© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Последние изменения законодательства о персональных данных
Алексей Лукацкий Cisco Russia & CIS 13 October 2015
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Изменения по направлению ПДн
Что было?
• Приказ ФСТЭК №21 по защите ПДн в ИСПДн
• Приказ об отмене «приказа трех» по классификации ИСПДн
• Приказ и методичка РКН по обезличиванию
• Закон 242-ФЗ о запрете хранения ПДн россиян за границей
• Письмо Банка России 42-Т • Приказ ФСБ №378 по использованию СКЗИ для защиты ПДн
• ПП-911 по отмене обязательного обезличивания
Что могло быть?
• Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн
• Отраслевые модели угроз • Ратификация дополнительного протокола Евроконвенции (181)
• Законопроект по ответственности за неуведомление о утечке ПДн
• Законопроект по запрету отказа от предоставления услуг при отказе от дачи согласия на обработку ПДн
• Поправки в ФЗ-242
Что есть и будет?
• Законопроект Совета Федерации по внесению изменений в ФЗ-152
• Законопроект по внесению изменений в КоАП
• Постановление Правительства по надзору в сфере ПДн
• Выход РКН из под действия 294-ФЗ
• Изменения в приказ №21 • Совет Европы примет новый вариант ЕвроКонвенции
• Методичка ФСТЭК по моделированию угроз
• Методичка ФСБ по моделированию угроз
• Методичка РКН о порядке организации и осуществления контроля за обработкой ПДн
• Постатейный комментарий РКН
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Регуляторы хотят расширить понятие ПДн
§ Советник Президента г-н Щеголев (бывший министра связи и массовых коммуникаций) 20 апреля предложил расширить толкование термина «персональные данные» и ужесточить требования к Интернет-сервисам
§ Руководитель Роскомнадзора Александр Жаров назвал предложения Щеголева глубокими и содержательными, заявив, что его ведомство будет над ними работать вместе с Советом Федерации и Госдумой
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Что такое ПДн? Из разъяснений РКН
§ Имя, фамилия и должность - ПДн Мнение РКН
§ Имя и фамилия, а также идентификационный номер - ПДн Мнение РКН
§ Имя, фамилия и email – не ПДн (без отчества) Мнение РКН
§ Только фамилия, только email – не ПДн Мнение РКН
§ Фамилия и имя, записанные латиницей – ПДн Мнение РКН
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Разъяснения РКН по поводу ФЗ-152
§ Постатейный комментарий к ФЗ-152, подготовленный сотрудниками РКН
176 страниц Продается за деньги – 265/100 рублей (бумажный/электронный вариант)
§ Теме ФЗ-242 внимания почти не уделено
§ Некоторые разъяснения противоречат предыдущим разъяснениям РКН Данным при прежнем руководстве
§ РКН не имеет права официально комментировать законодательство Но стоит обратить внимание на позицию регулятора, используемую при проверках
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Разъяснения РКН по поводу ФЗ-242
§ Портал, созданный РАЭК, для ответ на вопросы, касающиеся ФЗ-242
http://pd-info.ru Все ответы согласованы с РКН
§ Некоторые разъяснения вызывают вопросы Например, деление операторов ПДн на первичных и иных
§ Некоторые разъяснения противоречат друг другу Например, в одном гостиничным сервисам не требуется перенос в России, а в другом - требуется
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
А еще у нас есть третьи разъяснения J
http://www.minsvyaz.ru/ru/personaldata/
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Правонарушение Нарушаемая статья законодательства
Наказание для должностных лиц
Наказание для юридических лиц
Нарушение требований к согласию Ст.9 ФЗ-152 3-8 тысяч рублей 15-50 тысяч рублей
Обработка ПДн без согласия Ст.6 ФЗ-152 5-15 тысяч рублей 30-50 тысяч рублей
Незаконная обработка спецкатегорий ПДн
Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей
Неопубликование политики в области ПДн
Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей
Отказ в предоставлении информации субъекту
Ст.14, ст.20 ФЗ-152 4-6 тысяч рублей 20-40 тысяч рублей
Отказ в уничтожении или блокировании ПДн
Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей
Нарушение правил хранения материальных носителей ПДн
ПП-687 4-10 тысяч рублей 25-50 тысяч рублей
Нарушение правил обезличивания (для госов)
ПП-211 и приказ РКН №996
3-6 тысяч рублей Не предусмотрено
Законопроект по штрафам завис на первом чтении
§ Комитет по конституционному законодательству против (не хочет давать РКН дополнительные полномочия)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Меры по защите ПДн: в 2016-м ждем новую редакцию Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации +
