lukatsky (personal data)

1/77© 2008 Cisco Systems, Inc. All rights reserved.Personal Data

Что скрывает законодательство о персональных данных?

Алексей Лукацкий

Бизнес-консультант по безопасности

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 2/77

Отношение к ПДн в России

Ориентация только на ФЗ-152

Полное незнание ратифицированной в России и имеющей бóльшую юридическую силу Европейской Конвенции

ФЗ-152 не полностью соответствует Евроконвенции

Желание регуляторов и интеграторов сделать все «по максимуму» - ни слова об оптимизации усилий

Отсутствие фундаментального понятия «баланс интересов» - субъект всегда прав

Отсутствие понимания смежных законов – ФЗ-134 и т.д.

Непривлечение юристов к данному вопросу


Точки зрения на ПДн

ПДн

Субъект

Оператор

Обработчик

Регуляторы

Законодатель

Евросоюз

Интегратор

Вендор


Насколько это серьезно?Вопрос усилий и цены


Стоимость мероприятий по защите

Мероприятие Длительность, в днях Стоимость, в рублях

Разработка документов 30-60 до 600К

Обследование 60-120 до 1М (до 25 ИС на

один объект)

Оценка затрат на

создание системы

защиты ПДн

до 120 500К - К3

800К - К2

1,2М - К1

Проектирование и

внедрение системы

защиты

120-240 см. предыдущий пункт

Итого 240-540 2,1 – 2,8М без

построения самой

системы защиты


Стоимость системы защиты

Аттестация одного АРМ – 10-15К рублей

Аттестация 2-х АРМов, установка 2-х СЗИ, монтаж генераторов шума, разработка документов – 60К рублей

Аттестация сетевой составляющей будет дороже примерно на 30%

ФСТЭК не имеет опыта аттестации сетей более чем из 100 компьютеров

Стоимость сертифицированной СЗИ – +10-15% к стоимости несертифицированного решения

Без сертификации на НДВ

Сертификация общесистемного/прикладного ПО – 130К долларов (для MS Word)

Сертификация ОС – 250К долларов


Стоимость системы защиты (окончание)

Обучение с выдачей документа гособразца – 50К рублей (за двоих)

Адекватная защита АРМ – около 200-400 долларов

Защита периметра – 5-10К долларов

Очень экономно и оптимистично

Защита сервера – около 800-1000 долларов


Длительность всего процесса

Регистрация операция ПДн – 1-2 месяца

Лицензирование ТЗКИ – 3-5 месяцев

Классификация ИСПДн – 1-3 месяца

Разработка модели угроз – 4-8 месяцев

Сертификация СЗИ – 3-6 месяцев

Аттестация – 2-6 месяцев


Интересные следствия

Время на приведение всех в соответствие

Число ИСПДн - 3-7 миллионов

Минимальный срок приведения в соответствие – 12 месяцев

Число сертификационных/аттестационных лабораторий – 100

На приведение всех в соответствие понадобится 1000 лет

Цена приведения всех в соответствие

Аттестация – 105 млрд.рублей

Сертификация – 37 млрд.рублей

Обучение – 140 млн.долларов

Защита – 80-100 млрд. долларов

Итого: 120 млрд.долларов (4 трлн.рублей) = 6% ВВП или 60% доходной части бюджета РФ


Насколько это серьезно?Вопрос наказания


Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность

Ст. 24 ФЗ-152

Наказание


Наказание по КоАП

№ Название статьи Максимальное

наказание

13.11 Нарушение установленного законом

порядка сбора, хранения, использования

или распространения информации о

гражданах (персональных данных)

10.000 руб.

13.14 Разглашение информации с ограниченным

доступом

5.000 руб.

13.12 Нарушение правил защиты информации 20.000 руб. +

конфискация +

приостановление

деятельности на

срок до 90 суток

13.13 Незаконная деятельность в области защиты

информации

20.000 руб. +

конфискация




наказание

5.27 Нарушение законодательства о труде и об

охране труда

50.000 руб. +



срок до 90 суток +

дисквалификация

должностного

лица до 3-х лет

5.39 Отказ в предоставлении гражданину

информации

1.000 руб.

