Изменения в законодательстве по ИБ_Емельянников 060912

Изменения законодательства в области информационной

безопасности и практики его правоприменения

ЕмельянниковМихаил Юрьевич,

Управляющий партнер

6 сентября 2012 года, вебинарУчебный центр «Информзащита»

2

1. Наиболее значимые изменения российского законодательства в области информационной безопасности за последний год.

2. Законодательство о персональных данных. ФЗ-261 – новая редакция закона, а не перечень поправок.

3. Есть ли в российских законах конфиденциальная информация и что это такое?

4. Ограничение информации о деятельности органов государственной власти и местного самоуправления.

5. Информационная безопасность при предоставлении государственных и муниципальных услуг в электронном виде.

6. Информационная безопасность национальной платежной системы. Требования, регуляторы, ответственность.

7. Лицензирование деятельности в области информационной безопасности – новый закон, новые положения.

8. Обязательная сертификация средств защиты информации как форма оценки соответствия. Ввоз криптографических средств в Россию – как не нарушить таможенные правила.

9. Парадоксы правосудия – коммерческая тайна и персональные данные в российских судах.

10.Уступка прав требования и агентские схемы взыскания задолженности с физических лиц через призму персональных данных.

11.Контроль, надзор и проверки. К чему готовиться, кого ждать.

3

Наиболее значимые изменения за последний год

1. Изменения российского законодательства в области ИБ

БТ01, КП05, КП30, КП31, КП32, КП36, КП37, КП39

1. Существенное корректировка законодательства о персональных данных, не законченная на настоящее время.

2. Изменения в лицензировании деятельности, связанной с информационной безопасностью.

3. Регулирование вопросов информационной безопасности в Национальной платежной системе.

4. Введение ответственности провайдера за контент, «черные списки» в Интернете.

5. Уточнение понятий конфиденциальности и ограничения доступа к информации.

4

Причины происходящих изменений



1. Необходимость совершенствования законодательства в связи с изменениями в смежных областях, складывающейся практикой правоприменения и выявляемыми недостатками и несоответствиями.

2. Появление новых областей деятельности, для которых ИБ является критичной (НПС, СМЭВ, электронные государственные услуги и др.).

3. Ужесточение контрольных и надзорных функций государства в целом.

4. Вступление России в ВТО и необходимость закрепления особых правил регулирования в некоторых областях.

5

Направленность происходящих изменений



1. Усиление государственного влияния на обеспечение информационной безопасности и государственного регулирования связанной с ней деятельности.

2. Упрощение порядка использования информации ограниченного доступа, в том числе – о гражданах, в целях выполнения государственных функций.

3. Противодействие угрозам в информационной сфере в условиях цифрового мира и усиления противоправной деятельности в сети Интернет.

4. Усиление ответственности за невыполнение установленных государством требований и правил.

6

Возможные последствия происходящих изменений



1. Существенный рост рисков для предприятий и организаций, связанных с невыполнением требований государственных регуляторов.

2. Повышение ответственности, в том числе материальной, за невыполнение требований до уровня, критичного для бизнеса в целом.

3. Неизбежный в перспективе перенос значительной части споров (с работниками, контрагентами, органами исполнительной власти), связанных с проблемами информационной безопасности, в суды.

4. Необходимость корректировки отношения руководителей (в первую очередь – коммерческих организаций) к вопросам соответствия требованиям в области ИБ.

7

261-ФЗ – новая редакция закона, а не перечень поправок

2. Законодательство о персональных данных

БТ01, КП32, КП33, КП36, КП37, КП39

1. Значительное изменение понятийного аппарата (определение персональных данных, оператора, способов обработки, обработки без использования средств автоматизации, биометрии и т.д.).

2. Приоритет цели обработки и ее центральное место в законе (вместо согласия субъекта).

3. Появление новых обязанностей оператора (ст.18.1), перенос в закон требований по технической защите (ст.19).

4. Появление в законе обработчика (лица, осуществляющего обработку персональных данных по поручению оператора).

