Upload
alexey-lukatsky
View
3.232
Download
6
Embed Size (px)
Citation preview
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Последние изменения законодательства о персональных данных
Алексей Лукацкий Бизнес-консультант по безопасности 29 June 2015
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Изменения по направлению ПДн
Что было?
• Приказ ФСТЭК №21 по защите ПДн в ИСПДн
• Приказ об отмене «приказа трех» по классификации ИСПДн
• Приказ и методичка РКН по обезличиванию
• Закон 242-ФЗ о запрете хранения ПДн россиян за границей
• Письмо Банка России 42-Т • Приказ ФСБ №378 по использованию СКЗИ для защиты ПДн
• ПП-911 по отмене обязательного обезличивания
Что могло быть?
• Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн
• Отраслевые модели угроз • Ратификация дополнительного протокола Евроконвенции (181)
• Законопроект по ответственности за неуведомление о утечке ПДн
• Законопроект по запрету отказа от предоставления услуг при отказе от дачи согласия на обработку ПДн
Что будет?
• Законопроект Совета Федерации по внесению изменений в ФЗ-152
• Законопроект по внесению изменений в КоАП
• Поправки в ФЗ-242 (?) • Постановление Правительства по надзору в сфере ПДн
• Выход РКН из под действия 294-ФЗ • Изменения в приказ №21 • Совет Европы примет новый вариант ЕвроКонвенции
• Методичка ФСТЭК по моделированию угроз
• Методичка ФСБ по моделированию угроз
• Модель угроз ПДн Банка России • Методичка РКН о порядке организации и осуществления контроля за обработкой ПДн
• Постатейный комментарий РКН
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Регуляторы хотят расширить понятие ПДн
§ Советник Президента г-н Щеголев (бывший министра связии массовых коммуникаций) 20 апреля предложил расширить толкование термина «персональные данные» и ужесточить требования к Интернет-сервисам
§ Руководитель Роскомнадзора Александр Жаров назвал предложения Щеголева глубокими и содержательными, заявив, что его ведомство будет над ними работать вместе с Советом Федерации и Госдумой
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Разъяснения РКН по поводу ФЗ-152
§ Постатейный комментарий к ФЗ-152/ФЗ-242, подготовленный сотрудниками РКН
176 страниц Продается за деньги – 265/100 рублей (бумажный/электронный вариант)
§ Некоторые разъяснения противоречат предыдущим разъяснениям РКН Данным при прежнем руководстве
§ РКН не имеет права официально комментировать законодательство Но стоит обратить внимание на позицию регулятора, используемую при проверках
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Правонарушение Нарушаемая статья законодательства
Наказание для должностных лиц
Наказание для юридических лиц
Нарушение требований к согласию Ст.9 ФЗ-152 3-8 тысяч рублей 15-50 тысяч рублей
Обработка ПДн без согласия Ст.6 ФЗ-152 5-15 тысяч рублей 30-50 тысяч рублей
Незаконная обработка спецкатегорий ПДн
Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей
Неопубликование политики в области ПДн
Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей
Отказ в предоставлении информации субъекту
Ст.14, ст.20 ФЗ-152 4-6 тысяч рублей 20-40 тысяч рублей
Отказ в уничтожении или блокировании ПДн
Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей
Нарушение правил хранения материальных носителей ПДн
ПП-687 4-10 тысяч рублей 25-50 тысяч рублей
Нарушение правил обезличивания (для госов)
ПП-211 и приказ РКН №996
3-6 тысяч рублей Не предусмотрено
Законопроект по штрафам прошел первое чтение
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Меры по защите ПДн: в 2016-м ждем новую редакцию Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации +
• Планы – Унификация перечня защитных мер для всех трех приказов
– Выход на 2-хлетний цикл обновления приказов
§ В 2016-м году возможно будет готовиться вторая редакция 21-го приказа ФСТЭК
§ Предполагается унифицировать набор защитных мер во всех 3-х приказах ФСТЭК по защите ГИС/МИС, ИСПДн и АСУ ТП
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
Проект методики моделирования угроз ФСТЭК
§ Методика определения угроз безопасности информации в информационных системах
§ Распространяется на ГИС / МИС ИСПДн (рекомендательный характер)
§ Не распространяется на угрозы СКЗИ и ПЭМИН
§ Отменяет «методику определения актуальных угроз…» 2008-го года
§ Применяется совместно с банком данных угроз ФСТЭК
§ Будет принята вероятно осенью 2015-го года
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Методика моделирования угроз ФСБ
§ Методика определения актуальных угроз безопасности ПДн в ИСПДн
§ Предназначена только для органов власти, пишущих отраслевые модели угроз для подведомственных учреждений
§ Ориентирована только на компетенцию ФСБ – СКЗИ
§ СКЗИ обязательны при передаче ПДн по каналам связи
§ Помните, что это всего лишь методические рекомендации
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Проект модели угроз ПДн Банка России
§ Тип - Указание Банка России
§ Согласована с ФСТЭК и ФСБ
§ Вторая редакция Первая – 2013 год Модель угроз ПДн из РС 2.4 отменена в 2014-м году
§ 10 угроз безопасности ПДн 47 (21) - в первой редакции 88 – в РС 2.4 Угрозы НДВ (1-го и 2-го типа) оцениваются самим оператором ПДн Угрозы биометрическим и общедоступным ПДн не рассматриваются
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Вы не забыли про Конвенцию?
