2. Почему Cisco говорит о законодательстве?
ТК22 ТК122 ТК362 РГ ЦБ
«Безопасность «Защита «Защита Разработка рекомендаций по ПДн,
ИТ» (ISO SC27 в информации в информации» СТО БР ИББС v4 и 382-П/2831-У
России) кредитных при ФСТЭК
учреждениях»
ФСБ МКС ФСТЭК РАЭК РКН
Экспертиза Экспертиза и Экспертиза и Консультативный
Предложения
документов разработка разработка совет
документов документов
4. Базовая иерархия документов по ПДн
Конвенции и иные Директивы
Евросоюза /
Рекомендации Европейская Рекомендации
АТЭС ОЭСР
международные договора Европарламента
Конвенция
ФЗ №152 от
26.07.2006
Законы ФЗ №160 от
19.12.2005
Постановления №1119 от №687 от №512 от №221 от №940 от
Правительства 01.11.2012 15.09.2008 6.07.2008 21.03.2012 18.09.2012
Приказы и Приказ ФСТЭК
№21 от
2 методички от
иные документы 18.02.2013
ФСБ
5. Новый приказ ФСТЭК
• №21 от 18.02.2013
• Определяет состав и содержание
организационных и технических
мер
• Применяется для новых
(модернизируемых) ИСПДн
• Меры по защите ПДн в ГИС
принимаются в соответствии с
требованиями о защите
информации, содержащейся в
ГИС («новый СТР-К»)
6. Меры по защите информации
• В систему защиты ПДн в зависимости от актуальных угроз
безопасности ПДн и структурно-функциональных характеристик
ИСПДн включаются следующие меры
– идентификация и аутентификация субъектов доступа и объектов
доступа
– управление доступом субъектов доступа к объектам доступа
– ограничение программной среды
– защита машинных носителей информации, на которых хранятся
и (или) обрабатываются персональные данные
– регистрация событий безопасности
– антивирусная защита
– обнаружение (предотвращение) вторжений
– контроль (анализ) защищенности персональных данных
7. Меры по защите информации
• продолжение:
– обеспечение целостности информационной системы и
персональных данных
– обеспечение доступности персональных данных
– защита среды виртуализации
– защита технических средств
– защита информационной системы, ее средств, систем связи и
передачи данных
– выявление инцидентов (одного события или группы событий),
которые могут привести к сбоям или нарушению
функционирования информационной системы и (или) к
возникновению угроз безопасности персональных данных, и
реагирование на них
– управление конфигурацией информационной системы и системы
защиты персональных данных
8. Как определяются защитные меры
• Выбор мер по обеспечению безопасности ПДн, Базовые меры
подлежащих реализации в системе защиты ПДн,
включает
– выбор базового набора мер Адаптация базового
набора
– адаптацию выбранного базового набора мер
применительно к структурно-функциональным
характеристикам ИСПДн, реализуемым ИТ, Уточнение
адаптированного набора
особенностям функционирования ИСПДн, а также
с учетом целей защиты персональных данных
– уточнение (включает дополнение или
Дополнение уточненного
исключение) адаптированного набора
– дополнение адаптированного базового набора
мер по обеспечению безопасности ПДн
дополнительными мерами, установленными Компенсационные меры
иными нормативными актами
9. Планируемые изменения
• Законопроект по внесению изменений в законодательные акты в
связи с принятием ФЗ-160 и ФЗ-152
• Законопроект «О внесении изменений в
статью 857 части второй Гражданского кодекса РФ, статью 26
Федерального закона «О банках и банковской деятельности» и
Федеральный закон «О персональных данных»
• Законопроект по внесению изменений в КоАП (в части
увеличения штрафов по ст.13.11)
• Проект методических рекомендаций РКН по обезличиванию
• Проект приказа РКН по странам, обеспечивающим адекватную
защиту прав субъектов
• Проект приказа ФСБ по ПДн
• Проект Постановления Правительства по надзору в сфере ПДн
10. Законопроект по внесению изменений в законодательные
акты в связи с принятием ФЗ-160 и ФЗ-152
• Проект федерального закона «О внесении изменений в
некоторые законодательные акты Российской Федерации в связи
с принятием ФЗ «О ратификации Конвенции Совета Европы о
защите физических лиц при автоматизированной обработке
персональных данных» и ФЗ «О персональных данных» внесён
Правительством Российской Федерации
– Законопроект подготовлен во исполнение Россией обязательства
по статье 4 Конвенции Совета Европы о защите физических лиц
при автоматизированной обработке персональных данных,
предусматривающей принятие каждой стороной необходимых
мер в рамках своего национального законодательства с целью
ввести в действие основополагающие принципы защиты данных
не позднее момента вступления Конвенции в отношении неё в
силу
– Законопроект принят Госдумой в первом чтении 25 ноября 2005
года
11. Законопроект по внесению изменений в законодательные
акты в связи с принятием ФЗ-160 и ФЗ-152
• Правки вносятся в
– ФЗ «Об образовании»
– ФЗ «О прокуратуре»
– ФЗ «Об оперативно-розыскной деятельности»
– ФЗ «Об актах гражданского состояния»
– ФЗ «О негосударственных пенсионных фондах»
– ФЗ «О государственной дактилоскопической регистрации»
– ФЗ «О государственной социальной помощи»
– ФЗ «О государственном банке данных о детях, оставшихся без
попечения родителей»
– Трудовой Кодекс
– ФЗ «Об обязательном страховании гражданской ответственности
владельцев транспортных средств»
– Гражданский процессуальный кодекс Российской Федерации
12. Законопроект по внесению изменений в законодательные
акты в связи с принятием ФЗ-160 и ФЗ-152
• Правки вносятся в
– ФЗ «О системе государственной службы»
– ФЗ «О связи»
– ФЗ «О лотереях»
– ФЗ «О государственной гражданской службе»
– ФЗ «О муниципальной службе»
– ФЗ «Об образовании в Российской Федерации»
13. Законопроект Аксакова
• Законопроектом предлагается внести в пункт 2 статьи 857
Гражданского кодекса Российской Федерации, статью 26
федерального закона «О банках и банковской деятельности» и
статьи 3 и 6 федерального закона «О персональных данных»
изменения, расширяющие круг субъектов, которым могут быть
предоставлены сведения, составляющие банковскую тайну
• В соответствии с законопроектом сведения, составляющие
банковскую тайну, могут предоставляться по поручению клиента
абсолютно всем третьим лицам
• Отзыв Правительства – негативный
• Первое чтение в Госдуме – в ноябре 2013 года
14. Рост штрафов за невыполнение ФЗ-152
700000
Выручка руб.