8

Цель обработки как краеугольный камень закона


БТ01, КП32, КП33, КП36, КП37, КП39

Ст.5. Принципы обработки персональных данных2. Обработка должна ограничиваться достижениемконкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных.3. Не допускается объединение баз ПДн, обработка которых осуществляется в целях, несовместимых между собой.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.5. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.7. Хранение персональных данных должно осуществляться не дольше, чем этого требуют целиобработки персональных данных.

9

Цель обработки как краеугольный камень закона


БТ01, КП32, КП33, КП36, КП37, КП39

Цель обработки упоминается в законе около 50 раз!Оператор - лицо, определяющее цели обработкиВ поручении оператора на обработку персональных данных другому лицу должны быть определены цели обработки.Согласие в письменной форме субъекта персональных данных на обработку должно включать в себя цели обработки.Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные не являются необходимыми для заявленной цели обработки.

10

Базовые подходы к обработке и правовые основания для нее


БТ01, КП32, КП33, КП36, КП37, КП39

Новые основания для обработки:• осуществление правосудия, исполнение

судебного акта;• предоставление государственной или

муниципальной услуги;• исполнение или заключение договора, стороной

которого либо выгодоприобретателем или поручителем по которому является субъект;

• осуществление прав и законных интересов оператора или третьих лиц, достижение общественно значимых целей;

• обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом либо по его просьбе.

11

Персональные данные и судебные приставы


БТ01, КП32, КП33, КП36, КП37, КП39

Федеральный закон от 27.07.2010 № 213-ФЗ «О внесении изменений в ФЗ «О судебных приставах» и ст.64 ФЗ «Об исполнительном производстве» по вопросам предоставления судебных приставам персональных данныхСт.12 п.1. В процессе принудительного исполнения судебных актов и актов других органов, предусмотренных федеральным законом об исполнительном производстве, судебный пристав-исполнитель:… получает и обрабатывает персональные данные при условии, что они необходимы для своевременного, полного и правильного исполнения исполнительных документов, в объеме, необходимом для этого.

12



БТ01, КП32, КП33, КП36, КП37, КП39

Федеральный закон от 27.07.2010 № 213-ФЗ «О внесении изменений в ФЗ «О судебных приставах» и ст.64 ФЗ «Об исполнительном производстве» по вопросам предоставления судебных приставам персональных данныхСтатья 14. Обязательность требований судебного пристава2. Информация, в том числе персональные данные, документы и их копии, необходимые для осуществления судебными приставами своих функций, предоставляются по их требованию безвозмездно и в установленный ими срок.

13



БТ01, КП32, КП33, КП36, КП37, КП39

Федеральный закон от 02.10.2007 № 229-ФЗ «Об исполнительном производстве» С 1 января 2012 года:Статья 6.1. Банк данных в исполнительном производстве 1. ФССП создает и ведет, в том числе в электронном

виде, банк данных, содержащий сведения, необходимые для осуществления задач по принудительному исполнению судебных актов, актов других органов и должностных лиц (далее -банк данных).

4. Сведения [содержащиеся в банке данных]являются общедоступными …

14

Обязательное медицинское страхование


БТ01, КП32, КП33, КП36, КП37, КП39

Статья 20. Права и обязанности медицинских организаций1. Медицинские организации имеют право:2) вести в соответствии с настоящим законом персонифицированный учет сведений о медицинской помощи, оказанной застрахованным лицам;

15

Персональные данные и образование


БТ01, КП32, КП33, КП36, КП37, КП39

Органы и организации … осуществляют передачу, обработку и предоставлениеполученных в связи с проведением единого государственного экзаменаи приема граждан в образовательные учреждения персональных данныхобучающихся, участников ЕГЭ, лиц, привлекаемых к его проведению, а также лиц, поступающих в образовательные учреждения, … без получения согласияэтих лиц на обработку.

16

Конфиденциальность информации

3. Конфиденциальность информации

БТ01, КП30, КП32

Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

17

Есть ли конфиденциальная информация в законах?


БТ01, КП30, КП32

Федеральный закон от 11.07.2011 № 200-ФЗ «О внесении изменений в отдельные законодательные акты РФ в связи с принятием Федерального закона «Об информации, информационных технологиях и о защите информации»Слова «Конфиденциальная информация» заменить словами «Информации, в отношении которой установлено требование об обеспечении ее конфиденциальности» - 17 законов.Слова «Конфиденциальная информация" заменить словами «информацией ограниченного доступа» - 5 законов.