19.4 Неповиновение законному распоряжению

должностного лица органа,

осуществляющего государственный надзор

(контроль)

10.000 руб.




наказание

19.6 Непринятие мер по устранению причин и

условий, способствовавших совершению

административного правонарушения

500 руб.

19.5 Невыполнение в срок законного

предписания (постановления,

представления, решения) органа

(должностного лица), осуществляющего

государственный надзор (контроль)

500.000 руб. +

дисквалификация

должностного

лица до 3-х лет

19.7 Непредставление сведений (информации) 5.000 руб.

19.20 Осуществление деятельности, не связанной

с извлечением прибыли, без специального

разрешения (лицензии)

20.000 руб. +



срок до 90 суток




наказание

20.25 Неуплата административного штрафа либо

самовольное оставление места отбывания

административного ареста

Двукратное

увеличение

штрафа


Наказание по УК

№ Название статьи Максимальное наказание

137 Нарушение неприкосновенности

частной жизни

300.000 руб. +

исправительные работы на

срок до 240 часов + арест

до 6-ти месяцев

140 Отказ в предоставлении

гражданину информации

200.000 руб. + лишение

права занимать должность

на срок до 5-ти лет

171 Незаконное предпринимательство 300.000 руб. + обязательные

работы на срок до 1-го года

+ арест до 6-ти месяцев +

лишение права занимать

должность на срок до 5-ти

лет

Материального ущерба нет, моральный вред не посчитаешь

Много волокиты, «доверие» к судебной системе

Субъект ПД – физлицо ни упущенной выгоды, ни ущерба репутации


Наказание по Трудовому Кодексу


наказание

237 Моральный вред, причиненный работнику

неправомерными действиями или бездействием

работодателя

Денежное

вознаграждение

по согласованию

195 Привлечение к дисциплинарной ответственности

руководителя организации, руководителя

структурного подразделения организации, их

заместителей по требованию представительного

органа работников

Увольнение

90 Ответственность за нарушение норм,

регулирующих обработку и защиту персональных

данных работника

Увольнение + УК

81 Расторжение трудового договора по инициативе

работодателя за разглашение охраняемой

законом тайны

Увольнение


Ключевые вопросы/проблемы


Ключевые проблемы по части ПДн

Что относится к ПДн?

Получение согласия субъекта ПДн

Уведомление Роскомнадзора

Обеспечение безопасности

Контроль и надзор


ПДн по ФЗ-152 и Евроконвенции

ФЗ-152

• Информация, которая непосредственно характеризует субъекта

• Подразумевается однозначная идентификация субъекта

Евроконвенция

• Любая информация, относящаяся к субъекту или затрагивающая его интересы

• Например, скоринг,результат аттестации персонала, e-mail и т.д.

Идентифицируемым лицом является лицо, которое может быть идентифицировано прямо или косвенно, в частности,посредством ссылки … на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности



Что такое персональные данные?

В состав ПДн включаются (помимо пунктов из ФЗ)

Сведения, связанные с поступлением на работу

Данные о супруге, детях и иных членах семьи обладателя

Данные, позволяющие определить место жительства, почтовый адрес, телефон и иные индивидуальные средства коммуникации гражданского служащего, а также его супруги (ее супруга), детей и иных членов его семьи

Данные, позволяющие определить местонахождение объектов недвижимости

Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность

Образование и владение языком

Жилищные условия


Перечни ПДн

ФЗ-16 «О транспортной безопасности»

ФЗ-27 «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»

ФЗ-129 «О государственной регистрации юридических лиц и индивидуальных предпринимателей»

ФЗ-143 «Об актах гражданского состояния»

ФЗ-179 «Трудовой кодекс РФ»

ФЗ-218 «О кредитных историях»

ФЗ-256 «О дополнительных мерах государственной поддержки семей, имеющих детей» и т.д.


