RSS    

Видеокурсы

Видеокурсы по ВТ

Опасности в социальных сетях

Социальные сети

Программы для бесплатного просмотра online tv...  

Компьютер заражен? Есть несколько вариантов вылечить ПК...

Стандарт LTE - Long-Term Evolution - или стандарт связи четвертого поколения (4G) считается перспективным... 



Информационная безопасность: изменения законодательства и практика правоприменения

 

 

 

 1. Наиболее значимые изменения российского законодательства в области информационной безопасности за последний год.

 

Наиболее значимые изменения за последний год

1.  Существенная корректировка законодательствао персональных данных, незаконченная до настоящего времени.

2.  Изменения в лицензировании деятельности, связанной с информационной безопасностью.

3.  Регулирование вопросов информационной безопасности в Национальной платежной системе.

4.  Введение ответственности провайдера за контент,  "черные списки" в Интернете.

5.  Уточнение понятий конфиденциальности и ограничения доступа к информации.

 

Причины происходящих изменений

1.  Необходимость совершенствования законодательства в связи с изменениями в смежных областях, складывающейся практикой правоприменения и выявляемыми недостатками и несоответствиями.

2.  Появление новых областей деятельности, для которых ИБ является критичной (НПС, СМЭВ, электронные государственные услуги и др.).

3.  Ужесточение контрольных и надзорных функций государства в целом.

4.  Вступление России в ВТО и необходимость закрепления особых правил регулирования в некоторых областях.

 

Направленность происходящих изменений

1.  Усиление государственного влияния на обеспечение информационной безопасности и государственного регулирования связанной с ней деятельности.

2.  Упрощениепорядка использования информации ограниченного доступа, в том числе – о гражданах, в целях выполнения государственных функций.

3.  Противодействие угрозам в информационной сфере в условиях цифрового мира и усиления противоправной деятельности в сети Интернет.

4.  Усиление ответственности за невыполнение установленныхгосударством требований и правил.

 

Возможные последствия происходящих изменений

1.  Существенный рост рисков для предприятий и организаций, связанных с невыполнением требований государственных регуляторов.

2.  Повышение ответственности, в том числе материальной, за невыполнение требований до уровня, критичного для бизнеса в целом.

3.  Неизбежный в перспективе перенос значительной части споров (с работниками, контрагентами, органами исполнительной власти), связанных с проблемами информационной безопасности, в суды.

4.  Необходимость корректировки отношения руководителей (в первую очередь – коммерческих организаций) к вопросам соответствия требованиям в области ИБ.

 

2.  Законодательство о персональных данных. ФЗ-261– новая редакция закона, а не перечень поправок.

 

1.  Значительное изменение понятийного аппарата (определение персональных данных, оператора, способов обработки, обрабоки без использования средств автоматизации, биометрии и т.д.). 

2.  Приоритет цели обработки и ее центральное место в законе (вместо согласия субъекта).

3.  Появление новых обязанностей оператора (ст.18.1),  перенос в закон требований по технической защите (ст.19).

4.  Появление в законе обработчика (лица, осуществляющего обработку персональных данных по поручению оператора).

 

Цель обработки как краеугольный камень закона

Ст.5.Принципыобработкиперсональныхданных

1. Обработка должна  ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных.

2. Не допускается объединение баз ПДн, обработка которых осуществляется в целях, несовместимых между собой.

3. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

4. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

5. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных.

 

Цель обработки упоминается в законе около 50 раз!

 

Оператор-лицо, определяющее цели обработки.

В поручении оператора на обработку персональных данных другому лицу должны быть определены цели обработки.

Согласие в письменной форме субъекта персональных данных на обработку должно включать в себя цели обработки.

Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные не являются необходимыми для заявленной цели обработки.

 

Базовые подходы к обработке и правовые основания для нее

Новые основания для обработки:

•  осуществление правосудия, исполнение судебного акта;

•  предоставление государственной или муниципальной услуги;

•  исполнение или заключение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект;

•  осуществление прав и законных интересов оператора или третьих лиц, достижение общественно значимыхцелей;

•  обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом либо по его просьбе.

