Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Последние изменения в законодательстве о персональных данных

7 021 vues

Publié le

Краткий обзор готовящихся изменений в законодательстве по персональным данным

Publié dans : Droit

Последние изменения в законодательстве о персональных данных

  1. 1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 Последние изменения законодательства о персональных данных Алексей Лукацкий Бизнес-консультант по безопасности 29 June 2015
  2. 2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 Изменения по направлению ПДн Что было? •  Приказ ФСТЭК №21 по защите ПДн в ИСПДн •  Приказ об отмене «приказа трех» по классификации ИСПДн •  Приказ и методичка РКН по обезличиванию •  Закон 242-ФЗ о запрете хранения ПДн россиян за границей •  Письмо Банка России 42-Т •  Приказ ФСБ №378 по использованию СКЗИ для защиты ПДн •  ПП-911 по отмене обязательного обезличивания Что могло быть? •  Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн •  Отраслевые модели угроз •  Ратификация дополнительного протокола Евроконвенции (181) •  Законопроект по ответственности за неуведомление о утечке ПДн •  Законопроект по запрету отказа от предоставления услуг при отказе от дачи согласия на обработку ПДн Что будет? •  Законопроект Совета Федерации по внесению изменений в ФЗ-152 •  Законопроект по внесению изменений в КоАП •  Поправки в ФЗ-242 (?) •  Постановление Правительства по надзору в сфере ПДн •  Выход РКН из под действия 294-ФЗ •  Изменения в приказ №21 •  Совет Европы примет новый вариант ЕвроКонвенции •  Методичка ФСТЭК по моделированию угроз •  Методичка ФСБ по моделированию угроз •  Модель угроз ПДн Банка России •  Методичка РКН о порядке организации и осуществления контроля за обработкой ПДн •  Постатейный комментарий РКН
  3. 3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3 Регуляторы хотят расширить понятие ПДн §  Советник Президента г-н Щеголев (бывший министра связии массовых коммуникаций) 20 апреля предложил расширить толкование термина «персональные данные» и ужесточить требования к Интернет-сервисам §  Руководитель Роскомнадзора Александр Жаров назвал предложения Щеголева глубокими и содержательными, заявив, что его ведомство будет над ними работать вместе с Советом Федерации и Госдумой
  4. 4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4 Разъяснения РКН по поводу ФЗ-152 §  Постатейный комментарий к ФЗ-152/ФЗ-242, подготовленный сотрудниками РКН 176 страниц Продается за деньги – 265/100 рублей (бумажный/ электронный вариант) §  Некоторые разъяснения противоречат предыдущим разъяснениям РКН Данным при прежнем руководстве §  РКН не имеет права официально комментировать законодательство Но стоит обратить внимание на позицию регулятора, используемую при проверках
  5. 5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 Правонарушение Нарушаемая статья законодательства Наказание для должностных лиц Наказание для юридических лиц Нарушение требований к согласию Ст.9 ФЗ-152 3-8 тысяч рублей 15-50 тысяч рублей Обработка ПДн без согласия Ст.6 ФЗ-152 5-15 тысяч рублей 30-50 тысяч рублей Незаконная обработка спецкатегорий ПДн Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей Неопубликование политики в области ПДн Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей Отказ в предоставлении информации субъекту Ст.14, ст.20 ФЗ-152 4-6 тысяч рублей 20-40 тысяч рублей Отказ в уничтожении или блокировании ПДн Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей Нарушение правил хранения материальных носителей ПДн ПП-687 4-10 тысяч рублей 25-50 тысяч рублей Нарушение правил обезличивания (для госов) ПП-211 и приказ РКН №996 3-6 тысяч рублей Не предусмотрено Законопроект по штрафам прошел первое чтение
  6. 6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Меры по защите ПДн: в 2016-м ждем новую редакцию Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации + •  Планы –  Унификация перечня защитных мер для всех трех приказов –  Выход на 2-хлетний цикл обновления приказов §  В 2016-м году возможно будет готовиться вторая редакция 21-го приказа ФСТЭК §  Предполагается унифицировать набор защитных мер во всех 3-х приказах ФСТЭК по защите ГИС/МИС, ИСПДн и АСУ ТП
  7. 7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 Проект методики моделирования угроз ФСТЭК §  Методика определения угроз безопасности информации в информационных системах §  Распространяется на ГИС / МИС ИСПДн (рекомендательный характер) §  Не распространяется на угрозы СКЗИ и ПЭМИН §  Отменяет «методику определения актуальных угроз…» 2008-го года §  Применяется совместно с банком данных угроз ФСТЭК §  Будет принята вероятно осенью 2015-го года
  8. 8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Методика моделирования угроз ФСБ §  Методика определения актуальных угроз безопасности ПДн в ИСПДн §  Предназначена только для органов власти, пишущих отраслевые модели угроз для подведомственных учреждений §  Ориентирована только на компетенцию ФСБ – СКЗИ §  СКЗИ обязательны при передаче ПДн по каналам связи §  Помните, что это всего лишь методические рекомендации
