного законом порядка сбора,
хранения, использования или
распространения информации о гражданах
(персональных данных)
• Для юр.лиц штраф 5 000-10 000 рублей
21. Правки в КоАП по ПДн (проект)
ID: 00/03-10560/12-13/4-13-4
Увеличение штрафов (юр.лица):
• Обработка ПДн с нарушением требований к
содержанию согласия субъектов ПДн -
15 000 - 50 000 рублей
• Обработка ПДн без согласия субъектов ПДн (если
оно нужно) - 30 000 - 50 000 рублей
• Незаконная обработка специальных категорий ПДн
(в случаях, не предусмотренных законодательством
РФ) - 150 000 - 300 000 рублей
22. Новые статьи КоАП по ПДн (проект)1
Статья 13.11.2. Непредставление оператором
информации и (или) доступа к сведениям,
предусмотренных законодательством РФ о ПДн.
• Необеспечение неограниченного доступа
к политике в области ПДн и сведениях о
реализуемых мерах защиты - 15 000 - 30 000
рублей
• Непредоставление субъекту ПДн информации,
касающейся обработки его ПДн - 20 000 - 40 000
рублей
23. Новые статьи КоАП по ПДн (проект)2
Статья 13.11.3. Несоблюдение требований
законодательства РФ о ПДн по обеспечению
безопасности ПДн.
• Невыполнение обязанностей по соблюдению условий,
обеспечивающих сохранность ПДн при хранении материальных
носителей, если с ПДн произошел инцидент (при отсутствии
признаков уголовно наказуемого деяния) - 25 000 - 50 000 рублей
• Невыполнение обязанностей по защите ПДн при
автоматизированной обработке если с ПДн произошел инцидент
(при отсутствии признаков уголовно наказуемого деяния) - 100 000 -
200 000 рублей
• Инциденты с ПДн в государственных и муниципальных учреждениях
- штраф на должностное лицо в размере 30 000 - 50 000 рублей
24. Новый подход ФСТЭК России
Приказ 21
2013
Приказ 17
2013
Проект
Приказа по
АСУ ТП
Меры защиты информации в государственных
информационных системах 2014
СТР-К не отменен…
25. Другое про ФСТЭК России
• Приказ N 55/86/20 о классификации ИСПДн
официально утратил силу
• Готовится новая методика определения
актуальных угроз (для всех типов
информации)
• Подготовлен проект «Рекомендации по
обновлению сертифицированных СЗИ»
• Готовятся документы по защите среды
виртуализации и облачных вычислений
• …
26. Новости ФСБ России
• Заканчивается пересмотр проекта приказа
по защите ПДн (про использование СКЗИ)
• СКЗИ для защиты ПДн должны быть
сертифицированы
• Рекомендаций и разъяснений
разрабатывать не собираются
• Планируется изменение подхода по
сертификации СКЗИ
27. Изменения по КТ1
Утвержден Федеральный закон от 12.03.2014
№ 35-ФЗ "О внесении изменений в части
первую, вторую и четвертую Гражданского
кодекса Российской Федерации и отдельные
законодательные акты Российской
Федерации". Документ помимо прочего вносит
правки в закон № 98-ФЗ "О коммерческой
тайне" (начало действия правок - 01.10.2014).
28. Изменения по КТ2
Информация, составляющую
секрет производства (ноу-хау)
Информация, которая имеет
действительную или
потенциальную коммерческую
ценность в силу неизвестности
ее третьим лицам
секрет производства = ноу-хау = информация, составляющая коммерческую тайну/
29. Изменения по КТ3
• +ст. 6.1. "Права обладателя информации,
составляющей коммерческую тайну“
• Вернули положения про возмещение
причиненные работодателю убытков, если
работник виновен в разглашении ИКТ
(в.т.ч. в отношении работников,
прекративших трудовые отношения)
30. Банки и ИБ
• Ожидаем обновления 382-П и СТО БР ИББС 1.0
• Методика составления МУ подготовлена и
согласована со ФСТЭК России
• Подготовлены проекты новых рекомендаций:
– управление инцидентами
– предотвращение утечек
– ИБ на всех этапах жизненного цикла
приложений
– защита виртуализации
– ресурсное обеспечение
– …
31. Основания для блокировки сайтов
• Наркотики
• Призывы к суициду
• Порно с несовершеннолетними
• Фильмы, защищенные исключительными
правами
• Наличие призывов к массовым
беспорядкам, экстремизм
• …
• Размещение ложной
информации о банках (проект)