Документ охватывает требования законодательства о защите персональных данных в России, упоминает случаи нарушений конфиденциальности и последствия для операторов данных. Описываются основные функции и ответственности регуляторов, таких как Роскомнадзор и ФСБ, а также обязательства операторов по обеспечению безопасности персональных данных. Включает информацию о плановых и внеплановых проверках, а также потенциальные риски и ответственность за нарушения законодательства.

1. Закон «О персональных данных»
требования, регуляторы, реализация
Виталия Лепехина
Руководитель направления аудита и консалтинга
Vitaliya.Lepekhina@softline.ru

2. Случаи нарушения конфиденциальности
успешный несанкционированный
доступ к данным Интернет-сервисов
PlayStation Network и Qriocity (77
миллионов учётных записей, апрель
2011)
Номер телефона и текст СМС-сообщения Мегафон, МТС, Билайн (лето
2011)
ссылки на страницы со статусами заказов в различных интернет-
магазинах (лето 2011)
 Электронные железнодорожные билеты с датами, номерами рейсов,
именами пассажиров (лето 2011)
 Имена, фамилии, адреса и телефоны почти 1,6 млн абонентов МТС в
Башкирии и Петербурге на сайте zhiltsy.net (осень 2011)
и т.д.

3. Законодательство по защите персональных данных
Международное законодательство
Директива 97/66/ЕС
Европейская Конвенция
Директива 95/46/ЕС «Об использовании
«О защите физических лиц
«О защите прав частных лиц персональных данных и
при автоматизированной
применительно к обработке защиты неприкосновенности
обработке персональных
персональных данных» частной жизни в сфере
данных»
от 24.10.1995 г. телекоммуникаций»
от 28.01.1981г.
от 15.12.1997 г.
 подписана от имени Российской
Федерации в городе Страсбурге 7
ноября 2001 года
 ратифицирована Федеральным
законом №160 от 19 декабря 2005 года
Российское законодательство
Федеральный закон
Российской Федерации
Федеральный закон Российской от 25 июля 2011 г. N 261
Федерации от 27 июля 2006 г. № 152 «О внесении изменений
«О персональных данных» в Федеральный закон
«О персональных
данных»»

4. Российское законодательство по защите
персональных данных
ФЗ №261 от 25
ФЗ №152 от 27 июля 2006 июля 2011
«О персональных данных» «О внесении
изменений…»
Постановление Правительства Постановление Правительства
РФ №781 от 17 ноября 2007 г. РФ №687 от 15 сентября 2008 г.
«Об обеспечении безопасности «Об особенностях обработки
персональных данных при их персональных данных без
обработке в ИСПДн» использования …»
Совместный приказ ФСБ, Административный
ФСТЭК, Минкомсвязи регламент Роскомнадзора
Методические документы Методические документы
ФСТЭК России ФСБ России
Организации банковской
Организации всех форм сферы
собственности и физ.лица Комплекс Стандарта Банка
России

5. Основные определения
• Персональные данные
Что? • любая информация, относящаяся к прямо или
косвенно определенному или определяемому
физическому лицу (субъекту персональных
данных)
• Оператор
Кто? • государственный орган, … юридическое …лицо,
самостоятельно или совместно с другими лицами
организующие и (или) осуществляющие
обработку персональных данных …
• Обработка персональных данных
Когда? • любое действие (операция) …, совершаемых с
использованием средств автоматизации или без
использования таких средств с персональными
данными …

6. Обработка совместно с другими лицами
• Дает согласие на обработку
Субъект ПДн
• Несет ответственность перед Субъектом ПДн
• Получает согласие на обработку от Субъекта ПДн
• Готовит поручение оператора
• Перечень действий с ПДн
Оператор • Цели обработки ПДн
• Соблюдение конфиденциальности
• Требования по защите ПДн
• Несет ответственность перед Оператором
• Не обязан получать согласие Субъекта ПДн на обработку
«Обработчик»

7. Основания обработки ПДн
Обязательное
письменное
согласие
Условия, субъекта ПДн
определенные
в ч.1 ст. 6
Согласие
Субъекта ПДн
Основание обработки ПДн