18

А где осталось?


БТ01, КП30, КП32

Статья 12. Перечень видов деятельности, на которые требуются лицензии1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:5) деятельность по технической защите конфиденциальной информации.

19

Что бы было понятно


БТ01, КП30, КП32

Постановление Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации»Конфиденциальная информация = Информация, не содержащая сведения, составляющие государственную тайну, но защищаемая в соответствии с законодательством РФ.

20

Часто любят вспоминать


БТ01, КП30, КП32

Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»В целях дальнейшего совершенствования порядка опубликования и вступления в силу актов Президента, Правительства РФ и нормативных правовых актов федеральных органов исполнительной власти постановляю утвердить прилагаемый Перечень сведений конфиденциального характера.

21

Ограничение доступа к информации

4. Ограничение информации о деятельности органов госвласти

БТ01, КП30

Принципы правового регулирования отношений в сфере информации: установление ограничений доступа к информации только федеральными законами.Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

22

Ограничение доступа к информации


БТ01, КП30

Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

23

Часто любят вспоминать


БТ01, КП30

Обладатель информации, если иное не предусмотрено федеральными законами, вправе:1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа.

Ограничение доступа

24


БТ01, КП30

Доступ к информации о деятельности государственных органов и органов местного самоуправления ограничивается в случаях, если указанная информация отнесена в установленном федеральным законом порядке к сведениям, составляющим государственную или иную охраняемую законом тайну.

25

Ограничение доступа


БТ01, КП30

Перечень сведений, относящихся к информации ограниченного доступа, а также порядок отнесения указанных сведений к информации ограниченного доступа устанавливается федеральным законом.

26

Не будем забывать о сфере действия


БТ01, КП30

Постановление Правительства РФ от 03.11.1994 № 1233 (ред. от 20.07.2012)«Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и уполномоченном органе управления использованием атомной энергии»Установить, что служебная информация, содержащаяся в подготавливаемых в федеральных органах исполнительной власти проектах указов и распоряжений Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, других служебных документов, не подлежит разглашению (распространению).

27

Не будем забывать о сфере действия


БТ01, КП30

Постановление Правительства РФ от 03.11.1994 № 1233 (ред. от 20.07.2012)«Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и уполномоченном органе управления использованием атомной энергии»Настоящее Положение определяет общий порядок обращения с документами и другими материальными носителями информации (далее - документами), содержащими служебную информацию ограниченного распространения, в ФОИВ и УОИАЭ, а также на подведомственных им предприятиях, в учреждениях и организациях (далее - организациях).

28

Согласие заявителя на обработку информации о нем

5. ИБ при предоставлении государственных и муниципальных услуг

БТ01, КП32, КП33, КП36, КП37

Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»5. Для обработки информации, которая связана с правами и законными интересами заявителя, доступ к которой ограничен федеральными законами, за исключением персональных данных и сведений, составляющих государственную и налоговую тайну, и которая имеется в распоряжении органов, предоставляющих услуги, и иных органов, либо подведомственных им организаций, такими органами и организациями в целях представления указанной в настоящей части информации в орган, предоставляющий услугу либо подведомственную ему организацию, либо МФЦ на основании межведомственных запросов таких органов или организаций для предоставления государственной или муниципальной услуги по запросу заявителя требуется получение согласия заявителя. Согласие может быть получено и представлено как в форме документа на бумажном носителе, так и в форме электронного документа.

29

Согласие заявителя на обработку информации о нем


БТ01, КП32, КП33, КП36, КП37

Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»Перевод на русский язык:Для оказания конкретному гражданину государственной или муниципальной услуги, в случаях, если это оказание требует получения информации от другого органа власти (управления) информации, доступ к которой ограничен федеральными законами, или передачи такой информации, необходимо получить от заявителя конкретно выраженное согласие на обработку (в том числе передачу от одного органа другому в рамках межведомственного обмена) такой информации. Этого не требуется в трех случаях: когда обрабатываемые в рамках услуги сведения являются персональными данными, составляют государственную или налоговую тайну.

