This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
• Приказ об отмене «приказа трех» по классификации ИСПДн
• Приказ и методичка РКН по обезличиванию
• Закон 242-ФЗ о запрете хранения ПДн россиян за границей
• Письмо Банка России 42-Т • Приказ ФСБ №378 по использованию СКЗИ для защиты ПДн
• ПП-911 по отмене обязательного обезличивания
Что могло быть?
• Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн
• Отраслевые модели угроз • Ратификация дополнительного протокола Евроконвенции (181)
• Законопроект по ответственности за неуведомление о утечке ПДн
• Законопроект по запрету отказа от предоставления услуг при отказе от дачи согласия на обработку ПДн
• Поправки в ФЗ-242
Что есть и будет?
• Законопроект Совета Федерации по внесению изменений в ФЗ-152
• Законопроект по внесению изменений в КоАП
• Постановление Правительства по надзору в сфере ПДн
• Выход РКН из под действия 294-ФЗ
• Изменения в приказ №21 • Совет Европы примет новый вариант ЕвроКонвенции
• Методичка ФСТЭК по моделированию угроз
• Методичка ФСБ по моделированию угроз
• Методичка РКН о порядке организации и осуществления контроля за обработкой ПДн
§ Советник Президента г-н Щеголев (бывший министра связи и массовых коммуникаций) 20 апреля предложил расширить толкование термина «персональные данные» и ужесточить требования к Интернет-сервисам
§ Руководитель Роскомнадзора Александр Жаров назвал предложения Щеголева глубокими и содержательными, заявив, что его ведомство будет над ними работать вместе с Советом Федерации и Госдумой
Меры по защите ПДн: в 2016-м ждем новую редакцию Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации +
• Планы – Унификация перечня защитных мер для всех трех приказов
– Выход на 2-хлетний цикл обновления приказов
§ В 2016-м году будет готовиться вторая редакция 21-го приказа ФСТЭК
§ Предполагается унифицировать набор защитных мер во всех 3-х приказах ФСТЭК по защите ГИС/МИС, ИСПДн и АСУ ТП
§ Тип - Указание Банка России Обязательна для всех банков, действующих на территории РФ
§ Согласована с ФСТЭК и ФСБ
§ Вторая редакция Первая – 2013 год Модель угроз ПДн из РС 2.4 отменена в 2014-м году
§ 10 угроз безопасности ПДн 47 (21) - в первой редакции 88 – в РС 2.4 Угрозы НДВ (1-го и 2-го типа) оцениваются самим оператором ПДн Угрозы биометрическим и общедоступным ПДн не рассматриваются
§ Ратификация дополнительного протокола к конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации (ETS N 181)
§ До конца 2015-го года (возможно) будет принята новая редакция Евроконвенции
§ ФЗ-152 придется гармонизировать с Евроконвенцией Очередной виток изменений (серьезных) в законодательстве Если Россия не выйдет из Совета Европа
§ Постановление Пленума Верховного Суда РФ от 23 июня 2015 года № 25 «О применении судами некоторых положений раздела I части первой Гражданского кодекса Российской Федерации» Разъяснения по ряду вопросов, в том числе и о том, как правомерно можно использовать изображения гражданина, размещенные в сети Интернет, и когда для такого использования нужно и не нужно согласие изображенного лица http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=181602
§ Законопроект «О внесении изменений в ФЗ «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты РФ» (закон о «праве на забвение»)
§ Законопроект «О внесении изменений в КоАП (в части установления административной ответственности операторов поисковых систем)» (о наказании нарушителей права на забвение)
§ Настоящий документ устанавливает состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн
§ Принят 10 июля 2014 года, вступил в силу с 28 сентября 2014 года
§ СКЗИ применяются там, где такие требования вытекают из модели угроз (нарушителя) или технического задания
Нормативно-правовые акты имеют вполне определенную иерархию и «читать» их надо не в любом порядке, а сверху вниз, от закона к приказам федеральных органов исполнительной власти!
§ Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4
§ Согласно ст.7 под конфиденциальностью ПДн понимается обязанность операторами и иными лицами, получивших доступ к персональным данным: Не раскрывать ПДн третьим лицам
Не распространять ПДн без согласия субъекта персональных данных
Если иное не предусмотрено федеральным законом
§ Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним… Ст.19
§ СКЗИ для защиты ПДн при передаче в канале связи должны применяться обязательно, если не будет доказано, что в канале связи невозможно осуществление несанкционированных воздействий на ПДн (из 378-го приказа ФСБ)
§ Уровень защищенности канала связи и его способность обойтись без СКЗИ определяет лицензиат ФСТЭК
Обезличивание
• Обезличивание из персональных данных делает неперсональные
• Они выпадают из под ФЗ-152
• Не требуется даже конфиденциальность
Оператор связи
• Оператор связи по закону «О связи» обязан обеспечивать тайну связи
• Почему бы в договоре с оператором явно не прописать обязанность обеспечить конфиденциальность всех передаваемых данных, включая и ПДн
Оптика
• Снять информацию с оптического канала связи возможно, но непросто и недешево
• Почему бы не зафиксировать в модели угроз соответствующую мысль
Виртуальные сети
• Для защиты от несанкционированного доступа на сетевом уровне могут применяться различные технологии; не только шифрование
• Например, MPLS, обеспечивающая разграничение доступа
§ Выбор способа обеспечения конфиденциальности персональных данных, а также конкретный способ их защиты от несанкционированного доступа и ознакомления определяет оператор персональных данных
§ Реализация положений ФЗ-242 «о запрете хранения ПДн россиян за границей» Базы ПДн, в которых происходит первичная регистрация и актуализация ПДн россиян, должны находится на территории РФ Хотя слова «только» в законе нет, по сути вводится апрет хранения за пределами РФ Наказание за нарушение Выведение РКН из под действия 294-ФЗ
§ Вступил в силу с 1 сентября 2015 года Слухи о переносе сроков на 1 год не подтвердились
§ Первые нарушители уже заблокированы Реальные нарушители, незаконно распространяющие ПДн с зарубежных сайтов
§ Блокирование доступа к зарубежным ресурсам, в которых ведется обработка ПДн российских граждан (сотрудников и клиентов)
§ Блокирование доступа к зарубежным ресурсам и третьих фирм, в которых ведется обработка ПДн российских граждан (сотрудников и клиентов)
§ Потенциальное снижение продаж решений и невозможность выполнения сервисных обязательств из-за потенциального блокирования основного сайта
§ Репутационные риски
§ Административная и уголовная ответственность отсутствует Однако есть ответственность за невыполнение предписания РКН по результатам надзорных мероприятий
§ Заказ авиабилетов не попадает под действие ФЗ-242 в связи с тем, что заказ авиабилетов регулируется международными договорами В отличие от бронирования гостиниц и автомобилей
§ На базы данных, созданные до вступления в силу ФЗ-242, закон не распространяется Если они не актуализировались после вступления в силу ФЗ-242
§ Облачные провайдеры – не операторы, а обработчики ПДн Мнение РКН
Локализация баз данных – это не российская новация
§ Локализация баз данных – это не российский прецедент Например, Вьетнам и ряд других стран
§ Верховный европейский суд принял решение об отмене договора Совета Европы и США о хранении персональных данных европейских граждан на территории США Нас ждет интересное развитие событий
§ В ФЗ-242 речь идет о первичном сборе, записи, систематизации, накоплении, хранении, уточнении, обновлении, изменении, извлечении ПДн, которые должны производиться на территории России Такие действия с ПДн, как использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение могут производиться где угодно
§ Изменения должны вноситься в БД на территории России
§ База данных и приложение, обращающееся к ней – это разные сущности Приложение может быть где угодно
§ На трансграничную передачу и доступ к ПДн из-за пределов России ограничений нет
§ ПДн могут обрабатываться за пределами РФ, за исключением их сбора Неизменяемое зеркало
§ Роскомнадзор сформировал реестр нарушителей прав субъектов персональных данных
§ В реестр будут вноситься все интернет-ресурсы, обрабатывающие персональные данные с нарушениями законодательства Включение компаний в реестр будет происходить по решению суда по искам, которые могут инициировать как сами субъекты персональных данных, так и Роскомнадзор, зафиксировавший нарушение Реестр заработал с 1 сентября
§ Снимать блокировку будет РКН сам При действующем судебном решении (!)