2% от за год
1000000 дохода
10000 руб.
руб. • 4 состава правонарушения
• Увеличение суммы штрафа
• Рост срока давности
• Переход полномочий от прокуратуры к
РКН
15. Новые составы правонарушений
• Невыполнение оператором обязанностей, предусмотренных
законодательством в области ПДн
– Законодательство – это не только ФЗ-152
– РКН настаивает только на ст.18 и 18.1
– Штраф – до 30 000 рублей
• Обработка ПДн без согласия (ст.13.11.1)
– Просто – до 50 000 рублей
– С доходом – сумма выручки за год, но не менее 500 000 рублей
– С вредом жизни и здоровью – до 600 000 рублей
– Рецидив – до 700 000 рублей
16. Новые составы правонарушений
• Обработка спецкатегорий ПДн в случаях, не предусмотренных
законом
– Просто – до 500 000 рублей
– С вредом жизни и здоровью – до 700 000 рублей
– Рецидив – до 700 000 рублей
• Несоблюдение условий трансграничной передачи ПДн
– Просто – до 30 000 рублей
– Повлекшее НСД – до 700 000 рублей
– Рецидив – до 700 000 рублей
17. Что еще внесут в Госдуму
• Срок давности (ст.4.5 КоАП) увеличивается с 3-х месяцев до 1
года
– МВД было против
• Полномочия прокуратуры по возбуждению дела по 13.11 уходят в
РКН
– Прокуратура не против
18. Проект нового Постановления Правительства о надзоре
• Госконтроль включает в себя
– Мониторинг деятельности, направленный на предупреждение,
выявление и пресечение нарушений
– Действие данного Положения не распространяется на
деятельность по осуществлению контроля и надзора за
выполнением организационных и технических мер по
обеспечению безопасности персональных данных,
установленных в соответствие со статьей 19 Федерального
закона "О персональных данных"
• Проект Постановления Правительства «Об утверждении
Положения о государственном контроле и надзоре за
соответствием обработки персональных данных требованиям
законодательства Российской Федерации в области
персональных данных»
19. Проект приказа ФСБ
• Настоящий документ устанавливает
состав и содержание необходимых
для выполнения установленных
Правительством Российской
Федерации требований к защите ПДн
для каждого из уровней защищенности
организационных и технических мер
по обеспечению безопасности ПДн
при их обработке в ИСПДн
• Оргмеры похожи на 152-й приказ
ФАПСИ («розовую инструкцию»)
20. Когда должны применяться СКЗИ
• Криптографическая защита персональных данных
обеспечивается в следующих случаях
– если персональные данные подлежат криптографической защите
в соответствии с федеральными законами и принимаемыми в
соответствии с ними нормативными правовыми актами
– если для информационной системы персональных данных
выявлены угрозы, которые могут быть нейтрализованы только с
помощью СКЗИ
• В остальных случаях решение о необходимости обеспечения
криптографической защиты ПДн может быть принято оператором
на основании технико-экономического сравнения альтернативных
вариантов обеспечения безопасности ПДн
21. От модели нарушителя к типам угроз и классам СКЗИ
Категории нарушителей
КН1 • Н1-Н3 3 тип
КН2 • Н4-Н5 2 тип
КН3 • Н6 1 тип
Типы угроз
22. Проект методических рекомендаций РКН по
обезличиванию
• Введение идентификаторов
• Изменение состава или
семантики
• Декомпозиция
• Перемешивание
• Криптографическое
преобразование
23. Что планирует РКН?
• 4 критерия отнесения к «адекватным» странам (помимо
ратификации Конвенции)
– Наличие национального законодательства
– Наличие санкций и средств правовой защиты
– Наличие уполномоченного органа по защите прав субъектов
– Наличие фактов утечек ПДн
– Оказание содействия в пресечении незаконной деятельности
24. Список адекватных стран
• Австралия • Сенегал
• Аргентина • Чили
• Канада • Гонконг
• Марокко • Швейцария
• Малайзия • Ратификаторы Конвенции -
• Мексика Австрия, Бельгия, Болгария,
• Монголия Дания, Великобритания,
Венгрия, Германия, Греция,
• Новая Зеландия Ирландия, Испания, Италия,
• Ангола Латвия, Литва, Люксембург,
• Бенин Мальта, Нидерланды, Польша,
• Кабо-Верде Португалия, Румыния,
• Корея Словакия, Словения,
Финляндия, Франция, Чехия,
• Перу Швеция, Эстония