30

Персональные данные при оказании госуслуг


БТ01, КП32, КП33, КП36, КП37

Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»Органам и организациям, предоставляющим государственные и муниципальные услуги, для обработки персональных данных, в том числе для передачи в другие органы и организации в целях предоставления услуги, а также регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг и на региональных порталах государственных и муниципальных услуг не требуется получение согласия заявителя как субъекта персональных данных в соответствии с требованиями статьи 6 Федерального закона № 152-ФЗ «О персональных данных».

31

Персональные данные при оказании госуслуг


БТ01, КП32, КП33, КП36, КП37

Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»В случае, если для предоставления государственной или муниципальной услуги необходимо представление документов и информации об ином лице, не являющемся заявителем, заявительдополнительно представляет документы, подтверждающие наличие согласия указанных лиц или их законных представителей на обработку персональных данных указанных лиц. Указанные документы могут быть представлены в том числе в форме электронного документа.

32

Налоговая тайна при оказании госуслуг


БТ01, КП32, КП33, КП36, КП37

Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»Все органы, участвующие в предоставлении услуг, в том числе – налоговые, предоставляют друг другу информацию, которая относится к налоговой тайне, без согласия субъекта. Такое предоставление информации не является разглашением налоговой тайны.

33

Защита информации в НПС

6. Информационная безопасность национальной платежной системы

БТ01, КП32, КП37, КП39

Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации: - о средствах и методах обеспечения ИБ, персданных и об иной информации, подлежащей обязательной защите, – в соответствии с требованиями, установленными Правительством РФ.

34

Защита информации в НПС


БТ01, КП32, КП37, КП39

Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации: - при осуществлении переводов денежных средств – в соответствии с требованиями, установленными Банком России.

35

Контроль за соблюдением установленных требований


БТ01, КП32, КП37, КП39

За требованиями, установленными Правительством РФ – ФСБ России и ФСТЭК России.За требованиями, установленными Банком России – Банк России в порядке, согласованном с ФСБ России и ФСТЭК России.

36

Требования, установленные Правительством РФ


БТ01, КП32, КП37, КП39

Постановление Правительства РФ от 13.06.2012 № 584 «Об утверждении Положения о защите

информации в платежной системе»(вступило в силу с 1 июля 2012 г.)

Перечень используемых средств защиты :• шифровальные (криптографические) средства, • средства защиты информации от

несанкционированного доступа, • средства антивирусной защиты, • средства межсетевого экранирования, • системы обнаружения вторжений, • средства контроля (анализа) защищенности.

37

Порядок действий оператора платежной системы


БТ01, КП32, КП37, КП39

Назначение структурного подразделения (возложение на службу ИБ) или должностного лица, ответственного за организацию защиты информации в платежной системе.В соответствии с выбранной организационной моделью управления рисками в платежной системе определение зоны ответственности за риски, связанные с ИБ, выявление и обработка рисков.Проектирование системы защиты информации, обеспечивающей снижение выявленных рисков до приемлемого уровня и нейтрализацию актуальных угроз безопасности. Установление правил доступа к средствам обработки информации.

38

Порядок действий оператора платежной системы


БТ01, КП32, КП37, КП39

Разработка пакета локальных нормативных документов, устанавливающих порядок реализации требований к защите информации.Организация мониторинга за выполнением установленных правил, выявление инцидентов и реагирование на них. Результаты документируются не реже 1 раза в 2 года, привлекая при необходимости лицензиатов в области ТЗКИ (в соответствии с Постановлением Правительства № 79 контроль защищенности конфиденциальной информации от несанкционированного доступа и модификации – лицензируемый вид деятельности).

39

Ответственность за нарушение установленных требований


БТ01, КП32, КП37, КП39

Статья 15.36. Неисполнение предписания Банка России, направленного им при осуществлении надзора в национальной платежной системе(введена ФЗ от 27.06.2011 № 162-ФЗ)Повторное в течение года неисполнение … предписания Банка России, направленного им при осуществлении надзора в национальной платежной системе, -влечет наложение административного штрафа на должностных лиц в размере от 30 тысяч до 50 тысяч рублей; на юридических лиц - от 100 тысяч до 500 тысяч рублей.

