Personal data future regulations

1/64 © 2008 Cisco Systems, Inc. All rights reserved. Security Training

Что ждет нас в области регулирования темы ПДн в ближайшее время?

Алексей Лукацкий

Бизнес-консультант по безопасности

© 2008 Cisco Systems, Inc. All rights reserved. Security Training 3/64

Персональные данные


Базовая иерархия НПА по ПДн

Приказы и иные документы

Постановления Правительства

Законы

Конвенции и иные международные

договора

Европейская Конвенция

ФЗ №152 от 26.07.2006

ФЗ №160 от 19.12.2005

№781 от 17.11.2007

«Приказ трех» от

13.02.2008

3 открытых документа

ФСТЭК

2 открытых документа ФСБ

№687 от 15.09.2008

№512 от 6.07.2008

Директивы Евросоюза /

Европарламента

Рекомендации ОЭСР

И еще 3-4 десятка нормативных актов разных уровней

Документы РКН


Законопроект Резника

Новые условия обработки ПДн без согласия

Определение трансграничной передачи

Конклюдентная и устная формы согласия

Оферта неограниченному кругу лиц

Дифференция требований по ИБ

Устранение избыточных уведомлений субъектов

Оператор vs обработчик

Соглашение между оператором и субъектов ПДн

Уточнение полномочий надзорных органов


Для кого требования обязательные?

Распространение обязательных требований по безопасности обработки ПД, установленных Правительством РФ, на государственные информационные системы, содержащие персональные данные, определив в качестве критериев при разработке этих требований соразмерность затрат и возможности возникновения ущерба субъекту персональных данных, соответствие природе обрабатываемых данных и масштабам обработки


Какие будут требования по защите?

Определение для негосударственных и муниципальных информационных систем общеобязательных минимальных требований к обеспечению безопасности ПД при их обработке, реализация которых не зависит от применения конкретного технического решения, и установление права оператора негосударственной и муниципальной информационной системы самостоятельно определять методы и средства обеспечения безопасности ПД при их автоматизированной обработке с учетом отраслевых (ведомственных) методических рекомендаций по обеспечению безопасности информационных систем ПД


Что еще будет?!

Возможность распространения на информационные системы ПД правовых режимов и способов защиты коммерческой, профессиональной и иной, охраняемой законом тайны

Уточнение полномочий регулирующих органов при осуществлении контроля (надзора) за обеспечением оператором безопасности обработки ПД


Что могут делать регуляторы?

Дополнение обязанностей Уполномоченного органа по защите прав субъектов персональных данных обязанностью информировать ФСБ и ФСТЭК о мерах, принимаемых операторами, по обеспечению безопасности персональных данных при их обработке

Контроль и надзор за выполнением мер по обеспечению безопасности персональных данных при обработке персональных данных в государственных ИСПДн осуществляются ФСБ, и ФСТЭК, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных


Будет ли новый перенос сроков?

22 октября 2010 года депутат Аксаков внес в Госдуму законопроект о продлении моратория на ст.25.3 на срок до 1 января 2012 года

Мотивация

Операторы ПДн не успевают выполнить требования регуляторов

Операторы ПДн не имеют средств на выполнение требований ФЗ-152 и подзаконных актов и в бюджет они не заложены


Текущая и будущая ситуация с ЗИ ПДн

Безопасность персданных является обязательным условием обработки ПДн

За безопасность ПДн отвечают ФСТЭК и ФСБ

ФСТЭК выпустил приказ №58 – менять его пока не планируется

ФСБ выпустила 2 методических документа в области криптографии – планируется изменение

Подход регуляторов

Сертифицированные СЗИ и СКЗИ – планируется изменение

Отраслевые стандарты – текущий тренд


Об использовании СКЗИ

Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства

Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России

Однако у ФСБ позиция колеблется ;-(


О встраивании криптоядра в VPN

Можно ли использовать сертифицированное криптоядро в составе VPN-решений?

Можно

Будет ли такое использование легитимным?