Два приказа РКН в отношении нарушений ФЗ-242/ФЗ-152
§ Приказ РКН №85 от 22.07.2015 «Об утверждении формы заявления субъекта ПДн о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства РФ в области ПДн»
§ Приказ РКН №84 от 22.07.2015 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов ПДн с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов ПДн, оператором связи»
§ Снижение числа проверок в отношении операторов персональных данных
§ Переход на риск-ориентированную модель при проведении надзорных мероприятий После принятия соответствующего законопроекта Поднадзорные организации предполагается разделить на группы в зависимости от степени риска нарушений для экономики и ее граждан, и на основе такой дифференциации планировать и проводить надзорные мероприятия
§ Контроль и надзор за соответствием обработки ПДн требованиям законодательства
§ Явно исключается надзор в сфере надзора за выполнением организационных и технических мер защиты информации
§ 3 типа проверок Плановые Внеплановые Мероприятия систематического наблюдения
§ Плановые и внеплановые проверки проводятся в форме документарных и выездных проверок Плановые проверки и мероприятия осуществляются на основе утвержденного плана, размещаемого на сайте РКН
§ Внеплановые проверки проводятся на основании решения руководителя (заместителя руководителя) РКН или его терорганов по следующим причинам: Истечение срока выданного предписания По доказательным обращениям граждан (требует согласования с прокуратурой) По причине непредоставления (неполного представления) информации оператором по запросу РКН Наличие факта нарушения законодательства, полученное от СМИ, госорганов и муниципалитетов Поручение Президента или Правительства В случае нарушения оператором законодательства, выявленного в ходе систематического наблюдения Несоответствие сведений, указанных в уведомлении В случае неисполнения требования РКН об устранении выявленного нарушения На основании представления органа прокуратуры
§ Возможно продление указанного срока, но не более чем на 20 дней
§ При осуществлении оператором деятельности на территории нескольких субъектов РФ, срок проведения проверок устанавливается отдельно по каждому филиалу, но общий срок проверки не может превышать 60 дней
§ Мотивированный запрос на получение документов и локальных актов в части ПДн
§ Приказ на проведение проверки
§ Посещение любых помещений, исключая архивы и помещения с гостайной
§ Право доступа к ИСПДн для оценки законности деятельности оператора
§ Возможность привлечения аккредитованных экспертов и экспертных организаций Непонятно на каком основании посторонние эксперты будут получать доступ к ПДн
§ Отдельные управления РКН требуют отправлять им информационное сообщение о месте нахождения баз данных с ПДн
7-я часть 22-й статьи ФЗ-152 говорит только о необходимости повторного уведомления всего в двух случаях - прекращении обработки ПДн и изменении сведений, указанных в ранее отправленном уведомлении
§ Если раньше данные хранились в РФ Ничего не поменялось – отправлять ничего не нужно
§ Если раньше данные хранились за пределами РФ В уведомлении ничего не поменялось – отправлять ничего не нужно
§ Указывать версии и названия СУБД не нужно, как и адрес физического местонахождения А если у вас аутсорсинг, арендуемой ЦОД или облако, то как вы узнаете адрес?
§ Несколько прямо противоположных трактовок ФЗ-242 федеральными органами исполнительной власти и органами власти (Минкомсвязь, Роскомнадзор, Администрация Президента) Все упомянутые органы власти не уполномочены трактовать законодательство При этом данные органы власти (например, Роскомнадзор или прокуратура) осуществляют контроль и надзор за выполнение данного законодательства и к их мнению стоит прислушиваться
§ Один орган исполнительной власти может в разное время давать разные трактовки одних и тех же норм закона В зависимости от геополитической ситуации и смены руководство ФОИВ
§ Мнение профессионального сообщества и экспертных групп при разработке данного закона услышано не было Органы власти прямо называют в качестве причины принятия данного закона геополитическую ситуацию
Возможные сценарии и ресурсы/риски, с ними связанные применительно к ФЗ-242 § Органы контроля/надзора не понимают, как технически можно было бы реализовать запрет в случае использования VPN
Ничего не делать
• Минимальные усилия • Риски блокирования описанных ранее сервисов
• Репутационные риски
Сделать на бумаге
• Усилия направлены только на создание большого количества бумаг
• Теоретически регулятор может выявить данный факт
ИТ-трюки
• Обезличивание ПДн и архивирование ПДн позволяет передавать их и хранить где угодно
• Риски связаны с несогласием регуляторов с использованием данных трюков
Создание промежуточных БД
• Средние усилия, связанные с переделкой части ИТ-систем, которые должны будут хранит ПДн на территории РФ и затем передавать их за рубеж
• Риски остаются только для сервисов, оказываемых третьими сторонами
Перенос сервисов в Россию
• Максимальные усилия, связанные с полноценным созданием на территории РФ локального ЦОДа, который бы оказывал внутренние и внешние услуги компании и ее заказчикам
• Риски остаются только для сервисов, оказываемых третьими сторонами