• Планы – Унификация перечня защитных мер для всех трех приказов
– Выход на 2-хлетний цикл обновления приказов
§ В 2016-м году будет готовиться вторая редакция 21-го приказа ФСТЭК
§ Предполагается унифицировать набор защитных мер во всех 3-х приказах ФСТЭК по защите ГИС/МИС, ИСПДн и АСУ ТП
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Проект методики моделирования угроз ФСТЭК
§ Методика определения угроз безопасности информации в информационных системах
§ Распространяется на ГИС / МИС ИСПДн (рекомендательный характер)
§ Не распространяется на угрозы СКЗИ и ПЭМИН
§ Отменяет «методику определения актуальных угроз…» 2008-го года
§ Применяется совместно с банком данных угроз ФСТЭК
§ Будет принята осенью 2015-го года
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Методика моделирования угроз ФСБ
§ Методика определения актуальных угроз безопасности ПДн в ИСПДн
§ Предназначена только для органов власти, пишущих отраслевые модели угроз для подведомственных учреждений
§ Ориентирована только на компетенцию ФСБ – СКЗИ
§ СКЗИ обязательны при передаче ПДн по каналам связи
§ Помните, что это всего лишь методические рекомендации
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Проект модели угроз ПДн Банка России
§ Тип - Указание Банка России Обязательна для всех банков, действующих на территории РФ
§ Согласована с ФСТЭК и ФСБ
§ Вторая редакция Первая – 2013 год Модель угроз ПДн из РС 2.4 отменена в 2014-м году
§ 10 угроз безопасности ПДн 47 (21) - в первой редакции 88 – в РС 2.4 Угрозы НДВ (1-го и 2-го типа) оцениваются самим оператором ПДн Угрозы биометрическим и общедоступным ПДн не рассматриваются
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Законопроект РГ Совета Федерации: сдули пыль и…
§ При этом депутат Левин (Глава комитета ГД по информационной политике) и Администрация Президента против данного законопроекта
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Вы не забыли про Конвенцию?
§ Ратификация дополнительного протокола к конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации (ETS N 181)
§ До конца 2015-го года (возможно) будет принята новая редакция Евроконвенции
§ ФЗ-152 придется гармонизировать с Евроконвенцией Очередной виток изменений (серьезных) в законодательстве Если Россия не выйдет из Совета Европа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Сюрприз от Управделами Президента
§ Абсолютно непонятная НИР от Управделами Президента РФ по разработке предложений по повышению защищенности персональных данных Размещена 22-го июня
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
На что еще обратить внимание?
§ Постановление Пленума Верховного Суда РФ от 23 июня 2015 года № 25 «О применении судами некоторых положений раздела I части первой Гражданского кодекса Российской Федерации» Разъяснения по ряду вопросов, в том числе и о том, как правомерно можно использовать изображения гражданина, размещенные в сети Интернет, и когда для такого использования нужно и не нужно согласие изображенного лица http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=181602
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
Что еще будет в самом скором времени?
§ Законопроект «О внесении изменений в ФЗ «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты РФ» (закон о «праве на забвение»)
§ Законопроект «О внесении изменений в КоАП (в части установления административной ответственности операторов поисковых систем)» (о наказании нарушителей права на забвение)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
18 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Надо ли применять СКЗИ для защиты ПДн?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
Применение СКЗИ регулируется приказом №378 ФСБ
§ Настоящий документ устанавливает состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн
§ Принят 10 июля 2014 года, вступил в силу с 28 сентября 2014 года
§ СКЗИ применяются там, где такие требования вытекают из модели угроз (нарушителя) или технического задания
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
Вы можете использовать сертифицированные СКЗИ
§ В России разработано и предлагается немалое количество сертифицированных средств криптографической защиты информации (СКЗИ)
§ Использование таких решений поможет поднять экономику России Стоимость таких устройств в десятки раз больше стоимость барреля нефти!