Нет!!! Этого недостаточно


Новые требования ФСБ

Новый приказ ФСБ по защите персональных данных

Придет на смену двум текущим документам

Запланировано подписание Бортниковым

Запланирована регистрация в МинЮсте

Систематизация требований

Требования по IDS (?)

Изменение лицензионных требований (?)


Изменение 1009-ПП

ПП-336 от 15 мая 2010 года «О внесении изменений в некоторые акты Правительства Российской Федерации»

Проекты НПА и нормативных документов ФОИП, которыми регулируются отношения в области организации и осуществления государственного контроля (надзора), в области установления, применения и исполнения обязательных требований к продукции или связанным с ними процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, в области оценки соответствия и в области безопасности процессов производства, подлежат направлению в МЭР РФ на заключение об оценке регулирующего воздействия


Изменение 1009-ПП (окончание)

ПП-336 от 15 мая 2010 года «О внесении изменений в некоторые акты Правительства Российской Федерации»

В этом заключении дается оценка регулирующего воздействия соответствующих решений с целью выявления положений, вводящих избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствующих их введению, а также положений, способствующих возникновению необоснованных расходов субъектов предпринимательской и иной деятельности и бюджетов всех уровней бюджетной системы Российской Федерации


Что думает Правительство об отраслевых стандартах?

Ассоциации, союзы и иные объединения операторов вправе своими решениями установить характеристики дополнительных угроз безопасности персональных данных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки


Что думает Правительство об отраслевых стандартах? (окончание)

Решения ассоциаций, союзов и иных объединений операторов подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации


Варианты создания отраслевых рекомендаций

Документы ФСТЭК без изменений, но применительно к нуждам отрасли

Полная переработка в соответствие с потребностями

отрасли

Рособразование

Минсоцздравразвитие

Финансы

Операторы связи


Комплекс стандартов ИБ ЦБ РФ

СТО

Общие положения

1.0

Аудит ИБ 1.1

Методика оценки

соответствия 1.2

РС

Рекомендации по

документации в области ИБ

2.0

Руководство по самооценке соответствия

ИБ 2.1

Методика оценки рисков

2.2

Требования по ИБ ПДн

2.3

Отраслевая частная

модель угроз безопасности

ПДн 2.4

СТО – стандарт организации

РС – рекомендации по стандартизации


Регулирование ИБ в финансовой отрасли

В планах (возможно) отдельные стандарты и рекомендации (или добавление в СТО 1.0) по безопасности для участников национальной платежной системы и т.д.

Классификатор 0.0

Термины и определения

0.1

Рекомендации по выполнению законодательных требований при

обработке ПДн


3 новых документа

Отраслевая частная модель угроз

Требования по безопасности ПДн

Рекомендации по выполнению законодательных требований

Также созданы новые пп.7.10-7.11 в СТО БР ИББС-1.0

Опубликованы на сайте ЦБ и в «Вестнике Банка России» № 36-37 (1205-1206)

Тут и тут

http://cbr.ru/credit/Gubzi_docs/main.asp?Prtid=Stnd

http://cbr.ru/credit/Gubzi_docs/main.asp?Prtid=Met


Рекомендации

Программа действий по приведению в соответствие с ФЗ-152

14 шагов

Рекомендации по классификации ИСПДн

8 алгоритмов обезличивания ПДн

Перечень из 38-ми требуемых документов

Предлагаются типовые шаблоны документов

Имеется план приведения в соответствия из 49 пунктов

Типовой перечень ПДн с указанием целей обработки

Перечень из 20 типовых ошибок при реализации требований законодательства о ПДн


Примеры документов

../../../Storage/Compliance/1Персональные данные/Практика/Согласие.doc


Требования по обеспечению ИБ ПДн

Общий подход к определению требований

Общие требования по безопасности ПДн в ИСПДн любого класса

Требования по безопасности общедоступных и обезличенных ПДн

Требования по безопасности небиометрических, неспециальных категорий, необщедоступных и необезличенных ПДн

Требования по безопасности биометрических ПДн

Требования по безопасности специальных категорий ПДн


Интересные особенности

Своя классификация ИСПДн и ПДн

Отличная от «Приказа трех»