8. Меры по обеспечению безопасности, закрепленные в 152-ФЗ
Определение угроз безопасности
Применение организационных и технических мер в соответствии с
установленными Правительством РФ уровнями защищенности
Использование СЗИ, прошедших процедуру оценки соответствия
Оценка эффективности применяемых мер до ввода ИСПДн в
эксплуатацию
Назначение лица, ответственного за организацию обработки ПДн
Контроль за принимаемыми мерами и уровнем защищенности ПДн
И т.д.
Ассоциации, союзы и иные объединения
операторов вправе определить дополнительные
угрозы безопасности ПДн, актуальные при
осуществлении определенных видов
деятельности членами таких ассоциаций, союзов
и иных объединений операторов

9. Российское законодательство по защите
персональных данных сегодня
ФЗ №152 от 27 июля 2006 г.
«О персональных данных»
В редакции ФЗ №261 от 25 июля 2011 г.
Постановление
Постановление Правительства
Правительства РФ №687 от 15
РФ №781 от 17 ноября 2007 г.
сентября 2008 г. «Об
«Об Обеспечении безопасности
особенностях обработки
персональных данных при их
персональных данных без
обработке в ИСПДн»
использования …»
Совместный приказ ФСБ, Административный регламент
ФСТЭК, Минкомсвязи Роскомнадзора
Методические документы Методические документы
ФСТЭК России ФСБ России
Организации банковской
Организации всех форм сферы
собственности и физ.лица Комплекс Стандарта Банка
России

10. Основные направления деятельности по защите
персональных данных
Защита информации от
Защита от НСД к Криптографическая
утечки по техническим
информации защита
каналам
- управление доступом - утечка ПДн по каналу - защита ПДн при их
- регистрация и учет ПЭМИН передаче по каналам
- утечка ПДн по связи
- обеспечение целостности
акустическому каналу - защита информации,
- межсетевое
- обеспечение физической хранимой в ИСПДн
экранирование
защиты ПДн - защита съемных
- антивирусная защита
носителей информации
- анализ защищенности
(сетевые сканеры) ФСТЭК ФСБ - использование ЭЦП
России России - применение СОВ
Примечание: выбор и реализация методов и способов защиты информации в информационной системе
осуществляются на основе определяемых оператором угроз безопасности персональных данных (модели
угроз) и в зависимости от класса информационной системы…
(п. 1.4 Приказа ФСТЭК №58)

11. Обязанности оператора по обеспечению
безопасности персональных данных
• Обоснование законности обработки ПДн
• Уведомление уполномоченного органа до начала обработки
Правовые ПДн
• Поручение оператора
• И др.
• Назначение ответственного за организацию обработки ПДн
• Издание документов, определяющих политику Оператора
Организационные
• Оценка вреда, который может быть причинен субъекту
• И др.
• Определение угроз безопасности
• Применение СЗИ, прошедших в установленном порядке
Технические процедуру оценки соответствия
• Обнаружение фактов несанкционированного доступа
• И др.

12. Обязанности оператора
Обработка ПДн Обработка ПДн
Неправомерная Достижение цели Отзыв согласия
Неточные ПДн
обработки ПДн обработки субъекта
Прекратить обработку и уничтожить
Блокирование ПДн
ПДн в течение 30 рабочих дней
Отсутствие возможности
Подтверждение
уничтожения
Прекратить в течение
Уточнить в 3 рабочих дней. В Блокирование ПДн и их
течение 7 противном случае – уничтожение в срок, не более 6
рабочих дней уничтожить в течение месяцев
10 рабочих дней

13. Регуляторы в сфере защиты ПДн
РОСКОМНАДЗОР
Уполномоченный орган по защите прав субъектов персональных данных:
 Государственный контроль и надзор за обработкой ПДн
 Ведение реестра операторов
 Применение мер профилактического и пресекательного характера,
направленных на недопущение нарушений в сфере защиты ПДн
ФСТЭК России ФСБ России
Уполномоченный орган в области Уполномоченный орган в области
противодействия техническим обеспечения криптографической и
разведкам и технической защиты инженерно-технической защиты
информации информации
ФСТЭК России и ФСБ России определены как регуляторы для государственных
ИС, однако, по решению Правительства, ФСТЭК России и ФСБ России могут
быть регуляторами для определенных видов деятельности (не являющимися
государственными ИС) без права ознакомления с ПДн