Модуль Cisco RVPN (сертификат ФСБ по классам КС1/КС2/КС3)
На модуле может работать ПО С-Терра СиЭсПи, Инфотекс, Фактор-ТС
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
А когда сертифицированных СКЗИ нет?
§ Работа иностранных представительств
§ Коммерческое IP-телевидение
§ IP-видеонаблюдение
§ Магистрали операторов связи
§ Протоколы, отличные от Ethernet (iSCSI, FC)
§ Технология Wi-Fi и стандарт 802.11i
§ Стандарты мобильной связи 2.5G, 3G, LTE, WiMAX
§ Чиповые карты международных платежных систем
§ АСУ ТП
§ Доступ из-за границы к Интернет-сайтам в РФ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22
Конфиденциальность и шифрование
Законы
Конфиденциальность
Шифрование
НПА регуляторов
= ≠
Нормативно-правовые акты имеют вполне определенную иерархию и «читать» их надо не в любом порядке, а сверху вниз, от закона к приказам федеральных органов исполнительной власти!
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23
ФЗ-152 требует не шифрования. И не только он
§ Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4
§ Согласно ст.7 под конфиденциальностью ПДн понимается обязанность операторами и иными лицами, получивших доступ к персональным данным: Не раскрывать ПДн третьим лицам
Не распространять ПДн без согласия субъекта персональных данных
Если иное не предусмотрено федеральным законом
§ Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним… Ст.19
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24
Как обеспечить конфиденциальность ПДн?
§ Получить согласие субъекта на передачу ПДн в открытом виде
§ Сделать ПДн общедоступными
§ Обеспечить контролируемую зону
§ Использовать оптические каналы связи
§ Использовать соответствующие механизмы защиты от НСД, исключая шифрование
§ Переложить задачу обеспечения конфиденциальности на оператора связи
§ Передавать в канал связи обезличенные данные
§ Использовать СКЗИ для защиты ПДн
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25
Как поступают в органах по защите прав субъектов ПДн?
§ Многие госорганы постулируют на своих сайтах защиту ПДн в соответствие с требованиями законодательства Без детализации
И без СКЗИ
§ Минкомсвязь и ФСТЭК
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26
Как поступает регулятор по защите ПДн?
§ ФСБ на своем сайте требует указания полного спектра идентификационных данных, включая паспортные
§ Никаких оговорок про выполнение требований законодательства
§ Никакой защиты передаваемых данных
§ Если это позволено регулятору в области защиты (и в частности шифрования) персональных данных, то почему это не позволено вам?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27
Как поступают в органах по защите прав субъектов ПДн?
§ РКН собирает персональные данные через форму обратной связи на своем сайте
§ Стандартная оговорка о соблюдении законодательства в области персональных данных
§ Никакой защиты передаваемых данных
§ Если это позволено уполномоченному органу по защите прав субъектов персональных данных, то почему это не позволено вам?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28
§ РКН раньше на своем сайте, а портал госуслуг до сих пор вынуждает вас отказаться от конфиденциальности
§ У вас есть выбор – или соглашаться, или не использовать соответствующий сервис
§ Шифрование в таком случае не нужно
Ответ Роскомнадзора
Вы можете принудить субъекта отказаться от конфиденциальности его ПДн
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29
А если сделать их общедоступными?
§ РЖД делает регистрационные данные пользователей своего сайта общедоступными
§ РКН не против
§ Шифрование в таком случае не нужно
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30
А где у вас проходит граница ИСПДн?
§ Вы имеет полное право самостоятельно провести границы ИСПДн там, где считаете нужным
§ Сеть Интернет может не входить в вашу ИСПДн
§ Если это позволено Правительству, то почему не позволено вам?
