SlideShare a Scribd company logo
1 of 61
Download to read offline
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Последние изменения
законодательства о
персональных данных
Алексей Лукацкий
Cisco Russia & CIS
13 October 2015
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Изменения по направлению ПДн
Что было?
• Приказ ФСТЭК №21 по защите
ПДн в ИСПДн
• Приказ об отмене «приказа трех»
по классификации ИСПДн
• Приказ и методичка РКН по
обезличиванию
• Закон 242-ФЗ о запрете хранения
ПДн россиян за границей
• Письмо Банка России 42-Т
• Приказ ФСБ №378 по
использованию СКЗИ для защиты
ПДн
• ПП-911 по отмене обязательного
обезличивания
Что могло быть?
• Работа Межведомственного
экспертного совета при
Минкомсвязи по
совершенствованию
законодательства в области
регулирования отношений,
связанных с обработкой ПДн
• Отраслевые модели угроз
• Ратификация дополнительного
протокола Евроконвенции (181)
• Законопроект по ответственности
за неуведомление о утечке ПДн
• Законопроект по запрету отказа от
предоставления услуг при отказе
от дачи согласия на обработку
ПДн
• Поправки в ФЗ-242
Что есть и будет?
• Законопроект Совета Федерации
по внесению изменений в ФЗ-152
• Законопроект по внесению
изменений в КоАП
• Постановление Правительства по
надзору в сфере ПДн
• Выход РКН из под действия 294-
ФЗ
• Изменения в приказ №21
• Совет Европы примет новый
вариант ЕвроКонвенции
• Методичка ФСТЭК по
моделированию угроз
• Методичка ФСБ по
моделированию угроз
• Методичка РКН о порядке
организации и осуществления
контроля за обработкой ПДн
• Постатейный комментарий РКН
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Регуляторы хотят расширить понятие ПДн
§  Советник Президента г-н Щеголев
(бывший министра связи и массовых
коммуникаций) 20 апреля предложил
расширить толкование термина
«персональные данные» и ужесточить
требования к Интернет-сервисам
§  Руководитель Роскомнадзора
Александр Жаров назвал предложения
Щеголева глубокими и
содержательными, заявив, что его
ведомство будет над ними работать
вместе с Советом Федерации и
Госдумой
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Что такое ПДн?
Из разъяснений РКН
§  Имя, фамилия и должность - ПДн
Мнение РКН
§  Имя и фамилия, а также идентификационный номер - ПДн
Мнение РКН
§  Имя, фамилия и email – не ПДн (без отчества)
Мнение РКН
§  Только фамилия, только email – не ПДн
Мнение РКН
§  Фамилия и имя, записанные латиницей – ПДн
Мнение РКН
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Разъяснения РКН по поводу ФЗ-152
§  Постатейный комментарий к ФЗ-152,
подготовленный сотрудниками РКН
176 страниц
Продается за деньги – 265/100 рублей (бумажный/
электронный вариант)
§  Теме ФЗ-242 внимания почти не уделено
§  Некоторые разъяснения противоречат
предыдущим разъяснениям РКН
Данным при прежнем руководстве
§  РКН не имеет права официально
комментировать законодательство
Но стоит обратить внимание на позицию регулятора,
используемую при проверках
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Разъяснения РКН по поводу ФЗ-242
§  Портал, созданный РАЭК, для ответ на
вопросы, касающиеся ФЗ-242
http://pd-info.ru
Все ответы согласованы с РКН
§  Некоторые разъяснения вызывают
вопросы
Например, деление операторов ПДн на первичных и
иных
§  Некоторые разъяснения противоречат
друг другу
Например, в одном гостиничным сервисам не
требуется перенос в России, а в другом - требуется
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
А еще у нас есть третьи разъяснения J
http://www.minsvyaz.ru/ru/personaldata/
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Правонарушение
Нарушаемая статья
законодательства
Наказание для
должностных лиц
Наказание для
юридических лиц
Нарушение требований к согласию Ст.9 ФЗ-152 3-8 тысяч рублей 15-50 тысяч рублей
Обработка ПДн без согласия Ст.6 ФЗ-152 5-15 тысяч рублей 30-50 тысяч рублей
Незаконная обработка
спецкатегорий ПДн
Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей
Неопубликование политики в
области ПДн
Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей
Отказ в предоставлении
информации субъекту
Ст.14, ст.20 ФЗ-152 4-6 тысяч рублей 20-40 тысяч рублей
Отказ в уничтожении или
блокировании ПДн
Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей
Нарушение правил хранения
материальных носителей ПДн
ПП-687 4-10 тысяч рублей 25-50 тысяч рублей
Нарушение правил обезличивания
(для госов)
ПП-211 и приказ РКН
№996
3-6 тысяч рублей Не предусмотрено
Законопроект по штрафам завис на первом чтении
§  Комитет по конституционному законодательству против (не хочет давать
РКН дополнительные полномочия)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Меры по защите ПДн: в 2016-м ждем новую редакцию
Защитная мера ПДн ГИС АСУ ТП
Управление инцидентами
+ +
Управление конфигурацией информационной системы и системы защиты КИ
+ +
Безопасная разработка прикладного и специального программного обеспечения разработчиком
+
Управление обновлениями программного обеспечения
+
Планирование мероприятий по обеспечению защиты информации
+
Обеспечение действий в нештатных (непредвиденных) ситуациях
+
Информирование и обучение пользователей
+
Анализ угроз безопасности информации и рисков от их реализации
+
•  Планы
–  Унификация перечня защитных мер для всех трех приказов
–  Выход на 2-хлетний цикл обновления приказов
§  В 2016-м году будет готовиться вторая редакция 21-го приказа ФСТЭК
§  Предполагается унифицировать набор защитных мер во всех 3-х
приказах ФСТЭК по защите ГИС/МИС, ИСПДн и АСУ ТП
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Проект методики моделирования угроз ФСТЭК
§  Методика определения угроз безопасности
информации в информационных системах
§  Распространяется на
ГИС / МИС
ИСПДн (рекомендательный характер)
§  Не распространяется на угрозы СКЗИ и ПЭМИН
§  Отменяет «методику определения актуальных
угроз…» 2008-го года
§  Применяется совместно с банком данных угроз
ФСТЭК
§  Будет принята осенью 2015-го года
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Методика моделирования угроз ФСБ
§  Методика определения актуальных угроз
безопасности ПДн в ИСПДн
§  Предназначена только для органов власти,
пишущих отраслевые модели угроз для
подведомственных учреждений
§  Ориентирована только на компетенцию ФСБ –
СКЗИ
§  СКЗИ обязательны при передаче ПДн по
каналам связи
§  Помните, что это всего лишь методические
рекомендации
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Проект модели угроз ПДн Банка России
§  Тип - Указание Банка России
Обязательна для всех банков, действующих на территории РФ
§  Согласована с ФСТЭК и ФСБ
§  Вторая редакция
Первая – 2013 год
Модель угроз ПДн из РС 2.4 отменена в 2014-м году
§  10 угроз безопасности ПДн
47 (21) - в первой редакции
88 – в РС 2.4
Угрозы НДВ (1-го и 2-го типа) оцениваются самим оператором
ПДн
Угрозы биометрическим и общедоступным ПДн не
рассматриваются
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Законопроект РГ Совета Федерации: сдули пыль и…
§  При этом депутат Левин (Глава комитета ГД по информационной политике)
и Администрация Президента против данного законопроекта
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Вы не забыли про Конвенцию?
§  Ратификация дополнительного протокола к конвенции о защите частных лиц
в отношении автоматизированной обработки данных личного характера, о
наблюдательных органах и трансграничной передаче информации (ETS N
181)
§  До конца 2015-го года (возможно) будет принята новая редакция
Евроконвенции
§  ФЗ-152 придется гармонизировать с Евроконвенцией
Очередной виток изменений (серьезных) в законодательстве
Если Россия не выйдет из Совета Европа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Сюрприз от Управделами Президента
§  Абсолютно непонятная НИР от Управделами Президента РФ по разработке
предложений по повышению защищенности персональных данных
Размещена 22-го июня
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
На что еще обратить внимание?
§  Постановление Пленума Верховного Суда РФ от 23 июня 2015 года № 25 «О
применении судами некоторых положений раздела I части первой
Гражданского кодекса Российской Федерации»
Разъяснения по ряду вопросов, в том числе и о том, как правомерно можно использовать
изображения гражданина, размещенные в сети Интернет, и когда для такого использования нужно и
не нужно согласие изображенного лица
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=181602
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
Что еще будет в самом скором времени?
§  Законопроект «О внесении изменений в ФЗ «Об информации,
информационных технологиях и о защите информации» и отдельные
законодательные акты РФ» (закон о «праве на забвение»)
§  Законопроект «О внесении изменений в КоАП (в части установления
административной ответственности операторов поисковых систем)» (о
наказании нарушителей права на забвение)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
18© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Надо ли применять СКЗИ для
защиты ПДн?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
Применение СКЗИ регулируется приказом №378 ФСБ
§  Настоящий документ устанавливает состав и
содержание необходимых для выполнения
установленных Правительством Российской
Федерации требований к защите ПДн для
каждого из уровней защищенности
организационных и технических мер по
обеспечению безопасности ПДн при их
обработке в ИСПДн
§  Принят 10 июля 2014 года, вступил в силу с 28
сентября 2014 года
§  СКЗИ применяются там, где такие требования
вытекают из модели угроз (нарушителя) или
технического задания