  9. 9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 Проект модели угроз ПДн Банка России §  Тип - Указание Банка России §  Согласована с ФСТЭК и ФСБ §  Вторая редакция Первая – 2013 год Модель угроз ПДн из РС 2.4 отменена в 2014-м году §  10 угроз безопасности ПДн 47 (21) - в первой редакции 88 – в РС 2.4 Угрозы НДВ (1-го и 2-го типа) оцениваются самим оператором ПДн Угрозы биометрическим и общедоступным ПДн не рассматриваются
  10. 10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Вы не забыли про Конвенцию? §  Ратификация дополнительного протокола к конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации (ETS N 181) §  До конца 2015-го года (возможно) будет принята новая редакция Евроконвенции §  ФЗ-152 придется гармонизировать с Евроконвенцией Очередной виток изменений (серьезных) в законодательстве Если Россия не выйдет из Совета Европа
  11. 11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Сюрприз от Управделами Президента §  Абсолютно непонятная НИР от Управделами Президента РФ по разработке предложений по повышению защищенности персональных данных Размещена 22-го июня
  12. 12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 Что еще будет в самом скором времени? §  Проект приказа РКН «Об утверждении формы заявления субъекта ПДн о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства РФ в области ПДн» §  Проект приказа РКН «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов ПДн с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов ПДн, оператором связи» §  Законопроект «О внесении изменений в ФЗ «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты РФ» (закон о «праве на забвение») §  Законопроект «О внесении изменений в КоАП (в части установления административной ответственности операторов поисковых систем)» (о наказании нарушителей права на забвение)
  13. 13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 Закон о запрете хранения ПДн россиян за границей §  Реализация положений ФЗ-242 «о запрете хранения ПДн россиян за границей» Запрет хранения Наказание за нарушение Выведение РКН из под действия 294-ФЗ §  Вступает в силу с 1 сентября 2015 года Множество слухов о переносе сроков на 1 год §  Ассоциация европейского бизнеса неоднократно писала письма в различные органы государственной и законодательной власти и получала ответы по данному закону
  14. 14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14 Самая простая часть уже реализуется §  Роскомнадзор до 15 августа сформирует реестр нарушителей прав субъектов персональных данных §  В реестр будут вноситься все интернет- ресурсы, обрабатывающие персональные данные с нарушениями законодательства Включение компаний в реестр будет происходить по решению суда по искам, которые могут инициировать как сами субъекты персональных данных, так и Роскомнадзор, зафиксировавший нарушение Реестр заработает с 1 сентября §  Проект Постановления Правительства уже опубликован
  15. 15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15 Изменение правил надзора §  Снижение числа проверок в отношении операторов персональных данных §  Переход на риск-ориентированную модель при проведении надзорных мероприятий После принятия соответствующего законопроекта Поднадзорные организации предполагается разделить на группы в зависимости от степени риска нарушений для экономики и ее граждан, и на основе такой дифференциации планировать и проводить надзорные мероприятия §  Выход из под действия ФЗ-294
  16. 16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16 Готовится новое Постановление Правительства §  Контроль и надзор за соответствием обработки ПДн требованиям законодательства §  Явно исключается надзор в сфере надзора за выполнением организационных и технических мер защиты информации §  3 типа проверок Плановые Внеплановые Мероприятия систематического наблюдения §  Плановые и внеплановые проверки проводятся в форме документарных и выездных проверок Плановые проверки и мероприятия осуществляются на основе утвержденного плана, размещаемого на сайте РКН
  17. 17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17 Множество трактовок, связанных с геополитикой §  Несколько прямо противоположных трактовок ФЗ-242 федеральными органами исполнительной власти и органами власти (Минкомсвязь, Роскомнадзор, Администрация Президента) Все упомянутые органы власти не уполномочены трактовать законодательство При этом данные органы власти (например, Роскомнадзор или прокуратура) осуществляют контроль и надзор за выполнение данного законодательства и к их мнению стоит прислушиваться §  Один орган исполнительной власти может в разное время давать разные трактовки одних и тех же норм закона В зависимости от геополитической ситуации §  Мнение профессионального сообщества и экспертных групп при разработке данного закона услышано не было Органы власти прямо называют в качестве причины принятия данного закона геополитическую ситуацию
  18. 18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18 Благодарю за внимание

×