Один из самых интересных и животрепещущих вопросов в теме персональных данных – как регуляторами на практике применяется 152-ФЗ и соответствующие подзаконные акты? Вопрос этот важный, ведь без ответа на него не удастся грамотно организовать процессы обработки и защиты персональных данных и достичь одной из ключевых задач Операторов ПДн – снижения рисков, связанных с претензиями регуляторов и субъектов ПДн. Поэтому темой очередного вебинара АО «ДиалогНаука» было решено сделать рассмотрение правоприменительной практики в области персональных данных.
Цель вебинара – аккумулировать опыт и знания, полученные АО «ДиалогНаука» в ходе:
- Реализации проектов по тематике ПДн, в том числе по сопровождению Заказчиков в ходе проверок;
- Анализа судебной практики в области ПДн и комментариев регуляторов;
- Участия в различных публичных мероприятиях.
Спикер: Илья Романов, CISA, CISM, Заместитель руководителя отдела консалтинга АО «ДиалогНаука»
White paper: Защита информации в финансовом сектореМФИ Софт
Аналитический центр «МФИ Софт» подготовил white paper о защите данных в финансовых организациях. На примере практических кейсов использования систем защиты информации «Гарда Предприятие» и «Гарда БД» эксперты компании рассмотрели, какие данные и почему необходимо обезопасить, а также структурировали рекомендации для снижения внутренних угроз.
Перспективы трансграничного обмена персональными данными и иной информацией о...Корус Консалтинг СНГ
Анастасия Кузнецова, юрист, Ernst & Young.
Сессия: Учёт и право.
Конференция «Оптимизация бизнес-процессов межкорпоративного документооборота».
Организатор: ООО «КОРУС Консалтинг СНГ», http://www.esphere.ru/
Дата проведения: 24 апреля 2015 года, пятница
Место проведения: Санкт-Петербург, пл. Победы, д. 1, отель Park Inn by Radisson, Пулковская.
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
Почему любой интернет-магазин — это информационная система обработки персональных данных (ИСПДн)?
Какие основные нормы законодательства сейчас действуют в данной сфере и напрямую затрагивают Интернет-торговлю?
Что нужно сделать владельцу интернет-магазина, чтобы спать спокойно, хотя бы в части соблюдения законодательства о персональных данных?
Какая сейчас сложилась практика по защите персональных данных на веб-сайтах и куда смотрит Роскомнадзор?
Какие существуют типовые походы к обеспечению должного уровня защищенности ИСПДн?
Как выбрать правильного провайдера для хостинга интернет-магазина?
White paper: Защита информации в финансовом сектореМФИ Софт
Аналитический центр «МФИ Софт» подготовил white paper о защите данных в финансовых организациях. На примере практических кейсов использования систем защиты информации «Гарда Предприятие» и «Гарда БД» эксперты компании рассмотрели, какие данные и почему необходимо обезопасить, а также структурировали рекомендации для снижения внутренних угроз.
Перспективы трансграничного обмена персональными данными и иной информацией о...Корус Консалтинг СНГ
Анастасия Кузнецова, юрист, Ernst & Young.
Сессия: Учёт и право.
Конференция «Оптимизация бизнес-процессов межкорпоративного документооборота».
Организатор: ООО «КОРУС Консалтинг СНГ», http://www.esphere.ru/
Дата проведения: 24 апреля 2015 года, пятница
Место проведения: Санкт-Петербург, пл. Победы, д. 1, отель Park Inn by Radisson, Пулковская.
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
Почему любой интернет-магазин — это информационная система обработки персональных данных (ИСПДн)?
Какие основные нормы законодательства сейчас действуют в данной сфере и напрямую затрагивают Интернет-торговлю?
Что нужно сделать владельцу интернет-магазина, чтобы спать спокойно, хотя бы в части соблюдения законодательства о персональных данных?
Какая сейчас сложилась практика по защите персональных данных на веб-сайтах и куда смотрит Роскомнадзор?
Какие существуют типовые походы к обеспечению должного уровня защищенности ИСПДн?
Как выбрать правильного провайдера для хостинга интернет-магазина?
Экспертное предложение по более эффективному использованию технологий в работе
судов общей юрисдикции и совершенствованию судебной практики по спорам,
связанным с IT.
Экспертное предложение по более эффективному использованию технологий в работе судов общей юрисдикции и совершенствованию судебной практики по спорам, связанным с IT.
Проект разработан в рамках концепции “Суд будущего” при участии Фонда Кудрина по поддержке гражданских инициатив.
ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"
Обзор и комментарии.
Романов Илья, CISA, CISM
Заместитель руководителя отдела консалтинга
ЗАО "ДиалогНаука"
Russian Personal Data Legislation: Localization RequirementVladislav Arkhipov
The presentation includes some clarifications of the Federal Law No 242-FZ, dated 21 July 2014 and case studies from IP/IT practice which demonstrate experience of Dentons in resolving complex personal data and privacy issues in dynamic Russian environment. The presentation was first delivered at the Conference “Personal Data – New Realities” which was held at Hotel Four Seasons in St. Petersburg on 21 May 2015 and organized by IBM.
Михаил Яценко Закон «О персональных данных». Практика примененияНадт Ассоциация
Михаил Яценко, исполнительный директор Национальной Ассоциации Дистанционной Торговли, выступил с докладом на тему «Закон о персональных данных. Практика применения». В своем выступлении Михаил Яценко рассказал об опыте организации работы с персональными данными и типичных проблемах, возникающих при этом.
Перенос персональных данных в РФ. Вопросы и ответыКРОК
Презентация Анастасии Федоровой, ведущего аналитика департамента информационных технологий КРОК
Семинар 2 июня 2015 года «Импортозамещение и перенос персональных данных в РФ» http://www.croc.ru/action/detail/56321/
Экспертное предложение по более эффективному использованию технологий в работе
судов общей юрисдикции и совершенствованию судебной практики по спорам,
связанным с IT.
Экспертное предложение по более эффективному использованию технологий в работе судов общей юрисдикции и совершенствованию судебной практики по спорам, связанным с IT.
Проект разработан в рамках концепции “Суд будущего” при участии Фонда Кудрина по поддержке гражданских инициатив.
ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"
Обзор и комментарии.
Романов Илья, CISA, CISM
Заместитель руководителя отдела консалтинга
ЗАО "ДиалогНаука"
Russian Personal Data Legislation: Localization RequirementVladislav Arkhipov
The presentation includes some clarifications of the Federal Law No 242-FZ, dated 21 July 2014 and case studies from IP/IT practice which demonstrate experience of Dentons in resolving complex personal data and privacy issues in dynamic Russian environment. The presentation was first delivered at the Conference “Personal Data – New Realities” which was held at Hotel Four Seasons in St. Petersburg on 21 May 2015 and organized by IBM.
Михаил Яценко Закон «О персональных данных». Практика примененияНадт Ассоциация
Михаил Яценко, исполнительный директор Национальной Ассоциации Дистанционной Торговли, выступил с докладом на тему «Закон о персональных данных. Практика применения». В своем выступлении Михаил Яценко рассказал об опыте организации работы с персональными данными и типичных проблемах, возникающих при этом.
Перенос персональных данных в РФ. Вопросы и ответыКРОК
Презентация Анастасии Федоровой, ведущего аналитика департамента информационных технологий КРОК
Семинар 2 июня 2015 года «Импортозамещение и перенос персональных данных в РФ» http://www.croc.ru/action/detail/56321/
Правовые и технические аспекты защиты персональных данных в электронной комме...Demian Ramenskiy
Доклад: Правовые и технические аспекты защиты персональных данных в электронной коммерции
Форум: Экосистема электронной коммерции
(30 марта 2017, Москва, Шератон Палас)
Обзор тенденций ИБ-регулирования для телекома, прочитанный на конференции РБК. ФЗ-187 о безопасности критических информационных инфраструктур, закон о персданных, SIM-карты, обновление 1-го приказа Минкомсвязи
Планируемые изменения законодательства по ИБ в РоссииAleksey Lukatskiy
Планируемые изменения законодательства по ИБ в России
1. Персональные данные
2. Критические информационные инфраструктуры
3. Национальная платежная система и банковская тайна
4. Операторы связи
5. Государственные и муниципальные учреждения
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days
Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамDialogueScience
Совместный вебинар Kaspersky lab. и ДиалогНаука посвящен противодействию целевым атакам. Новые вызовы корпоративной безопасности и экономическое обоснование целесообразности применения решений по противодействию APT.
Спикер: Владимир Островерхов, Эксперт поддержки корпоративных продаж направления противодействия целенаправленным атакам «Лаборатории Касперского»
Совместный вебинар Solar Security и ДиалогНаука посвящен DLP-системам и проведен в формате "взгляд эксперта".
