Закон «О персональных данных» требования, регуляторы, реализация Виталия Лепехина Руководитель направления аудита и консалтинга Vitaliya. Lepekhina@softline. ru
Случаи нарушения конфиденциальности qуспешный несанкционированный доступ к данным Интернет-сервисов Play. Station Network и Qriocity (77 миллионов учётных записей, апрель 2011) q. Номер телефона и текст СМС-сообщения Мегафон, МТС, Билайн (лето 2011) qссылки на страницы со статусами заказов в различных интернетмагазинах (лето 2011) q Электронные железнодорожные билеты с датами, номерами рейсов, именами пассажиров (лето 2011) q Имена, фамилии, адреса и телефоны почти 1, 6 млн абонентов МТС в Башкирии и Петербурге на сайте zhiltsy. net (осень 2011) qи т. д.
Законодательство по защите персональных данных Международное законодательство Европейская Конвенция «О защите физических лиц при автоматизированной обработке персональных данных» от 28. 01. 1981 г. Директива 95/46/ЕС «О защите прав частных лиц применительно к обработке персональных данных» от 24. 10. 1995 г. Директива 97/66/ЕС «Об использовании персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций» от 15. 12. 1997 г. ü подписана от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года ü ратифицирована Федеральным законом № 160 от 19 декабря 2005 года Российское законодательство Федеральный закон Российской Федерации от 27 июля 2006 г. № 152 «О персональных данных» Федеральный закон Российской Федерации от 25 июля 2011 г. N 261 «О внесении изменений в Федеральный закон «О персональных данных» »
Российское законодательство по защите персональных данных ФЗ № 152 от 27 июля 2006 «О персональных данных» Постановление Правительства РФ № 781 от 17 ноября 2007 г. «Об обеспечении безопасности персональных данных при их обработке в ИСПДн» Постановление Правительства РФ № 687 от 15 сентября 2008 г. «Об особенностях обработки персональных данных без использования …» Совместный приказ ФСБ, ФСТЭК, Минкомсвязи Административный регламент Роскомнадзора Методические документы ФСТЭК России Методические документы ФСБ России Организации всех форм собственности и физ. лица Организации банковской сферы Комплекс Стандарта Банка России ФЗ № 261 от 25 июля 2011 «О внесении изменений…»
Основные определения Что? Когда? • Персональные данные • любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) • Оператор • государственный орган, … юридическое …лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных … • Обработка персональных данных • любое действие (операция) …, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными …
Обработка совместно с другими лицами • Дает согласие на обработку Субъект ПДн Оператор «Обработчик» • Несет ответственность перед Субъектом ПДн • Получает согласие на обработку от Субъекта ПДн • Готовит поручение оператора • Перечень действий с ПДн • Цели обработки ПДн • Соблюдение конфиденциальности • Требования по защите ПДн • Несет ответственность перед Оператором • Не обязан получать согласие Субъекта ПДн на обработку
Основания обработки ПДн Условия, определенные в ч. 1 ст. 6 Обязательное письменное согласие субъекта ПДн Согласие Субъекта ПДн Основание обработки ПДн
Меры по обеспечению безопасности, закрепленные в 152 -ФЗ q. Определение угроз безопасности q. Применение организационных и технических мер в соответствии с установленными Правительством РФ уровнями защищенности q. Использование СЗИ, прошедших процедуру оценки соответствия q. Оценка эффективности применяемых мер до ввода ИСПДн в эксплуатацию q. Назначение лица, ответственного за организацию обработки ПДн q. Контроль за принимаемыми мерами и уровнем защищенности ПДн q. И т. д. Ассоциации, союзы и иные объединения операторов вправе определить дополнительные угрозы безопасности ПДн, актуальные при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов
Российское законодательство по защите персональных данных сегодня ФЗ № 152 от 27 июля 2006 г. «О персональных данных» В редакции ФЗ № 261 от 25 июля 2011 г. Постановление Правительства РФ № 781 от 17 ноября 2007 г. «Об Обеспечении безопасности персональных данных при их обработке в ИСПДн» Постановление Правительства РФ № 687 от 15 сентября 2008 г. «Об особенностях обработки персональных данных без использования …» Совместный приказ ФСБ, ФСТЭК, Минкомсвязи Методические документы ФСТЭК России Организации всех форм собственности и физ. лица Административный регламент Роскомнадзора Методические документы ФСБ России Организации банковской сферы Комплекс Стандарта Банка России
Основные направления деятельности по защите персональных данных Защита от НСД к информации - управление доступом - регистрация и учет - обеспечение целостности - межсетевое экранирование - антивирусная защита - анализ защищенности (сетевые сканеры) Защита информации от утечки по техническим каналам - утечка ПДн по каналу ПЭМИН - утечка ПДн по акустическому каналу - обеспечение физической защиты ПДн ФСТЭК России ФСБ России Криптографическая защита - защита ПДн при их передаче по каналам связи - защита информации, хранимой в ИСПДн - защита съемных носителей информации - использование ЭЦП - применение СОВ Примечание: выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы… (п. 1. 4 Приказа ФСТЭК № 58)
Обязанности оператора по обеспечению безопасности персональных данных Правовые • Обоснование законности обработки ПДн • Уведомление уполномоченного органа до начала обработки ПДн • Поручение оператора • И др. Организационные • Назначение ответственного за организацию обработки ПДн • Издание документов, определяющих политику Оператора • Оценка вреда, который может быть причинен субъекту • И др. Технические • Определение угроз безопасности • Применение СЗИ, прошедших в установленном порядке процедуру оценки соответствия • Обнаружение фактов несанкционированного доступа • И др.