40

Лицензируемые виды деятельности

7. Лицензирование деятельности в области ИБ

БТ01, КП30, КП32, КП33, КП37, КП39

Статья 12. Перечень видов деятельности, на которые требуются лицензии1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:1) разработка, производство, распространение шифровальных (криптографических) средств, … выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, … (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, … осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

41

Лицензируемые виды деятельности


БТ01, КП30, КП32, КП33, КП37, КП39

Статья 12. Перечень видов деятельности, на которые требуются лицензии1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:5) деятельность по технической защите конфиденциальной информации.

42

Лицензирование деятельности,связанной с шифрованием


БТ01, КП30, КП32, КП33, КП37, КП39

Постановление Правительства РФ от 16.04.2012 № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»

43

Позиция Прокуратуры РФ


БТ01, КП30, КП32, КП33, КП37, КП39

05 апреля 2012 годаПрокуратурой г. Уфы выявлены нарушения законодательства о защите персональных данныхПрокуратурой г. Уфы проведена проверка соблюдения законодательства о защите персональных данных в ООО «Исток-Сервис» и ООО «Инфорсер» при оказании справочно-консультационных услуг при отделе государственного технического осмотра и регистрации автомототранспортных средств ГИБДД УМВД России по г.Уфа.Установлено, что указанные юридические лица, осуществляли обработку персональных данных … без соответствующей лицензии на деятельность по технической защите информации, и не принимали предусмотренных федеральным законодательством мер организационного, технического характера, по защите персональных данных клиентов, что могло повлечь нарушение конституционных прав граждан на неприкосновенность частной жизни.По данному факту, с целью устранения нарушений действующего законодательства прокуратурой г.Уфы в Октябрьский районный суд г.Уфы направлены исковые заявления о приостановлении и признании незаконной деятельности ООО «Исток-Сервис» и ООО «Инфорсер» по обработке и хранению персональных данных, которые находятся на рассмотрении.

44

Ограничения использованиясредств защиты информации

8. Обязательность сертификации СЗИ. Ввоз криптографии

БТ01, КП06, Т020, КП30, КП32, КП33

Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.[Ограничения вводятся путем создания системы сертификации СЗИ и установлением случаев, когда применение сертифицированных СЗИ является обязательным]

45

Техническое регулирование


БТ01, КП06, Т020, КП30, КП32, КП33

Особенности оценки соответствия продукции (работ, услуг), а также соответственно процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации или уполномоченными им федеральными органами исполнительной власти.

46

Постановление Правительства РФ от 15.05.2010 № 330


БТ01, КП06, Т020, КП30, КП32, КП33

«Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)»

47

Постановление Правительства РФ от 15.05.2010 № 330


БТ01, КП06, Т020, КП30, КП32, КП33

Настоящее Положение не распространяется на продукцию (работы, услуга), используемую в целях защиты информации конфиденциального характера, не являющейся государственным информационным ресурсом и (или) персональными данными, а также на связанные с ней процессы.Оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора).Объектом обязательной сертификации является продукция. Объектом государственного контроля (надзора) являются продукция (работы, услуги) и процессы.

48

Ввоз криптографии


БТ01, КП06, Т020, КП30, КП32, КП33

Решением Межгосударственного Совета Евразийского экономического сообщества (высшего органа таможенного союза) от 27 ноября 2009 г. № 19 и Решением Комиссии таможенного союза от 27 ноября 2009 г. № 132 утвержден ««Единый перечень товаров, к которым применяются запреты или ограничения на ввоз или вывоз государствами-членами таможенного союза в рамках Евразийского экономического сообщества в торговле с третьими странами и положения о применении ограничений».