Что такое биометрические ПДн

Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность

ст.11 ФЗ-152 «О персональных данных»

Геномная информация - персональные данные, включающие кодированную информацию об определенных фрагментах дезоксирибонуклеиновой кислоты физического лица или неопознанного трупа, не характеризующих их физиологические особенности

ст.1 ФЗ-242 «О государственной геномной регистрации в Российской Федерации»

Получение геномной информации осуществляется из биологического материала (ткани и выделения человека или тела /останков/ умершего человека)


О фото и видео

Исходя из определения биометрических ПДн к ним могут быть отнесены фотографии и видеоизображения субъекта ПДн

Если на видео показаны сцены интимной жизни – 1 категория

Фотографии субъекта ПДн могут обрабатываться в

Пропускных системах

Системах контроля доступа

Телефонных и адресных справочниках

Публикациях и т.д.

Видео субъекта ПДн может обрабатываться в

Системах видеонаблюдения

Системах дистанционного обучения и видеообращениях


О способах идентификации субъекта

Для определения того, является ли лицо идентифицируемым, следует принимать в расчет все средства, в равной мере могущие быть реально использованы либо оператором, либо любым иным лицом для идентификации указанного лица

Евродиректива

Учетная запись пользователя на компьютере – это тоже ПДн

Требуется контроль ВСЕХ компьютеров предприятия ;-(


О целях обработки


Цель обработки ПДн

Оператор организует и (или) осуществляет обработку персональных данных, а также определяет цели и содержание обработки персональных данных


Без определения цели вы не оператор!

Четко продумайте и зафиксируйте цель обработки ПДн – это позволит в будущем избежать многих проблем и претензий

Некоторые юристы считают, что цель обработки и содержание ПДн может определять только федеральный закон

Постатейный комментарий к ФЗ-152


Правильно выбирайте цель обработки

Хранение персональных данных должно осуществляться … не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки…


Пример цели - однократный проход посетителей в здание

Следствие – необходимо уничтожать ПДн о посетителях после их посещения. Зачем тогда их фиксировать?

Пример цели – обработка ПДн собственных сотрудников

Следствие – после увольнения сотрудника вы должны ПДнудалить. Но как быть с проверками ФОМС, ПФР, ФНС до окончания финансового года, но после увольнения?


Об операторах и обработчиках ПДн

В отличие от ФЗ-152 в Евроконвенции определено 2 категории лиц, занимающихся обработкой ПДн

Оператор, определяющих цели и содержание

Обработчик

В ФЗ понятие «обработчик» не встречается, хотя и подразумевается в ряде случаев

Например, в ст.6 ФЗ-152 «О персональных данных»

Оператор ПДн Обработчик

ПДн


Об операторах и обработчиках ПДн(окончание)

Условия обработки ПДн третьими лицами

Обеспечение конфиденциальность ПДн

Обеспечение безопасности ПДн при их обработке

Согласие субъекта ПДн

Если это не предусмотрено договором с ним

Требования ФЗ применяются, в основном, к операторам ПДн, а не к обработчикам

Ответственность за нарушение ФЗ предусмотрена для любых лиц, а не только операторов


Отдельные моменты ФЗ-152


Об автоматизированном принятии решений

Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи

ст.16.1 ФЗ-152 «О персональных данных»

Нужно письменное согласие субъекта или такая обработка прописана в ФЗ

Оператор обязан разъяснить субъекту ПДн порядок принятия решения и предоставить возможность заявить возражение против такого решения


Примеры автоматизированного принятия решений

Отказ в выдаче кредита на основе ошибки в паспорте

Понижение кредитного рейтинга на основе скоринговой системы

Аттестация персонала на основе выполнения/невыполнения формальных условий

Прохождение тренинга, сдача экзамена, оценка руководителя

Выписка штрафа на основании видеозаписи нарушения ПДД

Блокирование выезда за границу из-за неуплаченного штрафа или налога

Запрет СКУД прохождения в здание или на территорию


О согласии субъекта ПДн


О согласии субъекта ПДн

Согласие – это любое свободно данное конкретное и сознательное указание о своей воле, которым субъект ПДн оповещает о своем согласии на обработку касающихся ПДн

