Безопасность персональных

данныхАртем Агеев@4rt3m

Остерегайтесь мошенников!

«Консалтинг»Статья 13.13 КоАП. Незаконная деятельность в области защиты информации Штраф до 20 000 рублей, конфискация средств защиты информации.

Установка или обслуживание средств защиты без лицензии ФСТЭК (ФСБ)Статья 171 УК РФ. Незаконное предпринимательствоШтраф до 500 000 рублей, либо лишение свободы до 5 лет.

Особенности законодательства

Персональные данные – сведения, конфиденциальность которых устанавливается государством

Персональные данные есть в каждой организации

ВЫВОД

Каждая организация обязана выполнить ряд мероприятий по защите персональных данных

Особенности законодательства - 2

• Нет единых требований• Нет рекомендованных шаблонов• Ежемесячные изменения в нормативной базе• Отсутствуют либо быстро устаревают отраслевые рекомендации

Рособразование

Нормативное дерево

152-ФЗ «О ПДн»

ПП687Без автоматизации

ПП512БиоПДн

ПП781ИСПДн

ПП211Меры для Г(М)О

ПП1119Уровни защищенности

ФСТЭК 21СОИСО

Приказ ФСТЭК ФСБ Минсвязи 55/86/20Классификация ИСПДн

ФСТЭК 58

ФСТЭК МУФСТЭК МУ

ФСТЭК ЮФО

ФСБ СКЗИ

ФСБ Регламент проверок

РКН Регламент проверок

ФСБ СКЗИ

ФСТЭК 17ГИС

РКНОбезличивание

РКНРазъяснения

РКНПеречень государств

ФСТЭК Методические рекомендации

Регуляторы

РОСКОМНАДЗОРwww.rsoc.ru

@roscomnadzor

• орган по защите прав субъектов ПДн;• основной «проверяющий»;• реестр операторов ПДн.

ФСТЭКwww.fstec.ru

• техническая защита ИСПДн (кроме криптографии);

• сертификация СЗИ и аттестация ИСПДн.

ФСБwww.fsb.ru

• техническая защита ИСПДн (криптография);

• запасной «проверяющий»;• сертификация СКЗИ.

По письменному запросу оператор обязан (ч.4 ст.18.1 152-ФЗ) предоставить:

Роскомнадзор

• Уведомление либо справку о причинах неуведомления;• уровень защищённости ИСПДн;• меры по защите ПДн;• средства защиты и средства шифрования;• и другая информация..

• Информацию об ответственном за организацию обработки персональных данных;• Внутренние документы по защите персональных данных;• Сведения о правовых, организационных и технических мерах по обеспечению безопасности ПДн;• Сведения о внутреннем контроле и аудите безопасности персональных данных;• Оценку вреда субъектам в случае нарушения организацией норм 152-ФЗ;• Сведения об ознакомлении персонала с документами в области ПДн.

178 протоколов

Улыбнитесь, вас «мониторят»!

Роскомнадзор готовит поправки в КоАП

Штрафы

1. Количество статей КоАП за нарушения обработки ПДн увеличится с 1 до 4 2. Увеличат размеры штрафов до 500 000 рублей3. РКН получит право составлять протоколы по новым статьям

Организация обработки ПДн

Уведомление о начале обработки

Статья 19.7 КоАП. Непредставление сведений (информации). Штраф 5 тысяч рублей (+ проверка)

Статья 22 152-ФЗ. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган о своем намерении осуществлять обработку персональных данных.

http://pd.rkn.gov.ru/operators-registry/notification/form/

ТК РФСтатья 86. Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников.

Разъяснения Роскомнадзора

http://rkn.gov.ru/docs/Raz6jasnenija_RKN_po_biometrii_okonchatel6naja_versija.docО ксерокопиях паспортов, фотографиях в личном деле, рентгеновских снимках и др.

http://rkn.gov.ru/news/rsoc/news17877.htmКадровые вопросы

ПДн на бумагеПостановление Правительства №687

Требования к анкетам1. сведения о цели обработки персональных данных;2. имя (наименование) и адрес оператора;3. фамилию, имя, отчество и адрес субъекта персональных

данных;4. источник получения персональных данных;5. сроки обработки персональных данных;6. перечень действий с персональными данными;7. общее описание используемых оператором способов

обработки персональных данных;8. поле, для отметки о своем согласии на обработку

персональных данных.