49

Товары, ввоз которых ограничивается


БТ01, КП06, Т020, КП30, КП32, КП33

• Машины вычислительные и их части, имеющие функции шифрования (криптографии);

• Устройства вычислительных машин, имеющие функции шифрования (криптографии);

• Телекоммуникационное оборудование и его части, имеющие функции шифрования (криптографии);

• Программные шифровальные (криптографические) средства вне зависимости от носителя информации;

• Аппаратура доступа в сеть "Интернет" и телевизионные приемники с коммуникационной функцией, их части, имеющие функции шифрования (криптографии);

• Прочие машины электрические и аппаратура, имеющие индивидуальные функции, содержащие шифровальные (криптографические) средства.

50

Порядок ввоза-вывоза


БТ01, КП06, Т020, КП30, КП32, КП33

Ввоз и вывоз шифровальных средств осуществляется на основании разовых лицензий (далее - лицензий), выдаваемых уполномоченным органом государства - участника таможенного союза (далее -уполномоченный орган), на территории которого зарегистрирован заявитель.

51

Товары, подлежащие нотификации


БТ01, КП06, Т020, КП30, КП32, КП33

Товары с криптографическими средства, имеющие:• симметричный криптографический алгоритм с

ключом длиной не более 56 бит;o асимметричный криптографический алгоритм:

а) использующий разложение на множители целых чисел, размер которых не превышает 512 бит;б) основанный на вычислении дискретных логарифмов в группе поля размером не более 512 бит или иной размером не более 112 бит; в) на дискретном логарифме в группе, отличного от поименованного в вышеприведенном подпункте "б" размера, не превышающего 112 бит.

52

Товары, подлежащие нотификации


БТ01, КП06, Т020, КП30, КП32, КП33

Шифровальные (криптографические) средства, являющиеся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной.

53

Коммерческая тайна или персональные данные?

9. Парадоксы правосудия

КП05, КП30, КП32, КП39

В феврале 2008 г. мировой судья судебного участка № 4 Красногорского района Каменска-Уральского признал, что Л.В., ведущий специалист страховой компании «Гамма», использовала составляющие коммерческую тайну ОАО «Росгосстрах» сведения (клиентскую базу) без согласия владельца (ч. 2 ст. 183 УК), и, учитывая возраст (57 лет) и отсутствие судимостей, приговорил ее к 6 месяцам лишения свободы условно.В мае 2009 года Таганский районный суд города Москвы приговорил в особом порядке к 1 году колонии-поселения бывшего сотрудника «Росгосстрах» за попытку разглашения клиентской базы (попытка продать их за 50 тыс. руб. данные о 34 тыс. клиентах компании). Официальный представитель «Росгосстраха»: Работники департамента безопасности компании в постоянном режиме ведут специальный мониторинг для выявления несанкционированных копирований и пересылок информации, составляющей коммерческую тайну.

54

Коммерческая тайна


КП05, КП30, КП32, КП39

Постановление Тринадцатого арбитражного суда от 27.02.2007 по делу № А56-39537/2006Отказано в защите исключительных прав ООО «А.Д.Д. Дистрибуция» на секреты производства:1.Не доказан приоритет владельца секрета (содержащиеся в базах данных клиентов сведения являются открытыми и общедоступными, и могли быть получены каждым их участников спора самостоятельно.2. Не доказано, что была передана непосредственно ИКТ, а также и то, что именно названное лицо осуществило отправку сообщений, так как доступ к электронному адресу имели и иные лица (системный администратор, сотрудники службы безопасности).

55

Доступ акционера к информации общества


КП05, КП30, КП32, КП39

Информационное письмо Президиума ВАС РФ ОТ 18.01.2011 № 144 "О некоторых вопросах практики рассмотрения арбитражными судами споров о предоставлении информации участникам хозяйственных обществ»Наличие в документах, запрашиваемых участником (акционером), коммерческой или иной охраняемой законом тайны не может быть безусловным основанием для отказа в предоставлении информации. Если документы, которые требует предоставить участник хозяйственного общества, содержат конфиденциальную информацию о деятельности общества, в том числе коммерческую тайну, общество, прежде чем передать соответствующие документы и (или) их копии, может потребовать выдачи расписки, в которой участник подтверждает, что предупрежден о конфиденциальности получаемой информации и об обязанности ее сохранять.

56

Некоторые выводы


КП05, КП30, КП32, КП39

• В России складывается практика правоприменения гражданского, трудового и уголовного законодательства в области коммерческой тайны.