 

Персональные данные и   судебные приставы

Федеральный закон от 27.07.2010 № 213-ФЗ "О внесении изменений в ФЗ "О судебных приставах" ист.64-ФЗ "Об исполнительном производстве" по вопросам предоставления судебным приставам персональных данных

Ст.12п.1. В процессе принудительного исполнения судебных актови актов других органов, предусмотренных федеральным законом  об исполнительном производстве, судебный пристав-исполнитель:

 

…получает и обрабатывает персональные данные при условии, что они необходимы для своевременного, полного и правильного исполнения исполнительных документов, в объеме, необходимом для этого.

 

Статья14. Обязательность требований судебного пристава

 

2. Информация, в том числе персональные данные, документы и их копии, необходимые для осуществления судебными приставами своих функций, предоставляются по их требованию безвозмездно и в установленный ими срок.

 

Федеральный закон от 02.10.2007 № 229-ФЗ "Об исполнительном производстве"

С 1 января 2012 года:

Статья6.1. Банк данных в исполнительном производстве

 

1.ФССП создает и ведет, в том числе в электронном виде, банк данных, содержащий сведения, необходимые для осуществления задач по принудительному исполнению судебных актов, актов других органов и должностных лиц (далее- банк данных).

4.Сведения [содержащиеся в банке данных] являются общедоступными…

 

Обязательное медицинское страхование

Статья20. Праваи обязанности медицинских организаций

 

1.Медицинские организации имеют право:

2) вести в соответствии с настоящим законом персонифицированный учет сведений о медицинской помощи, оказанной застрахованным лицам;

 

Персональные данные и образование

Органы и организации… осуществляют передачу, обработку и предоставление полученных в связи с проведением единого государственного экзамена и приема граждан в образовательные учреждения персональных данных обучающихся, участников ЕГЭ, лиц, привлекаемых к его проведению, а также лиц, поступающих в образовательныеучреждения,  …без получения согласия этих лиц на обработку.

 

3.  Есть ли в российских законах конфиденциальная информация и что это такое?

 

Конфиденциальность информации

Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Обязательным является соблюдение конфиденциальности информации,  доступ к которой ограничен федеральными законами.

 

Есть ли конфиденциальная информация в законах?

Федеральный закон от 11.07.2011 № 200-ФЗ "О внесении изменений в отдельные законодательные акты РФ в связи с принятием Федерального закона"Об информации, информационныхтехнологияхи о защите информации"

Слова "Конфиденциальная информация" заменить словами"Информации, в отношении которой установлено требование об обеспечении ее конфиденциальности" - 17законов.

 

Слова "Конфиденциальная информация"заменить словами"информацией ограниченного доступа" - 5законов.

 

А где осталось?

 Статья12. Перечень видов деятельности,  на которые требуются лицензии

 

1.В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:

5) деятельность по технической защите конфиденциальной информации.

 

Чтобы было понятно

Постановление Правительства РФ от 03.02.2012 № 79 "О лицензировании деятельностипо технической защите конфиденциальной информации"

Конфиденциальная информация= Информация, не содержащая сведения, составляющие государственную тайну,  но защищаемая в соответствии с законодательством РФ.

 

Часто любят вспоминать

Указ Президента Российской Федерации от 06.03.1997 № 188 "Об утверждении перечня сведений конфиденциального характера"

В целях дальнейшего совершенствования порядка опубликования и вступления в силу актов Президента, Правительства РФ и нормативных правовых актов федеральных органов исполнительной власти постановляю утвердить прилагаемый Перечень сведений конфиденциального характера.

 

4.  Ограничение информаци и о деятельности органов государственной ласти и местного самоуправления.

Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну,  служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

 

Ограничение доступа

Доступ к информации о деятельности государственных органов и органов местного самоуправления ограничивается в случаях, если указанная информация отнесена в установленном федеральным законом порядке к сведениям, составляющим государственную или иную охраняемую законом тайну.

Перечень сведений, относящихся к информации ограниченного доступа, а также порядок отнесения указанных сведений к информации ограниченного доступа устанавливается федеральным законом.