Все ИСПДн специальные

При условии принятия СТО требования регуляторов не применяются

Т.к. уже учтены и согласованы в СТО

В противном случае применяются требования всех трех регуляторов

Лицензирование, аттестация не требуются

Сертифицированными должны быть только СКЗИ

Остальные СЗИ на усмотрение руководства организации


Резюме по рекомендациям Банка России и АРБ

Требования по защите ПДн увязаны с уже существующими требованиями по защите банковской тайны и иной банковской информации

Банк либо принимает комплекс стандартов либо уходит под требования регуляторов

Из «интересного»

ПДн не выделяются, как особая категория защищаемой информации (в отличие от защиты прав субъектов ПДн)

Защита не только ПДн, но и прав субъектов

Большое количество рекомендаций по снижению затрат

Наличие шаблонов документов и модели угроз

Наличие рекомендаций по заполнению документов

Согласование документов в ФСТЭК, ФСБ и Роскомнадзоре


ФЗ «О национальной платежной системе»

Все участники НПС обязаны соблюдать требования по защите банковской тайны в соответствие с законом «О банках и банковской деятельности»

Требования по ИБ устанавливает Правительство РФ, а контроль и надзор за выполнением требований осуществляется ФСТЭК и ФСБ

Требований Правительства пока нет

Банк России вправе устанавливать требования к бесперебойности, информационной безопасности, а также порядок оценки соответствия операционных центров значимых платежных систем установленным требованиям

Данные требования должны быть согласованы с ФСТЭК и ФСБ

Логично предположить, что это будет СТО БР ИББС


НИР Тритон от ИКС

Принципы защиты ПДн оператора связи

Экономическая обоснованность рекомендаций (требований) исходя из ущерба субъектам и операторам ПДн

Соответствие уровня рекомендаций (требований) по защите ПДн имеющемуся уровню развития информационных технологий с постепенным его повышением по мере готовности операторов ПДн, информационных и защитных технологий, международного и национального законодательства

Учет специфики операторов связи

Применение одних и тех же систем, средств и методов защиты информации для обеспечения безопасности ПДн, КТ и иной конфиденциальной информации

Использование для защиты ПДн систем и средств защиты, которые уже эксплуатируются операторами связи в составе ИСПДн или инфраструктуры безопасности


НИР Тритон для операторов связи

Наиболее полный набор документов по защите ПДн

18 иерархически выстроенных документов


Резюме по рекомендациям НИР Тритон

Документы согласованы с ФСТЭК, ФСБ и Минкомсвязью

Как минимум Концепция

Разработано 3 модели угроз и 3 профиля защиты от них

Интересные особенности

Учитывается отраслевая специфика

ПДн не выделяются, как особая категория защищаемой информации

Фокусировка только на защите ПДн (в отличии от защиты прав субъектов ПДн)

Большое количество рекомендаций по снижению затрат


Лицензирование


Есть ли у вас лицензия на ТО СКЗИ?

А нужна ли?

Представители 8-го Центра ФСБ заявляют о ненужности лицензии для собственных нужд


Есть ли у вас лицензия на ТО СКЗИ?

Что такое ТО?

К деятельности по техническому обслуживанию шифровальных (криптографических) средств не относится эксплуатация СКЗИ в соответствии с требованиями эксплуатационной и технической документации, входящей в комплект поставки СКЗИ

Не относится к лицензируемой деятельности

Передача СКЗИ клиентам и «дочкам»

Генерация и передача сгенерированных ключей


Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва «О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства»

В целях обеспечения обороны страны и безопасности государства настоящим Федеральным законом устанавливаются изъятия ограничительного характера для иностранных инвесторов и для группы лиц, в которую входит иностранный инвестор, при их участии в уставных капиталах хозяйственных обществ, имеющих стратегическое значение для обеспечения обороны страны и без опасности государства, и (или) совершении ими сделок, влекущих за собой установление контроля над указанными хозяйственными обществами

Риск лицензирования в ФСБ


Хозяйственное общество, имеющее стратегическое значение для обеспечения обороны страны и безопасности государства, - предприятие созданное на территории Российской Федерации и осуществляющее хотя бы один из видов деятельности, имеющих стратегическое значение для обеспечения обороны страны и безопасности государства и указанных в статье 6 настоящего Федерального закона