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
Вы можете использовать сертифицированные СКЗИ
§  В России разработано и предлагается
немалое количество
сертифицированных средств
криптографической защиты
информации (СКЗИ)
§  Использование таких решений
поможет поднять экономику России
Стоимость таких устройств в десятки раз
больше стоимость барреля нефти!
Модуль Cisco RVPN
(сертификат ФСБ по классам КС1/КС2/КС3)
На модуле может работать ПО С-Терра СиЭсПи,
Инфотекс, Фактор-ТС
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
А когда сертифицированных СКЗИ нет?
§  Работа иностранных представительств
§  Коммерческое IP-телевидение
§  IP-видеонаблюдение
§  Магистрали операторов связи
§  Протоколы, отличные от Ethernet (iSCSI, FC)
§  Технология Wi-Fi и стандарт 802.11i
§  Стандарты мобильной связи 2.5G, 3G, LTE, WiMAX
§  Чиповые карты международных платежных систем
§  АСУ ТП
§  Доступ из-за границы к Интернет-сайтам в РФ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22
Конфиденциальность и шифрование
Законы
Конфиденциальность
Шифрование
НПА регуляторов
=≠
Нормативно-правовые
акты имеют вполне
определенную
иерархию и «читать»
их надо не в любом
порядке, а сверху вниз,
от закона к приказам
федеральных органов
исполнительной
власти!
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23
ФЗ-152 требует не шифрования. И не только он
§  Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4
§  Согласно ст.7 под конфиденциальностью ПДн понимается обязанность
операторами и иными лицами, получивших доступ к персональным
данным:
Не раскрывать ПДн третьим лицам
Не распространять ПДн без согласия субъекта персональных данных
Если иное не предусмотрено федеральным законом
§  Оператор при обработке персональных данных обязан принимать
необходимые правовые, организационные и технические меры или
обеспечивать их принятие для защиты персональных данных от
неправомерного или случайного доступа к ним…
Ст.19
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24
Как обеспечить конфиденциальность ПДн?
§  Получить согласие субъекта на передачу ПДн в открытом виде
§  Сделать ПДн общедоступными
§  Обеспечить контролируемую зону
§  Использовать оптические каналы связи
§  Использовать соответствующие механизмы защиты от НСД, исключая
шифрование
§  Переложить задачу обеспечения конфиденциальности на оператора связи
§  Передавать в канал связи обезличенные данные
§  Использовать СКЗИ для защиты ПДн
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25
Как поступают в органах по защите прав субъектов
ПДн?
§  Многие госорганы
постулируют на своих
сайтах защиту ПДн в
соответствие с
требованиями
законодательства
Без детализации
И без СКЗИ
§  Минкомсвязь и ФСТЭК
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26
Как поступает регулятор по защите ПДн?
§  ФСБ на своем сайте требует указания
полного спектра идентификационных
данных, включая паспортные
§  Никаких оговорок про выполнение
требований законодательства
§  Никакой защиты передаваемых данных
§  Если это позволено регулятору в области
защиты (и в частности шифрования)
персональных данных, то почему это не
позволено вам?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27
Как поступают в органах по защите прав субъектов
ПДн?
§  РКН собирает персональные данные через форму
обратной связи на своем сайте
§  Стандартная оговорка о соблюдении
законодательства в области персональных данных
§  Никакой защиты передаваемых данных
§  Если это позволено уполномоченному органу по
защите прав субъектов персональных данных, то
почему это не позволено вам?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28
§  РКН раньше на своем
сайте, а портал
госуслуг до сих пор
вынуждает вас
отказаться от
конфиденциальности
§  У вас есть выбор – или
соглашаться, или не
использовать
соответствующий
сервис
§  Шифрование в таком
случае не нужно Ответ Роскомнадзора
Вы можете принудить субъекта отказаться от
конфиденциальности его ПДн
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29
А если сделать их общедоступными?
§  РЖД делает
регистрационные данные
пользователей своего
сайта общедоступными
§  РКН не против
§  Шифрование в таком
случае не нужно
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30
А где у вас проходит граница ИСПДн?
§  Вы имеет полное право
самостоятельно провести
границы ИСПДн там, где
считаете нужным
§  Сеть Интернет может не
входить в вашу ИСПДн
§  Если это позволено
Правительству, то почему
не позволено вам?
§  Шифрование в таком
случае не нужно
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31
Еще четыре сценария
§  СКЗИ для защиты ПДн при передаче в канале связи должны применяться обязательно,
если не будет доказано, что в канале связи невозможно осуществление
несанкционированных воздействий на ПДн (из 378-го приказа ФСБ)
§  Уровень защищенности канала связи и его способность обойтись без СКЗИ определяет
лицензиат ФСТЭК
Обезличивание
• Обезличивание из
персональных данных
делает неперсональные
• Они выпадают из под
ФЗ-152
• Не требуется даже
конфиденциальность
Оператор связи
• Оператор связи по
закону «О связи»
обязан обеспечивать
тайну связи
• Почему бы в договоре с
оператором явно не
прописать обязанность
обеспечить
конфиденциальность
всех передаваемых
данных, включая и ПДн
Оптика
• Снять информацию с
оптического канала
связи возможно, но
непросто и недешево
• Почему бы не
зафиксировать в
модели угроз
соответствующую
мысль
Виртуальные сети
• Для защиты от
несанкционированного
доступа на сетевом
уровне могут
применяться различные
технологии; не только
шифрование
• Например, MPLS,
обеспечивающая
разграничение доступа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32
Резюме по применению СКЗИ для защиты ПДн
§  Выбор способа обеспечения конфиденциальности персональных данных,
а также конкретный способ их защиты от несанкционированного доступа и
ознакомления определяет оператор персональных данных
§  Подходите к вопросу творчески
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 33
33© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
ФЗ-242
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 34
Закон о запрете хранения ПДн россиян за границей
§  Реализация положений ФЗ-242 «о запрете
хранения ПДн россиян за границей»
Базы ПДн, в которых происходит первичная регистрация и
актуализация ПДн россиян, должны находится на территории РФ
Хотя слова «только» в законе нет, по сути вводится апрет
хранения за пределами РФ
Наказание за нарушение
Выведение РКН из под действия
294-ФЗ
§  Вступил в силу с 1 сентября 2015 года
Слухи о переносе сроков на 1 год не подтвердились
§  Первые нарушители уже заблокированы
Реальные нарушители, незаконно распространяющие ПДн с
зарубежных сайтов
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 35
Потенциальные последствия за неисполнение ФЗ-242
§  Блокирование доступа к зарубежным ресурсам, в которых ведется
обработка ПДн российских граждан (сотрудников и клиентов)
§  Блокирование доступа к зарубежным ресурсам и третьих фирм, в которых
ведется обработка ПДн российских граждан (сотрудников и клиентов)
§  Потенциальное снижение продаж решений и невозможность выполнения
сервисных обязательств из-за потенциального блокирования основного
сайта
§  Репутационные риски
§  Административная и уголовная ответственность отсутствует
Однако есть ответственность за невыполнение предписания РКН по результатам
надзорных мероприятий
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 36
Разъяснение Роскомнадзора: что такое база данных?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 37
Разъяснение Роскомнадзора: запрет зеркал
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 38
Разъяснение Роскомнадзора: о «гражданстве» ПДн
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 39
Кого ФЗ-242 касается в первую очередь?
§  Все иностранные
компании, работающие в
России
§  Все иностранные
компании, работающие
для российских граждан
В том числе облачные сервисы и
арендуемые за рубежом ЦОДы
§  Все российские компании,
работающие за рубежом
1
2
3
?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 40
Зоны риска
Google, Twitter,
Facebook и иные
Интернет-компании
Американские и
европейские
компании
Остальные
иностранные
компании
Российские
компании
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 41
Отдельные моменты обработки ПДн
§  Электронная почта – не ИСПДн
Мнение РКН
§  Заказ авиабилетов не попадает под действие ФЗ-242 в связи с тем, что
заказ авиабилетов регулируется международными договорами
В отличие от бронирования гостиниц и автомобилей
§  На базы данных, созданные до вступления в силу ФЗ-242, закон не
распространяется
Если они не актуализировались после вступления в силу ФЗ-242
§  Облачные провайдеры – не операторы, а обработчики ПДн
Мнение РКН
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 42
Локализация баз данных – это не российская новация
§  Локализация баз данных – это не российский
прецедент
Например, Вьетнам и ряд других стран
§  Верховный европейский суд принял решение об
отмене договора Совета Европы и США о
хранении персональных данных европейских
граждан на территории США
Нас ждет интересное развитие событий
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 43
Локализация баз данных. Обратите внимание!
§  В ФЗ-242 речь идет о первичном сборе, записи, систематизации, накоплении,
хранении, уточнении, обновлении, изменении, извлечении ПДн, которые
должны производиться на территории России
Такие действия с ПДн, как использование, передача, распространение, предоставление, доступ,
обезличивание, блокирование, удаление, уничтожение могут производиться где угодно
