ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ОТВЕТЫ УПРАВЛЕНИЯ РОСКОМНАДЗОРА
ПО ТЮМЕНСКОЙ ОБЛАСТИ, ХМАО-ЮГРЕ И ЯНАО
НА ВОПРОСЫ УЧАСТНИКОВ ВЕБИНАРА
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
КЛЮЧЕВЫЕ ИЗМЕНЕНИЯ В ЗАКОНОДАТЕЛЬСТВЕ 2013
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ОТВЕТЫ УПРАВЛЕНИЯ РОСКОМНАДЗОРА
ПО ТЮМЕНСКОЙ ОБЛАСТИ, ХМАО-ЮГРЕ И ЯНАО
НА ВОПРОСЫ УЧАСТНИКОВ ВЕБИНАРА
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
КЛЮЧЕВЫЕ ИЗМЕНЕНИЯ В ЗАКОНОДАТЕЛЬСТВЕ 2013
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Mikhail Emeliyannikov
Презентация М. Емельянникова на Cyber Security Forum 2015 по проблемам организации обработки персональных данных в условиях их передачи большому количеству контрагентов и привлечения большого количества обработчиков, хостинга или колокации информационных систем персональных данных в коммерческом ЦОДе.
Комплексные проекты в области защиты персональных данных. Аудит, консалтинг, внедрение сертифицированных средств защиты, разработка документации и подготовка к проверкам регуляторов.
Закон "О персональных данных": грядут переменыValery Bychkov
Презентация с вебинара в сообществе Смартсорсинг. Ведущий: Макс Лагутин, серийный предприниматель, CEO проекта Б-152, специалист по информационной безопасности, обладатель mini-MBA "Менеджмент в сфере интернет-технологий", резидент бизнес-инкубатора HSE-Inc, участник программы акселерации TexDrive.
Основные темы вебинара:
Изменения законодательства в области персональных данных: что ждет компании в 2013 году
Послабление по требованиям защиты персональных данных
Тренды 2013: изменение взгляда операторов персональных данных
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Ontico
За последние пару лет государство все активнее обращает внимание на вопросы безопасности персональных данных, их обработки, все больше компаний задумываются о данных вопросах.
Вопросов очень много, но все не так страшно, как кажется на первый взгляд. Мы разберемся с основой персональных данных, какие существуют классы, и какие типы данных относятся к ним. Важно понять, что действительно нужно Вам и Вашему бизнесу, а не гнаться "за всеми данными", которые можно получить от клиента.
Безопасность — второй не менее важный вопрос в персональных данных. Можно защищать по закону, можно по "IТ понятиям". Рынок средств защиты данных большой, но что выбрать? Покупаем готовое или создаем свое? Мы поговорим о том, какие плюсы и минусы у данных подходов.
Все не так страшно, как преподносят. В большинстве случаев достаточно заранее подумать о подходах, что Вам действительно нужно и как будете защищать — все это очень сильно поможет при аттестации систем. Главное — почувствовать грань между законом и бизнесом.
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Mikhail Emeliyannikov
Презентация М. Емельянникова на Cyber Security Forum 2015 по проблемам организации обработки персональных данных в условиях их передачи большому количеству контрагентов и привлечения большого количества обработчиков, хостинга или колокации информационных систем персональных данных в коммерческом ЦОДе.
Комплексные проекты в области защиты персональных данных. Аудит, консалтинг, внедрение сертифицированных средств защиты, разработка документации и подготовка к проверкам регуляторов.
Закон "О персональных данных": грядут переменыValery Bychkov
Презентация с вебинара в сообществе Смартсорсинг. Ведущий: Макс Лагутин, серийный предприниматель, CEO проекта Б-152, специалист по информационной безопасности, обладатель mini-MBA "Менеджмент в сфере интернет-технологий", резидент бизнес-инкубатора HSE-Inc, участник программы акселерации TexDrive.
Основные темы вебинара:
Изменения законодательства в области персональных данных: что ждет компании в 2013 году
Послабление по требованиям защиты персональных данных
Тренды 2013: изменение взгляда операторов персональных данных
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Ontico
За последние пару лет государство все активнее обращает внимание на вопросы безопасности персональных данных, их обработки, все больше компаний задумываются о данных вопросах.
Вопросов очень много, но все не так страшно, как кажется на первый взгляд. Мы разберемся с основой персональных данных, какие существуют классы, и какие типы данных относятся к ним. Важно понять, что действительно нужно Вам и Вашему бизнесу, а не гнаться "за всеми данными", которые можно получить от клиента.