§ Шифрование в таком случае не нужно
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31
Еще четыре сценария
§ СКЗИ для защиты ПДн при передаче в канале связи должны применяться обязательно, если не будет доказано, что в канале связи невозможно осуществление несанкционированных воздействий на ПДн (из 378-го приказа ФСБ)
§ Уровень защищенности канала связи и его способность обойтись без СКЗИ определяет лицензиат ФСТЭК
Обезличивание
• Обезличивание из персональных данных делает неперсональные
• Они выпадают из под ФЗ-152
• Не требуется даже конфиденциальность
Оператор связи
• Оператор связи по закону «О связи» обязан обеспечивать тайну связи
• Почему бы в договоре с оператором явно не прописать обязанность обеспечить конфиденциальность всех передаваемых данных, включая и ПДн
Оптика
• Снять информацию с оптического канала связи возможно, но непросто и недешево
• Почему бы не зафиксировать в модели угроз соответствующую мысль
Виртуальные сети
• Для защиты от несанкционированного доступа на сетевом уровне могут применяться различные технологии; не только шифрование
• Например, MPLS, обеспечивающая разграничение доступа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32
Резюме по применению СКЗИ для защиты ПДн
§ Выбор способа обеспечения конфиденциальности персональных данных, а также конкретный способ их защиты от несанкционированного доступа и ознакомления определяет оператор персональных данных
§ Подходите к вопросу творчески
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 33
33 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
ФЗ-242
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 34
Закон о запрете хранения ПДн россиян за границей
§ Реализация положений ФЗ-242 «о запрете хранения ПДн россиян за границей» Базы ПДн, в которых происходит первичная регистрация и актуализация ПДн россиян, должны находится на территории РФ Хотя слова «только» в законе нет, по сути вводится апрет хранения за пределами РФ Наказание за нарушение Выведение РКН из под действия 294-ФЗ
§ Вступил в силу с 1 сентября 2015 года Слухи о переносе сроков на 1 год не подтвердились
§ Первые нарушители уже заблокированы Реальные нарушители, незаконно распространяющие ПДн с зарубежных сайтов
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 35
Потенциальные последствия за неисполнение ФЗ-242
§ Блокирование доступа к зарубежным ресурсам, в которых ведется обработка ПДн российских граждан (сотрудников и клиентов)
§ Блокирование доступа к зарубежным ресурсам и третьих фирм, в которых ведется обработка ПДн российских граждан (сотрудников и клиентов)
§ Потенциальное снижение продаж решений и невозможность выполнения сервисных обязательств из-за потенциального блокирования основного сайта
§ Репутационные риски
§ Административная и уголовная ответственность отсутствует Однако есть ответственность за невыполнение предписания РКН по результатам надзорных мероприятий
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 36
Разъяснение Роскомнадзора: что такое база данных?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 37
Разъяснение Роскомнадзора: запрет зеркал
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 38
Разъяснение Роскомнадзора: о «гражданстве» ПДн
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 39
Кого ФЗ-242 касается в первую очередь?
§ Все иностранные компании, работающие в России
§ Все иностранные компании, работающие для российских граждан В том числе облачные сервисы и арендуемые за рубежом ЦОДы
§ Все российские компании, работающие за рубежом
1
2
3
?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 40
Зоны риска Google, Twitter, Facebook и иные Интернет-компании
Американские и европейские компании
Остальные иностранные компании
Российские компании
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 41
Отдельные моменты обработки ПДн
§ Электронная почта – не ИСПДн Мнение РКН
§ Заказ авиабилетов не попадает под действие ФЗ-242 в связи с тем, что заказ авиабилетов регулируется международными договорами В отличие от бронирования гостиниц и автомобилей
§ На базы данных, созданные до вступления в силу ФЗ-242, закон не распространяется Если они не актуализировались после вступления в силу ФЗ-242
§ Облачные провайдеры – не операторы, а обработчики ПДн Мнение РКН
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 42
Локализация баз данных – это не российская новация
§ Локализация баз данных – это не российский прецедент Например, Вьетнам и ряд других стран
§ Верховный европейский суд принял решение об отмене договора Совета Европы и США о хранении персональных данных европейских граждан на территории США Нас ждет интересное развитие событий
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 43
Локализация баз данных. Обратите внимание!