Спикер: Василий Лукиных, менеджер по развитию бизнеса компании Solar Security
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...DialogueScience
Совместный вебинар Positive Technologies и ДиалогНаука будет посвящен типичным сложностям, с которыми сталкиваются организации при внедрении SIEM-систем, а также тому, с чем сталкиваются организации при попытке оценить уровень своей защищенности.
Вебинар: DeviceLock - экспертный взгляд на DLP-технологииDialogueScience
На вебинаре проведен обзор основных аспектов утечки конфиденциальных данных и методов противодействия утечкам, предлагаемых рынком информационной безопасности - решениям класса Data Leak Prevention, а также рассмотрены вопросы эффективности различных DLP-систем.
Вебинар: Функциональные возможности HP ArcSight Logger \ ESMDialogueScience
В настоящее время средства защиты корпоративных систем обнаруживают всё больше подозрительных событий и аномального трафика. При этом требуется выявление действительно опасных событий и инцидентов. Одними из лучших средств для данных задач являются системы HP ArcSight ESM\Logger. На вебинаре рассмотрены ключевые возможности и примеры из практики.
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...DialogueScience
Совместный вебинар АО ДиалогНаука и Palo Alto Networks посвящен целевым кибератакам и платформе, которая поможет их предотвратить.
Спикер: Евгений Кутумин, Systen Engineer Russia & CIS, Palo Alto Networks
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯDialogueScience
Спикер: Ксения Засецкая, Старший консультант отдела консалтинга АО «ДиалогНаука»
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. На вебинаре будут рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
Создание системы обеспечения ИБ АСТУ электросетевой компанииDialogueScience
Спикер: Дмитрий Ярушевский, руководитель отдела кибербезопасности АСУ ТП АО «ДиалогНаука»
Вебинар посвящен работам по созданию системы обеспечения информационной безопасности автоматизированной системы технологического управления одной из крупнейших электросетевых компаний г. Москвы. Докладчик расскажет об обрабатываемых рисках и угрозах в рамках создаваемой системы, задачах, стоявших перед проектировщиками и инженерами. Большая часть вебинара будет посвящена техническим решениям системы, среди которых есть как общеизвестные средства защиты от мировых лидеров рынка, так и решения, разрабатываемые специально для заказчика и реализующие меры безопасности непосредственно на уровне ПЛК.
Управление инцидентами информационной безопасности от А до ЯDialogueScience
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. В презентации рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
Управление инцидентами. Ключевые этапы создания и внедрения процесса.
Классификация инцидентов. Необходимое и достаточное количество классификационных параметров.
Выявление инцидентов. Достаточно ли SIEM?
Обработка инцидентов информационной безопасности.
Расследование инцидентов.
Оценка эффективности процесса управления инцидентами информационной безопасности.
Спикер: Антон Свинцицкий, Руководитель отдела консалтинга АО «ДиалогНаука»
Практические особенности внедрения систем класса DLPDialogueScience
В рамках вебинара "Практические особенности внедрения систем класса DLP" вы узнаете:
- цели и задачи, которые заказчик обычно ставит перед DLP, его ожидания;
- часто допускаемые ошибки;
- цели проекта по внедрению DLP;
- этапы проекта по внедрению DLP;
- описание этапов проекта;
- каких ошибок удается избежать при правильном подходе;
- преимущества и недостатки;
- ответы на вопросы.
Спикер: Роман Ванерке, руководитель отдела технических решений АО «ДиалогНаука»
Целенаправленные атаки на мобильные устройстваDialogueScience
Мобильные устройства стали неотъемлемой частью повседневной жизни. Кроме просмотра сайтов сети Интернет и работы с электронной почтой, мы используем мобильные устройства для бронирования отелей, покупки билетов, аренды машин, предоставляем доступ к нашим сбережениям и банковским счетам и т.д.
Что, если вредоносный код, не определяемый антивирусом, находится в вашем смартфоне или планшете и что-то делает без вашего ведома? Чем может грозить нам и нашим деньгам эта скрытая активность? Что может произойти в этом случае?
Приглашаем вас прослушать вебинар "Целенаправленные атаки на мобильные устройства", на котором получите советы по защите ваших мобильных устройств, увидите примеры атак и получите ответы на волнующие вас вопросы.
Спикер: Николай Петров, заместитель генерального директора АО «ДиалогНаука» , CISSP
Safe inspect. Средство контроля за действиями привилегированных пользователейDialogueScience
Обзор российского продукта SafeInspect.