 

Не стоит забывать о сфере действия

Постановление Правительства РФ от 03.11.1994 №1233 (ред.от 20.07.2012) "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и уполномоченном органе управления использованием атомной энергии"

Установить, что служебная информация, содержащаяся в подготавливаемых в федеральных органах исполнительной власти проектах указов и распоряжений Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, других служебных документов, не подлежит разглашению (распространению).

 

Настоящее Положение определяет общий порядок обращения с документами и другими материальными носителями информации (далее - документами), содержащими служебную информацию ограниченного распространения, в ФОИВ и УОИАЭ, а также на подведомственных им предприятиях, в учреждениях и организациях (далее- организациях).

 

5. Информационная безопасность при предоставлении государственных и муниципальных услуг в электронном виде.

 

Согласие заявителя на обработку информации о нем

Федеральный закон от27.07.2010 № 210-ФЗ  "Об организации предоставления государственных и муниципальных услуг"

 

5. Для обработки информации,  которая связана с правами и законными интересами заявителя,  доступ к которой ограничен  федеральными законами,  за исключением персональных данных и сведений, составляющих государственную и  налоговую тайну, и которая имеется в распоряжении органов, предоставляющих услуги, и иных органов,  либо подведомственных им организаций, такими органами и организациями в целях представления указанной в настоящей части информации в орган, предоставляющий услугу либо подведомственную ему организацию,  либо МФЦ на основании межведомственных запросов  таких органов или организаций для предоставления государственной или муниципальной услуги по запросу заявителя требуется получение согласия заявителя. Согласие может быть получено и представлено как в форме документа на бумажном носителе, так и вформе электронного документа.                                                        

 

Перевод на русский язык:

 

Для оказания конкретному гражданину государственной или муниципальной услуги, в случаях, если это оказание требует получения информации от другого органа власти (управления) информации,  доступ к которой ограничен федеральными законами,  или передачи такой информации,  необходимо получить от заявителя конкретно выраженное согласие на обработку(в том числе передачу от одного органа другомув рамках межведомственного обмена) такой информации. Этого не требуется в трех случаях: когда обрабатываемые в рамках услуги сведения являются персональными данными, составляют государственную или налоговую тайну.

  

Персональные данные при оказании госуслуг

Федеральный закон от 7.07.2010 № 210-ФЗ "Оборганизации предоставления государственных и муниципальных услуг"

Органам и организациям, предоставляющим государственные и муниципальные услуги,  для обработки персональных данных, в том числе для передачи в другие органы и организации в целях предоставления услуги, а также регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг и на региональных порталах государственных и муниципальных услуг не требуется получение согласия заявителя как субъекта персональных данных в соответствии с требованиям и статьи 6 Федерального закона № 152-ФЗ "Оперсональных данных".

30

В случае,  если для предоставления государственной или муниципальной услуги необходимо представление документов и информации об ином лице,  не являющемся заявителем,  заявитель дополнительно представляет документы, подтверждающие наличие согласия указанных лиц или их законных представителей на обработку персональных данных указанных лиц. Указанные документы могут быть представлены в том числе в форме электронного документа.

 

Налоговая тайна при оказании госуслуг

Федеральный закон от 27.07.2010 № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг"

Все органы,  участвующие в предоставлении услуг, в том числе – налоговые, предоставляют друг другу информацию,  которая относится к налоговой тайне, без согласия субъекта. Такое предоставление информации не является разглашением налоговой тайны.

 

6.  Информационная безопасность национальной платежной системы. Требования,  регуляторы,  ответственность.

 

Защита информации в НПС

 

Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечиватьзащиту информации:

- о средствах и методах обеспечения ИБ, персданных и об иной информации, подлежащей обязательной защите, –в соответствии с требованиями, установленными Правительством РФ.                                 

- при осуществлении переводов денежных средств - в соответствии с требованиями, установленными Банком России.

  

Контроль за соблюдением установленных требований

За требованиями, установленными Правительством РФ - ФСБ России и ФСТЭК России.

За требованиями, установленными Банком России - Банк Россиив порядке, согласованном с ФСБ России и ФСТЭК России.

 

 

Требования, установленные Правительством РФ

Постановление Правительства РФот 13.06.2012 № 584 "Обутверждении Положения о защите информации в платежной системе" (вступилов силус 1июля 2012г.)