14. Основания для плановой проверки Роскомнадзором
Истечение 3х лет со дня
Начало осуществления государственной
Истечение 3х лет со дня
оператором регистрации оператора
окончания проведения
деятельности по в качестве
последней плановой
обработке юридического лица,
проверки оператора
персональных данных индивидуального
предпринимателя
Плановая проверка

15. Основания для внеплановой проверки Роскомнадзором
Поступление сведений о возникновении Приказ руководителя Службы, изданный в
угрозы причинения вреда жизни, здоровью соответствии с поручениями Президента
граждан или причинение вреда жизни, Российской Федерации, Правительства
здоровью граждан Российской Федерации
Истечение срока Несоответствие сведений
Нарушение
исполнения ранее в уведомлении об
оператором прав и
выданного обработке фактической
законных интересов
предписания об деятельности.
субъектов либо
устранении Нарушение Оператором
требований требований
выявленных
законодательства законодательства
нарушений
Внеплановая проверка

16. Осуществление проверки
- Составление Акта
проверки
- Выдача предписания об
устранении нарушений
- Уведомление о
плановой проверке за 3 - Передача материалов в
дня суд или в органы
прокуратуры
- Утверждение Плана - Уведомление о
проверки внеплановой проверке за
24 часа
- Согласование внеплановой
проверки с органами
прокуратуры
Срок проведения проверки – до 20 рабочих дней. При необходимости может быть
продлен на срок до 20 рабочих дней.

17. Результаты проведенных проверок
284 148
741
1420
804 449
Плановые проверки Внеплановые проверки
На 2012 год
запланировано 2009 г.
1674 плановые
проверки 2010 г.
2011 г. 78 000
86
?
?
2996 4 480 000
Результаты переданы в суд Общая сумма штрафов

18. Риски неисполнения требований законодательства
Неисполнение требований 152-ФЗ влечет для бизнеса компании
риски следующего характера:
 Гражданские иски со стороны клиентов или работников
 Приостановление или прекращение обработки персональных
данных в компании
 Привлечение компании и (или) ее руководства к
административной, уголовной, гражданской, дисциплинарной
и иным видам ответственности
 Приостановление действия или аннулирование лицензий на
основной вид деятельности компании
 Репутационные риски
 Риски недобросовестной конкуренции (приостановления
деятельности компании с подачи конкурентов при имеющихся
нарушениях правил защиты персональных данных)

19. Ответственность
ст. 24, 152-ФЗ: Лица, виновные в нарушении требований
настоящего Федерального закона, несут предусмотренную
законодательством Российской Федерации ответственность
 Дисциплинарная
ТК РФ: статьи 81, 90, 195, 237, 391
Максимум: возмещение морального вреда сотруднику,
получившему ущерб от разглашения его ПДн
 Административная
КоАП РФ: статьи 13.11, 13.12, 13.13, 13.14, 19.4, 19.5, 19.7, 19.20
Максимум: 250 000 р. + приостановление деятельности на
срок до 90 суток + дисквалификация должностного лица на
срок до 3-х лет + конфискация средств защиты
 Уголовная
УК РФ: статьи 137, 140, 272, 273, 274
Максимум: 300 000 р. + принудительные работы на срок до 4-
х лет + арест до 6-ти месяцев + лишение права занимать
должность на срок до 5-ти лет

20. Проект по созданию системы защиты персональных
данных
Консалтинг
Техническая реализация
Постпроектное
сопровождение

21. Консалтинг
 Анализ рисков и вариантов по их
минимизации или устранению
 Несколько вариантов реализации
системы защиты ПДн
 Разработка организационно-
распорядительной документации,
 перечень необходимых СЗИ, работ и
документов с указанием стоимости
и сроков
 отсутствие проблем при внедрение
СЗИ

