1.  Существенная корректировка законодательствао персональных данных, незаконченная до настоящего времени.

2.  Изменения в лицензировании деятельности, связанной с информационной безопасностью.

3.  Регулирование вопросов информационной безопасности в Национальной платежной системе.

4.  Введение ответственности провайдера за контент,  "черные списки" в Интернете.

5.  Уточнение понятий конфиденциальности и ограничения доступа к информации.

Причины происходящих изменений

1.  Необходимость совершенствования законодательства в связи с изменениями в смежных областях, складывающейся практикой правоприменения и выявляемыми недостатками и несоответствиями.

2.  Появление новых областей деятельности, для которых ИБ является критичной (НПС, СМЭВ, электронные государственные услуги и др.).

3.  Ужесточение контрольных и надзорных функций государства в целом.

4.  Вступление России в ВТО и необходимость закрепления особых правил регулирования в некоторых областях.

Направленность происходящих изменений

1.  Усиление государственного влияния на обеспечение информационной безопасности и государственного регулирования связанной с ней деятельности.

2.  Упрощениепорядка использования информации ограниченного доступа, в том числе – о гражданах, в целях выполнения государственных функций.

3.  Противодействие угрозам в информационной сфере в условиях цифрового мира и усиления противоправной деятельности в сети Интернет.

4.  Усиление ответственности за невыполнение установленныхгосударством требований и правил.

Возможные последствия происходящих изменений

1.  Значительное изменение понятийного аппарата (определение персональных данных, оператора, способов обработки, обрабоки без использования средств автоматизации, биометрии и т.д.). 

2.  Приоритет цели обработки и ее центральное место в законе (вместо согласия субъекта).

3.  Появление новых обязанностей оператора (ст.18.1),  перенос в закон требований по технической защите (ст.19).

4.  Появление в законе обработчика (лица, осуществляющего обработку персональных данных по поручению оператора).

Цель обработки упоминается в законе около 50 раз!

Оператор-лицо, определяющее цели обработки.

В поручении оператора на обработку персональных данных другому лицу должны быть определены цели обработки.

Согласие в письменной форме субъекта персональных данных на обработку должно включать в себя цели обработки.

Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные не являются необходимыми для заявленной цели обработки.

Базовые подходы к обработке и правовые основания для нее

Новые основания для обработки:

•  осуществление правосудия, исполнение судебного акта;

•  предоставление государственной или муниципальной услуги;

•  исполнение или заключение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект;

•  осуществление прав и законных интересов оператора или третьих лиц, достижение общественно значимыхцелей;

•  обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом либо по его просьбе.

Персональные данные и   судебные приставы

Федеральный закон от 27.07.2010 № 213-ФЗ "О внесении изменений в ФЗ "О судебных приставах" ист.64-ФЗ "Об исполнительном производстве" по вопросам предоставления судебным приставам персональных данных

Ст.12п.1. В процессе принудительного исполнения судебных актови актов других органов, предусмотренных федеральным законом  об исполнительном производстве, судебный пристав-исполнитель:

…получает и обрабатывает персональные данные при условии, что они необходимы для своевременного, полного и правильного исполнения исполнительных документов, в объеме, необходимом для этого.

Статья14. Обязательность требований судебного пристава

2. Информация, в том числе персональные данные, документы и их копии, необходимые для осуществления судебными приставами своих функций, предоставляются по их требованию безвозмездно и в установленный ими срок.

Федеральный закон от 02.10.2007 № 229-ФЗ "Об исполнительном производстве"

С 1 января 2012 года:

Статья6.1. Банк данных в исполнительном производстве

1.ФССП создает и ведет, в том числе в электронном виде, банк данных, содержащий сведения, необходимые для осуществления задач по принудительному исполнению судебных актов, актов других органов и должностных лиц (далее- банк данных).

4.Сведения [содержащиеся в банке данных] являются общедоступными…

Обязательное медицинское страхование

Статья20. Праваи обязанности медицинских организаций

1.Медицинские организации имеют право:

2) вести в соответствии с настоящим законом персонифицированный учет сведений о медицинской помощи, оказанной застрахованным лицам;

Персональные данные и образование

Конфиденциальность информации

Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Обязательным является соблюдение конфиденциальности информации,  доступ к которой ограничен федеральными законами.

Есть ли конфиденциальная информация в законах?

Федеральный закон от 11.07.2011 № 200-ФЗ "О внесении изменений в отдельные законодательные акты РФ в связи с принятием Федерального закона"Об информации, информационныхтехнологияхи о защите информации"

Слова "Конфиденциальная информация" заменить словами"Информации, в отношении которой установлено требование об обеспечении ее конфиденциальности" - 17законов.

