Конференция Код ИБ 2015, Нижний Новгород

1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Последние измененияПоследние изменения
законодательства озаконодательства о
персональных данныхперсональных данных
Алексей Лукацкий
Cisco Russia & CIS
3 Декабрь, 2015

2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Изменения по направлению ПДн

3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Регуляторы хотят расширить понятие ПДн
 Советник Президента г-н Щеголев
(бывший министра связи и массовых
коммуникаций) 20 апреля предложил
расширить толкование термина
«персональные данные» и ужесточить
требования к Интернет-сервисам
 Руководитель Роскомнадзора
Александр Жаров назвал предложения
Щеголева глубокими и
содержательными, заявив, что его
ведомство будет над ними работать
вместе с Советом Федерации и
Госдумой

4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Что такое ПДн?
Из разъяснений РКН
 Имя, фамилия и должность - ПДн
Мнение РКН
 Имя и фамилия, а также идентификационный номер - ПДн
Мнение РКН
 Имя, фамилия и email – не ПДн (без отчества)
Мнение РКН
 Только фамилия, только email – не ПДн
Мнение РКН
 Фамилия и имя, записанные латиницей – ПДн
Мнение РКН

5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Разъяснения РКН по поводу ФЗ-152
 Постатейный комментарий к ФЗ-152,
подготовленный сотрудниками РКН
176 страниц
Продается за деньги – 265/100 рублей
(бумажный/электронный вариант)
 Теме ФЗ-242 внимания почти не уделено
 Некоторые разъяснения противоречат
предыдущим разъяснениям РКН
Данным при прежнем руководстве
 РКН не имеет права официально
комментировать законодательство
Но стоит обратить внимание на позицию регулятора,
используемую при проверках

6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Статистика нарушений ФЗ-152 за первые 9 месяцев

7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
Разъяснения РКН по поводу ФЗ-242
 Портал, созданный РАЭК, для ответ на
вопросы, касающиеся ФЗ-242
http://pd-info.ru
Все ответы согласованы с РКН
 Некоторые разъяснения вызывают
вопросы
Например, деление операторов ПДн на первичных и
иных
 Некоторые разъяснения противоречат
друг другу
Например, в одном гостиничным сервисам не
требуется перенос в России, а в другом - требуется

8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
А еще у нас есть третьи разъяснения 
 Портал, созданный Минкомсвязи, для
ответ на вопросы, касающиеся ФЗ-242
http://minsvyaz.ru/ru/personaldata/
Некоторые разъяснения вызывают вопросы, а
некоторые противоречат взглядам Роскомнадзора
 Охваченные темы
Кадры
Авиаперевозки
Товары и услуги
Трансграничность
Гражданство
Терминология

9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Правонарушение
Нарушаемая статья
законодательства
Наказание для
должностных лиц
Наказание для
юридических лиц
Нарушение требований к согласию Ст.9 ФЗ-152 3-8 тысяч рублей 15-50 тысяч рублей
Обработка ПДн без согласия Ст.6 ФЗ-152 5-15 тысяч рублей 30-50 тысяч рублей
Незаконная обработка
спецкатегорий ПДн
Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей
Неопубликование политики в
области ПДн
Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей
Отказ в предоставлении
информации субъекту
Ст.14, ст.20 ФЗ-152 4-6 тысяч рублей 20-40 тысяч рублей
Отказ в уничтожении или
блокировании ПДн
Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей
Нарушение правил хранения
материальных носителей ПДн
ПП-687 4-10 тысяч рублей 25-50 тысяч рублей
Нарушение правил обезличивания
(для госов)
ПП-211 и приказ РКН
№996
3-6 тысяч рублей Не предусмотрено
Законопроект по штрафам завис на первом чтении
 Комитет по конституционному законодательству против (не хочет давать
РКН дополнительные полномочия)

