ФЗ – 152 в вопросах и ответах Родион Попков, Роман Фадеев и Павел Аверьянов
ФЗ – 152 в вопросах и ответах
Родион Попков, Роман Фадеев и Павел Аверьянов
За 2 дня до конца света…
В день премьеры фильма «Хоббит» в России…
и Родион Попков
ПРЕДСТАВЛЯЮТ…
ФЗ – 152 в вопросах и ответах
Родион Попков, Роман Фадеев и Павел Аверьянов
Чем грозят нам персональные данные?
Мы ответим на вопросы:
- Что такое персональные данные (ПДн)?- ФЗ-152, что это?- Что со всем этим делать?
Цель семинара
- Дать понимание что собой представляет ФЗ-152;- Помочь определиться в принятии решения о реализации защиты ПДн;- Развеять ряд мифов.
ЮРИДИЧЕСКИЕ ВОПРОСЫЧем грозят нам персональные данные?
Содержание работы специалистов:• Финансовые аналитики (оценщики): определение справедливой стоимость объекта инвестирования в
целях определения для покупателя диапазона стоимости предприятия при различных вариантах организации бизнеса с определением рыночной, инвестиционной или ликвидационной стоимости в зависимости от целей и задач заказчика в отношении дальнейшей судьбы объекта инвестирования.
• Аудиторы: проведение финансовой проверки, экспертиза деятельности предприятия (в т.ч. анализ структуры выручки и затрат компании, оценка системы внутреннего контроля, анализ основных средств, финансовых вложений, дебиторской и кредиторской задолженности, запасов компании; анализ кредитных договоров и обязательств, анализ условных обязательств, полноты и достоверности учета активов и обязательств), а также выделение налоговых выгод и рисков.
• Юристы: проведение анализа учредительных документов, юридического статуса, корпоративных документов, решений коллегиальных органов управления и основных доверенностей, исследование основных сделок с акциями, сведения об акционерах, их имущественных и неимущественных правах, изучение действий государственных органов в отношении деятельности компании, основных договоров и имущественных прав компании, прав на объекты интеллектуальной собственности, трудовые отношения и претензионно-исковой сферы.
• Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
Основной принцип работы специалистов – командный подход, основанный на принципах комплексного системного анализа
ПДн.
Что это?
• Персональные данные - любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных
данных).(ст. 3, Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 25.07.2011) "О персональных данных«)
Что входит в ПДн?
• Паспортные данные;• Биографические данные; • Данные резюме; • Контактные данные;• Антропометрические данные.
Какие категории ПДн по ФЗ-152?
• Требуют письменного согласия Субъекта ПДн:– Специальные ПДн;– Биометрика (фото и видео изображения);
• Не требуют письменного согласия Субъекта ПДн:– Общедоступные данные;– Прочие.
Какие категории Субъектов по ФЗ-152?• Сотрудники:– потенциальные сотрудники;– действующие сотрудники;– бывшие сотрудники.
• Клиенты:– потенциальные клиенты;– действующие клиенты;– бывшие клиенты.
• Граждане (представители поставщиков услуг/товаров для вас).
Законодательство о ПДн
• Конвенция• ФЗ• Подзаконные нормативно-правовые акты
Какие цели у ФЗ-152 ?
• обеспечение защиты прав и свобод человека и гражданина при обработке его, ПДн
• защита прав на неприкосновенность частной жизни, личную и семейную тайну.
Какие цели у ФЗ-152 ?
Как российский законодатель перенял опыт запада?
Как российский законодатель перенял опыт запада?
Евроконвенция ФЗ-152- главная цель защитить права человека
- главная цель надзор и контроль (не явно, смысл такой)
- требования по защите определяют операторы, с учетом рекомендаций и с учетом цели
- требования по защите определяют регуляторы
- требования по защите учитывают природу ПДн, возможности нарушителя, возможности технологии обработки, адекватность стоимости системы защиты наносимому ущербу
- нет привязки к природе ПДн, технологиям обработки, адекватности затрат
Итог и содержание – гибкий подход Итог и содержание – жесткое регулирование
Лобби закона, кому он выгоден?
• Регуляторы
• Интеграторы
• Субъекты
На что не распространяет свое действие ФЗ-152?
• обработку ПДн физ. лицами для личных, семейных нужд;
• на данные включенные в Архивный фонд Российской Федерации;
• обработку ПДн, отнесенных к гос. Тайне;• предоставлении уполномоченными
органами информации о деятельности судов.
И что теперь делать?
• Что делать вообще?
• Что делать если проверка?
Зачем мне это?
• пройти проверку• защититься от юридических или
репутационных рисков• снизить издержки• привести себя в соответствие с требованиями
законодательства• привести себя в соответствие с требованиями
головной (зарубежной) организации• так все же так делают…
Итог?
3 блока мероприятий и затрат на реализацию требований ФЗ-152:
• Юридический;• Технический;• Организационный.
Что будет если ничего ни делать?Статья Орган Ответственность для ЮЛ
13.11 КоАП Прокуратура от 5 до 10К руб.
19.7 КоАП Роскомнадзор от 3 до 5К руб.
13.12, 13.13 КоАП ФСБ, ФСТЭК от 5 до 10К руб.+ конфискация + приостановление до 90 д.
