Безопасность персональных данных Артем Агеев @4rt3m Остерегайтесь мошенников! «Консалтинг» Статья 13.13 КоАП. Незаконная деятельность в области защиты информации Штраф до 20 000 рублей, конфискация средств защиты информации. Установка или обслуживание средств защиты без лицензии ФСТЭК (ФСБ) Статья 171 УК РФ. Незаконное предпринимательство Штраф до 500 000 рублей, либо лишение свободы до 5 лет. Особенности законодательства Персональные данные – сведения, конфиденциальность которых устанавливается государством Персональные данные есть в каждой организации ВЫВОД Каждая организация обязана выполнить ряд мероприятий по защите персональных данных Особенности законодательства - 2 • • • • Нет единых требований Нет рекомендованных шаблонов Ежемесячные изменения в нормативной базе Отсутствуют либо быстро устаревают отраслевые рекомендации Рособразование Нормативное дерево 152-ФЗ «О ПДн» ПП687 ПП512 ПП781 ПП211 ПП1119 Без автоматизации БиоПДн ИСПДн Меры для Г(М)О Уровни защищенности Приказ ФСТЭК ФСБ Минсвязи 55/86/20 Классификация ИСПДн ФСТЭК 58 ФСБСКЗИ СКЗИ ФСБ ФСТЭКМУ МУ ФСТЭК ФСБ ФСТЭК ЮФО Регламент проверок ФСТЭК 21 СОИСО ФСТЭК 17 ГИС РКН ФСТЭК Регламент проверок Методические рекомендации РКН Перечень государств РКН Обезличивание РКН Разъяснения Регуляторы РОСКОМНАДЗОР www.rsoc.ru @roscomnadzor ФСТЭК www.fstec.ru ФСБ www.fsb.ru • орган по защите прав субъектов ПДн; • основной «проверяющий»; • реестр операторов ПДн. • техническая защита ИСПДн (кроме криптографии); • сертификация СЗИ и аттестация ИСПДн. • техническая защита ИСПДн (криптография); • запасной «проверяющий»; • сертификация СКЗИ. Роскомнадзор По письменному запросу оператор обязан (ч.4 ст.18.1 152-ФЗ) предоставить: • Уведомление либо справку о причинах неуведомления; • уровень защищённости ИСПДн; • меры по защите ПДн; • средства защиты и средства шифрования; • и другая информация.. • Информацию об ответственном за организацию обработки персональных данных; • Внутренние документы по защите персональных данных; • Сведения о правовых, организационных и технических мерах по обеспечению безопасности ПДн; • Сведения о внутреннем контроле и аудите безопасности персональных данных; • Оценку вреда субъектам в случае нарушения организацией норм 152-ФЗ; • Сведения об ознакомлении персонала с документами в области ПДн. 178 протоколов Улыбнитесь, вас «мониторят»! Штрафы Роскомнадзор готовит поправки в КоАП 1. Количество статей КоАП за нарушения обработки ПДн увеличится с 1 до 4 2. Увеличат размеры штрафов до 500 000 рублей 3. РКН получит право составлять протоколы по новым статьям Организация обработки ПДн Уведомление о начале обработки Статья 22 152-ФЗ. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган о своем намерении осуществлять обработку персональных данных. Статья 19.7 КоАП. Непредставление сведений (информации). Штраф 5 тысяч рублей (+ проверка) http://pd.rkn.gov.ru/operators-registry/notification/form/ ТК РФ Статья 86. Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников. Разъяснения Роскомнадзора http://rkn.gov.ru/news/rsoc/news17877.htm Кадровые вопросы http://rkn.gov.ru/docs/Raz6jasnenija_RKN_po_biometrii_okonchatel6naja_versija.doc О ксерокопиях паспортов, фотографиях в личном деле, рентгеновских снимках и др. ПДн на бумаге 1. 2. 3. 4. 5. 6. 7. 