• При соблюдении установленных законодательством требований суды становятся на защиту исключительных прав обладателя информации, охраноспособной в режиме коммерческой тайны.

• Невыполнение даже части предусмотренных для режима КТИ требований приводит к отказу в защите прав гражданско-правовыми способами.

• Суды общей юрисдикции придают вопросам полноты соблюдения установленных требований значительно меньше значения, чем арбитражные суды.

• Практика меняется со временем и под влиянием политической конъюнктуры.

57

Персональные данные


КП05, КП30, КП32, КП39

Постановление Тринадцатого арбитражного апелляционного суда от 21 июня 2010 по делу N А56-4788/2010В обжалуемом судебном акте суд первой инстанции правомерно указал, что паспортные данные не отнесены Законом № 152-ФЗ к персональным данным.Согласно пункту 4 Описания бланка паспорта, имеющегося в Положении о паспорте Гражданина Российской Федерации, утвержденном Постановлением Правительства Российской Федерации от 08.07.1997 N 828, в паспорт вносятся следующие сведения о личности гражданина: фамилия, имя, отчество, пол, дата рождения и место рождения.В соответствии с пунктом 3 данного Описания нумерация бланка паспорта состоит из 3 групп цифр. Первые 2 группы, состоящие из 4 цифр, обозначают серию бланка паспорта, третья группа, состоящая из 6 цифр, обозначает номер бланка паспорта.Таким образом, серия и номер паспорта относятся не к личности гражданина, а к бланку документа, удостоверяющего его личность.

58

Цессия: Позиция Роспотребнадзора

10. Уступка прав требования

КП05, КП39

Письмо Роспотребнадзора от 23.08.2011 № 01/10790-1-32

«О практике применения судами законодательства о защите прав потребителей при замене лица в договорном обязательстве

(по делам с участием территориальных органов Роспотребнадзора)»

Можно сделать вывод о наличии консолидированной позиции арбитражных судов в отношении очевидного отсутствия у так называемых «коллекторов» законной возможности вступать с потребителями в правоотношения, требующие специального правого статуса, а также о влиянии уже сформированной судебной практики на более поздние дела, рассматриваемые арбитражными судами.

59

Цессия: Позиция Высшего арбитражного суда


КП05, КП39

Информационное письмо Президиума Высшего Арбитражного Суда РФ № 146 от 13.09.2011Суд указал, что требование возврата кредита, выданного физическому лицу, не относится к числу требований, неразрывно связанных с личностью кредитора. Согласно ст.382 ГК РФ для перехода к другому лицу прав кредитора не требуется согласие должника, если иное не предусмотрено законом или договором. Суд кассационной инстанции также указал, что уступка требований, вытекающих из кредитного договора, не нарушает нормативных положений о банковской тайне (ст.26 Закона о банках), т.к. цессионарий и его работники обязаны хранить ставшую им известной информацию, составляющую банковскую тайну.

60

Цессия: Позиция Роскомнадзора


КП05, КП39

Управление Роскомнадзора по Новосибирской области установило нарушения требований законодательства о персональных данных ОАО «Альфа-Банк» и ООО «Кредит Коллекшн Груп».ОАО «Альфа Банк» допущена передача персональных данных заявителя третьим лицам без получения согласия субъекта. В действиях ООО «Кредит Коллешн Груп» не были выявлены основания, дающие право осуществлять обработку персональных данных без согласия заявителя. Таким образом, Банком и коллекторским агентством было нарушено требование ч.1 ст.6 152-ФЗ. Материалы направлены на рассмотрение прокурорам Москвы и Московской области.

61

Цессия: Позиция Роскомнадзора


КП05, КП39

Управление Роскомнадзора по Ярославской области не выявило нарушений требований законодательства о персональных данных. При анализе предоставленной информации противоправность действий ООО КБ «Юниаструм Банк» и ОАО «КИТ Финанс Инвестиционный Банк» не подтвердилась, так как в тексте договора с данными кредитными организациями присутствовал раздел о согласии клиента на передачу его персональных данных третьим лицам. Обратившимся гражданам направлены разъяснения по данному вопросу.