5.27, 5.39 ТрудИнспекция От 30 до 50 К руб. + приостановление до 90 д.
20.25 КоАП ∑ штрафа * 2
137 УК - Нарушение неприкосновенности частной жизни
лишение свободы до 4 лет + дисквалификация до 5 лет
171 УК – Незаконное предпринимательство
лишение свободы до 5 лет + штраф
Чего ждать в будущем?Сейчас Предложения Роскомнадзора
13.11 КоАП
Орган
Прокуратура Роскомнадзор + увеличивается срок давности с 3 м. до 1 г.
Ответственность повторно
граждане от 0,3 до 0,5 К руб.
граждане от 3 до 5 К руб.
5 К руб.
должностные лица от 0,5 до 1 К руб.
должностные лица от 30 до 50 К руб.
50 К руб.
ИПкак для граждан
ИПот 30 до 50 К руб.
50 К руб.
ЮЛОт 5 до 10 К руб.
ЮЛОт 200 до 500 К руб.
1 000 К руб.
Что делать если проверка?
Кто придет?
• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (более известная как Роскомнадзор). Осуществляет основной надзор в области ПДн;
• Федеральная служба безопасности (ФСБ) – основной надзорный орган в части использования средств шифрования;
• Федеральная служба технического и экспортного контроля (ФСТЭК) – надзорный орган в части использования технических средств защиты информации.
Роскомнадзор, кто это?
№ Показатель Всего с начала года
Всего за
период
1Проведено проверок всего,
в том числе: 307 307
1.1 Плановых, в том числе: 128 128
1.2совместных с другими органами контроля (надзора) 12 12
1.3 Внеплановых, в том числе: 179 179
2Выдано предписаний об устранении выяв-ленных нарушений 239 239
3Составлено протоколов об административном правонарушении 677 677
Чего ждать?
Что делать если проверка?
Что делать если проверка?
• Спокойствие, только спокойствие
• Подготовительные мероприятия к проверке
• Ход проверки и взаимодействие с проверяющими
Итог?
• Реализация ФЗ-152 потребует колоссальных ресурсов при минимальной гарантии полного соответствия закону;
• Роскомнадзор тоже люди, не надо боятся проверки, надо лишь держать в уме этот возможный риск
ТЕХНИЧЕСКИЕ АСПЕКТЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Или методика в подарок от государства
Кто контролирует?
• РКН проверяет только бумаги• ФСТЭК проверяет ИСПДн (кроме криптографии)• ФСБ проверяет только криптографию• «Независимые эксперты»
В теории
• Типы персональных данных (проведение классификации на фирме)• Определение модели угроз• Составление технической документации на систему ИСПДн• Разработка организационной документации• Внедрение ИСПДн• Проведение оценки соответствия
На практике: документация
• Определить её качество практически невозможно• Аутсорсеры пишут много, потом много приходится «защищать»• Типовой проект ИСПДн вырастает за пределы нескольких сот страниц только в технической части• Требования к классификации постоянно меняются – работу придется переделывать
На практике: техсредства
• Антивирус только сертифицированный (без обновления модулей)• Система НСД (АККОРД, Шипка и др.)• ОС нельзя обновлять• МСЭ (Континент, VIPnet и др.)• ГОСТовская криптография и никакая иная
Закон создал рынок
Кейс
• АККОРД• МСЭ Континент• Сертифицированный антивирус• ГОСТовская криптография• «Один крупный банк»
Но рынок для своих...
Как это работает на практике?
• в 99% случаев даже она никому не нужна (РКН приходит без «независимых экспертов», ФСТЭК и ФСБ• О документации вспоминают только во время проверки, поскольку она не ложится в бизнес-процессы• «Эксперты» заинтересованы только в наличии лицензий и правильно заполненных формулярах• Средства мешают привычной эксплуатации техники и снижают производительность труда• Безопасность ПД не повышается
В лучшем случае установленные техсредства просто не работают
Выводы
• Техническая защита информации в предлагаемой законодателем форме бессмысленна или даже вредна (экспертная оценка)• Технические меры не учитывают размера организации (для Газпрома и Вас требования одинаковые)
Заниматься бизнесом или информационной безопасностью – выбор за Вами
Подводя итоги
Сделайте необходимый юридический минимум:
- Уведомление- Положение (Политика) об обработке ПДн
- Приказ об ответственном
Подводя итоги
Не пытайтесь «натянуть» закон на ваши бизнес-процессы.
Все устареет быстрее, чем за год.
Подводя итоги
На рынке много защитников персональных данных за ваш счет.
Не платите им деньги.
Подводя итоги
Технические меры, требуемые законодателем абсурдны и неисполнимы.
Лучше их игнорировать.
Но мы естественно советуем полностью соблюдать закон Но не рекомендуем.
Подводя итоги
Как только пришло уведомление о внеплановой проверке –
действуйте согласно инструкции.
ФЗ – 152 в вопросах и ответах
Родион Попков
+7 950 190 77 [email protected]
Роман Фадеев
+7 922 160 11 [email protected]
Да минует вас проверка!
Павел Аверьянов
+7 912 620 30 [email protected]