§ Ратификация дополнительного протокола к конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации (ETS N 181)
§ До конца 2015-го года (возможно) будет принята новая редакция Евроконвенции
§ ФЗ-152 придется гармонизировать с Евроконвенцией Очередной виток изменений (серьезных) в законодательстве Если Россия не выйдет из Совета Европа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Сюрприз от Управделами Президента
§ Абсолютно непонятная НИР от Управделами Президента РФ по разработке предложений по повышению защищенности персональных данных Размещена 22-го июня
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Что еще будет в самом скором времени?
§ Проект приказа РКН «Об утверждении формы заявления субъекта ПДн о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства РФ в области ПДн»
§ Проект приказа РКН «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов ПДн с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов ПДн, оператором связи»
§ Законопроект «О внесении изменений в ФЗ «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты РФ» (закон о «праве на забвение»)
§ Законопроект «О внесении изменений в КоАП (в части установления административной ответственности операторов поисковых систем)» (о наказании нарушителей права на забвение)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Закон о запрете хранения ПДн россиян за границей
§ Реализация положений ФЗ-242 «о запрете хранения ПДн россиян за границей» Запрет хранения Наказание за нарушение Выведение РКН из под действия 294-ФЗ
§ Вступает в силу с 1 сентября 2015 года Множество слухов о переносе сроков на 1 год
§ Ассоциация европейского бизнеса неоднократно писала письма в различные органы государственной и законодательной власти и получала ответы по данному закону
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Самая простая часть уже реализуется
§ Роскомнадзор до 15 августа сформирует реестр нарушителей прав субъектов персональных данных
§ В реестр будут вноситься все интернет-ресурсы, обрабатывающие персональные данные с нарушениями законодательства Включение компаний в реестр будет происходить по решению суда по искам, которые могут инициировать как сами субъекты персональных данных, так и Роскомнадзор, зафиксировавший нарушение Реестр заработает с 1 сентября
§ Проект Постановления Правительства уже опубликован
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Изменение правил надзора
§ Снижение числа проверок в отношении операторов персональных данных
§ Переход на риск-ориентированную модель при проведении надзорных мероприятий После принятия соответствующего законопроекта Поднадзорные организации предполагается разделить на группы в зависимости от степени риска нарушений для экономики и ее граждан, и на основе такой дифференциации планировать и проводить надзорные мероприятия
§ Выход из под действия ФЗ-294
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
Готовится новое Постановление Правительства
§ Контроль и надзор за соответствием обработки ПДн требованиям законодательства
§ Явно исключается надзор в сфере надзора за выполнением организационных и технических мер защиты информации
§ 3 типа проверок Плановые Внеплановые Мероприятия систематического наблюдения
§ Плановые и внеплановые проверки проводятся в форме документарных и выездных проверок Плановые проверки и мероприятия осуществляются на основе утвержденного плана, размещаемого на сайте РКН
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
Множество трактовок, связанных с геополитикой
§ Несколько прямо противоположных трактовок ФЗ-242 федеральными органами исполнительной власти и органами власти (Минкомсвязь, Роскомнадзор, Администрация Президента) Все упомянутые органы власти не уполномочены трактовать законодательство При этом данные органы власти (например, Роскомнадзор или прокуратура) осуществляют контроль и надзор за выполнение данного законодательства и к их мнению стоит прислушиваться
§ Один орган исполнительной власти может в разное время давать разные трактовки одних и тех же норм закона В зависимости от геополитической ситуации
§ Мнение профессионального сообщества и экспертных групп при разработке данного закона услышано не было Органы власти прямо называют в качестве причины принятия данного закона геополитическую ситуацию
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
Благодарю за внимание