Безопасность — второй не менее важный вопрос в персональных данных. Можно защищать по закону, можно по "IТ понятиям". Рынок средств защиты данных большой, но что выбрать? Покупаем готовое или создаем свое? Мы поговорим о том, какие плюсы и минусы у данных подходов.
Все не так страшно, как преподносят. В большинстве случаев достаточно заранее подумать о подходах, что Вам действительно нужно и как будете защищать — все это очень сильно поможет при аттестации систем. Главное — почувствовать грань между законом и бизнесом.
Михаил Яценко Закон «О персональных данных». Практика примененияНадт Ассоциация
Михаил Яценко, исполнительный директор Национальной Ассоциации Дистанционной Торговли, выступил с докладом на тему «Закон о персональных данных. Практика применения». В своем выступлении Михаил Яценко рассказал об опыте организации работы с персональными данными и типичных проблемах, возникающих при этом.
Презентация Павла Антонова с семинара, организованного компаниями Accountor и Tieto в Москве, 23 июня, на тему "НОВЫЕ ПРАВИЛА ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ В РФ"
Планируемые изменения законодательства по ИБ в РоссииAleksey Lukatskiy
Планируемые изменения законодательства по ИБ в России
1. Персональные данные
2. Критические информационные инфраструктуры
3. Национальная платежная система и банковская тайна
4. Операторы связи
5. Государственные и муниципальные учреждения
Перенос персональных данных в РФ. Вопросы и ответыКРОК
Презентация Анастасии Федоровой, ведущего аналитика департамента информационных технологий КРОК
Семинар 2 июня 2015 года «Импортозамещение и перенос персональных данных в РФ» http://www.croc.ru/action/detail/56321/
ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"
Обзор и комментарии.
Романов Илья, CISA, CISM
Заместитель руководителя отдела консалтинга
ЗАО "ДиалогНаука"
Similar to Ключевые планируемые изменения законодательства по персональным данным (20)
Мое выступление на Kaspersky ICS Security Conference в сентябре 2020 года в Сочи о том, на что обращать внимание при разработке дашбордов по ИБ АСУ ТП для лиц, принимающих решения
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
Презентация на GDPR Day Online про техническую защиту персональных данных в соответствие с GDPR и ФЗ-152. Куча ссылок на стандарты и методички по защите ПДн в облаках, блокчейне, BYOD, ML, Big Data и т.п., а также чеклисты по технической защите ПДн от CNIL, ICO и др.
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
Презентация, рассматривающая различные нашумевшие инциденты и то, как их можно было бы вовремя обнаружить. Но многие компании эти рекомендации не выполняют, фокусируясь только на защите периметра
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
Презентация о том, как можно вынести тему ИБ на руководство финансовой организации? Как говорить с ним на языке денег и какие метрики использовать, если мы не можем монетизировать тему ИБ?
Краткое, но при этом талантливое :-) изложение ключевых идей, мыслей, новостей и фактов с Уральского форума по информационной безопасности финансовых организаций (2020).
2. Почему Cisco говорит о законодательстве?
ТК22 ТК122 ТК362 РГ ЦБ
«Безопасность «Защита «Защита Разработка рекомендаций по ПДн,
ИТ» (ISO SC27 в информации в информации» СТО БР ИББС v4 и 382-П/2831-У
России) кредитных при ФСТЭК
учреждениях»
ФСБ МКС ФСТЭК РАЭК РКН
Экспертиза Экспертиза и Экспертиза и Консультативный
Предложения
документов разработка разработка совет
документов документов
4. Базовая иерархия документов по ПДн
Конвенции и иные Директивы
Евросоюза /
Рекомендации Европейская Рекомендации
АТЭС ОЭСР
международные договора Европарламента
Конвенция
ФЗ №152 от
26.07.2006
Законы ФЗ №160 от
19.12.2005
Постановления №1119 от №687 от №512 от №221 от №940 от
Правительства 01.11.2012 15.09.2008 6.07.2008 21.03.2012 18.09.2012
Приказы и Приказ ФСТЭК
№21 от
2 методички от
иные документы 18.02.2013
ФСБ
5. Новый приказ ФСТЭК
• №21 от 18.02.2013
• Определяет состав и содержание
организационных и технических
мер
• Применяется для новых
(модернизируемых) ИСПДн
• Меры по защите ПДн в ГИС
принимаются в соответствии с
требованиями о защите
информации, содержащейся в
ГИС («новый СТР-К»)
6. Меры по защите информации
• В систему защиты ПДн в зависимости от актуальных угроз
безопасности ПДн и структурно-функциональных характеристик
ИСПДн включаются следующие меры
– идентификация и аутентификация субъектов доступа и объектов
доступа
– управление доступом субъектов доступа к объектам доступа
– ограничение программной среды
– защита машинных носителей информации, на которых хранятся
и (или) обрабатываются персональные данные