пп.11-14 – 4 вида лицензирования деятельности в области шифрования

Наличие всего лишь одного маршрутизатора с IPSec требует от вас лицензии на ТО СКЗИ

Риск лицензирования в ФСБ (окончание)


Лицензия на ТЗКИ нужна юридическим лицам, осуществляющим предпринимательскую деятельность, связанную с технической защитой конфиденциальной информацией

Примечание: в новом законопроекте по 149-ФЗ термин «конфиденциальная информация» меняется на «информации, в отношении которой установлено требование об обеспечении ее конфиденциальности»

Одна точка зрения ФСТЭК


Вопрос про лицензию на ТЗКИ для собственных нужд

Согласно ст.49 ГК РФ отдельными видами деятельности можно заниматься только на основании лицензии

В соответствие с ФЗ-128 на ТЗКИ нужна лицензия

Другая точка зрения ФСТЭК


В настоящем стандарте требование получения лицензии на деятельность по технической защите конфиденциальной информации (информации ограниченного доступа) при проведении мероприятий по обеспечению безопасности в специальных ИСПДн для собственных нужд организаций БС РФ, а также требование проведения аттестации специальных ИСПДн не устанавливаются

Раздел 9.6 СТО БР ИББС-1.0

Нужна ли лицензия ФСТЭК банкам?


19 июля в ходе заседания Президиума Правительства Российской Федерации был рассмотрен проект закона о лицензировании, который серьѐзно упрощает процедуру получения лицензий, повышает их прозрачность и существенно снижает число лицензируемых видов деятельности

Тематика связанная с лицензированием деятельности по защите информации и криптографии осталась ;-(

Эти виды деятельности были укрупнены в два направления - криптографическая деятельность и защита от несанкционированного доступа к информации

Эти виды деятельности должны будут регулироваться отдельными новыми Постановлениями Правительства

Что нас ждет?

http://government.ru/docs/11399/


Планируется разделение единой лицензии на криптографию на две – разработка и все остальное

«Распространение» СКЗИ заменено в законопроекте Правительства на «реализацию» СКЗИ

Под реализацией понимается передача права собственности на товары, на результаты работ, оказание услуг, в том числе на безвозмездной основе (Налоговый кодекс)

Возможно ограничение лицензирования только защиты государственных информационных ресурсов и критически важных объектов

Что нас ждет? (окончание)


Сертификация


С 1-го декабря 2009 года существует единый перечень всех товаров, которые подлежат обязательной сертификации...

Исключая продукцию, требования к которой устанавливаются в соответствии со статьей 5 Федерального Закона «О техническом регулировании»

Иными словами обязательная сертификация средств защиты может быть определена отдельными нормативными актами…

Особенности технического регулирования в части разработки и установления обязательных требований ... устанавливаются Президентом Российской Федерации, Правительством Российской Федерации в соответствии с их полномочиями (ФЗ-184 «О техническом регулировании»)

Постановление Правительства №982


Гром с ясного неба!!!

ПП-330 от 15 мая 2010 г. «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)»

ДСП


Надо ли выполнять ПП-330?

Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами

Ст.4.2 ФЗ-152

Аналогичные требования заложены в ПП-1009 и ФЗ-294


Интеграция в мировое сообщество


Все может поменяться

Изменения в ФЗ-184 «О техническом регулировании» и вступление России в ВТО подстегнули процесс признания международных стандартов и нормативных требований

Законопроектом предусматриваются законодательное закрепление возможности признания и заимствования лучших мировых стандартов в целях их применения в Российской Федерации

Также предполагается введение двух применяемых по выбору заявителя режимов технического регулирования, один из которых основан на требованиях российских стандартов, другой - на требованиях иностранных технических регламентов (директив) и стандартов


Все может поменяться (продолжение)

ПП-455 от 17.06.2010 внесено изменение в ПП-163 от 24.02.2009 «Об аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по подтверждению соответствия»