SafeInspect - полнофункциональное российское решение для контроля привилегированных учетных записей и сессий в современных информационных системах.
Спикер: Сергей Шерстюк, Менеджер по развитию продуктов, Новые технологии безопасности (ООО НТБ).
Современные российские средства защиты информацииDialogueScience
Обзор российских средств защиты информации с учетом текущей ситуации с импортозамещением.
ПРОГРАММА:
Актуальные вопросы импортозамещения
Обзор некоторых классов современных российских СЗИ
Попытки выполнения импортозамещения
Ответы на вопросы.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука».
SOMETHING INTANGIBLE, BUT REAL ABOUT CYBERSECURITYDialogueScience
I. LACK OF EXPERTISE AND COMMUNICATION
II. LACK OF RIGHTS TO ACT
CONCLUSION
Dmitry Yarushevskiy | CISA | CISM
Head of ICS Cyber security department
JSC DialogueScience
Стандарт PCI DSS (Payment Card Industry Data Security Standard) определяет требования в области безопасности данных платежных карт. Сертификационный аудит на соответствие требованиям PCI DSS необходим для организаций, работающих с данными платежных карт международных платежных систем. В рамках вебинара будут детально рассмотрены требования стандарта, процесс подготовки к аудиту, проблемы внедрения последней версии PCI DSS.
Спикер: Александр Крупчик, директор по развитию бизнеса АО «ДиалогНаука», CISSP, CISA, CISM, PCI QSA, PCI ASV.
Целенаправленные атаки на мобильные устройстваDialogueScience
Мобильные устройства стали неотъемлемой частью повседневной жизни: кто-то использует смартфон, кто-то планшет, а некоторые - и то, и другое.
Кроме просмотра сайтов сети Интернет и работы с электронной почтой, мы используем мобильные устройства для бронирования отелей, покупки билетов, аренды машин. Мы используем мобильные устройства для доступа к нашим сбережениям, к нашим банковским счетам. Что, если вредоносный код, не определяемый антивирусом, находится в вашем смартфоне или планшете и что-то делает без вашего ведома? Чем может грозить нам и нашим деньгам эта скрытая активность? Что может произойти в этом случае?
Спикер: Николай Петров, заместитель генерального директора АО «ДиалогНаука» , CISSP
Обзор текущей ситуации в области импортозамещения СЗИDialogueScience
В рамках презентации автор даст описание текущей ситуации в области импортозамещения. Будут затронуты вопросы применения нормативной базы, рассмотрены классы средств защиты информации. Также будет приведен обзор современных российских средств защиты информации и даны рекомендации по их применению.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука»
Вебинар: Функциональные возможности современных SIEM-системDialogueScience
Современная SIEM-система представляет собой единое хранилище событий ИБ, обладающее также механизмами агрегирования, нормализации, корреляции и приоритезации. Кроме событий ИБ SIEM-система также содержит данные об активах, получаемых в том числе со сканеров уязвимостей, а также данные о пользователях, получаемых из IDM-систем или иных хранилищ учётных данных.
Fireeye 201FireEye - система защиты от целенаправленных атак5DialogueScience
Угрозы Advanced Persistent Threat (APT), связанные с целевыми атаками злоумышленников, использующие уязвимости «нулевого дня», являются наиболее опасными и актуальными для большинства компаний. В рамках вебинара рассмотрен способ защиты от подобного рода угроз с помощью системы FireEye.
Спикер: Николай Петров, CISSP, Заместитель Генерального директора, ЗАО «ДиалогНаука»
Fireeye 201FireEye - система защиты от целенаправленных атак5
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Романов Илья | CISA, CISM
Заместитель руководителя Отдела консалтинга
АО «ДиалогНаука»
2. О компании
Создана в 1992 году СП «Диалог» и Вычислительным центром РАН.
Первые продукты – ревизор ADinf, антивирусы Aidstest и Doctor Web.
В настоящее время – системный интегратор в области
информационной безопасности.
2
3. Направления деятельности
3
В соответствии с требованиями
нормативных документов и
стандартов:
152-ФЗ,
СТО БР ИББС,
PCI DSS,
382-П,
ISO 27001,
АСУ ТП,
Коммерческая тайна,
Сведения ДСП,
Защита ГИС.
5. Проверки в области ПДн
Проверки в области ПДн
• Сильно поменялся порядок к проведению проверок (вышли из под
действия 294-ФЗ).
• Новые аспекты и вопросы, на которые обращает внимание
Роскомнадзор.
• Проверки ФСБ по ПДн.