– регистрация событий безопасности
– антивирусная защита
– обнаружение (предотвращение) вторжений
– контроль (анализ) защищенности персональных данных
7. Меры по защите информации
• продолжение:
– обеспечение целостности информационной системы и
персональных данных
– обеспечение доступности персональных данных
– защита среды виртуализации
– защита технических средств
– защита информационной системы, ее средств, систем связи и
передачи данных
– выявление инцидентов (одного события или группы событий),
которые могут привести к сбоям или нарушению
функционирования информационной системы и (или) к
возникновению угроз безопасности персональных данных, и
реагирование на них
– управление конфигурацией информационной системы и системы
защиты персональных данных
8. Как определяются защитные меры
• Выбор мер по обеспечению безопасности ПДн, Базовые меры
подлежащих реализации в системе защиты ПДн,
включает
– выбор базового набора мер Адаптация базового
набора
– адаптацию выбранного базового набора мер
применительно к структурно-функциональным
характеристикам ИСПДн, реализуемым ИТ, Уточнение
адаптированного набора
особенностям функционирования ИСПДн, а также
с учетом целей защиты персональных данных
– уточнение (включает дополнение или
Дополнение уточненного
исключение) адаптированного набора
– дополнение адаптированного базового набора
мер по обеспечению безопасности ПДн
дополнительными мерами, установленными Компенсационные меры
иными нормативными актами
9. Планируемые изменения
• Законопроект по внесению изменений в законодательные акты в
связи с принятием ФЗ-160 и ФЗ-152
• Законопроект «О внесении изменений в
статью 857 части второй Гражданского кодекса РФ, статью 26
Федерального закона «О банках и банковской деятельности» и
Федеральный закон «О персональных данных»
• Законопроект по внесению изменений в КоАП (в части
увеличения штрафов по ст.13.11)
• Проект методических рекомендаций РКН по обезличиванию
• Проект приказа РКН по странам, обеспечивающим адекватную
защиту прав субъектов
• Проект приказа ФСБ по ПДн
• Проект Постановления Правительства по надзору в сфере ПДн
10. Законопроект по внесению изменений в законодательные
акты в связи с принятием ФЗ-160 и ФЗ-152
• Проект федерального закона «О внесении изменений в
некоторые законодательные акты Российской Федерации в связи
с принятием ФЗ «О ратификации Конвенции Совета Европы о
защите физических лиц при автоматизированной обработке
персональных данных» и ФЗ «О персональных данных» внесён
Правительством Российской Федерации
– Законопроект подготовлен во исполнение Россией обязательства
по статье 4 Конвенции Совета Европы о защите физических лиц
при автоматизированной обработке персональных данных,
предусматривающей принятие каждой стороной необходимых
мер в рамках своего национального законодательства с целью
ввести в действие основополагающие принципы защиты данных
не позднее момента вступления Конвенции в отношении неё в
силу
– Законопроект принят Госдумой в первом чтении 25 ноября 2005
года
11. Законопроект по внесению изменений в законодательные
акты в связи с принятием ФЗ-160 и ФЗ-152
• Правки вносятся в
– ФЗ «Об образовании»
– ФЗ «О прокуратуре»
– ФЗ «Об оперативно-розыскной деятельности»
– ФЗ «Об актах гражданского состояния»
– ФЗ «О негосударственных пенсионных фондах»
– ФЗ «О государственной дактилоскопической регистрации»
– ФЗ «О государственной социальной помощи»
– ФЗ «О государственном банке данных о детях, оставшихся без
попечения родителей»
– Трудовой Кодекс
– ФЗ «Об обязательном страховании гражданской ответственности
владельцев транспортных средств»
– Гражданский процессуальный кодекс Российской Федерации
12. Законопроект по внесению изменений в законодательные
акты в связи с принятием ФЗ-160 и ФЗ-152
• Правки вносятся в
– ФЗ «О системе государственной службы»
– ФЗ «О связи»
– ФЗ «О лотереях»
– ФЗ «О государственной гражданской службе»
– ФЗ «О муниципальной службе»
– ФЗ «Об образовании в Российской Федерации»
13. Законопроект Аксакова
• Законопроектом предлагается внести в пункт 2 статьи 857
Гражданского кодекса Российской Федерации, статью 26
федерального закона «О банках и банковской деятельности» и
статьи 3 и 6 федерального закона «О персональных данных»
изменения, расширяющие круг субъектов, которым могут быть
предоставлены сведения, составляющие банковскую тайну
• В соответствии с законопроектом сведения, составляющие
банковскую тайну, могут предоставляться по поручению клиента
абсолютно всем третьим лицам
• Отзыв Правительства – негативный
• Первое чтение в Госдуме – в ноябре 2013 года
14. Рост штрафов за невыполнение ФЗ-152
700000
Выручка руб.