Требования к местам хранения Должен быть установлен перечень лиц, имеющих доступ к материальным

носителям; Должны быть утверждены места хранения персональных данных; Должны соблюдаться условия, обеспечивающие сохранность персональных

данных и исключающие несанкционированный к ним доступ.

Передача персональных данных

Если организация передает персональные данные субъектов в рамках договора, то: Договор должен включать (ч.4 ст.6 152-ФЗ):

1. перечень действий с персональными данными;2. цели обработки;3. обязанность соблюдения конфиденциальности и обеспечения безопасности;4. требования к защите ПДн в соответствие с ст.19 152-ФЗ.

Организация несет ответственность перед субъектам (ч.6 ст.6 152-ФЗ); Организация-обработчик должна иметь лицензию ФСТЭК по ТЗКИ (см.

информационное сообщение Федеральной службы по техническому и экспортному контролю от 30 мая 2012 г. № 240/22/2222).

Dnevnik.ru и прочие152-ФЗ, Статья 6.

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор.

Dnevnik.ru и прочие

Списки учащихся и преподавателей

Нарушения и наказания

Как попасть под проверку?

1. Быть в плане проверок ФСТЭК, ФСБ, РКН (http://plan.genproc.gov.ru/plan2014/)2. Не отреагировать на письменный запрос РКН3. Попасть под «мониторинг»

4. Нарушить права субъекта персональных данных

Типовые нарушения

http://rkn.gov.ru/docs/Otchet_2013_UZPSPD_RSPECTR.doc

Типовые нарушения

ФГБОУ ВПО «Сибирский государственный индустриальный университет» вывесил у деканата списки студентов

В шаблоне анкеты ООО «Аварийный комиссар» не было адреса организации, целей обработки ПДн и др

Ст. 13.11 КоАП. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

В типовой форме согласия на обработку ПДн ЗАО «Юлмарт» отсутствовало наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора

У Администрации Юргинского муниципального района отсутствовал утвержденный перечень мер, необходимых для обеспечения сохранности персональных данных

Типовые нарушения

Сведения в уведомлении ОАО «ТАВС «Кубань» не соответствовали действительности (сменился адрес)

ООО Управляющая компания «Кречет» - не утверждены места хранения бумажных носителей, не утвержден перечень лиц, имеющих доступ к бумажным ПДн

Банк «Платежные системы» обрабатывал персональные данные близких родственник без их согласия

ООО «УК «Свой Дом». В договоре с организацией отсутствовало условие обеспечения конфиденциальности

Ст. 13.11 КоАП. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Прецеденты

http://pd.rkn.gov.ru/press-service/subject1/news3836/

Прецеденты УО

Прецеденты УО

Прецеденты УО

http://30.rkn.gov.ru/news/news57301.htm

Прецеденты

Прецеденты

http://rkn.gov.ru/news/regions/news15011.htm

Прецеденты

http://ufa.procrb.ru/rss/?ELEMENT_ID=2363

Контроль эффективности СЗИ, Аттестация/переаттестация

Организационное обеспечение защиты ПДн

Участие в проверках РКН, ФСБ, ФСТЭК

Обучение, инструктаж, контроль знаний персонала

Расследование инцидентов

Защищенный документооборот. Услуги удостоверяющего центра.

Установка и настройка СЗИ (СКЗИ)

Онлайн сервис по разработке документов

WWW.DOCSHELL.RU

WWW.DOCSHELL.RU/WEBINARS

Спасибо за внимание!Есть вопросы?

Артем Александрович Агеев

(861) 279-32-00

a.ageev@rosint.net

www.rosint.net

@RosIntegratsia

@4rt3mwww.itsec.pro

ШТРАФЫДОКУМЕНТЫ

СРЕДСТВА ЗАЩИТЫ

АТТЕСТАЦИЯ

АУДИТ

ОСТАНОВКА РАБОТЫ

ОТЗЫВ ЛИЦЕНЗИИ

ПРОВЕРКА ФСТЭК и ФСБ

ШТРАФ на должностное лицо

МОРАЛЬНЫЙ УЩЕРБ