Наличие официально изданных действующих нормативных правовых актов, документов в области стандартизации, принятых на основе международных норм, устанавливающих требования к объектам подтверждения соответствия


Все может поменяться (продолжение)

4 мая Президент направил в ГосДуму законопроект № 368896-5 «О ратификации Соглашения о взаимном признании аккредитации органов по сертификации (оценке (подтверждению) соответствия) и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия»

Стороны взаимно признают аккредитацию органов по сертификации (оценке (подтверждению) соответствия) и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия, в национальных системах аккредитации государств сторон

Сторонами являются страны ЕвразЭС - Россия, Казахстан, Беларусь, Киргизия, Таджикистан, Узбекистан


Все может поменяться (окончание)

21 октября 2010 – новый законопроект о внесении изменений в ФЗ «О техническом регулировании»

В части ускорения интеграционных процессов по сближению законодательств государств-членов таможенного союза в рамках ЕврАзЭС и Европейским союзом, снижения технических барьеров…

Ключевые изменения

Свобода выбора заявителем документов, применяемых при подтверждении соответствия

Обеспечение условий для взаимного признания в РФ и в иностранных государствах – торговых партнеров РФ результатов подтверждения соответствия и результатов исследования (испытаний) и измерений

Обязательное подтверждение продукции, на которую не распространяется действие техрегламентов и которая не включена в единый перечень продукции, подлежащей обязательной сертификации или декларированию, не требуется


Россия и ВТО: история отношений

В 2007/8-м году Россия отказалась входить в ВТО самостоятельно

Создание Единого таможенного союза (Россия, Казахстан, Белоруссия) и намерение вступать в ВТО в составе союза

Договоренность Медведева и Обамы о вступлении России в ВТО в середине осени

И.Айвазовский. Хаос. Сотворение мира


С чем согласилась Россия

Отсутствие дискриминации и прозрачность всех процедур, связанных с импортом криптографии

Соблюдение Вассенаарского соглашения

То что должно ввозиться свободно по Вассенаару, не должно ограничиваться при импорте в Россию (например, защита интеллектуальной собственности в DVD и т.п., мобильные телефоны и т.д.)

Категория 5, часть 2, список товаров двойного применения

Вся импортируемая криптография делится на 2 части

Ввозимая по уведомлению

Ввозимая после получения лицензии на импорт


Изменение роли регуляторов


Государственный контроль и надзор

Любая проверка со стороны регулятора должна проводиться в строгом соответствии с ФЗ от 26.12.2008 №294 «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного и муниципального контроля (надзора)»

Если другие нормативные акты не сужают область действия надзорного органа

Данный ФЗ – единственный, определяющий полномочия надзорных органов

В области ИБ могут быть другие (только уровня ФЗ), но пока их нет

Принятие административных регламентов регуляторов


Прокуратора – новый регулятор

Прокуратура – новый регулятор на рынке безопасности

Порядок согласования с органом прокуратуры проведения проверок установлен приказом Генерального прокурора Российской Федерации от 27 марта 2009 г. № 93 и ФЗ-294

Все плановые и внеплановые проверки должны быть согласованы с Генпрокуратурой

Плановые – до 31 декабря года, предшествующего

Внеплановые – за 3 суток до проверки

Прокуратура отклонила 50% всех заявок на проверки

Сегодня в списке проверок есть только Роскомнадзор

Потребители не хотят оспаривать незаконные проверки

http://79.125.23.79/


Саморегулируемые организации

Саморегулируемые организации (СРО) – тенденция 2011-го и последующих годов

Позволяет устанавливать собственные правила по добровольной оценке соответствия

Сегодня существуют планы по созданию СРО в различных отраслях

Финансы

Энергетика

Операторы связи


Что еще?..


Другие изменения в части ПДн

Два законопроекта о регулировании Интернет

Общедоступные данные

Запрет на использование в Интернет технологий и протоколов, не применяемых в международном сообществе

Изменение трехглавого ФЗ-149

И еще 41 федеральный закон в части приведения к единой терминологии

Изменение ФЗ-57

Только для банков


Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected] или по телефону: +7 495 961-1410


Self Improvement

Personal data future regulations