Слова "Конфиденциальная информация"заменить словами"информацией ограниченного доступа" - 5законов.

А где осталось?

 Статья12. Перечень видов деятельности,  на которые требуются лицензии

1.В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:

5) деятельность по технической защите конфиденциальной информации.

Чтобы было понятно

Постановление Правительства РФ от 03.02.2012 № 79 "О лицензировании деятельностипо технической защите конфиденциальной информации"

Конфиденциальная информация= Информация, не содержащая сведения, составляющие государственную тайну,  но защищаемая в соответствии с законодательством РФ.

Ограничение доступа

Доступ к информации о деятельности государственных органов и органов местного самоуправления ограничивается в случаях, если указанная информация отнесена в установленном федеральным законом порядке к сведениям, составляющим государственную или иную охраняемую законом тайну.

Перечень сведений, относящихся к информации ограниченного доступа, а также порядок отнесения указанных сведений к информации ограниченного доступа устанавливается федеральным законом.

Не стоит забывать о сфере действия

Постановление Правительства РФ от 03.11.1994 №1233 (ред.от 20.07.2012) "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и уполномоченном органе управления использованием атомной энергии"

Установить, что служебная информация, содержащаяся в подготавливаемых в федеральных органах исполнительной власти проектах указов и распоряжений Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, других служебных документов, не подлежит разглашению (распространению).

Федеральный закон от27.07.2010 № 210-ФЗ  "Об организации предоставления государственных и муниципальных услуг"

5. Для обработки информации,  которая связана с правами и законными интересами заявителя,  доступ к которой ограничен  федеральными законами,  за исключением персональных данных и сведений, составляющих государственную и  налоговую тайну, и которая имеется в распоряжении органов, предоставляющих услуги, и иных органов,  либо подведомственных им организаций, такими органами и организациями в целях представления указанной в настоящей части информации в орган, предоставляющий услугу либо подведомственную ему организацию,  либо МФЦ на основании межведомственных запросов  таких органов или организаций для предоставления государственной или муниципальной услуги по запросу заявителя требуется получение согласия заявителя. Согласие может быть получено и представлено как в форме документа на бумажном носителе, так и вформе электронного документа.                                                        

Перевод на русский язык:

Для оказания конкретному гражданину государственной или муниципальной услуги, в случаях, если это оказание требует получения информации от другого органа власти (управления) информации,  доступ к которой ограничен федеральными законами,  или передачи такой информации,  необходимо получить от заявителя конкретно выраженное согласие на обработку(в том числе передачу от одного органа другомув рамках межведомственного обмена) такой информации. Этого не требуется в трех случаях: когда обрабатываемые в рамках услуги сведения являются персональными данными, составляют государственную или налоговую тайну.

Персональные данные при оказании госуслуг

Федеральный закон от 7.07.2010 № 210-ФЗ "Оборганизации предоставления государственных и муниципальных услуг"

Органам и организациям, предоставляющим государственные и муниципальные услуги,  для обработки персональных данных, в том числе для передачи в другие органы и организации в целях предоставления услуги, а также регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг и на региональных порталах государственных и муниципальных услуг не требуется получение согласия заявителя как субъекта персональных данных в соответствии с требованиям и статьи 6 Федерального закона № 152-ФЗ "Оперсональных данных".

30

В случае,  если для предоставления государственной или муниципальной услуги необходимо представление документов и информации об ином лице,  не являющемся заявителем,  заявитель дополнительно представляет документы, подтверждающие наличие согласия указанных лиц или их законных представителей на обработку персональных данных указанных лиц. Указанные документы могут быть представлены в том числе в форме электронного документа.

Защита информации в НПС

Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечиватьзащиту информации:

- о средствах и методах обеспечения ИБ, персданных и об иной информации, подлежащей обязательной защите, –в соответствии с требованиями, установленными Правительством РФ.                                 

- при осуществлении переводов денежных средств - в соответствии с требованиями, установленными Банком России.

Контроль за соблюдением установленных требований

За требованиями, установленными Правительством РФ - ФСБ России и ФСТЭК России.

За требованиями, установленными Банком России - Банк Россиив порядке, согласованном с ФСБ России и ФСТЭК России.

Требования, установленные Правительством РФ

Постановление Правительства РФот 13.06.2012 № 584 "Обутверждении Положения о защите информации в платежной системе" (вступилов силус 1июля 2012г.)

Перечень используемых средств защиты:

•  шифровальные (криптографические) средства,

•   средства защиты информации от несанкционированного доступа,

•  средства антивирусной защиты,

•  средства межсетевого экранирования,

•  системы обнаружения вторжений,

•  средства контроля (анализа) защищенности.