8. Постановление Правительства №687 Требования к анкетам сведения о цели обработки персональных данных; имя (наименование) и адрес оператора; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения персональных данных; сроки обработки персональных данных; перечень действий с персональными данными; общее описание используемых оператором способов обработки персональных данных; поле, для отметки о своем согласии на обработку персональных данных. Требования к местам хранения Должен быть установлен перечень лиц, имеющих доступ к материальным носителям; Должны быть утверждены места хранения персональных данных; Должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Передача персональных данных Если организация передает персональные данные субъектов в рамках договора, то: Договор должен включать (ч.4 ст.6 152-ФЗ): 1. перечень действий с персональными данными; 2. цели обработки; 3. обязанность соблюдения конфиденциальности и обеспечения безопасности; 4. требования к защите ПДн в соответствие с ст.19 152-ФЗ. Организация несет ответственность перед субъектам (ч.6 ст.6 152-ФЗ); Организация-обработчик должна иметь лицензию ФСТЭК по ТЗКИ (см. информационное сообщение Федеральной службы по техническому и экспортному контролю от 30 мая 2012 г. № 240/22/2222). Dnevnik.ru и прочие 152-ФЗ, Статья 6. 3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона. 5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Dnevnik.ru и прочие Списки учащихся и преподавателей Нарушения и наказания Как попасть под проверку? 1. Быть в плане проверок ФСТЭК, ФСБ, РКН (http://plan.genproc.gov.ru/plan2014/) 2. Не отреагировать на письменный запрос РКН 3. Попасть под «мониторинг» 4. Нарушить права субъекта персональных данных Типовые нарушения http://rkn.gov.ru/docs/Otchet_2013_UZPSPD_RSPECTR.doc Типовые нарушения Ст. 13.11 КоАП. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) ФГБОУ ВПО «Сибирский государственный индустриальный университет» вывесил у деканата списки студентов В шаблоне анкеты ООО «Аварийный комиссар» не было адреса организации, целей обработки ПДн и др В типовой форме согласия на обработку ПДн ЗАО «Юлмарт» отсутствовало наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора У Администрации Юргинского муниципального района отсутствовал утвержденный перечень мер, необходимых для обеспечения сохранности персональных данных Типовые нарушения Ст. 13.11 КоАП. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Сведения в уведомлении ОАО «ТАВС «Кубань» не соответствовали действительности (сменился адрес) ООО Управляющая компания «Кречет» - не утверждены места хранения бумажных носителей, не утвержден перечень лиц, имеющих доступ к бумажным ПДн Банк «Платежные системы» обрабатывал персональные данные близких родственник без их согласия ООО «УК «Свой Дом». В договоре с организацией отсутствовало условие обеспечения конфиденциальности Прецеденты http://pd.rkn.gov.ru/press-service/subject1/news3836/ Прецеденты УО Прецеденты УО Прецеденты УО Прецеденты http://30.rkn.gov.ru/news/news57301.htm Прецеденты http://rkn.gov.ru/news/regions/news15011.htm Прецеденты http://ufa.procrb.ru/rss/?ELEMENT_ID=2363 Установка и настройка СЗИ (СКЗИ) Контроль эффективности СЗИ, Аттестация/переаттестация Организационное обеспечение защиты ПДн Участие в проверках РКН, ФСБ, ФСТЭК Обучение, инструктаж, контроль знаний персонала Расследование инцидентов Защищенный документооборот. Услуги удостоверяющего центра. Онлайн сервис по разработке документов WWW.DOCSHELL.RU WWW.DOCSHELL.RU/WEBINARS Спасибо за внимание! Есть вопросы? Артем Александрович Агеев @4rt3m www.itsec.pro (861) 279-32-00 www.rosint.net a.ageev@rosint.net @RosIntegratsia МОРАЛЬНЫЙ УЩЕРБ ШТРАФ на должностное лицо ПРОВЕРКА ФСТЭК и ФСБ ОТЗЫВ ЛИЦЕНЗИИ АУДИТ ОСТАНОВКА РАБОТЫ АТТЕСТАЦИЯ СРЕДСТВА ЗАЩИТЫ ДОКУМЕНТЫ ШТРАФЫ