Перечень используемых средств защиты:

•  шифровальные (криптографические) средства,

•   средства защиты информации от несанкционированного доступа,

•  средства антивирусной защиты,

•  средства межсетевого экранирования,

•  системы обнаружения вторжений,

•  средства контроля (анализа) защищенности.

 

Порядок действий оператора платежной системы

Назначение структурного подразделения (возложение на службу ИБ) или должностного лица, ответственного за организацию защиты информации в платежной системе.

В соответствии с выбранной организационной моделью управления рисками в платежной системе определение зоны ответственности за риски, связанныес ИБ, выявление и обработка рисков.

Проектирование системы защиты информации, обеспечивающей снижение выявленных рисков до приемлемого уровня и нейтрализацию актуальных угроз безопасности.

Установление правил доступа к средствам обработки информации.

Разработка пакета локальных  нормативных документов, устанавливающих порядок реализации требований к защите информации.

Организация мониторинга за выполнением установленных правил, выявление инцидентов и реагирование на них. Результаты документируются не реже1 раза в 2 года, привлекая при необходимости лицензиатов в области ТЗКИ (в соответствии с Постановлением Правительства № 79 контроль защищенности конфиденциальной информации от несанкционированного доступа и модификации – лицензируемый вид деятельности).

 

Ответственность за нарушение установленных требований

Статья 15.36. Неисполнение предписания БанкаРоссии, направленного им при осуществлении надзора в национальной платежной системе (введена ФЗ от 27.06.2011 № 162- ФЗ)

Повторное в течение года неисполнение…предписания Банка России, направленного им при осуществлении надзора в национальной платежной системе, - влечет наложение административного штрафа на должностных лиц в размере от 30 тысяч до 50 тысяч рублей; на юридических лиц - от100тысяч до 500 тысяч рублей.

 

7.  Лицензирование деятельности в областии нформационной безопасности – новый закон,  новые положения.

 Лицензируемые виды деятельности

 Статья12. Перечень видов деятельности,  на которые требуются лицензии

 

1. В соответствии с настоящим Федеральным законом лицензированию подлежатследующие виды деятельности:

 5)деятельность по технической защите конфиденциальной информации.

  

Лицензирование деятельности, связаннойсшифрованием

Постановление Правительства РФ от 16.04.2012 № 313 

"Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)"

 

 

Позиция Прокуратуры РФ

05 апреля 2012 года 

Прокуратурой г.Уфы выявлены нарушения законодательства о защите персональных данных

 

Прокуратурой г.Уфы проведена проверка соблюдения законодательства о защите персональных данных в ООО"Исток-Сервис" и ООО"Инфорсер" при оказании справочно-консультационных услуг при отделе государственного технического осмотра и регистрации автомототранспортных средств ГИБДД УМВД России по г.Уфа.

Установлено, что указанные юридические лица, осуществляли обработку персональныхданных …без соответствующей лицензии на деятельность по технической защите информации, и не принимали предусмотренных федеральным законодательством мер организационного, технического характера по защите персональных данных клиентов, что могло повлечь нарушение конституционных прав граждан на неприкосновенность частной жизни.

По данному факту, с целью устранения нарушений действующего законодательства, прокуратурой г.Уфы в Октябрьский районный суд г.Уфы направлены исковые аявления о приостановлении и признании незаконной деятельности ООО"Исток-Сервис" и ООО"Инфорсер"по обработке и хранению персональных данных, которые находятся на рассмотрении.     

 

8.  Обязательная сертификация средств защиты информации как форма оценки соответствия. Ввоз криптографических средствв Россию – как не нарушить таможенные правила.

 

Ограничения использования средств защиты информации

Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

[Ограничения вводятся путем создания системы сертификации СЗИ и установлением случаев, когда применение сертифицированных СЗИ является обязательным]

 

Техническое регулирование

Особенностио ценки соответствия продукции (работ, услуг), а также соответственно процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации или уполномоченными им федеральными органами исполнительной власти.

 

 

Постановление Правительства РФ от 15.05.2010 № 330

"Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органовпо сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции(работ, услуг)"

 

Настоящее Положение не распространяется на продукцию (работы, услуга), используемую в целях защиты информации конфиденциального характера, не являющейся государственным информационным ресурсом и (или) персональными данными, а также на связанные с ней процессы.

Оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора).

Объектом обязательной сертификации является продукция.

Объектом государственного контроля (надзора) являются продукция (работы, услуги) и процессы.

 

Ввоз криптографии

Решением Межгосударственного Совета Евразийского экономического сообщества (высшего органа таможенного союза) от 27 ноября 2009г. № 19 и Решением Комиссии таможенного союза от 27 ноября 2009г. № 132 утвержден "Единый перечень товаров, к которым применяются запреты или ограничения на ввоз или вывоз государствами - членами таможенного союза в рамках Евразийского экономического сообщества в торговле с третьими странами и положения о применении ограничений".

 

Товары, ввоз которых ограничивается

•  Машины вычислительные и их части, имеющие функции шифрования (криптографии);

•  Устройства вычислительных машин, имеющие функции шифрования (криптографии);

•  Телекоммуникационное оборудование и его части, имеющие функции шифрования (криптографии);

•  Программные шифровальные (криптографические) средства вне зависимости от носителя информации;

•  Аппаратура доступав сеть"Интернет" и телевизионные приемники с коммуникационной функцией, их части, имеющие функции шифрования (криптографии);

•  Прочие машины электрические и аппаратура, имеющие индивидуальные функции, содержащие шифровальные (криптографические) средства.

 

Порядок ввоза - вывоза

Ввоз и вывоз шифровальных средств осуществляется на основании разовых лицензий (далее- лицензий), выдаваемых уполномоченным органом государства - участника таможенного союза (далее - уполномоченный орган), на территории которого зарегистрирован заявитель.

 

Товары, подлежащие нотификации

Товары с криптографическими средства, имеющие:

 

• симметричный криптографический алгоритм с ключом длиной не более56 бит;

• асимметричный криптографический алгоритм:

а) использующий разложение на множители целых чисел, размер которых не превышает 512 бит;

б) основанный на вычислении дискретных логарифмов в группе поля размером не более 512 бит или иной размером не более 112 бит;

в) на дискретном логарифме в группе, отличного от поименованного в вышеприведенном подпункте "б" размера, не превышающего 112 бит.

 

Шифровальные (криптографические) средства, являющиеся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографическихпреобразований, протоколы взаимодействия, описание интерфейсовит.д.) на которые является доступной.

 

9. Контроль, надзор и проверки.

 

Проверки Роскомнадзора

проверки Роскомнадзора



Штрафы Роскомнадзора

штрафы Роскомнадзора

 

 

 Основания для проверок

АДМИНИСТРАТИВНЫЙ РЕГЛАМЕНТ исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных

(Приказ Минкомсвязи от14.11.2011 № 312)

 

38. Внеплановые проверки проводятся последующим основаниям:

38.4. Нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных.

38.5. Нарушение Операторами требований законодательства РФ в области персданных, а также о не соответствии сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.

 

Привлечение экспертов к проверкам

Реестры граждан и организаций, привлекаемых Роскомнадзором в качестве экспертов к проведению мероприятий по контролю при осуществлении проверок в отношении операторов, осуществляющих обработку персональных данных

 

Виды деятельности:

•  Обследование и определение уровня защищенности негосударственных ИСПДн, используемых оператором при осуществлении своей непосредственной деятельности.

•  ОценкасоответствияприменяемыхтехническихСЗИ.

•  Оценка достаточности и эффективности принимаемых оператором технических мер по обеспечению безопасности персданных при их обработке внегосударственных ИСПДн.

•  Проведение исследований, а также проведение экспертиз и расследований, направленных на установление причинно- следственной связи выявленного нарушения обязательных требований аконодательства РФ в области персданных.

 

 

 

 

 

 

 

 

 

 

Оставьте свой отзыв:

Похожие статьи:

Добавить комментарий


Защитный код
Обновить

 

Самое читаемое:

Быстрый поиск

Группа вКонтакте: новости

 

Новости в Twitter и Facebook

  подписка на новости в twitter              Подписка на новости facebook

Инструкции к программам

Инструкции к программам

Новые информационные технологии и программы