§ В ФЗ-242 речь идет о первичном сборе, записи, систематизации, накоплении, хранении, уточнении, обновлении, изменении, извлечении ПДн, которые должны производиться на территории России Такие действия с ПДн, как использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение могут производиться где угодно
§ Изменения должны вноситься в БД на территории России
§ База данных и приложение, обращающееся к ней – это разные сущности Приложение может быть где угодно
§ На трансграничную передачу и доступ к ПДн из-за пределов России ограничений нет
§ ПДн могут обрабатываться за пределами РФ, за исключением их сбора Неизменяемое зеркало
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 44
Закон о запрете хранения ПДн россиян за границей
§ Обезличивание ПДн на территории России и передача обезличенных данных куда угодно Приказ РКН №996
§ Архивирование или шифрование ПДн на территории России и передача архивов куда угодно
№ субъекта
№ субъекта
№ субъекта
ФИО
Адрес
…
Адрес … ФИО
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 45
Приказ РКН по обезличиванию
§ Приказ от 5.09.2013 №996
§ Разработан во исполнение Постановления Правительства от 21.03.2012 №211
§ Обязателен для государственных и муниципальных организаций
§ Носит рекомендательный характер для коммерческих операторов ПДн
§ Требует обратимости ПДн
§ В соответствие с ПП-211 обезличивание является рекомендуемой мерой Раньше обязательной
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 46
Самая простая часть ФЗ-242 уже реализована
§ Роскомнадзор сформировал реестр нарушителей прав субъектов персональных данных
§ В реестр будут вноситься все интернет-ресурсы, обрабатывающие персональные данные с нарушениями законодательства Включение компаний в реестр будет происходить по решению суда по искам, которые могут инициировать как сами субъекты персональных данных, так и Роскомнадзор, зафиксировавший нарушение Реестр заработал с 1 сентября
§ Снимать блокировку будет РКН сам При действующем судебном решении (!)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 47
Два приказа РКН в отношении нарушений ФЗ-242/ФЗ-152
§ Приказ РКН №85 от 22.07.2015 «Об утверждении формы заявления субъекта ПДн о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства РФ в области ПДн»
§ Приказ РКН №84 от 22.07.2015 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов ПДн с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов ПДн, оператором связи»
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 48
Изменение правил надзора
§ Снижение числа проверок в отношении операторов персональных данных
§ Переход на риск-ориентированную модель при проведении надзорных мероприятий После принятия соответствующего законопроекта Поднадзорные организации предполагается разделить на группы в зависимости от степени риска нарушений для экономики и ее граждан, и на основе такой дифференциации планировать и проводить надзорные мероприятия
§ Выход из под действия ФЗ-294
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 49
Готовится новое Постановление Правительства
§ Контроль и надзор за соответствием обработки ПДн требованиям законодательства
§ Явно исключается надзор в сфере надзора за выполнением организационных и технических мер защиты информации
§ 3 типа проверок Плановые Внеплановые Мероприятия систематического наблюдения
§ Плановые и внеплановые проверки проводятся в форме документарных и выездных проверок Плановые проверки и мероприятия осуществляются на основе утвержденного плана, размещаемого на сайте РКН
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 50
Критерии формирования плана плановых проверок
§ Трехлетний период с момента окончания последней плановой проверки
§ Информация от госорганов, муниципалитетов и СМИ о нарушении
§ Обработка ПДн значительного количества субъектов ПДн, а также обработка биометрических и специальных категорий ПДн
§ Непредставление информации РКН
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 51
Основания для внеплановых проверок
§ Внеплановые проверки проводятся на основании решения руководителя (заместителя руководителя) РКН или его терорганов по следующим причинам: Истечение срока выданного предписания По доказательным обращениям граждан (требует согласования с прокуратурой) По причине непредоставления (неполного представления) информации оператором по запросу РКН Наличие факта нарушения законодательства, полученное от СМИ, госорганов и муниципалитетов Поручение Президента или Правительства В случае нарушения оператором законодательства, выявленного в ходе систематического наблюдения Несоответствие сведений, указанных в уведомлении В случае неисполнения требования РКН об устранении выявленного нарушения На основании представления органа прокуратуры
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 52
Предмет проверки