§  Изменения должны вноситься в БД на территории России
§  База данных и приложение, обращающееся к ней – это разные сущности
Приложение может быть где угодно
§  На трансграничную передачу и доступ к ПДн из-за пределов России
ограничений нет
§  ПДн могут обрабатываться за пределами РФ, за исключением их сбора
Неизменяемое зеркало
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 44
Закон о запрете хранения ПДн россиян за границей
§  Обезличивание ПДн
на территории России
и передача
обезличенных данных
куда угодно
Приказ РКН №996
§  Архивирование или
шифрование ПДн на
территории России и
передача архивов куда
угодно
№ субъекта
№ субъекта
№ субъекта
ФИО
Адрес
…
Адрес …ФИО
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 45
Приказ РКН по обезличиванию
§  Приказ от 5.09.2013 №996
§  Разработан во исполнение Постановления
Правительства от 21.03.2012 №211
§  Обязателен для государственных и
муниципальных организаций
§  Носит рекомендательный характер для
коммерческих операторов ПДн
§  Требует обратимости ПДн
§  В соответствие с ПП-211 обезличивание
является рекомендуемой мерой
Раньше обязательной
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 46
Самая простая часть ФЗ-242 уже реализована
§  Роскомнадзор сформировал реестр
нарушителей прав субъектов персональных
данных
§  В реестр будут вноситься все интернет-
ресурсы, обрабатывающие персональные
данные с нарушениями законодательства
Включение компаний в реестр будет происходить
по решению суда по искам, которые могут
инициировать как сами субъекты персональных
данных, так и Роскомнадзор, зафиксировавший
нарушение
Реестр заработал с 1 сентября
§  Снимать блокировку будет РКН сам
При действующем судебном решении (!)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 47
Два приказа РКН в отношении нарушений ФЗ-242/ФЗ-152
§  Приказ РКН №85 от 22.07.2015 «Об утверждении формы заявления субъекта
ПДн о принятии мер по ограничению доступа к информации,
обрабатываемой с нарушением законодательства РФ в области ПДн»
§  Приказ РКН №84 от 22.07.2015 «Об утверждении Порядка взаимодействия
оператора реестра нарушителей прав субъектов ПДн с провайдером хостинга
и Порядка получения доступа к информации, содержащейся в реестре
нарушителей прав субъектов ПДн, оператором связи»
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 48
Изменение правил надзора
§  Снижение числа проверок в отношении
операторов персональных данных
§  Переход на риск-ориентированную
модель при проведении надзорных
мероприятий
После принятия соответствующего
законопроекта
Поднадзорные организации предполагается
разделить на группы в зависимости от степени
риска нарушений для экономики и ее граждан,
и на основе такой дифференциации
планировать и проводить надзорные
мероприятия
§  Выход из под действия ФЗ-294
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 49
Готовится новое Постановление Правительства
§  Контроль и надзор за соответствием обработки
ПДн требованиям законодательства
§  Явно исключается надзор в сфере надзора за
выполнением организационных и технических
мер защиты информации
§  3 типа проверок
Плановые
Внеплановые
Мероприятия систематического наблюдения
§  Плановые и внеплановые проверки проводятся в
форме документарных и выездных проверок
Плановые проверки и мероприятия осуществляются на
основе утвержденного плана, размещаемого на сайте РКН
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 50
Критерии формирования плана плановых проверок
§  Трехлетний период с момента окончания последней плановой проверки
§  Информация от госорганов, муниципалитетов и СМИ о нарушении
§  Обработка ПДн значительного количества субъектов ПДн, а также обработка
биометрических и специальных категорий ПДн
§  Непредставление информации РКН
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 51
Основания для внеплановых проверок
§  Внеплановые проверки проводятся на основании решения руководителя
(заместителя руководителя) РКН или его терорганов по следующим причинам:
Истечение срока выданного предписания
По доказательным обращениям граждан (требует согласования с прокуратурой)
По причине непредоставления (неполного представления) информации оператором по
запросу РКН
Наличие факта нарушения законодательства, полученное от СМИ, госорганов и
муниципалитетов
Поручение Президента или Правительства
В случае нарушения оператором законодательства, выявленного в ходе систематического
наблюдения
Несоответствие сведений, указанных в уведомлении
В случае неисполнения требования РКН об устранении выявленного нарушения
На основании представления органа прокуратуры
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 52
Предмет проверки
§  Деятельность оператора по обработке ПДн, осуществляемой с
использованием или без использования средств автоматизации
§  Документы и локальные акты
§  Принятые операторов меры в соответствии со статьей 18.1 ФЗ-152
§  Исполнение государственными и муниципальными органами обязанностей,
предусмотренных ФЗ-152 и подзаконными актами
§  Содержания ИСПДн в части касающейся обработки ПДн
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 53
Уведомление о проверке
Плановая
•  Не позднее чем за 3
дня
•  Почтовое
отправление с
уведомлением или
иной доступный метод
Внеплановая
•  Не менее чем за 24
часа
•  Любой доступный
метод уведомления
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 54
Периодичность проведения проверок
Не чаще одного раза
в 2 года
• Государственный
орган
• Муниципальный
орган
• Юридическое лицо
Не чаще одного раза
в 3 года
• Индивидуальные
предприниматели
• Физические лица
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 55
Длительность проведения проверок
Выездная
• Не более 20-ти
рабочих дней
Документарная
• Не более 60-ти
рабочих дней
§  Возможно продление указанного срока, но не более чем на 20 дней
§  При осуществлении оператором деятельности на территории нескольких
субъектов РФ, срок проведения проверок устанавливается отдельно по
каждому филиалу, но общий срок проверки не может превышать 60 дней
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 56
Особенности проверок по проекту Постановления
§  Мотивированный запрос на получение документов и локальных актов в части
ПДн
§  Приказ на проведение проверки
§  Посещение любых помещений, исключая архивы и помещения с гостайной
§  Право доступа к ИСПДн для оценки законности деятельности оператора
§  Возможность привлечения аккредитованных экспертов и экспертных
организаций
Непонятно на каком основании посторонние эксперты будут получать доступ к ПДн
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 57
Об уведомлении с 1-го сентября
§  Отдельные управления РКН требуют отправлять им информационное
сообщение о месте нахождения баз данных с ПДн
7-я часть 22-й статьи ФЗ-152 говорит только о необходимости повторного уведомления
всего в двух случаях - прекращении обработки ПДн и изменении сведений, указанных в
ранее отправленном уведомлении
§  Если раньше данные хранились в РФ
Ничего не поменялось – отправлять ничего не нужно
§  Если раньше данные хранились за пределами РФ
В уведомлении ничего не поменялось – отправлять ничего не нужно
§  Указывать версии и названия СУБД не нужно, как и адрес физического
местонахождения
А если у вас аутсорсинг, арендуемой ЦОД или облако, то как вы узнаете адрес?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 58
Ответ РКН по части уведомления с 1-го сентября
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 59
Множество трактовок, связанных с геополитикой
§  Несколько прямо противоположных трактовок ФЗ-242 федеральными
органами исполнительной власти и органами власти (Минкомсвязь,
Роскомнадзор, Администрация Президента)
Все упомянутые органы власти не уполномочены трактовать законодательство
При этом данные органы власти (например, Роскомнадзор или прокуратура) осуществляют
контроль и надзор за выполнение данного законодательства и к их мнению стоит
прислушиваться
§  Один орган исполнительной власти может в разное время давать разные
трактовки одних и тех же норм закона
В зависимости от геополитической ситуации и смены руководство ФОИВ
§  Мнение профессионального сообщества и экспертных групп при разработке
данного закона услышано не было
Органы власти прямо называют в качестве причины принятия данного закона
геополитическую ситуацию
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 60
Возможные сценарии и ресурсы/риски, с ними связанные
применительно к ФЗ-242
§  Органы контроля/надзора не понимают, как технически можно было бы
реализовать запрет в случае использования VPN
Ничего не делать
•  Минимальные усилия
•  Риски блокирования
описанных ранее
сервисов
•  Репутационные риски
Сделать на бумаге
•  Усилия направлены
только на создание
большого количества
бумаг
•  Теоретически
регулятор может
выявить данный факт
ИТ-трюки
•  Обезличивание ПДн и
архивирование ПДн
позволяет передавать
их и хранить где
угодно
•  Риски связаны с
несогласием
регуляторов с
использованием
данных трюков
Создание
промежуточных БД
•  Средние усилия,
связанные с
переделкой части ИТ-
систем, которые
должны будут хранит
ПДн на территории РФ
и затем передавать их
за рубеж
•  Риски остаются только
для сервисов,
оказываемых
третьими сторонами
Перенос сервисов в
Россию
•  Максимальные
усилия, связанные с
полноценным
созданием на
территории РФ
локального ЦОДа,
который бы оказывал
внутренние и внешние
услуги компании и ее
заказчикам
•  Риски остаются только
для сервисов,
оказываемых
третьими сторонами
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 61
Благодарю
за внимание

