Ключевые изменения

законодательства по персональным

данным

Лукацкий Алексей, консультант по безопасности

Почему Cisco говорит о законодательстве?

ТК22 ТК122 ТК362 РГ ЦБ

«Безопасность

ИТ» (ISO SC27 в

России)

«Защита

информации в

кредитных

учреждениях»

«Защита

информации»

при ФСТЭК

Разработка рекомендаций по ПДн,

СТО БР ИББС v4 и 382-П/2831-У

ФСБ МКС ФСТЭК РАЭК РКН

Экспертиза

документов Предложения

Экспертиза и

разработка

документов

Экспертиза и

разработка

документов

Консультативный

совет

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Базовая иерархия документов по ПДн

Приказы и иные документы

Постановления Правительства

Законы

Конвенции и иные международные договора

Европейская Конвенция

Европейская Конвенция

ФЗ №152 от 26.07.2006

ФЗ №160 от 19.12.2005

ФЗ №152 от 26.07.2006

ФЗ №160 от 19.12.2005

№1119 от 01.11.2012 №1119 от 01.11.2012

Приказ ФСТЭК №21 от

18.02.2013

Приказ ФСТЭК №21 от

18.02.2013

2 методички от ФСБ

2 методички от ФСБ

№687 от 15.09.2008 №687 от

15.09.2008 №512 от 6.07.2008 №512 от 6.07.2008

№221 от 21.03.2012 №221 от

21.03.2012 №940 от

18.09.2012 №940 от

18.09.2012

Директивы Евросоюза /

Европарламента

Рекомендации ОЭСР

Рекомендации АТЭС

Новый приказ ФСТЭК

• №21 от 18.02.2013

• Определяет состав и содержание

организационных и технических

мер

• Применяется для новых

(модернизируемых) ИСПДн

• Меры по защите ПДн в ГИС

принимаются в соответствии с

требованиями о защите

информации, содержащейся в

ГИС («новый СТР-К»)

Меры по защите информации

• В систему защиты ПДн в зависимости от актуальных угроз

безопасности ПДн и структурно-функциональных характеристик

ИСПДн включаются следующие меры

– идентификация и аутентификация субъектов доступа и объектов

доступа

– управление доступом субъектов доступа к объектам доступа

– ограничение программной среды

– защита машинных носителей информации, на которых хранятся

и (или) обрабатываются персональные данные

– регистрация событий безопасности

– антивирусная защита

– обнаружение (предотвращение) вторжений

– контроль (анализ) защищенности персональных данных

Меры по защите информации

• продолжение:

– обеспечение целостности информационной системы и

персональных данных

– обеспечение доступности персональных данных

– защита среды виртуализации

– защита технических средств

– защита информационной системы, ее средств, систем связи и

передачи данных

– выявление инцидентов (одного события или группы событий),

которые могут привести к сбоям или нарушению

функционирования информационной системы и (или) к

возникновению угроз безопасности персональных данных, и

реагирование на них

– управление конфигурацией информационной системы и системы

защиты персональных данных

Как определяются защитные меры

• Выбор мер по обеспечению безопасности ПДн,

подлежащих реализации в системе защиты ПДн,

включает

– выбор базового набора мер

– адаптацию выбранного базового набора мер

применительно к структурно-функциональным

характеристикам ИСПДн, реализуемым ИТ,

особенностям функционирования ИСПДн, а также

с учетом целей защиты персональных данных

– уточнение (включает дополнение или

исключение)

– дополнение адаптированного базового набора

мер по обеспечению безопасности ПДн

дополнительными мерами, установленными

иными нормативными актами

Базовые меры Базовые меры

Адаптация базового набора

Адаптация базового набора

Уточнение адаптированного набора

Уточнение адаптированного набора

Дополнение уточненного адаптированного набора Дополнение уточненного адаптированного набора