Евродиректива

Субъект ПДн … дает согласие на их обработку своей волей и в своем интересе


ФЗ не определяет процедуру получения, форму и способ выражения согласия субъекта ПДн

Согласие может быть получено в устной форме за исключением ситуаций, когда требуется только письменная форма


Примеры типичных нарушений

Прием на работу и подписание трудового договора с условиями, с которыми субъект ПДн не согласен

Но вынужден давать согласие, чтобы быть принятым на работу

Подписание кредитного договора с условиями, с которыми субъект ПДн не согласен

В данных случаях согласие хоть и дано, но выражено оно не свободно

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных



Случаи обязательного письменного согласия

Обработка специальных категорий персональных данных

Обработка биометрических данных

Трансграничная передача ПДн в страны, не обеспечивающие адекватной защиты прав субъекта ПДн

Включение в общедоступные источники ПДн

Принятие решений на основании исключительно автоматизированной обработки ПДн

Прямой маркетинг

Косвенно, но требуется письменное согласие


Когда согласие не требуется (пример)

Обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных

Договор между юрлицом и физлицом должен быть заключен в письменной форме

ст.161 ГК РФ «Сделки, совершаемые в простой письменной форме»

Договор в письменной форме может быть заключен … путем обмена документами посредством … электронной … связи, позволяющей достоверно установить, что документ исходит от стороны по договору.

ст.434 ГК РФ «Форма договора»


Разница подходов: ФЗ и Конвенция

Типичные ситуации

риэлтор, обеспечивающий чистоту сделки

страховщик или кредитное бюро, собирающие информацию

ФЗ-152

• Только на основании договора

• В остальных случаях приходится «выкручиваться»

• Важно понимание ГК в части сделок и договоров


• …или для принятия до заключения договора по просьбе субъекта ПДн

• Возможна обработка в интересах третьего лица, действующего в рамках настоящего или будущего договора


О балансе интересов

В Евроконвенции определен принцип «баланса интересов», при котором также не требуется согласие субъекта ПДн (в ФЗ его нет!)

Обработка ПДн необходима в целях обеспечения законных интересов оператора или третьей стороны, которым раскрыты ПДн, кроме случаев, когда такие интересы перекрываются интересами фундаментальных прав и свобод субъекта ПДн, защита которых требуется согласно Статье 1(1)

Простые случаи для Евроконвенции, но не для ФЗ

Видеонаблюдение

Контроль e-mail и Интернет-серфинга

Конфликты интересов в трудовых отношениях

Получение и обмен информации о мошенничестве


Типичные ситуации обработки ПДн


Продвижение продуктов и услуг

Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных


Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено

Без письменного согласия не обойтись


Разница между ФЗ и Конвенцией

ФЗ-152

• Прямой маркетинг запрещен

• Даже при условии наличия договора с субъектом ПДн (если нет доказательств согласия)

• Предварительное согласие при прямом маркетинге получить практически невозможно


• Сбор и обработка подчиняются принципу opt-out

• Можно обрабатывать при условии, что субъект может запретить такую обработку

• Уведомление о передаче ПДн третьим лицам для целей прямого маркетинга

• Можно не уведомлять субъекта если это требует непропорциональных усилий


«Черные списки»

«Черные списки» часто используются для формирования перечня граждан, нарушающих свои обязательства в связи с кредитованием или приобретением различных товаров и услуг

Банковские кредиты

Оплата товаров в Интернет-магазинах

Пользование мобильной связью

Страхование ответственности, жизни, здоровья…

И т.п.