• Блокировка сайтов нарушителей.
• Новые штрафы (с 1 июля).
«ДиалогНаука»
• опыт сопровождения ряда крупных Заказчиков в ходе проверок в
области ПДн (в том числе «международных» Компаний);
• отслеживаем результаты проверок и судебных решений;
• участвуем в публичных мероприятиях.
5
6. Проверки Роскомнадзора
• Вышли из под действия 294-ФЗ (о защите прав при проверках):
– продление сроков проверки, задержка с выдачей акта;
– нет возможности оспорить результат (только через суд).
• Большие запросы (требуют свыше 50 справок и официальных ответов).
• Детально смотрят и «бумажные» документы и информационные
системы, особое внимание – сайтам.
• Неохотно идут на обсуждение спорных вопросов.
6
7. Цель может быть только одна
• 152-ФЗ:
– Согласие на обработку ПДн может быть дано в любой позволяющей
подтвердить факт его получения форме.
– В отдельных случаях – только письменное согласие, содержащее
ЦЕЛЬ обработки персональных данных.
• ТК РФ
– Не сообщать ПДн работника третьей стороне без письменного
согласия работника.
7
8. Цель может быть только одна
• 152-ФЗ:
– Согласие на обработку ПДн может быть дано в любой позволяющей
подтвердить факт его получения форме.
– В отдельных случаях – только письменное согласие, содержащее
ЦЕЛЬ обработки персональных данных.
• ТК РФ
– Не сообщать ПДн работника третьей стороне без письменного
согласия работника.
• Вывод
– В случае передачи ПДн работников (за рамками ТК) нужны отдельные
письменные согласия под каждую цель (зарплатный проект,
турагентства, ДМС и т.д.).
– Аналогично и для других субъектов ПДн.
Суды придерживаются такой позиции Роскомнадзора.
8
9. Сайты
• Обработка ПДн с использованием счетчиков посещаемости сайтов:
– IP-адрес компьютера, страна, дата и время посещения, тип браузера,
тип операционной системы, модель мобильного устройства, тип
мобильного устройства.
• Требуется согласие:
– в отдельных случаях достаточно «галочки»,
– в других – обязательна публичная оферта на сайте.
9
…отсутствует однозначное понимание того, в каких
случаях собираемые и обрабатываемые данные будут
относиться к персональным, а в каких — нет.
...если совокупность данных необходима и
достаточна для идентификации лица, такие
данные следует считать ПДн, даже если они
не включают в себя данные документов,
удостоверяющих личность.
10. Сайты
Типовые формы (электронных) анкет на сайте должны
соответствовать ПП-687:
• Обработка ПДн не может быть признана осуществляемой с
использованием средств автоматизации только на том основании, что
ПДн содержатся в ИСПДн либо были извлечены из нее.
• Формы на сайте должны содержать цель, сроки обработки, перечень
действий, отметку о согласии и т.д.
10
11. Общедоступные ПДн
• Обработка общедоступных ПДн:
– Принцип «Целеполагания» - обработка ПДн должна
соответствовать целям сбора ПДн. Например, если данные
размещаются с целью поиска одноклассников, то нельзя их
использовать для продвижения услуг и взыскания долгов.
– На обработку ПДн должны быть полномочия. Например ЕГРЮЛ
может вести только ФНС и «тиражировать» ЕГРЮЛ незаконно.
• «Big Data» - регулятор планирует усиление контроля: «Мы хотим
получать внятные ответы об использовании ПДн российских
граждан».
11
12. Анализ ИСПДн
• Товарные накладные на серверы.
• Изучение информационных потоков (SQL-запросы).
• Поиск ПДн с истекшими сроками хранения.
• Проверка учетных записей (если есть аутсорсинг – должно быть
поручение обработки ПДн с согласия субъекта).
• Локализация баз данных– с использованием «whois»: «В судебно-
претензионной практике установление ответчиков в основном
осуществляется посредством whois-сервисов».
12
13. Локализация баз персональных данных
Подход к трактовке требований о локализации баз данных, содержащих
ПДн остался без изменений:
• «Первичный» сбор ПДн должен осуществляться с использованием БД
на территории РФ.
• После этого – можно передавать в другие страны, с соблюдением
требований к трансграничной передаче и передаче третьим лицам
Полезные ссылки:
• http://minsvyaz.ru/ru/personaldata/
• https://pd.rkn.gov.ru/library/p195/
13
Позиция РКН:
Только доступ к ПДн в режиме
просмотра - не является
трансграничной передачей.