Обязанности оператора Обработка ПДн Неточные ПДн Неправомерная обработки ПДн Блокирование ПДн Подтверждение Уточнить в течение 7 рабочих дней Прекратить в течение 3 рабочих дней. В противном случае – уничтожить в течение 10 рабочих дней Обработка ПДн Достижение цели обработки Отзыв согласия субъекта Прекратить обработку и уничтожить ПДн в течение 30 рабочих дней Отсутствие возможности уничтожения Блокирование ПДн и их уничтожение в срок, не более 6 месяцев
Регуляторы в сфере защиты ПДн РОСКОМНАДЗОР Уполномоченный орган по защите прав субъектов персональных данных: ü Государственный контроль и надзор за обработкой ПДн ü Ведение реестра операторов ü Применение мер профилактического и пресекательного характера, направленных на недопущение нарушений в сфере защиты ПДн ФСТЭК России Уполномоченный орган в области противодействия техническим разведкам и технической защиты информации ФСБ России Уполномоченный орган в области обеспечения криптографической и инженерно-технической защиты информации ФСТЭК России и ФСБ России определены как регуляторы для государственных ИС, однако, по решению Правительства, ФСТЭК России и ФСБ России могут быть регуляторами для определенных видов деятельности (не являющимися государственными ИС) без права ознакомления с ПДн
Основания для плановой проверки Роскомнадзором Начало осуществления оператором деятельности по обработке персональных данных Истечение 3 х лет со дня государственной регистрации оператора в качестве юридического лица, индивидуального предпринимателя Истечение 3 х лет со дня окончания проведения последней плановой проверки оператора Плановая проверка
Основания для внеплановой проверки Роскомнадзором Поступление сведений о возникновении угрозы причинения вреда жизни, здоровью граждан или причинение вреда жизни, здоровью граждан Нарушение оператором прав и законных интересов субъектов либо требований законодательства Приказ руководителя Службы, изданный в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации Истечение срока исполнения ранее выданного предписания об устранении выявленных нарушений Несоответствие сведений в уведомлении об обработке фактической деятельности. Нарушение Оператором требований законодательства Внеплановая проверка
Осуществление проверки - Составление Акта проверки - Утверждение Плана проверки - Согласование внеплановой проверки с органами прокуратуры - Уведомление о плановой проверке за 3 дня - Уведомление о внеплановой проверке за 24 часа - Выдача предписания об устранении нарушений - Передача материалов в суд или в органы прокуратуры Срок проведения проверки – до 20 рабочих дней. При необходимости может быть продлен на срок до 20 рабочих дней.