10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Меры по защите информации ПДн
Защитная мера ПДн ГИС АСУ ТП
Идентификация и аутентификация субъектов доступа и объектов доступа
+ + +
Управление доступом субъектов доступа к объектам доступа
+ + +
Ограничение программной среды
+ + +
Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ
+ + +
Регистрация событий безопасности
+ + +
Антивирусная защита
+ + +
Обнаружение (предотвращение) вторжений
+ + +
Контроль (анализ) защищенности персональных данных
+ + +
Обеспечение целостности информационной системы и КИ
+ + +
Обеспечение доступности персональных данных
+ + +
Защита среды виртуализации
+ + +
Защита технических средств
+ + +
Защита информационной системы, ее средств, систем связи и передачи данных
+ + +

11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Меры по защите информации: что может добавиться
Защитная мера ПДн ГИС АСУ ТП
Управление инцидентами
+ +
Управление конфигурацией информационной системы и системы защиты КИ
+ +
Безопасная разработка прикладного и специального программного обеспечения разработчиком
+
Управление обновлениями программного обеспечения
+
Планирование мероприятий по обеспечению защиты информации
+
Обеспечение действий в нештатных (непредвиденных) ситуациях
+
Информирование и обучение пользователей
+
Анализ угроз безопасности информации и рисков от их реализации
+
 В 2016-м году будет готовиться вторая редакция 21-го приказа ФСТЭК
 Предполагается унифицировать набор защитных мер во всех 3-х приказах ФСТЭК по
защите ГИС/МИС, ИСПДн и АСУ ТП

12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Проект методики моделирования угроз ФСТЭК
 Методика определения угроз безопасности
информации в информационных системах
 Распространяется на
ГИС / МИС
ИСПДн (рекомендательный характер)
 Не распространяется на угрозы СКЗИ и ПЭМИН
 Отменяет «методику определения актуальных
угроз…» 2008-го года
 Применяется совместно с банком данных угроз
ФСТЭК
 Будет принята зимой 2015-го года

13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Методика моделирования угроз ФСБ
 Методика определения актуальных угроз
безопасности ПДн в ИСПДн
 Предназначена только для органов власти,
пишущих отраслевые модели угроз для
подведомственных учреждений
 Ориентирована только на компетенцию ФСБ –
СКЗИ
 СКЗИ обязательны при передаче ПДн по
каналам связи
 Помните, что это всего лишь методические
рекомендации

14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Проект модели угроз ПДн Банка России
 Тип - Указание Банка России
Обязательна для всех банков, действующих на территории РФ
 Согласована с ФСТЭК и ФСБ
 Вторая редакция
Первая – 2013 год
Модель угроз ПДн из РС 2.4 отменена в 2014-м году
 10 угроз безопасности ПДн
47 (21) - в первой редакции
88 – в РС 2.4
Угрозы НДВ (1-го и 2-го типа) оцениваются самим оператором
ПДн
Угрозы биометрическим и общедоступным ПДн не
рассматриваются

15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Законопроект РГ Совета Федерации: сдули пыль и…
 При этом депутат Левин (Глава комитета ГД по информационной политике)
и Администрация Президента против данного законопроекта

16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
Вы не забыли про Конвенцию?
 Ратификация дополнительного протокола к конвенции о защите частных лиц
в отношении автоматизированной обработки данных личного характера, о
наблюдательных органах и трансграничной передаче информации (ETS N
181)
 До конца 2015-го года (возможно) будет принята новая редакция
Евроконвенции
 ФЗ-152 придется гармонизировать с Евроконвенцией
Очередной виток изменений (серьезных) в законодательстве
Если Россия не выйдет из Совета Европа

17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
Сюрприз от Управделами Президента
 Абсолютно непонятная НИР от Управделами Президента РФ по разработке
предложений по повышению защищенности персональных данных
Размещена 22-го июня

18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
На что еще обратить внимание?
 Постановление Пленума Верховного Суда РФ от 23 июня 2015 года № 25 «О
применении судами некоторых положений раздела I части первой
Гражданского кодекса Российской Федерации»
Разъяснения по ряду вопросов, в том числе и о том, как правомерно можно использовать
изображения гражданина, размещенные в сети Интернет, и когда для такого использования нужно и
не нужно согласие изображенного лица
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=181602

19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
Что еще будет в самом скором времени?
 Законопроект «О внесении изменений в ФЗ «Об информации,
информационных технологиях и о защите информации» и отдельные
законодательные акты РФ» (закон о «праве на забвение»)
 Законопроект «О внесении изменений в КоАП (в части установления
административной ответственности операторов поисковых систем)» (о
наказании нарушителей права на забвение)

20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
20© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Надо ли применять СКЗИНадо ли применять СКЗИ
для защиты ПДн?для защиты ПДн?

21. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
Применение СКЗИ регулируется приказом №378
ФСБ
 Настоящий документ устанавливает состав и
содержание необходимых для выполнения
установленных Правительством Российской
Федерации требований к защите ПДн для
каждого из уровней защищенности
организационных и технических мер по
обеспечению безопасности ПДн при их
обработке в ИСПДн
 Принят 10 июля 2014 года, вступил в силу с 28
сентября 2014 года
 СКЗИ применяются там, где такие требования
вытекают из модели угроз (нарушителя) или
технического задания

22. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22
Вы можете использовать сертифицированные СКЗИ
 В России разработано и предлагается
немалое количество
сертифицированных средств
криптографической защиты
информации (СКЗИ)
 Использование таких решений
поможет поднять экономику России
Стоимость таких устройств в десятки раз
больше стоимость барреля нефти!
Модуль Cisco RVPN
(сертификат ФСБ по классам КС1/КС2/КС3)
На модуле может работать ПО С-Терра СиЭсПи,
Инфотекс, Фактор-ТС, TSS

23. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23
А когда сертифицированных СКЗИ нет?
 Работа иностранных представительств
 Коммерческое IP-телевидение
 IP-видеонаблюдение
 Магистрали операторов связи
 Протоколы, отличные от Ethernet (iSCSI, FC)
 Технология Wi-Fi и стандарт 802.11i
 Стандарты мобильной связи 2.5G, 3G, LTE, WiMAX
 Чиповые карты международных платежных систем
 АСУ ТП
 Доступ из-за границы к Интернет-сайтам в РФ

24. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24
Конфиденциальность и шифрование
=≠
Нормативно-правовые
акты имеют вполне
определенную
иерархию и «читать»
их надо не в любом
порядке, а сверху вниз,
от закона к приказам
федеральных органов
исполнительной
власти!

25. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25
ФЗ-152 требует не шифрования. И не только он
 Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4
 Согласно ст.7 под конфиденциальностью ПДн понимается обязанность
операторами и иными лицами, получивших доступ к персональным
данным:
Не раскрывать ПДн третьим лицам
Не распространять ПДн без согласия субъекта персональных данных
Если иное не предусмотрено федеральным законом
 Оператор при обработке персональных данных обязан принимать
необходимые правовые, организационные и технические меры или
обеспечивать их принятие для защиты персональных данных от
неправомерного или случайного доступа к ним…
Ст.19

26. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26
Как обеспечить конфиденциальность ПДн?
 Получить согласие субъекта на передачу ПДн в открытом виде
 Сделать ПДн общедоступными
 Обеспечить контролируемую зону
 Использовать оптические каналы связи
 Использовать соответствующие механизмы защиты от НСД, исключая
шифрование
 Переложить задачу обеспечения конфиденциальности на оператора связи
 Передавать в канал связи обезличенные данные
 Использовать СКЗИ для защиты ПДн

27. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27
Как поступают в органах по защите прав субъектов
ПДн?
 Многие госорганы
постулируют на своих
сайтах защиту ПДн в
соответствие с
требованиями
законодательства
Без детализации
И без СКЗИ
 Минкомсвязь и ФСТЭК

28. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28
Как поступает регулятор по защите ПДн?
 ФСБ на своем сайте требует указания
полного спектра идентификационных
данных, включая паспортные
 Никаких оговорок про выполнение
требований законодательства
 Никакой защиты передаваемых данных
 Если это позволено регулятору в области
защиты (и в частности шифрования)
персональных данных, то почему это не
позволено вам?

29. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29
Как поступают в органах по защите прав субъектов
ПДн?
 РКН собирает персональные данные через форму
обратной связи на своем сайте
 Стандартная оговорка о соблюдении
законодательства в области персональных данных
 Никакой защиты передаваемых данных
 Если это позволено уполномоченному органу по
защите прав субъектов персональных данных, то
почему это не позволено вам?

30. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30
 РКН раньше на своем
сайте, а портал
госуслуг до сих пор
вынуждает вас
отказаться от
конфиденциальности
 У вас есть выбор – или
соглашаться, или не
использовать
соответствующий
сервис
 Шифрование в таком
случае не нужно Ответ Роскомнадзора
Вы можете принудить субъекта отказаться от
конфиденциальности его ПДн

31. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31
А если сделать их общедоступными?
 РЖД делает
регистрационные данные
пользователей своего
сайта общедоступными
 РКН не против
 Шифрование в таком
случае не нужно

32. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32
А где у вас проходит граница ИСПДн?
 Вы имеет полное право
самостоятельно провести
границы ИСПДн там, где
считаете нужным
 Сеть Интернет может не
входить в вашу ИСПДн
 Если это позволено
Правительству, то почему
не позволено вам?
 Шифрование в таком
случае не нужно

33. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 33
Еще четыре сценария
 СКЗИ для защиты ПДн при передаче в канале связи должны применяться обязательно,
если не будет доказано, что в канале связи невозможно осуществление
несанкционированных воздействий на ПДн (из 378-го приказа ФСБ)
 Уровень защищенности канала связи и его способность обойтись без СКЗИ определяет
лицензиат ФСТЭК

34. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 34
Резюме по применению СКЗИ для защиты ПДн
 Выбор способа обеспечения конфиденциальности персональных данных,
а также конкретный способ их защиты от несанкционированного доступа и
ознакомления определяет оператор персональных данных
 Подходите к вопросу творчески

35. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 35
35© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
ФЗФЗ--242242

36. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 36
Закон о запрете хранения ПДн россиян за границей
 Реализация положений ФЗ-242 «о запрете
хранения ПДн россиян за границей»
Базы ПДн, в которых происходит первичная регистрация и
актуализация ПДн россиян, должны находится на территории РФ
Хотя слова «только» в законе нет, по сути вводится апрет
хранения за пределами РФ
Наказание за нарушение
Выведение РКН из под действия
294-ФЗ
 Вступил в силу с 1 сентября 2015 года
Слухи о переносе сроков на 1 год не подтвердились
 Первые нарушители уже заблокированы
Реальные нарушители, незаконно распространяющие ПДн с
зарубежных сайтов

37. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 37
Потенциальные последствия за неисполнение ФЗ-
242
 Блокирование доступа к зарубежным ресурсам, в которых ведется
обработка ПДн российских граждан (сотрудников и клиентов)
 Блокирование доступа к зарубежным ресурсам и третьих фирм, в которых
ведется обработка ПДн российских граждан (сотрудников и клиентов)
 Потенциальное снижение продаж решений и невозможность выполнения
сервисных обязательств из-за потенциального блокирования основного
сайта
 Репутационные риски
 Административная и уголовная ответственность отсутствует
Однако есть ответственность за невыполнение предписания РКН по результатам
надзорных мероприятий

38. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 38
Разъяснение Роскомнадзора: что такое база
данных?

39. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 39
Разъяснение Роскомнадзора: запрет зеркал

40. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 40
Разъяснение Роскомнадзора: о «гражданстве» ПДн

41. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 41
Кого ФЗ-242 касается в первую очередь?
 Все иностранные
компании, работающие в
России
 Все иностранные
компании, работающие
для российских граждан
В том числе облачные сервисы и
арендуемые за рубежом ЦОДы
 Все российские компании,
работающие за рубежом
11
22
33
?

42. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 42
Зоны риска

43. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 43
Отдельные моменты обработки ПДн
 Электронная почта – не ИСПДн
Мнение РКН
 Заказ авиабилетов не попадает под действие ФЗ-242 в связи с тем, что
заказ авиабилетов регулируется международными договорами
В отличие от бронирования гостиниц и автомобилей
 На базы данных, созданные до вступления в силу ФЗ-242, закон не
распространяется
Если они не актуализировались после вступления в силу ФЗ-242
 Облачные провайдеры – не операторы, а обработчики ПДн
Мнение РКН

44. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 44
Локализация баз данных – это не российская
новация
 Локализация баз данных – это не российский
прецедент
Например, Вьетнам и ряд других стран
 Верховный европейский суд принял решение об
отмене договора Совета Европы и США о
хранении персональных данных европейских
граждан на территории США
Нас ждет интересное развитие событий

45. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 45
Локализация баз данных. Обратите внимание!
 В ФЗ-242 речь идет о первичном сборе, записи, систематизации, накоплении,
хранении, уточнении, обновлении, изменении, извлечении ПДн, которые
должны производиться на территории России
Такие действия с ПДн, как использование, передача, распространение, предоставление, доступ,
обезличивание, блокирование, удаление, уничтожение могут производиться где угодно
 Изменения должны вноситься в БД на территории России
 База данных и приложение, обращающееся к ней – это разные сущности
Приложение может быть где угодно
 На трансграничную передачу и доступ к ПДн из-за пределов России
ограничений нет
 ПДн могут обрабатываться за пределами РФ, за исключением их сбора
Неизменяемое зеркало

46. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 46
Закон о запрете хранения ПДн россиян за границей
 Обезличивание ПДн
на территории России
и передача
обезличенных данных
куда угодно
Приказ РКН №996
 Архивирование или
шифрование ПДн на
территории России и
передача архивов
куда угодно
№ субъекта
№ субъекта
№ субъекта
ФИО
Адрес
…
Адрес …ФИО

47. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 47
Приказ РКН по обезличиванию
 Приказ от 5.09.2013 №996
 Разработан во исполнение Постановления
Правительства от 21.03.2012 №211
 Обязателен для государственных и
муниципальных организаций
 Носит рекомендательный характер для
коммерческих операторов ПДн
 Требует обратимости ПДн
 В соответствие с ПП-211 обезличивание
является рекомендуемой мерой
Раньше обязательной

48. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 48
Самая простая часть ФЗ-242 уже реализована
 Роскомнадзор сформировал реестр
нарушителей прав субъектов
персональных данных
 В реестр будут вноситься все интернет-
ресурсы, обрабатывающие персональные
данные с нарушениями законодательства
Включение компаний в реестр будет происходить
по решению суда по искам, которые могут
инициировать как сами субъекты персональных
данных, так и Роскомнадзор, зафиксировавший
нарушение
Реестр заработал с 1 сентября
 Снимать блокировку будет РКН сам
При действующем судебном решении (!)

49. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 49
Два приказа РКН в отношении нарушений ФЗ-
242/ФЗ-152
 Приказ РКН №85 от 22.07.2015 «Об утверждении формы заявления субъекта
ПДн о принятии мер по ограничению доступа к информации,
обрабатываемой с нарушением законодательства РФ в области ПДн»
 Приказ РКН №84 от 22.07.2015 «Об утверждении Порядка взаимодействия
оператора реестра нарушителей прав субъектов ПДн с провайдером
хостинга и Порядка получения доступа к информации, содержащейся в
реестре нарушителей прав субъектов ПДн, оператором связи»

50. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 50
Изменение правил надзора
 Снижение числа проверок в отношении
операторов персональных данных
 Переход на риск-ориентированную
модель при проведении надзорных
мероприятий
После принятия соответствующего
законопроекта
Поднадзорные организации предполагается
разделить на группы в зависимости от степени
риска нарушений для экономики и ее граждан,
и на основе такой дифференциации
планировать и проводить надзорные
мероприятия
 Выход из под действия ФЗ-294

51. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 51
Готовится новое Постановление Правительства
 Контроль и надзор за соответствием обработки
ПДн требованиям законодательства
 Явно исключается надзор в сфере надзора за
выполнением организационных и технических
мер защиты информации
 3 типа проверок
Плановые
Внеплановые
Мероприятия систематического наблюдения
 Плановые и внеплановые проверки проводятся в
форме документарных и выездных проверок
Плановые проверки и мероприятия осуществляются на
основе утвержденного плана, размещаемого на сайте
РКН

52. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 52
Критерии формирования плана плановых проверок
 Трехлетний период с момента окончания последней плановой проверки
 Информация от госорганов, муниципалитетов и СМИ о нарушении
 Обработка ПДн значительного количества субъектов ПДн, а также обработка
биометрических и специальных категорий ПДн
 Непредставление информации РКН

53. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 53
Основания для внеплановых проверок
 Внеплановые проверки проводятся на основании решения руководителя
(заместителя руководителя) РКН или его терорганов по следующим
причинам:
Истечение срока выданного предписания
По доказательным обращениям граждан (требует согласования с прокуратурой)
По причине непредоставления (неполного представления) информации оператором по
запросу РКН
Наличие факта нарушения законодательства, полученное от СМИ, госорганов и
муниципалитетов
Поручение Президента или Правительства
В случае нарушения оператором законодательства, выявленного в ходе систематического
наблюдения
Несоответствие сведений, указанных в уведомлении
В случае неисполнения требования РКН об устранении выявленного нарушения
На основании представления органа прокуратуры

54. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 54
Предмет проверки
 Деятельность оператора по обработке ПДн, осуществляемой с
использованием или без использования средств автоматизации
 Документы и локальные акты
 Принятые операторов меры в соответствии со статьей 18.1 ФЗ-152
 Исполнение государственными и муниципальными органами обязанностей,
предусмотренных ФЗ-152 и подзаконными актами
 Содержания ИСПДн в части касающейся обработки ПДн

55. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 55
Уведомление о проверке

56. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 56
Периодичность проведения проверок

57. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 57
Длительность проведения проверок
 Возможно продление указанного срока, но не более чем на 20 дней
 При осуществлении оператором деятельности на территории нескольких
субъектов РФ, срок проведения проверок устанавливается отдельно по
каждому филиалу, но общий срок проверки не может превышать 60 дней

58. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 58
Особенности проверок по проекту Постановления
 Мотивированный запрос на получение документов и локальных актов в части
ПДн
 Приказ на проведение проверки
 Посещение любых помещений, исключая архивы и помещения с гостайной
 Право доступа к ИСПДн для оценки законности деятельности оператора
 Возможность привлечения аккредитованных экспертов и экспертных
организаций
Непонятно на каком основании посторонние эксперты будут получать доступ к ПДн

59. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 59
Об уведомлении с 1-го сентября
 Отдельные управления РКН требуют отправлять им информационное
сообщение о месте нахождения баз данных с ПДн
7-я часть 22-й статьи ФЗ-152 говорит только о необходимости повторного уведомления
всего в двух случаях - прекращении обработки ПДн и изменении сведений, указанных в
ранее отправленном уведомлении
 Если раньше данные хранились в РФ
Ничего не поменялось – отправлять ничего не нужно
 Если раньше данные хранились за пределами РФ
В уведомлении ничего не поменялось – отправлять ничего не нужно
 Указывать версии и названия СУБД не нужно, как и адрес физического
местонахождения
А если у вас аутсорсинг, арендуемой ЦОД или облако, то как вы узнаете адрес?

60. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 60
Ответ РКН по части уведомления с 1-го сентября

61. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 61
Множество трактовок, связанных с геополитикой
 Несколько прямо противоположных трактовок ФЗ-242 федеральными
органами исполнительной власти и органами власти (Минкомсвязь,
Роскомнадзор, Администрация Президента)
Все упомянутые органы власти не уполномочены трактовать законодательство
При этом данные органы власти (например, Роскомнадзор или прокуратура) осуществляют
контроль и надзор за выполнение данного законодательства и к их мнению стоит
прислушиваться
 Один орган исполнительной власти может в разное время давать разные
трактовки одних и тех же норм закона
В зависимости от геополитической ситуации и смены руководство ФОИВ
 Мнение профессионального сообщества и экспертных групп при разработке
данного закона услышано не было
Органы власти прямо называют в качестве причины принятия данного закона
геополитическую ситуацию

62. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 62
Возможные сценарии и ресурсы/риски, с ними
связанные применительно к ФЗ-242
 Органы контроля/надзора не понимают, как технически можно было бы
реализовать запрет в случае использования VPN

63. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 63
Пишите на security-request@cisco.com
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/post
s
http://www.cisco.ru/

64. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 64
БлагодарюБлагодарю
за вниманиеза внимание