2% от за год
1000000 дохода
10000 руб.
руб. • 4 состава правонарушения
• Увеличение суммы штрафа
• Рост срока давности
• Переход полномочий от прокуратуры к
РКН
15. Новые составы правонарушений
• Невыполнение оператором обязанностей, предусмотренных
законодательством в области ПДн
– Законодательство – это не только ФЗ-152
– РКН настаивает только на ст.18 и 18.1
– Штраф – до 30 000 рублей
• Обработка ПДн без согласия (ст.13.11.1)
– Просто – до 50 000 рублей
– С доходом – сумма выручки за год, но не менее 500 000 рублей
– С вредом жизни и здоровью – до 600 000 рублей
– Рецидив – до 700 000 рублей
16. Новые составы правонарушений
• Обработка спецкатегорий ПДн в случаях, не предусмотренных
законом
– Просто – до 500 000 рублей
– С вредом жизни и здоровью – до 700 000 рублей
– Рецидив – до 700 000 рублей
• Несоблюдение условий трансграничной передачи ПДн
– Просто – до 30 000 рублей
– Повлекшее НСД – до 700 000 рублей
– Рецидив – до 700 000 рублей
17. Что еще внесут в Госдуму
• Срок давности (ст.4.5 КоАП) увеличивается с 3-х месяцев до 1
года
– МВД было против
• Полномочия прокуратуры по возбуждению дела по 13.11 уходят в
РКН
– Прокуратура не против
18. Проект нового Постановления Правительства о надзоре
• Госконтроль включает в себя
– Мониторинг деятельности, направленный на предупреждение,
выявление и пресечение нарушений
– Действие данного Положения не распространяется на
деятельность по осуществлению контроля и надзора за
выполнением организационных и технических мер по
обеспечению безопасности персональных данных,
установленных в соответствие со статьей 19 Федерального
закона "О персональных данных"
• Проект Постановления Правительства «Об утверждении
Положения о государственном контроле и надзоре за
соответствием обработки персональных данных требованиям
законодательства Российской Федерации в области
персональных данных»
19. Проект приказа ФСБ
• Настоящий документ устанавливает
состав и содержание необходимых
для выполнения установленных
Правительством Российской
Федерации требований к защите ПДн
для каждого из уровней защищенности
организационных и технических мер
по обеспечению безопасности ПДн
при их обработке в ИСПДн
• Оргмеры похожи на 152-й приказ
ФАПСИ («розовую инструкцию»)
20. Когда должны применяться СКЗИ
• Криптографическая защита персональных данных
обеспечивается в следующих случаях
– если персональные данные подлежат криптографической защите
в соответствии с федеральными законами и принимаемыми в
соответствии с ними нормативными правовыми актами
– если для информационной системы персональных данных
выявлены угрозы, которые могут быть нейтрализованы только с
помощью СКЗИ
• В остальных случаях решение о необходимости обеспечения
криптографической защиты ПДн может быть принято оператором
на основании технико-экономического сравнения альтернативных
вариантов обеспечения безопасности ПДн
21. От модели нарушителя к типам угроз и классам СКЗИ
Категории нарушителей
КН1 • Н1-Н3 3 тип
КН2 • Н4-Н5 2 тип
КН3 • Н6 1 тип
Типы угроз
22. Проект методических рекомендаций РКН по
обезличиванию
• Введение идентификаторов
• Изменение состава или
семантики
• Декомпозиция
• Перемешивание
• Криптографическое
преобразование
23. Что планирует РКН?
• 4 критерия отнесения к «адекватным» странам (помимо
ратификации Конвенции)
– Наличие национального законодательства
– Наличие санкций и средств правовой защиты
– Наличие уполномоченного органа по защите прав субъектов
– Наличие фактов утечек ПДн
– Оказание содействия в пресечении незаконной деятельности
24. Список адекватных стран
• Австралия • Сенегал
• Аргентина • Чили
• Канада • Гонконг
• Марокко • Швейцария
• Малайзия • Ратификаторы Конвенции -
• Мексика Австрия, Бельгия, Болгария,
• Монголия Дания, Великобритания,
Венгрия, Германия, Греция,
• Новая Зеландия Ирландия, Испания, Италия,
• Ангола Латвия, Литва, Люксембург,
• Бенин Мальта, Нидерланды, Польша,
• Кабо-Верде Португалия, Румыния,
• Корея Словакия, Словения,
Финляндия, Франция, Чехия,
• Перу Швеция, Эстония