More Related Content

What's hot

Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасности
Aleksey Lukatskiy
 
Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations update
Cisco Russia
 
Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?
Aleksey Lukatskiy
 
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Ontico
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
 
Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России  влияют на рынок информационной  безопасности  и...Как выборы Президента России  влияют на рынок информационной  безопасности  и...
Как выборы Президента России влияют на рынок информационной безопасности и...
Positive Hack Days
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
Cisco Russia
 

What's hot (20)

Семинар «Мошенничество с электронной подписью. Юридическая и судебная практика»
Семинар «Мошенничество с электронной подписью. Юридическая и судебная практика»Семинар «Мошенничество с электронной подписью. Юридическая и судебная практика»
Семинар «Мошенничество с электронной подписью. Юридическая и судебная практика»
 
Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗ
 
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасности
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?
 
Использование усиленной квалифицированной электронной подписи без ведома влад...
Использование усиленной квалифицированной электронной подписи без ведома влад...Использование усиленной квалифицированной электронной подписи без ведома влад...
Использование усиленной квалифицированной электронной подписи без ведома влад...
 
Текущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктурыТекущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктуры
 
Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations update
 
Обзор тенденций ИБ-регулирования для телекома
Обзор тенденций ИБ-регулирования для телекомаОбзор тенденций ИБ-регулирования для телекома
Обзор тенденций ИБ-регулирования для телекома
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLP
 
Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
 
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
 
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
 
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФКакой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
 
Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России  влияют на рынок информационной  безопасности  и...Как выборы Президента России  влияют на рынок информационной  безопасности  и...
Как выборы Президента России влияют на рынок информационной безопасности и...
 
Категорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мираКатегорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мира
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
 

Viewers also liked

Device lock codeib - екатеринбург 2014
Device lock   codeib - екатеринбург 2014Device lock   codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014
Expolink
 

Viewers also liked (8)

Device lock codeib - екатеринбург 2014
Device lock   codeib - екатеринбург 2014Device lock   codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014
 
24_glebov
24_glebov24_glebov
24_glebov
 
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
 
Andrey Bryzgin - Information security practices and industry specifics of law...
Andrey Bryzgin - Information security practices and industry specifics of law...Andrey Bryzgin - Information security practices and industry specifics of law...
Andrey Bryzgin - Information security practices and industry specifics of law...
 
10 Worst Presentation Habits
10 Worst Presentation Habits10 Worst Presentation Habits
10 Worst Presentation Habits
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
 
Worst PPT Presentation Ever
Worst PPT Presentation EverWorst PPT Presentation Ever
Worst PPT Presentation Ever
 
7 Quick Tips to Rock Your Next Presentation
7 Quick Tips to Rock Your Next Presentation7 Quick Tips to Rock Your Next Presentation
7 Quick Tips to Rock Your Next Presentation
 

Similar to CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных данных"

ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ  ПЕРСОНАЛЬНЫХ ДАННЫХПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ  ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
DialogueScience
 
Personal data future regulations
Personal data future regulationsPersonal data future regulations
Personal data future regulations
Aleksey Lukatskiy
 
5 дней Уральского форума за 15 минут
5 дней Уральского форума за 15 минут5 дней Уральского форума за 15 минут
5 дней Уральского форума за 15 минут
Cisco Russia
 
Ключевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхКлючевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данных
Aleksey Lukatskiy
 
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Cisco Russia
 
Ключевые планируемые изменения законодательства по информационной безопасности
Ключевые планируемые изменения законодательства по информационной безопасностиКлючевые планируемые изменения законодательства по информационной безопасности
Ключевые планируемые изменения законодательства по информационной безопасности
Aleksey Lukatskiy
 

Similar to CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных данных" (20)

Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхПоследние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данных
 
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
 
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииОсновные направления регулирования ИБ в России
Основные направления регулирования ИБ в России
 
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
 
Тенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБТенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБ
 
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?
 
Планируемые изменения законодательства по ИБ в России
Планируемые изменения законодательства по ИБ в РоссииПланируемые изменения законодательства по ИБ в России
Планируемые изменения законодательства по ИБ в России
 
Можно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данныхМожно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данных
 
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
 
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ  ПЕРСОНАЛЬНЫХ ДАННЫХПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ  ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
 
Personal data future regulations
Personal data future regulationsPersonal data future regulations
Personal data future regulations
 
пр про законодательство в области иб для нн в.2
пр про законодательство в области иб для нн в.2пр про законодательство в области иб для нн в.2
пр про законодательство в области иб для нн в.2
 
5 дней Уральского форума за 15 минут
5 дней Уральского форума за 15 минут5 дней Уральского форума за 15 минут
5 дней Уральского форума за 15 минут
 
Ключевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхКлючевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данных
 
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
 
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
 
Ключевые планируемые изменения законодательства по информационной безопасности
Ключевые планируемые изменения законодательства по информационной безопасностиКлючевые планируемые изменения законодательства по информационной безопасности
Ключевые планируемые изменения законодательства по информационной безопасности
 
лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...
 

More from Expolink

Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Expolink
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Expolink
 
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Expolink
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
Expolink
 
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Expolink
 
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
Expolink
 
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Expolink
 
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Expolink
 

More from Expolink (20)

Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
 
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
 
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...
 
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
 
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
 
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
 
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
 
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
 
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
 
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"
 
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
 
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
 
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
 
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
 
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
 

CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных данных"