Компенсационные меры Компенсационные меры

Планируемые изменения

• Законопроект по внесению изменений в законодательные акты в

связи с принятием ФЗ-160 и ФЗ-152

• Законопроект «О внесении изменений в

статью 857 части второй Гражданского кодекса РФ, статью 26

Федерального закона «О банках и банковской деятельности» и

Федеральный закон «О персональных данных»

• Законопроект по внесению изменений в КоАП (в части

увеличения штрафов по ст.13.11)

• Проект методических рекомендаций РКН по обезличиванию

• Проект приказа РКН по странам, обеспечивающим адекватную

защиту прав субъектов

• Проект приказа ФСБ по ПДн

• Проект Постановления Правительства по надзору в сфере ПДн

Законопроект по внесению изменений в законодательные

акты в связи с принятием ФЗ-160 и ФЗ-152

• Проект федерального закона «О внесении изменений в

некоторые законодательные акты Российской Федерации в связи

с принятием ФЗ «О ратификации Конвенции Совета Европы о

защите физических лиц при автоматизированной обработке

персональных данных» и ФЗ «О персональных данных» внесён

Правительством Российской Федерации

– Законопроект подготовлен во исполнение Россией обязательства

по статье 4 Конвенции Совета Европы о защите физических лиц

при автоматизированной обработке персональных данных,

предусматривающей принятие каждой стороной необходимых

мер в рамках своего национального законодательства с целью

ввести в действие основополагающие принципы защиты данных

не позднее момента вступления Конвенции в отношении неё в

силу

– Законопроект принят Госдумой в первом чтении 25 ноября 2005

года

Законопроект по внесению изменений в законодательные

акты в связи с принятием ФЗ-160 и ФЗ-152

• Правки вносятся в

– ФЗ «Об образовании»

– ФЗ «О прокуратуре»

– ФЗ «Об оперативно-розыскной деятельности»

– ФЗ «Об актах гражданского состояния»

– ФЗ «О негосударственных пенсионных фондах»

– ФЗ «О государственной дактилоскопической регистрации»

– ФЗ «О государственной социальной помощи»

– ФЗ «О государственном банке данных о детях, оставшихся без

попечения родителей»

– Трудовой Кодекс

– ФЗ «Об обязательном страховании гражданской ответственности

владельцев транспортных средств»

– Гражданский процессуальный кодекс Российской Федерации

Законопроект по внесению изменений в законодательные

акты в связи с принятием ФЗ-160 и ФЗ-152

• Правки вносятся в

– ФЗ «О системе государственной службы»

– ФЗ «О связи»

– ФЗ «О лотереях»

– ФЗ «О государственной гражданской службе»

– ФЗ «О муниципальной службе»

– ФЗ «Об образовании в Российской Федерации»

Законопроект Аксакова

• Законопроектом предлагается внести в пункт 2 статьи 857

Гражданского кодекса Российской Федерации, статью 26

федерального закона «О банках и банковской деятельности» и

статьи 3 и 6 федерального закона «О персональных данных»

изменения, расширяющие круг субъектов, которым могут быть

предоставлены сведения, составляющие банковскую тайну

• В соответствии с законопроектом сведения, составляющие

банковскую тайну, могут предоставляться по поручению клиента

абсолютно всем третьим лицам

• Отзыв Правительства – негативный

• Первое чтение в Госдуме – в ноябре 2013 года

Рост штрафов за невыполнение ФЗ-152

10000 руб.

1000000 руб.

2% от дохода

Выручка за год

700000 руб.