14. Актуальность Уведомлений
• Не учтены отдельные категории субъектов ПДн:
– родственники работников (карточка Т-2);
– посетители сайтов.
• Не учтены отдельные категории ПДн:
– подпись и расшифровка подписи,
– сведения, содержащиеся в свидетельстве о браке, в удостоверении
офицера и паспорте моряка.
• Неполные сведения о правовых основаниях обработки ПДн.
Позиция РКН:
Для граждан наличие Компании в Реестре свидетельствует о
легитимности обработки ПДн.
14
15. Типичные нарушения
• Нарушения, связанные с сайтами:
– нет Политики,
– обработка данных посетителей без согласия,
– некорректные типовые формы (см. ПП-687).
• Незаконная обработка ПДн:
– обработка без согласия,
– согласие не соответствует требованиям,
– обработка (хранение) по достижению целей.
• Нарушение конфиденциальности:
– передача третьим лицам.
• Неактуальное уведомление об обработке ПДн.
15
16. Последствия проверок РКН
• Блокировка интернет-сайтов
• Предписания (срок исполнения – 3 месяца)
• Штрафы
В подавляющем большинстве случаев
Операторам не удается оспорить результаты
проверок в суде.
16
17. Проверки ФСБ
• Как называется: Обследование помещений, зданий, сооружений,
участков местности и транспортных средств.
• Основания:
– ФЗ «Об оперативно-розыскной деятельности» (144-ФЗ),
– внутренний план?
• Порядок проведения:
– приходят без предупреждения,
– смотрят документы,
– смотрят оборудование и
информационные системы.
17
18. Проверки ФСБ
Что проверяет ФСБ:
• назначение ответственных лиц (допуск к ПДн, защита ПДн),
• учет машинных носителей ПДн,
• наличие сертифицированных СЗИ и СКЗИ,
• модель угроз и совокупность предположений о нарушителе,
• определение уровня защищенности и требуемого класса СКЗИ.
18
19. Проверки ФСБ
Результаты:
• штрафы (ч. 6, ст. 13.12 КоАП
РФ) – от 10 000 рублей
• представления об устранении
причин и условий (срок – 1
месяц в соответствии со ст.
29.13 КоАП РФ)
19
20. Штрафы и санкции в области ПДн
Статья 13.11. Нарушение законодательства РФ в области ПДн
20
Текущая редакция КоАП
Нарушение порядка сбора, хранения, использования или распространения
ПДн
до 10 000
с 1 июля 2017 года
Обработка ПДн в случаях, не предусмотренных законодательством, либо
обработка ПДн, несовместимая с целями сбора ПДн
до 50 000
Обработка ПДн без согласия в письменной форме, либо невыполнение
требований к содержанию согласия в письменной форме
до 75 000
Необеспечение неограниченного доступа к Политике в области ПДн до 30 000
Непредставление ответа на запрос субъекта ПДн до 40 000
Невыполнение законных требований субъекта ПДн до 45 000
Невыполнение требований по защите ПДн, повлекшее нарушение
безопасности ПДн
до 50 000
Невыполнение обязанности по обезличиванию
до 6 000 на
должностных лиц
Потенциально каждое из нарушений может быть классифицировано отдельно
21. Штрафы и санкции в области ПДн
• 13.12 КоАП РФ. Нарушение правил защиты
информации (пример с ФСБ)
• 19.7 КоАП РФ. Непредставление сведений
(например, уведомление в реестр)
• Блокировка Интернет-сайтов
• И другие…
21
22. Гарантии и поддержка
22
Гарантии, поддержка и сопровождение.
Подход АО «ДиалогНаука».
гарантийные обязательства на результаты работ;
объекты работ: документация и средства защиты;
поддержка при проверках и запросах;
обязательства – 12 месяцев, включаются в договор.
23. Сопровождение при проверках
23
успешное прохождение проверок
Роскомнадзора, ФСТЭК, ФСБ, ЦБ РФ, ФОМС;
помощь в формировании письменных ответов на запросы;
отстаивание позиции Заказчика (в том числе очное участие);
оперативное устранение замечаний.
Сопровождение при проверках.
Подход АО «ДиалогНаука».
24. Наши контакты
117105, г. Москва, ул. Нагатинская, д. 1
Телефон: +7 (495) 980-67-76
Факс: +7 (495) 980-67-75
http://www.DialogNauka.ru
e-mail: info@DialogNauka.ru
24