Порядок действий оператора платежной системы

Назначение структурного подразделения (возложение на службу ИБ) или должностного лица, ответственного за организацию защиты информации в платежной системе.

В соответствии с выбранной организационной моделью управления рисками в платежной системе определение зоны ответственности за риски, связанныес ИБ, выявление и обработка рисков.

Проектирование системы защиты информации, обеспечивающей снижение выявленных рисков до приемлемого уровня и нейтрализацию актуальных угроз безопасности.

Установление правил доступа к средствам обработки информации.

Разработка пакета локальных  нормативных документов, устанавливающих порядок реализации требований к защите информации.

Организация мониторинга за выполнением установленных правил, выявление инцидентов и реагирование на них. Результаты документируются не реже1 раза в 2 года, привлекая при необходимости лицензиатов в области ТЗКИ (в соответствии с Постановлением Правительства № 79 контроль защищенности конфиденциальной информации от несанкционированного доступа и модификации – лицензируемый вид деятельности).

 Статья12. Перечень видов деятельности,  на которые требуются лицензии

1. В соответствии с настоящим Федеральным законом лицензированию подлежатследующие виды деятельности:

 5)деятельность по технической защите конфиденциальной информации.

Лицензирование деятельности, связаннойсшифрованием

Постановление Правительства РФ от 16.04.2012 № 313 

"Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)"

Ограничения использования средств защиты информации

Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

[Ограничения вводятся путем создания системы сертификации СЗИ и установлением случаев, когда применение сертифицированных СЗИ является обязательным]

Техническое регулирование

Особенностио ценки соответствия продукции (работ, услуг), а также соответственно процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации или уполномоченными им федеральными органами исполнительной власти.

Постановление Правительства РФ от 15.05.2010 № 330

"Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органовпо сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции(работ, услуг)"

Настоящее Положение не распространяется на продукцию (работы, услуга), используемую в целях защиты информации конфиденциального характера, не являющейся государственным информационным ресурсом и (или) персональными данными, а также на связанные с ней процессы.

Оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора).

Объектом обязательной сертификации является продукция.

Объектом государственного контроля (надзора) являются продукция (работы, услуги) и процессы.

Ввоз криптографии

Решением Межгосударственного Совета Евразийского экономического сообщества (высшего органа таможенного союза) от 27 ноября 2009г. № 19 и Решением Комиссии таможенного союза от 27 ноября 2009г. № 132 утвержден "Единый перечень товаров, к которым применяются запреты или ограничения на ввоз или вывоз государствами - членами таможенного союза в рамках Евразийского экономического сообщества в торговле с третьими странами и положения о применении ограничений".

Товары, ввоз которых ограничивается

•  Машины вычислительные и их части, имеющие функции шифрования (криптографии);

•  Устройства вычислительных машин, имеющие функции шифрования (криптографии);

•  Телекоммуникационное оборудование и его части, имеющие функции шифрования (криптографии);

•  Программные шифровальные (криптографические) средства вне зависимости от носителя информации;

•  Аппаратура доступав сеть"Интернет" и телевизионные приемники с коммуникационной функцией, их части, имеющие функции шифрования (криптографии);

•  Прочие машины электрические и аппаратура, имеющие индивидуальные функции, содержащие шифровальные (криптографические) средства.

Порядок ввоза - вывоза

Ввоз и вывоз шифровальных средств осуществляется на основании разовых лицензий (далее- лицензий), выдаваемых уполномоченным органом государства - участника таможенного союза (далее - уполномоченный орган), на территории которого зарегистрирован заявитель.

Товары, подлежащие нотификации

Товары с криптографическими средства, имеющие:

• симметричный криптографический алгоритм с ключом длиной не более56 бит;

• асимметричный криптографический алгоритм:

а) использующий разложение на множители целых чисел, размер которых не превышает 512 бит;

б) основанный на вычислении дискретных логарифмов в группе поля размером не более 512 бит или иной размером не более 112 бит;

в) на дискретном логарифме в группе, отличного от поименованного в вышеприведенном подпункте "б" размера, не превышающего 112 бит.

Шифровальные (криптографические) средства, являющиеся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографическихпреобразований, протоколы взаимодействия, описание интерфейсовит.д.) на которые является доступной.

Проверки Роскомнадзора

Штрафы Роскомнадзора

 Основания для проверок

АДМИНИСТРАТИВНЫЙ РЕГЛАМЕНТ исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных

(Приказ Минкомсвязи от14.11.2011 № 312)

38. Внеплановые проверки проводятся последующим основаниям:

38.4. Нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных.

38.5. Нарушение Операторами требований законодательства РФ в области персданных, а также о не соответствии сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.

Привлечение экспертов к проверкам

• Комментарий в ВКонтакте

Добавить комментарий