• 4 состава правонарушения

• Увеличение суммы штрафа

• Рост срока давности

• Переход полномочий от прокуратуры к

РКН

Новые составы правонарушений

• Невыполнение оператором обязанностей, предусмотренных

законодательством в области ПДн

– Законодательство – это не только ФЗ-152

– РКН настаивает только на ст.18 и 18.1

– Штраф – до 30 000 рублей

• Обработка ПДн без согласия (ст.13.11.1)

– Просто – до 50 000 рублей

– С доходом – сумма выручки за год, но не менее 500 000 рублей

– С вредом жизни и здоровью – до 600 000 рублей

– Рецидив – до 700 000 рублей

Новые составы правонарушений

• Обработка спецкатегорий ПДн в случаях, не предусмотренных

законом

– Просто – до 500 000 рублей

– С вредом жизни и здоровью – до 700 000 рублей

– Рецидив – до 700 000 рублей

• Несоблюдение условий трансграничной передачи ПДн

– Просто – до 30 000 рублей

– Повлекшее НСД – до 700 000 рублей

– Рецидив – до 700 000 рублей

Что еще внесут в Госдуму

• Срок давности (ст.4.5 КоАП) увеличивается с 3-х месяцев до 1

года

– МВД было против

• Полномочия прокуратуры по возбуждению дела по 13.11 уходят в

РКН

– Прокуратура не против

Проект нового Постановления Правительства о надзоре

• Госконтроль включает в себя

– Мониторинг деятельности, направленный на предупреждение,

выявление и пресечение нарушений

– Действие данного Положения не распространяется на

деятельность по осуществлению контроля и надзора за

выполнением организационных и технических мер по

обеспечению безопасности персональных данных,

установленных в соответствие со статьей 19 Федерального

закона "О персональных данных"

• Проект Постановления Правительства «Об утверждении

Положения о государственном контроле и надзоре за

соответствием обработки персональных данных требованиям

законодательства Российской Федерации в области

персональных данных»

Проект приказа ФСБ

• Настоящий документ устанавливает

состав и содержание необходимых

для выполнения установленных

Правительством Российской

Федерации требований к защите ПДн

для каждого из уровней защищенности

организационных и технических мер

по обеспечению безопасности ПДн

при их обработке в ИСПДн

• Оргмеры похожи на 152-й приказ

ФАПСИ («розовую инструкцию»)

Когда должны применяться СКЗИ

• Криптографическая защита персональных данных

обеспечивается в следующих случаях

– если персональные данные подлежат криптографической защите

в соответствии с федеральными законами и принимаемыми в

соответствии с ними нормативными правовыми актами

– если для информационной системы персональных данных

выявлены угрозы, которые могут быть нейтрализованы только с

помощью СКЗИ

• В остальных случаях решение о необходимости обеспечения

криптографической защиты ПДн может быть принято оператором

на основании технико-экономического сравнения альтернативных

вариантов обеспечения безопасности ПДн

От модели нарушителя к типам угроз и классам СКЗИ

КН1 • Н1-Н3 • Н1-Н3

КН2 • Н4-Н5 • Н4-Н5

КН3 • Н6 • Н6 1 тип

2 тип

3 тип

Категории нарушителей

Типы угроз

Проект методических рекомендаций РКН по

обезличиванию

• Введение идентификаторов

• Изменение состава или

семантики

• Декомпозиция

• Перемешивание

• Криптографическое

преобразование

Что планирует РКН?

• 4 критерия отнесения к «адекватным» странам (помимо

ратификации Конвенции)

– Наличие национального законодательства

– Наличие санкций и средств правовой защиты

– Наличие уполномоченного органа по защите прав субъектов

– Наличие фактов утечек ПДн

– Оказание содействия в пресечении незаконной деятельности

Список адекватных стран

• Австралия

• Аргентина

• Канада

• Марокко

• Малайзия

• Мексика

• Монголия

• Новая Зеландия

• Ангола

• Бенин

• Кабо-Верде

• Корея

• Перу

• Сенегал

• Чили

• Гонконг

• Швейцария

• Ратификаторы Конвенции -

Австрия, Бельгия, Болгария,

Дания, Великобритания,

Венгрия, Германия, Греция,

Ирландия, Испания, Италия,

Латвия, Литва, Люксембург,

Мальта, Нидерланды, Польша,

Португалия, Румыния,

Словакия, Словения,

Финляндия, Франция, Чехия,

Швеция, Эстония

© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 25

Благодарю вас

за внимание

security-request@cisco.com