Результаты проведенных проверок 148 284 741 1420 449 804 Внеплановые проверки Плановые проверки На 2012 год запланировано 1674 плановые проверки 2009 г. 2010 г. 2011 г. 86 78 000 ? ? 2996 Результаты переданы в суд 4 480 000 Общая сумма штрафов
Риски неисполнения требований законодательства Неисполнение требований 152 -ФЗ влечет для бизнеса компании риски следующего характера: § Гражданские иски со стороны клиентов или работников § Приостановление или прекращение обработки персональных данных в компании § Привлечение компании и (или) ее руководства к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности § Приостановление действия или аннулирование лицензий на основной вид деятельности компании § Репутационные риски § Риски недобросовестной конкуренции (приостановления деятельности компании с подачи конкурентов при имеющихся нарушениях правил защиты персональных данных)
Ответственность ст. 24, 152 -ФЗ: Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность Ø Дисциплинарная ТК РФ: статьи 81, 90, 195, 237, 391 Максимум: возмещение морального вреда сотруднику, получившему ущерб от разглашения его ПДн Ø Административная Ко. АП РФ: статьи 13. 11, 13. 12, 13. 13, 13. 14, 19. 5, 19. 7, 19. 20 Максимум: 250 000 р. + приостановление деятельности на срок до 90 суток + дисквалификация должностного лица на срок до 3 -х лет + конфискация средств защиты Ø Уголовная УК РФ: статьи 137, 140, 272, 273, 274 Максимум: 300 000 р. + принудительные работы на срок до 4 х лет + арест до 6 -ти месяцев + лишение права занимать должность на срок до 5 -ти лет
Проект по созданию системы защиты персональных данных q. Консалтинг q. Техническая реализация q. Постпроектное сопровождение
Консалтинг q Анализ рисков и вариантов по их минимизации или устранению q Несколько вариантов реализации системы защиты ПДн q Разработка организационнораспорядительной документации, q перечень необходимых СЗИ, работ и документов с указанием стоимости и сроков q отсутствие проблем при внедрение СЗИ
Перечень документов, разрабатываемых Softline в ходе проектной деятельности Материалы проектирования - материалы предпроектного обследования - результаты технического проектирования (материалы разработки и обоснования мероприятий по защите ПДн, описание облика системы защиты ПДн) - результаты опытной эксплуатации и итоговых испытаний Эксплуатационные документы Организационнораспорядительные документы - акты, журналы , перечни - положения - инструкции по эксплуатации и правила пользования - приказы - формы и соглашения - технические регламенты - матрица доступа - должностные инструкции - описание технологического процесса - протоколы испытаний Примечание: указанная документация создаёт необходимую основу для осуществления контроля и надзора за обработкой персональных данных со стороны уполномоченных органов (ФСБ, ФСТЭК, Роскомнадзор)
Техническая реализация проекта q Поставка и внедрение сертифицированных средств защиты информации q Тестирование и отладка процессов q Обучение персонала q Сопровождение и контроль
Постпроектное сопровождение q Актуализация документов q Техническая поддержка q Повышение квалификации персонала
Наши проекты ü Крупная энергогенерирующая компания Российской Федерации Класс 2, 50 АРМ, количество площадок – 3 ü Лидер по производству молочной продукции Класс 1, 2500 АРМ, количество площадок – 54 ü Префектура ЮЗАО г. Москвы Класс 2, 400 АРМ, количество площадок – 13 ü Комитет государственных услуг г. Москвы Класс 2, 600 АРМ, количество площадок – 3 ü Управление делами Президента Класс 2, 230 АРМ, количество площадок – 4 ü Крупная компания в области сетей быстрого питания Класс 3, 550 АРМ, количество площадок – 98 ü Крупный гостиничный комплекс Класс 2, 700 АРМ, количество площадок – 11
Наши проекты ü Крупный международный банк Класс 2, 150 АРМ, количество площадок – 3 ü Компания-лидер сектора FMCG Класс 2, 600 АРМ, количество площадок – более 200 по России ü Нефтедобывающая компания Класс 2, 200 АРМ, количество площадок – 4 ü Крупный НПФ Класс 2, 120 АРМ, количество площадок – 15 по России ü Международная инвестиционная компания Класс 2, 70 АРМ, количество площадок – 2
Лицензии Softline Лицензия ФСБ на выполнение работ, связанных с использованием сведений, составляющих государственную тайну Лицензия ФСБ на осуществление технического обслуживания шифровальных (криптографических) средств Лицензия ФСБ на осуществление распространения шифровальных (криптографических) средств Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации Лицензия ФСТЭК на деятельность по разработке и (или) производству средств защиты конфиденциальной информации
Наши партнерские статусы Symantec Platinum Partner Symantec Authorized Technical Assistance Partner (первый в России!) Symantec Endpoint Management Specialization Check Point Certified Collaborative Support Provider (CCSP) Check Point Authorized Training Center (ATC) Mc. Afee Authorized Distributor Mc. Afee Elite Solution Provider 2007 Mc. Afee Certified Training center Kaspersky Authorized Distributor Clearswift Authorized Distributor Infowatch Business Partner Microsoft Gold Certified Partner (Security Solution) Trend Micro Authorized Technical Support Center Trend Micro Premium Partner Trend Micro Authorized Distributor Surf. Control Valued Member of Surf. Control’s Worldwide Channel Programm Aladdin Distributor ESET Corporate Premier Partner Kaspersky Lab. Premier Partner Agnitum Outpost Premium Reseller RSA Solutions Partner CA Premier Partner GFI Gold Authorized reseller и другие…
Хотите узнать больше? (495)232 -00 -23 (# 1461) Vitaliya. Lepekhina@softline. ru
Скачать презентацию Закон О персональных данных требования регуляторы реализация Виталия
softline_pdp.pptx