  • 1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 Последние изменения законодательства о персональных данных Алексей Лукацкий Cisco Russia & CIS 13 October 2015
  • 2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 Изменения по направлению ПДн Что было? • Приказ ФСТЭК №21 по защите ПДн в ИСПДн • Приказ об отмене «приказа трех» по классификации ИСПДн • Приказ и методичка РКН по обезличиванию • Закон 242-ФЗ о запрете хранения ПДн россиян за границей • Письмо Банка России 42-Т • Приказ ФСБ №378 по использованию СКЗИ для защиты ПДн • ПП-911 по отмене обязательного обезличивания Что могло быть? • Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн • Отраслевые модели угроз • Ратификация дополнительного протокола Евроконвенции (181) • Законопроект по ответственности за неуведомление о утечке ПДн • Законопроект по запрету отказа от предоставления услуг при отказе от дачи согласия на обработку ПДн • Поправки в ФЗ-242 Что есть и будет? • Законопроект Совета Федерации по внесению изменений в ФЗ-152 • Законопроект по внесению изменений в КоАП • Постановление Правительства по надзору в сфере ПДн • Выход РКН из под действия 294- ФЗ • Изменения в приказ №21 • Совет Европы примет новый вариант ЕвроКонвенции • Методичка ФСТЭК по моделированию угроз • Методичка ФСБ по моделированию угроз • Методичка РКН о порядке организации и осуществления контроля за обработкой ПДн • Постатейный комментарий РКН
  • 3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3 Регуляторы хотят расширить понятие ПДн §  Советник Президента г-н Щеголев (бывший министра связи и массовых коммуникаций) 20 апреля предложил расширить толкование термина «персональные данные» и ужесточить требования к Интернет-сервисам §  Руководитель Роскомнадзора Александр Жаров назвал предложения Щеголева глубокими и содержательными, заявив, что его ведомство будет над ними работать вместе с Советом Федерации и Госдумой
  • 4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4 Что такое ПДн? Из разъяснений РКН §  Имя, фамилия и должность - ПДн Мнение РКН §  Имя и фамилия, а также идентификационный номер - ПДн Мнение РКН §  Имя, фамилия и email – не ПДн (без отчества) Мнение РКН §  Только фамилия, только email – не ПДн Мнение РКН §  Фамилия и имя, записанные латиницей – ПДн Мнение РКН
  • 5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 Разъяснения РКН по поводу ФЗ-152 §  Постатейный комментарий к ФЗ-152, подготовленный сотрудниками РКН 176 страниц Продается за деньги – 265/100 рублей (бумажный/ электронный вариант) §  Теме ФЗ-242 внимания почти не уделено §  Некоторые разъяснения противоречат предыдущим разъяснениям РКН Данным при прежнем руководстве §  РКН не имеет права официально комментировать законодательство Но стоит обратить внимание на позицию регулятора, используемую при проверках
  • 6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Разъяснения РКН по поводу ФЗ-242 §  Портал, созданный РАЭК, для ответ на вопросы, касающиеся ФЗ-242 http://pd-info.ru Все ответы согласованы с РКН §  Некоторые разъяснения вызывают вопросы Например, деление операторов ПДн на первичных и иных §  Некоторые разъяснения противоречат друг другу Например, в одном гостиничным сервисам не требуется перенос в России, а в другом - требуется
  • 7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 А еще у нас есть третьи разъяснения J http://www.minsvyaz.ru/ru/personaldata/
  • 8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Правонарушение Нарушаемая статья законодательства Наказание для должностных лиц Наказание для юридических лиц Нарушение требований к согласию Ст.9 ФЗ-152 3-8 тысяч рублей 15-50 тысяч рублей Обработка ПДн без согласия Ст.6 ФЗ-152 5-15 тысяч рублей 30-50 тысяч рублей Незаконная обработка спецкатегорий ПДн Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей Неопубликование политики в области ПДн Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей Отказ в предоставлении информации субъекту Ст.14, ст.20 ФЗ-152 4-6 тысяч рублей 20-40 тысяч рублей Отказ в уничтожении или блокировании ПДн Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей Нарушение правил хранения материальных носителей ПДн ПП-687 4-10 тысяч рублей 25-50 тысяч рублей Нарушение правил обезличивания (для госов) ПП-211 и приказ РКН №996 3-6 тысяч рублей Не предусмотрено Законопроект по штрафам завис на первом чтении §  Комитет по конституционному законодательству против (не хочет давать РКН дополнительные полномочия)
  • 9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 Меры по защите ПДн: в 2016-м ждем новую редакцию Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации + •  Планы –  Унификация перечня защитных мер для всех трех приказов –  Выход на 2-хлетний цикл обновления приказов §  В 2016-м году будет готовиться вторая редакция 21-го приказа ФСТЭК §  Предполагается унифицировать набор защитных мер во всех 3-х приказах ФСТЭК по защите ГИС/МИС, ИСПДн и АСУ ТП
  • 10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Проект методики моделирования угроз ФСТЭК §  Методика определения угроз безопасности информации в информационных системах §  Распространяется на ГИС / МИС ИСПДн (рекомендательный характер) §  Не распространяется на угрозы СКЗИ и ПЭМИН §  Отменяет «методику определения актуальных угроз…» 2008-го года §  Применяется совместно с банком данных угроз ФСТЭК §  Будет принята осенью 2015-го года
  • 11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Методика моделирования угроз ФСБ §  Методика определения актуальных угроз безопасности ПДн в ИСПДн §  Предназначена только для органов власти, пишущих отраслевые модели угроз для подведомственных учреждений §  Ориентирована только на компетенцию ФСБ – СКЗИ §  СКЗИ обязательны при передаче ПДн по каналам связи §  Помните, что это всего лишь методические рекомендации
  • 12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 Проект модели угроз ПДн Банка России §  Тип - Указание Банка России Обязательна для всех банков, действующих на территории РФ §  Согласована с ФСТЭК и ФСБ §  Вторая редакция Первая – 2013 год Модель угроз ПДн из РС 2.4 отменена в 2014-м году §  10 угроз безопасности ПДн 47 (21) - в первой редакции 88 – в РС 2.4 Угрозы НДВ (1-го и 2-го типа) оцениваются самим оператором ПДн Угрозы биометрическим и общедоступным ПДн не рассматриваются
  • 13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 Законопроект РГ Совета Федерации: сдули пыль и… §  При этом депутат Левин (Глава комитета ГД по информационной политике) и Администрация Президента против данного законопроекта
  • 14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14 Вы не забыли про Конвенцию? §  Ратификация дополнительного протокола к конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации (ETS N 181) §  До конца 2015-го года (возможно) будет принята новая редакция Евроконвенции §  ФЗ-152 придется гармонизировать с Евроконвенцией Очередной виток изменений (серьезных) в законодательстве Если Россия не выйдет из Совета Европа
  • 15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15 Сюрприз от Управделами Президента §  Абсолютно непонятная НИР от Управделами Президента РФ по разработке предложений по повышению защищенности персональных данных Размещена 22-го июня
  • 16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16 На что еще обратить внимание? §  Постановление Пленума Верховного Суда РФ от 23 июня 2015 года № 25 «О применении судами некоторых положений раздела I части первой Гражданского кодекса Российской Федерации» Разъяснения по ряду вопросов, в том числе и о том, как правомерно можно использовать изображения гражданина, размещенные в сети Интернет, и когда для такого использования нужно и не нужно согласие изображенного лица http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=181602
  • 17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17 Что еще будет в самом скором времени? §  Законопроект «О внесении изменений в ФЗ «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты РФ» (закон о «праве на забвение») §  Законопроект «О внесении изменений в КоАП (в части установления административной ответственности операторов поисковых систем)» (о наказании нарушителей права на забвение)
  • 18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18 18© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. Надо ли применять СКЗИ для защиты ПДн?
  • 19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19 Применение СКЗИ регулируется приказом №378 ФСБ §  Настоящий документ устанавливает состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн §  Принят 10 июля 2014 года, вступил в силу с 28 сентября 2014 года §  СКЗИ применяются там, где такие требования вытекают из модели угроз (нарушителя) или технического задания
  • 20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20 Вы можете использовать сертифицированные СКЗИ §  В России разработано и предлагается немалое количество сертифицированных средств криптографической защиты информации (СКЗИ) §  Использование таких решений поможет поднять экономику России Стоимость таких устройств в десятки раз больше стоимость барреля нефти! Модуль Cisco RVPN (сертификат ФСБ по классам КС1/КС2/КС3) На модуле может работать ПО С-Терра СиЭсПи, Инфотекс, Фактор-ТС