ФЗ-152

• «Черные списки» невозможны в принципе


• Правовое основание «черных списков» – баланс интересов


Кредитные бюро

Бюро кредитных историй оказывает услуги по формированию, обработке и хранению кредитных историй, а также по предоставлению кредитных отчетов и сопутствующих услуг

ст.3 ФЗ-218 «О кредитных историях»

Пользователь кредитной истории (будущий кредитор) получает кредитный отчет только с согласия субъекта кредитной истории

Который может быть в этом не заинтересован

ФЗ-152 / ФЗ-218

• Кредитный история и отчет предоставляется только с письменного разрешения субъекта


• Правовое основание работы кредитных бюро –преддоговорная работа и баланс интересов


ОСАГО

Страховые компании не могут обмениваться страховыми историями без согласия субъекта ПДн

Новая страховая компания является третьим лицом

При этом отказать в выдаче полиса невозможно – этот вид страхования обязателен

Невозможно выплатить компенсацию клиентам компаний, которые лишились лицензии на ОСАГО

Плохо работает «бонус-малус»

ФЗ-152

• Необходимо получать согласие субъекта ПДн на внесение в единую базу


• Правовое основание ОСАГО – баланс интересов и преддоговорная работа


Контроль за поведением сотрудников

Слежение неизбежно необходимо в крайних случаях

Четкое понимание цели контроля, которая не должна нарушаться

Если цель – защита от утечек информации, нельзя следить за действиями сотрудниками

Если цель защиту от вирусов и спама, нельзя читать письма сотрудников

Законность действий по слежению может быть обусловлена только защитой бизнеса от вполне конкретных угроз (утечки коммерческой или банковской тайны и т.п.)

Нельзя забывать про фундаментальное право на тайну личной жизни


Контроль за поведением сотрудников (окончание)

Принцип пропорциональности подразумевает, что нельзя тотально контролировать всѐ и всех, а также то, что используемые технологии контроля должны быть адекватны угрозам

Принцип прозрачности подразумевает уведомление сотрудника о контроле для достижения конкретных целей

Возможное исключение – сбор доказательств против подозреваемого сотрудника, но без нарушения прав субъекта

Если закон разрешает превентивные действия для обнаружения нарушений

Необходимо формулирование политики использования Интернет, электронной почты, средств вычислительной техники и т.п.

Сотрудник имеет право на доступ к своим ПДн


Об уведомлении работников

Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области

ст.86.8 Трудового Кодекса


Контроль электронной почты

Правовых оснований для контроля содержимого электронной почты нет

Баланс интересов не применим, т.к. фундаментальное право сотрудника на тайну переписки перевешивает или сопоставимо с правом работодателя на защиту коммерческой, банковской тайны и т.п.

Договорные отношения «не работают», т.к. в переписке участвует как минимум два респондента и со вторым договор не заключен

Нарушение тайны переписки возможно только по решению суда

Должно быть определены

Случаи чтения служебного почтового ящика при отсутствии сотрудника на рабочем месте

Условия хранения, архивирования и удаления почты

Условия обеспечения безопасности почты


Видеонаблюдение/аудиозапись

Цели видеонаблюдения/аудиозаписи

Защита граждан или собственности (борьба с вандализмом)

Выявление и предотвращение преступлений и правонарушений

Сбор доказательной базы

Разрешение прохода в здание и иные законные цели

Телефонные переговоры = электронная почта

Многие считают видеонаблюдение необходимым

Но принцип законности все равно необходимо соблюдать

Видеоизображение человека – биометрические персональные данные

Обязательно требуется письменное согласие

Не распространяется на охрану правопорядка, национальную и общественную безопасность


О безопасности ПДн


Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий


Напрочь забыт «обработчик» ПДн

О безопасности ПДн


Как защищать «тонких» клиентов?

Может ли стоимость защиты превышать ущерб?