22. Перечень документов, разрабатываемых Softline в
ходе проектной деятельности
Организационно-
Материалы Эксплуатационные
распорядительные
проектирования документы
документы
- материалы предпроектного - акты, журналы , перечни - положения
обследования - инструкции по эксплуатации - приказы
- результаты технического и правила пользования - должностные инструкции
проектирования (материалы - формы и соглашения
разработки и обоснования - технические регламенты
мероприятий по защите ПДн, - матрица доступа
описание облика системы - описание технологического
защиты ПДн) процесса
- результаты опытной - протоколы испытаний
эксплуатации и итоговых
испытаний
Примечание: указанная документация создаёт необходимую основу для осуществления контроля
и надзора за обработкой персональных данных со стороны уполномоченных органов
(ФСБ, ФСТЭК, Роскомнадзор)

23. Техническая реализация проекта
 Поставка и внедрение сертифицированных
средств защиты информации
 Тестирование и отладка процессов
 Обучение персонала
 Сопровождение и контроль

24. Постпроектное сопровождение
 Актуализация документов
 Техническая поддержка
 Повышение квалификации персонала

25. Наши проекты
 Крупная энергогенерирующая компания Российской Федерации
Класс 2, 50 АРМ, количество площадок – 3
 Лидер по производству молочной продукции
Класс 1, 2500 АРМ, количество площадок – 54
 Префектура ЮЗАО г. Москвы
Класс 2, 400 АРМ, количество площадок – 13
 Комитет государственных услуг г. Москвы
Класс 2, 600 АРМ, количество площадок – 3
 Управление делами Президента
Класс 2, 230 АРМ, количество площадок – 4
 Крупная компания в области сетей быстрого питания
Класс 3, 550 АРМ, количество площадок – 98
 Крупный гостиничный комплекс
Класс 2, 700 АРМ, количество площадок – 11

26. Наши проекты
 Крупный международный банк
Класс 2, 150 АРМ, количество площадок – 3
 Компания-лидер сектора FMCG
Класс 2, 600 АРМ, количество площадок – более 200 по России
 Нефтедобывающая компания
Класс 2, 200 АРМ, количество площадок – 4
 Крупный НПФ
Класс 2, 120 АРМ, количество площадок – 15 по России
 Международная инвестиционная компания
Класс 2, 70 АРМ, количество площадок – 2

27. Лицензии Softline
Лицензия ФСБ на выполнение работ, связанных с использованием сведений,
составляющих государственную тайну
Лицензия ФСБ на осуществление технического обслуживания шифровальных
(криптографических) средств
Лицензия ФСБ на осуществление распространения шифровальных
(криптографических) средств
Лицензия ФСТЭК на деятельность по технической защите конфиденциальной
информации
Лицензия ФСТЭК на деятельность по разработке и (или) производству средств
защиты конфиденциальной информации

28. Наши партнерские статусы
Symantec Platinum Partner
Symantec Authorized Technical Assistance Partner (первый в России!)
Symantec Endpoint Management Specialization
Check Point Certified Collaborative Support Provider (CCSP)
Check Point Authorized Training Center (ATC)
McAfee Authorized Distributor
McAfee Elite Solution Provider 2007
McAfee Certified Training center
Kaspersky Authorized Distributor
Clearswift Authorized Distributor
Infowatch Business Partner
Microsoft Gold Certified Partner (Security Solution)
Trend Micro Authorized Technical Support Center
Trend Micro Premium Partner
Trend Micro Authorized Distributor
SurfControl Valued Member of SurfControl’s Worldwide
Channel Programm
Aladdin Distributor
ESET Corporate Premier Partner
Kaspersky Lab. Premier Partner
Agnitum Outpost Premium Reseller
RSA Solutions Partner
CA Premier Partner
GFI Gold Authorized reseller
и другие…

29. Хотите узнать больше?
(495)232-00-23 (# 1461)
Vitaliya.Lepekhina@softline.ru