62

Цессия: Позиция Минэкономразвития России


КП05, КП39

Проект ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в

связи с принятием Федерального закона «О деятельности по взысканию просроченной

задолженности»»Внести в ФЗ от 02.11.1990 № 395-1 «О банках и банковской деятельности» следующие изменения: 1) статью 26 дополнить абзацем следующего содержания: Информация по операциям юридических лиц, граждан, осуществляющих предпринимательскую деятельность без образования юридического лица, и физических лиц с их согласия представляются кредитными организациями субъектам коллекторской деятельности, по основаниям, в порядке и на условиях, которые предусмотрены заключенным с субъектом коллекторской деятельности договором в соответствии с Федеральным законом «О деятельности по взысканию просроченной задолженности».

63

Проверки Роскомнадзора

11. Контроль, надзор и проверки

КП32, КП35, КП36, КП37, КП39

64

Штрафы Роскомнадзора


КП32, КП35, КП36, КП37, КП39

65

Основания для проверок


КП32, КП35, КП36, КП37, КП39

АДМИНИСТРАТИВНЫЙ РЕГЛАМЕНТ исполнения Федеральной службой по надзору в сфере

связи, информационных технологий и массовых коммуникаций государственной функции по

осуществлению государственного контроля (надзора) за соответствием обработки персональных данных

требованиям законодательства РФ в области персональных данных

(Приказ Минкомсвязи от 14.11.2011 № 312)38. Внеплановые проверки проводятся по следующим основаниям: 38.4. Нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных. 38.5. Нарушение Операторами требований законодательства РФ в области персданных, а также о несоответствии сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.

66

Привлечение экспертов к проверкам


КП32, КП35, КП36, КП37, КП39

Реестры граждан и организаций, привлекаемых Роскомнадзором в качестве экспертов к проведению

мероприятий по контролю при осуществлении проверок в отношении операторов, осуществляющих обработку

персональных данныхВиды деятельности:• Обследование и определение уровня защищенности

негосударственных ИСПДн, используемых оператором при осуществлении своей непосредственной деятельности.

• Оценка соответствия применяемых технических СЗИ. • Оценка достаточности и эффективности принимаемых

оператором технических мер по обеспечению безопасности персданных при их обработке в негосударственных ИСПДн.

• Проведение исследований, а также проведение экспертиз и расследований, направленных на установление причинно-следственной связи выявленного нарушения обязательных требований законодательства РФ в области персданных.

67

Обо всем это подробноВы прослушали дайджест по изменениям российского законодательства в области информационной безопасности Все рассмотренные вопросы рассматриваются на учебных курсах УЦ «Информзащита»!Ближайшие курсы – на следующем слайде

Кодкурса

Название курсаУчебного центра «Информзащита»

Датапроведения

БТ01 Безопасность информационных технологий 24.09-28.09КП05 Расследование компьютерных инцидентов 01.10-04.10КП06 Предотвращение мошенничества на сетях связи 01.11-02.11Т020 Организационно-правовые основы применения ЭЦП и

деятельности удостоверяющих центров06.11

КП30 Реализация режима коммерческой тайны 25.09-26.09КП31 Организация конфиденциального делопроизводства 27.09-28.09КП32 Защита персональных данных 17.09-18.09КП33 Техническая защита персональных данных 19.09-21.09КП35 Регулирование отношений при осуществлении

проверок операторов персональных данных24.09

КП36 Информационная безопасность для специалиста кадровой службы

27.09

КП37 Изменения законодательства о персональных данных и последствия для операторов

28.09

КП39 Сложные проблемы применения законодательства о персональных данных в кредитно-финансовыхучреждениях

14.09

68

69

http://emeliyannikov.blogspot.com/

ЕмельянниковМихаил Юрьевич

Консалтинговое агентство «Емельянников, Попова и партнеры»

+7 (495) 761 [email protected]

Спасибо!Вопросы?

Учебный центр«Информзащита»

+7 (495) 980 2345, доб.04 [email protected]

Изменения в законодательстве по ИБ_Емельянников 060912

Business

Transcript of Изменения в законодательстве по ИБ_Емельянников 060912