Разница между ФЗ и Евроконвенцией

ФЗ-152

• Требования определяют регуляторы (для обработки средствами автоматизации)

• Никакой привязки к природе ПДн, технологиям обработки, адекватности затрат


• Учитывает природу ПДн, возможности нарушителя, возможности технологии обработки, адекватность стоимости системы защиты наносимому ущербу

• Гибкий подход


Классификация ИСПДн


О классификации

Типовых ИСПДн не существует в природе, а методика классификации специальных ИСПДнотсутствует и осуществить ее невозможно!

На практике все отталкиваются от классов типовых ИСПДн

Вы имеете полное право самостоятельно определить границы и классы своих ИСПДн

Проверить и заставить изменить выставленный класс ИСПДн со стороны регуляторов практически нереально

Исключая отдельные ситуации, не имеющие отношения к законодательству о персданных, а носящие скорее политический характер


Модели угроз ФСТЭК и ФСБ


Какую модель угроз использовать?

Рекомендации по разработке модели угроз существуют у ФСТЭК и ФСБ

Сценарий Чью методику использовать

Без использования криптосредств Только методика ФСТЭК

С использование криптосредств Методика ФСТЭК и методика ФСБ

Только методика ФСБ (по

согласованию с ФСТЭК)

Высшие органы государственной

власти + Следственный Комитет

Только методика ФСБ


О согласовании модели угроз

Некоторые интеграторы утверждают в своих материалах, что модель угроз обязательно должна согласовываться с ФСТЭК и ФСБ (через лицензиата)

Ни в «приказе трех», ни в документах ФСТЭК и ФСБ такого требования нет

Некоторые интеграторы утверждают в своих материалах, что принятые вами класс и модель угроз могут быть изменены ФСТЭК и ФСБ

Процедура такого изменения не описана

Должно быть обоснование для пересмотра


Какие требования нам грозят?

Общие положения по линии ФСТЭК


В целом о четверокнижии

Многие пункты дублируют друг друга

Стр.26 (подсистема управления доступом) и 28 (подсистема регистрации и учета) на 85% дословно повторяют друг друга

Терминология несогласована ни внутри, ни с внешними документами

«Сеть общего пользования» или «сеть связи общего пользования»?

«Должны быть реализованы механизмы автоматического блокирования обнаруженных выделенных помещений путем их удаления из программных модулей или уничтожения»

ВП или ПМВ, СЗ от ПМВ или СЗПДн?



Синтаксические ошибки

«должна проводиться идентификация файлов, каталогов, программных модулей, внешних устройств, используемых средства защиты от ПМВ» - использующих или используемых средствами?

«Должна выполняться регулярно проверка на предмет наличия в них ВП»

Ряд пунктов несогласован друг с другом

Например, про сертификацию на НДВ

Основной акцент на программных решениях для СЗИ или ИСПДн



Нарушены классические принципы ИБ

Дублирование механизмов защиты (Эшелонированная оборона) запрещено

Требования по ИБ для ИСПДн меньших классов более жестки, чем для ИСПДн старших классов

Требования по ИБ не наследуются

Полностью отсутствует связь с уже принятыми тем же регулятором требования (РД по АС, СТР-К)

Не учтены актуальные и современные угрозы ИБ, а также актуальные и современные технологии защиты – биометрия, DLP и т.п.

Соразмерность затрат на защиту информации со стоимостью этой информации не соблюдается (на порядки)

Регистрация неудачных паролей


Оценка соответствия может выполняться в разных формах, а подтверждение соответствия только в форме добровольной/обязательной сертификации или декларации соответствия

Аттестация не относится к оценке соответствия

Исторически аттестация относилась только к гостайне

Обязательная сертификация средств защиты согласно ПП-608 применяется только к средствам защиты гостайны

Сертификация общесистемного/прикладного ПО не требуется

Об обязательной сертификации


Действие ФЗ-128 не распространяется на

Кредитные организации

Предприятия связи

Биржи

Таможенную деятельность

Нотариальную деятельность

Страховую деятельность (исключая негосударственные ПФ)

