Upload
alexey-lukatsky
View
12.180
Download
0
Embed Size (px)
DESCRIPTION
Citation preview
1/23 © Cisco, 2010. Все права защищены.
Новости законодательства о персональных данных
Алексей Лукацкий, бизнес-консультант по безопасности
© Cisco, 2010. Все права защищены. 2/23
ПК127 ПК1 ТК362 КЦ
АРБ
РГ
ЦБ
«Безопасность
ИТ» (ISO SC27 в
России)
«Защита
информации в
кредитных
учреждениях»
«Защита
информации»
при ФСТЭК
Консультации
банков по
вопросам ПДн
Разработка
рекомендаций по
ПДн и СТО БР
ИББС v4
ФСБ МКС НАУФОР Дума Слушания
Экспертиза
документов
Разработка
документов
Отраслевой
стандарт
Экспертиза
документов
Оргкомитет
Слушаний
3 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 4/23
• Готовится 9 новых Постановлений Правительства
Приказы и иные документы
Постановления Правительства
Законы
Конвенции и иные международные договора
Европейская Конвенция
ФЗ №152 от 26.07.2006
ФЗ №160 от 19.12.2005
№781 от 17.11.2007
«Приказ трех» от
13.02.2008
2 открытых документа и 1 полуДСП от
ФСТЭК
2 открытых документа ФСБ
Регламенты осуществления
контроля и надзорар
№687 от 15.09.2008
№512 от 6.07.2008
Директивы Евросоюза /
Европарламента
Рекомендации ОЭСР
© Cisco, 2010. Все права защищены. 5/23
• Терминология
ПДн, биометрические ПДн, обезличивание, обработка, автоматизированная обработка, трансграничная передача
• Условия обработки ПДн без согласия
• Появление «обработчика» ПДн (ЛОПДПО)
• Условия обработки специальных категорий ПДн
• Условия трансграничной передачи ПДн
• Условия ограничения доступа субъекта к его ПДн
• Условия непредоставления субъекту сведений
• Контроль и надзор со стороны ФСТЭК и ФСБ
• Содержание уведомления в РКН
• Возмещение морального вреда
© Cisco, 2010. Все права защищены. 6/23
• Ст. 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
Публикация положения об обработке и безопасности ПДн
Обязанность оператора предоставить доказательства реализации мер РКН
• Ст. 19. Меры по обеспечению безопасности персональных данных при их обработке
Полная переработка правил игры
• Ст. 22.1. Лица, ответственные за организацию обработки персональных данных в организациях
© Cisco, 2010. Все права защищены. 7/23
• Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами
• К числу таких мер могут, в частности, относиться
Применение мер обеспечения безопасности ПДн в соответствии со статьей 19 настоящего Федерального закона
© Cisco, 2010. Все права защищены. 8/23
• Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правыми актами операторами, являющимися государственными и муниципальными органами
• За всех остальных перечень мер определяется ФСТЭК и ФСБ
На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки ПДн
© Cisco, 2010. Все права защищены. 9/23
• Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. №706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных»
• ФЗ «О лицензировании отдельных видов деятельности»
• Проект административного регламента ФСБ
• Проект приказа ФСБ по защите персональных данных
• Новая редакция СТО БР ИББС
• Изменение статуса ПП-330 (?)
• Изменение нормативной базы под влиянием ВТО, ОЭСР, АТЭС
© Cisco, 2010. Все права защищены. 10/23
• Классификация ИСПДн
• Моделирование угроз
• Требования по защите ПДн
• Сертификация средств защиты
• Аттестация объектов информатизации
• Лицензирование деятельности по защите информации
© Cisco, 2010. Все права защищены. 11/23
Старый ФЗ
• Класс ИСПДн определяется в зависимости от объема и типа ПДн
• Класс и модель угроз определяют защитные меры
• Класс определяется оператором
Новый ФЗ
• Понятие «классификации» отсутствует
• Вводится понятие «уровень защищенности»
• Зависит от угроз
• Определяются Правительством РФ
© Cisco, 2010. Все права защищены. 12/23
Старый ФЗ
• Модель угроз определяется оператором
• Экспертная оценка
• Методика моделирования жестко не зафиксирована
Новый ФЗ
• Актуальность угроз определяет Правительство
• ФОИВ, госорганы, Банк России принимают отраслевые модели угроз, согласуемые с ФСТЭК и ФСБ
• Ассоциации, союзы определяют дополнительные модели угроз «для себя», согласуемые с ФСТЭК и ФСБ в порядке, установленном Правительством
© Cisco, 2010. Все права защищены. 13/23
• Безопасность персданных является обязательным условием обработки ПДн
• За безопасность ПДн отвечают ФСТЭК и ФСБ
ФСТЭК выпустил приказ №58 – планируется изменение
ФСБ выпустила 2 методических документа в области криптографии – планируется изменение
• Подход регуляторов
Сертифицированные СЗИ и СКЗИ – изменений не планируется
Вновь появляется аттестация
• Отраслевые стандарты – прошлый тренд
СТО БР ИББС, НАУФОР, НАПФ, Тритон, Минздравсоцразвития…
© Cisco, 2010. Все права защищены. 14/23
Оценка соответствия
Госконтроль и надзор
Аккредитация
Испытания
Регистрация
Подтверждение соответствия
Добровольная сертификация
Обязательная сертификация
Декларирование соответствия
Приемка и ввод в эксплуатацию
В иной форме
© Cisco, 2010. Все права защищены. 15/23 15
0
1
2
3
4
5
6
7
8
Число нормативных актов с требованиями сертификации по требованиям безопасности
* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной
платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.)
© Cisco, 2010. Все права защищены. 16/23
• В четверокнижии ФСТЭК аттестация была обязательной для ИСПДн К1, К2 и распределенной К3
• В приказе № 58 требования аттестации нет!
• Что такое «оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных»?
Ст.19 нового старого ФЗ-152
• Во ФСТЭК готовятся документы по аттестации объектов информатизации, обрабатывающих конфиденциальную информцию
17 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 18/23
• Выполнение требований ФЗ-152 и смежного законодательства
Получение согласия субъекта ПДн в разных формах
Уведомление субъектов ПДн
Подготовка и публикация собственных документов по ПДн
Оформление договоров с контрагентами (обработчиками)
Обезличивание ПДн
Принятие решения об уведомлении РКН
• Защита персональных данных
• Контроль и надзор
© Cisco, 2010. Все права защищены. 19/23
Абсолютная непрогнозируемость изменений на рынке информационной безопасности
© Cisco, 2010. Все права защищены. 20/23
Либерализация
• Вероятность - 20% (на данный момент)
• Вероятность через 2 года - 35% и 10% (в зависимости от победителя президентских выборов)
Закручивание гаек
• Вероятность - 45% (на данный момент)
• Вероятность через 2 года - 20% и 65% (в зависимости от победителя президентских выборов)
Останется все, как есть
• Вероятность - 30% (на данный момент)
Экспертная оценка специалистов Cisco
21 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 22/23
• Персональные данные
• Финансовая отрасль
PCI DSS
СТО БР ИББС-1.0
ФЗ «О национальной платежной системе»
• Электронная подпись
• Критически важные объекты
• Госуслуги и УЭК
• Новый ФЗ о лицензировании
• И др.