§ Деятельность оператора по обработке ПДн, осуществляемой с использованием или без использования средств автоматизации
§ Документы и локальные акты
§ Принятые операторов меры в соответствии со статьей 18.1 ФЗ-152
§ Исполнение государственными и муниципальными органами обязанностей, предусмотренных ФЗ-152 и подзаконными актами
§ Содержания ИСПДн в части касающейся обработки ПДн
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 53
Уведомление о проверке
Плановая
• Не позднее чем за 3 дня
• Почтовое отправление с уведомлением или иной доступный метод
Внеплановая
• Не менее чем за 24 часа
• Любой доступный метод уведомления
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 54
Периодичность проведения проверок
Не чаще одного раза в 2 года
• Государственный орган
• Муниципальный орган
• Юридическое лицо
Не чаще одного раза в 3 года
• Индивидуальные предприниматели
• Физические лица
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 55
Длительность проведения проверок
Выездная
• Не более 20-ти рабочих дней
Документарная
• Не более 60-ти рабочих дней
§ Возможно продление указанного срока, но не более чем на 20 дней
§ При осуществлении оператором деятельности на территории нескольких субъектов РФ, срок проведения проверок устанавливается отдельно по каждому филиалу, но общий срок проверки не может превышать 60 дней
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 56
Особенности проверок по проекту Постановления
§ Мотивированный запрос на получение документов и локальных актов в части ПДн
§ Приказ на проведение проверки
§ Посещение любых помещений, исключая архивы и помещения с гостайной
§ Право доступа к ИСПДн для оценки законности деятельности оператора
§ Возможность привлечения аккредитованных экспертов и экспертных организаций Непонятно на каком основании посторонние эксперты будут получать доступ к ПДн
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 57
Об уведомлении с 1-го сентября
§ Отдельные управления РКН требуют отправлять им информационное сообщение о месте нахождения баз данных с ПДн
7-я часть 22-й статьи ФЗ-152 говорит только о необходимости повторного уведомления всего в двух случаях - прекращении обработки ПДн и изменении сведений, указанных в ранее отправленном уведомлении
§ Если раньше данные хранились в РФ Ничего не поменялось – отправлять ничего не нужно
§ Если раньше данные хранились за пределами РФ В уведомлении ничего не поменялось – отправлять ничего не нужно
§ Указывать версии и названия СУБД не нужно, как и адрес физического местонахождения А если у вас аутсорсинг, арендуемой ЦОД или облако, то как вы узнаете адрес?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 58
Ответ РКН по части уведомления с 1-го сентября
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 59
Множество трактовок, связанных с геополитикой
§ Несколько прямо противоположных трактовок ФЗ-242 федеральными органами исполнительной власти и органами власти (Минкомсвязь, Роскомнадзор, Администрация Президента) Все упомянутые органы власти не уполномочены трактовать законодательство При этом данные органы власти (например, Роскомнадзор или прокуратура) осуществляют контроль и надзор за выполнение данного законодательства и к их мнению стоит прислушиваться
§ Один орган исполнительной власти может в разное время давать разные трактовки одних и тех же норм закона В зависимости от геополитической ситуации и смены руководство ФОИВ
§ Мнение профессионального сообщества и экспертных групп при разработке данного закона услышано не было Органы власти прямо называют в качестве причины принятия данного закона геополитическую ситуацию
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 60
Возможные сценарии и ресурсы/риски, с ними связанные применительно к ФЗ-242 § Органы контроля/надзора не понимают, как технически можно было бы реализовать запрет в случае использования VPN
Ничего не делать
• Минимальные усилия • Риски блокирования описанных ранее сервисов
• Репутационные риски
Сделать на бумаге
• Усилия направлены только на создание большого количества бумаг
• Теоретически регулятор может выявить данный факт
ИТ-трюки
• Обезличивание ПДн и архивирование ПДн позволяет передавать их и хранить где угодно
• Риски связаны с несогласием регуляторов с использованием данных трюков
Создание промежуточных БД
• Средние усилия, связанные с переделкой части ИТ-систем, которые должны будут хранит ПДн на территории РФ и затем передавать их за рубеж
• Риски остаются только для сервисов, оказываемых третьими сторонами
Перенос сервисов в Россию
• Максимальные усилия, связанные с полноценным созданием на территории РФ локального ЦОДа, который бы оказывал внутренние и внешние услуги компании и ее заказчикам
• Риски остаются только для сервисов, оказываемых третьими сторонами
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 61
Благодарю за внимание