  • 21. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21 А когда сертифицированных СКЗИ нет? §  Работа иностранных представительств §  Коммерческое IP-телевидение §  IP-видеонаблюдение §  Магистрали операторов связи §  Протоколы, отличные от Ethernet (iSCSI, FC) §  Технология Wi-Fi и стандарт 802.11i §  Стандарты мобильной связи 2.5G, 3G, LTE, WiMAX §  Чиповые карты международных платежных систем §  АСУ ТП §  Доступ из-за границы к Интернет-сайтам в РФ
  • 22. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22 Конфиденциальность и шифрование Законы Конфиденциальность Шифрование НПА регуляторов =≠ Нормативно-правовые акты имеют вполне определенную иерархию и «читать» их надо не в любом порядке, а сверху вниз, от закона к приказам федеральных органов исполнительной власти!
  • 23. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23 ФЗ-152 требует не шифрования. И не только он §  Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4 §  Согласно ст.7 под конфиденциальностью ПДн понимается обязанность операторами и иными лицами, получивших доступ к персональным данным: Не раскрывать ПДн третьим лицам Не распространять ПДн без согласия субъекта персональных данных Если иное не предусмотрено федеральным законом §  Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним… Ст.19
  • 24. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24 Как обеспечить конфиденциальность ПДн? §  Получить согласие субъекта на передачу ПДн в открытом виде §  Сделать ПДн общедоступными §  Обеспечить контролируемую зону §  Использовать оптические каналы связи §  Использовать соответствующие механизмы защиты от НСД, исключая шифрование §  Переложить задачу обеспечения конфиденциальности на оператора связи §  Передавать в канал связи обезличенные данные §  Использовать СКЗИ для защиты ПДн
  • 25. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25 Как поступают в органах по защите прав субъектов ПДн? §  Многие госорганы постулируют на своих сайтах защиту ПДн в соответствие с требованиями законодательства Без детализации И без СКЗИ §  Минкомсвязь и ФСТЭК
  • 26. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26 Как поступает регулятор по защите ПДн? §  ФСБ на своем сайте требует указания полного спектра идентификационных данных, включая паспортные §  Никаких оговорок про выполнение требований законодательства §  Никакой защиты передаваемых данных §  Если это позволено регулятору в области защиты (и в частности шифрования) персональных данных, то почему это не позволено вам?
  • 27. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27 Как поступают в органах по защите прав субъектов ПДн? §  РКН собирает персональные данные через форму обратной связи на своем сайте §  Стандартная оговорка о соблюдении законодательства в области персональных данных §  Никакой защиты передаваемых данных §  Если это позволено уполномоченному органу по защите прав субъектов персональных данных, то почему это не позволено вам?
  • 28. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28 §  РКН раньше на своем сайте, а портал госуслуг до сих пор вынуждает вас отказаться от конфиденциальности §  У вас есть выбор – или соглашаться, или не использовать соответствующий сервис §  Шифрование в таком случае не нужно Ответ Роскомнадзора Вы можете принудить субъекта отказаться от конфиденциальности его ПДн
  • 29. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29 А если сделать их общедоступными? §  РЖД делает регистрационные данные пользователей своего сайта общедоступными §  РКН не против §  Шифрование в таком случае не нужно
  • 30. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30 А где у вас проходит граница ИСПДн? §  Вы имеет полное право самостоятельно провести границы ИСПДн там, где считаете нужным §  Сеть Интернет может не входить в вашу ИСПДн §  Если это позволено Правительству, то почему не позволено вам? §  Шифрование в таком случае не нужно
  • 31. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31 Еще четыре сценария §  СКЗИ для защиты ПДн при передаче в канале связи должны применяться обязательно, если не будет доказано, что в канале связи невозможно осуществление несанкционированных воздействий на ПДн (из 378-го приказа ФСБ) §  Уровень защищенности канала связи и его способность обойтись без СКЗИ определяет лицензиат ФСТЭК Обезличивание • Обезличивание из персональных данных делает неперсональные • Они выпадают из под ФЗ-152 • Не требуется даже конфиденциальность Оператор связи • Оператор связи по закону «О связи» обязан обеспечивать тайну связи • Почему бы в договоре с оператором явно не прописать обязанность обеспечить конфиденциальность всех передаваемых данных, включая и ПДн Оптика • Снять информацию с оптического канала связи возможно, но непросто и недешево • Почему бы не зафиксировать в модели угроз соответствующую мысль Виртуальные сети • Для защиты от несанкционированного доступа на сетевом уровне могут применяться различные технологии; не только шифрование • Например, MPLS, обеспечивающая разграничение доступа
  • 32. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32 Резюме по применению СКЗИ для защиты ПДн §  Выбор способа обеспечения конфиденциальности персональных данных, а также конкретный способ их защиты от несанкционированного доступа и ознакомления определяет оператор персональных данных §  Подходите к вопросу творчески
  • 33. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 33 33© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. ФЗ-242
  • 34. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 34 Закон о запрете хранения ПДн россиян за границей §  Реализация положений ФЗ-242 «о запрете хранения ПДн россиян за границей» Базы ПДн, в которых происходит первичная регистрация и актуализация ПДн россиян, должны находится на территории РФ Хотя слова «только» в законе нет, по сути вводится апрет хранения за пределами РФ Наказание за нарушение Выведение РКН из под действия 294-ФЗ §  Вступил в силу с 1 сентября 2015 года Слухи о переносе сроков на 1 год не подтвердились §  Первые нарушители уже заблокированы Реальные нарушители, незаконно распространяющие ПДн с зарубежных сайтов
  • 35. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 35 Потенциальные последствия за неисполнение ФЗ-242 §  Блокирование доступа к зарубежным ресурсам, в которых ведется обработка ПДн российских граждан (сотрудников и клиентов) §  Блокирование доступа к зарубежным ресурсам и третьих фирм, в которых ведется обработка ПДн российских граждан (сотрудников и клиентов) §  Потенциальное снижение продаж решений и невозможность выполнения сервисных обязательств из-за потенциального блокирования основного сайта §  Репутационные риски §  Административная и уголовная ответственность отсутствует Однако есть ответственность за невыполнение предписания РКН по результатам надзорных мероприятий
  • 36. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 36 Разъяснение Роскомнадзора: что такое база данных?
  • 37. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 37 Разъяснение Роскомнадзора: запрет зеркал
  • 38. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 38 Разъяснение Роскомнадзора: о «гражданстве» ПДн
  • 39. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 39 Кого ФЗ-242 касается в первую очередь? §  Все иностранные компании, работающие в России §  Все иностранные компании, работающие для российских граждан В том числе облачные сервисы и арендуемые за рубежом ЦОДы §  Все российские компании, работающие за рубежом 1 2 3 ?
  • 40. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 40 Зоны риска Google, Twitter, Facebook и иные Интернет-компании Американские и европейские компании Остальные иностранные компании Российские компании
  • 41. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 41 Отдельные моменты обработки ПДн §  Электронная почта – не ИСПДн Мнение РКН §  Заказ авиабилетов не попадает под действие ФЗ-242 в связи с тем, что заказ авиабилетов регулируется международными договорами В отличие от бронирования гостиниц и автомобилей §  На базы данных, созданные до вступления в силу ФЗ-242, закон не распространяется Если они не актуализировались после вступления в силу ФЗ-242 §  Облачные провайдеры – не операторы, а обработчики ПДн Мнение РКН
  • 42. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 42 Локализация баз данных – это не российская новация §  Локализация баз данных – это не российский прецедент Например, Вьетнам и ряд других стран §  Верховный европейский суд принял решение об отмене договора Совета Европы и США о хранении персональных данных европейских граждан на территории США Нас ждет интересное развитие событий
  • 43. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 43 Локализация баз данных. Обратите внимание! §  В ФЗ-242 речь идет о первичном сборе, записи, систематизации, накоплении, хранении, уточнении, обновлении, изменении, извлечении ПДн, которые должны производиться на территории России Такие действия с ПДн, как использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение могут производиться где угодно §  Изменения должны вноситься в БД на территории России §  База данных и приложение, обращающееся к ней – это разные сущности Приложение может быть где угодно §  На трансграничную передачу и доступ к ПДн из-за пределов России ограничений нет §  ПДн могут обрабатываться за пределами РФ, за исключением их сбора Неизменяемое зеркало