Профессиональных участников рынка ценных бумаг

Внешнеэкономические операции

Использование результатов интеллектуальной деятельности

Образование

ст.1 ФЗ-128

О лицензировании


Персональные данные относятся к сведениям конфиденциального характера

Указ Президента от 6 марта 1997 года №188 «Об утверждении перечня конфиденциального характера»

Лицензия - специальное разрешение на осуществление конкретного вида деятельности

ФЗ-128 «О лицензировании отдельных видов деятельности»

ФЗ-152, ГК РФ (ст.857) и ФЗ-395-1 «О банках и банковской деятельности» уже обременяют оператора защищать ПДн

Оператор не должен спрашивать специального разрешения на то, что и так уже вменено ему в обязанность

Нужна лицензия или нет?


О легитимности любых нормативно-правовых актов


6-ка документов ФСТЭК и ФСБ

Должна быть опубликована в открытой печати

п.2 ст.4 ФЗ-152

п.17 Постановления Правительства №1009 от 13.08.1997 «Об утверждении Правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации»

Должна быть зарегистрирована в МинЮсте, т.к. затрагивает обязанности гражданина и устанавливает правовой статус организаций

п.10 Постановления Правительства №1009 от 13.08.1997

Должна быть подписана только руководителем ФСТЭК

п.9 Постановления Правительства №1009 от 13.08.1997


К чему это ведет?..

Федеральные органы исполнительной власти направляют для исполнения нормативные правовые акты, подлежащие государственной регистрации, только после их регистрации и официального опубликования

При нарушении указанных требований нормативные правовые акты, как не вступившие в силу, применяться не могут

п.19 Постановления Правительства №1009 от13.08.1997

Нелегитимность нормативно-правового акта определяет только суд и МинЮст


Заключение


Сценарии действий

Самостоятельное изучение всех документов

Выполнение всех требований согласно «букве» закона

Лицензирование, сертификация, аттестация…

Неоптимальные затраты

Сценарий «все сам» Комментарии

Уйдет много времени

Многие вещи неочевидны

Будет потрачена неоптимальная сумма денег

После лицензирования вы попадете под дополнительный надзор

Не факт, что вы вообще сможете дойти этот путь до конца самостоятельно



Самостоятельное изучение всех документов

Отказ от уведомления РКН, уход под ПП-687

Потенциальные судебные тяжбы

Минимальные затраты

Сценарий «я знаю закон» Комментарии

Потребует привлечения очень грамотных юристов

Вы должны быть готовы к претензиям регуляторов и потенциальным судебным искам

Вспомните про наказания ;-(

Не факт, что суд встанет на вашу сторону

Судебной практики нет



Приглашение лицензиата

Выполнение необходимых организационных мер

Приобретение средств защиты

Завышенные затраты

Сценарий «проще согласиться» Комментарии

«Экспертов» по ПДнсейчас пруд пруди

Занимается этой темой в ИБ-компаниях 1-2 человека (бывших сотрудников регуляторов)

Консалтинг стоит дорого (2-10 млн.рублей)

Вам будут всучивать сертифицированные средства защиты

Вы получите индульгенцию



Не делать ничего!

Нулевые затраты

Сценарий «авось пронесет» Комментарии

Не факт, что у регуляторов до вас вообще дойдут руки

Штат отделов РКН, ФСТЭК по контролю и надзору не велик

Тех, кто уведомлял РКН или имеет лицензии ФСТЭК, проверять будут в первую очередь (проще обосновать проверку)

Законодательство могут и поменять


Не забывайте про другие требования

Надо что-то делать

Выполнить требования ПДн

по максимуму

Потратить много денег

Получить лицензию на

ТЗКИ

Столкнуться с другими

требованиями…

Начать все сначала ;-(

Надо что-то делать

Обратиться к лицензиату

Учет множества требований

Оптимальные затраты

Сценарий 1 Сценарий 2

Сценарий 3 - «авось пронесет»


Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410

lukatsky (personal data)

Technology

cisco systems

personal data systems

email personal data

ms word