  • 44. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 44 Закон о запрете хранения ПДн россиян за границей §  Обезличивание ПДн на территории России и передача обезличенных данных куда угодно Приказ РКН №996 §  Архивирование или шифрование ПДн на территории России и передача архивов куда угодно № субъекта № субъекта № субъекта ФИО Адрес … Адрес …ФИО
  • 45. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 45 Приказ РКН по обезличиванию §  Приказ от 5.09.2013 №996 §  Разработан во исполнение Постановления Правительства от 21.03.2012 №211 §  Обязателен для государственных и муниципальных организаций §  Носит рекомендательный характер для коммерческих операторов ПДн §  Требует обратимости ПДн §  В соответствие с ПП-211 обезличивание является рекомендуемой мерой Раньше обязательной
  • 46. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 46 Самая простая часть ФЗ-242 уже реализована §  Роскомнадзор сформировал реестр нарушителей прав субъектов персональных данных §  В реестр будут вноситься все интернет- ресурсы, обрабатывающие персональные данные с нарушениями законодательства Включение компаний в реестр будет происходить по решению суда по искам, которые могут инициировать как сами субъекты персональных данных, так и Роскомнадзор, зафиксировавший нарушение Реестр заработал с 1 сентября §  Снимать блокировку будет РКН сам При действующем судебном решении (!)
  • 47. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 47 Два приказа РКН в отношении нарушений ФЗ-242/ФЗ-152 §  Приказ РКН №85 от 22.07.2015 «Об утверждении формы заявления субъекта ПДн о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства РФ в области ПДн» §  Приказ РКН №84 от 22.07.2015 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов ПДн с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов ПДн, оператором связи»
  • 48. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 48 Изменение правил надзора §  Снижение числа проверок в отношении операторов персональных данных §  Переход на риск-ориентированную модель при проведении надзорных мероприятий После принятия соответствующего законопроекта Поднадзорные организации предполагается разделить на группы в зависимости от степени риска нарушений для экономики и ее граждан, и на основе такой дифференциации планировать и проводить надзорные мероприятия §  Выход из под действия ФЗ-294
  • 49. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 49 Готовится новое Постановление Правительства §  Контроль и надзор за соответствием обработки ПДн требованиям законодательства §  Явно исключается надзор в сфере надзора за выполнением организационных и технических мер защиты информации §  3 типа проверок Плановые Внеплановые Мероприятия систематического наблюдения §  Плановые и внеплановые проверки проводятся в форме документарных и выездных проверок Плановые проверки и мероприятия осуществляются на основе утвержденного плана, размещаемого на сайте РКН
  • 50. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 50 Критерии формирования плана плановых проверок §  Трехлетний период с момента окончания последней плановой проверки §  Информация от госорганов, муниципалитетов и СМИ о нарушении §  Обработка ПДн значительного количества субъектов ПДн, а также обработка биометрических и специальных категорий ПДн §  Непредставление информации РКН
  • 51. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 51 Основания для внеплановых проверок §  Внеплановые проверки проводятся на основании решения руководителя (заместителя руководителя) РКН или его терорганов по следующим причинам: Истечение срока выданного предписания По доказательным обращениям граждан (требует согласования с прокуратурой) По причине непредоставления (неполного представления) информации оператором по запросу РКН Наличие факта нарушения законодательства, полученное от СМИ, госорганов и муниципалитетов Поручение Президента или Правительства В случае нарушения оператором законодательства, выявленного в ходе систематического наблюдения Несоответствие сведений, указанных в уведомлении В случае неисполнения требования РКН об устранении выявленного нарушения На основании представления органа прокуратуры
  • 52. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 52 Предмет проверки §  Деятельность оператора по обработке ПДн, осуществляемой с использованием или без использования средств автоматизации §  Документы и локальные акты §  Принятые операторов меры в соответствии со статьей 18.1 ФЗ-152 §  Исполнение государственными и муниципальными органами обязанностей, предусмотренных ФЗ-152 и подзаконными актами §  Содержания ИСПДн в части касающейся обработки ПДн
  • 53. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 53 Уведомление о проверке Плановая •  Не позднее чем за 3 дня •  Почтовое отправление с уведомлением или иной доступный метод Внеплановая •  Не менее чем за 24 часа •  Любой доступный метод уведомления
  • 54. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 54 Периодичность проведения проверок Не чаще одного раза в 2 года • Государственный орган • Муниципальный орган • Юридическое лицо Не чаще одного раза в 3 года • Индивидуальные предприниматели • Физические лица
  • 55. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 55 Длительность проведения проверок Выездная • Не более 20-ти рабочих дней Документарная • Не более 60-ти рабочих дней §  Возможно продление указанного срока, но не более чем на 20 дней §  При осуществлении оператором деятельности на территории нескольких субъектов РФ, срок проведения проверок устанавливается отдельно по каждому филиалу, но общий срок проверки не может превышать 60 дней
  • 56. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 56 Особенности проверок по проекту Постановления §  Мотивированный запрос на получение документов и локальных актов в части ПДн §  Приказ на проведение проверки §  Посещение любых помещений, исключая архивы и помещения с гостайной §  Право доступа к ИСПДн для оценки законности деятельности оператора §  Возможность привлечения аккредитованных экспертов и экспертных организаций Непонятно на каком основании посторонние эксперты будут получать доступ к ПДн
  • 57. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 57 Об уведомлении с 1-го сентября §  Отдельные управления РКН требуют отправлять им информационное сообщение о месте нахождения баз данных с ПДн 7-я часть 22-й статьи ФЗ-152 говорит только о необходимости повторного уведомления всего в двух случаях - прекращении обработки ПДн и изменении сведений, указанных в ранее отправленном уведомлении §  Если раньше данные хранились в РФ Ничего не поменялось – отправлять ничего не нужно §  Если раньше данные хранились за пределами РФ В уведомлении ничего не поменялось – отправлять ничего не нужно §  Указывать версии и названия СУБД не нужно, как и адрес физического местонахождения А если у вас аутсорсинг, арендуемой ЦОД или облако, то как вы узнаете адрес?
  • 58. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 58 Ответ РКН по части уведомления с 1-го сентября
  • 59. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 59 Множество трактовок, связанных с геополитикой §  Несколько прямо противоположных трактовок ФЗ-242 федеральными органами исполнительной власти и органами власти (Минкомсвязь, Роскомнадзор, Администрация Президента) Все упомянутые органы власти не уполномочены трактовать законодательство При этом данные органы власти (например, Роскомнадзор или прокуратура) осуществляют контроль и надзор за выполнение данного законодательства и к их мнению стоит прислушиваться §  Один орган исполнительной власти может в разное время давать разные трактовки одних и тех же норм закона В зависимости от геополитической ситуации и смены руководство ФОИВ §  Мнение профессионального сообщества и экспертных групп при разработке данного закона услышано не было Органы власти прямо называют в качестве причины принятия данного закона геополитическую ситуацию
  • 60. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 60 Возможные сценарии и ресурсы/риски, с ними связанные применительно к ФЗ-242 §  Органы контроля/надзора не понимают, как технически можно было бы реализовать запрет в случае использования VPN Ничего не делать •  Минимальные усилия •  Риски блокирования описанных ранее сервисов •  Репутационные риски Сделать на бумаге •  Усилия направлены только на создание большого количества бумаг •  Теоретически регулятор может выявить данный факт ИТ-трюки •  Обезличивание ПДн и архивирование ПДн позволяет передавать их и хранить где угодно •  Риски связаны с несогласием регуляторов с использованием данных трюков Создание промежуточных БД •  Средние усилия, связанные с переделкой части ИТ- систем, которые должны будут хранит ПДн на территории РФ и затем передавать их за рубеж •  Риски остаются только для сервисов, оказываемых третьими сторонами Перенос сервисов в Россию •  Максимальные усилия, связанные с полноценным созданием на территории РФ локального ЦОДа, который бы оказывал внутренние и внешние услуги компании и ее заказчикам •  Риски остаются только для сервисов, оказываемых третьими сторонами
  • 61. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 61 Благодарю за внимание