вторник, 14 ноября 2017 г.

Проверки Роскомнадзора по персональным данным. Часть 1

Добрый день, дорогие читатели! Вышла в свет моя новая статья по теме защиты персональных данных, на этот раз она посвящена проверкам Роскомнадзора. Ознакомиться со статьей в открытом доступе можно здесь
Также я хочу поделиться с вами полными версиями таблиц, представленных в тексте.

Таблица 1



Граждане
Должностные лица
Индивидуальные предприниматели
Юридические лица
1
Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных п.2, если эти действия не содержат уголовно наказуемого деяния.
предупреждение или наложение административного штрафа в размере от 1000 до 3000 рублей;

предупреждение или наложение административного штрафа в размере от 5000 до 10.000 рублей;
не указано
предупреждение или наложение административного штрафа в размере от 30.000 до 50.000 рублей.
2
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных,
наложение административного штрафа в размере от 3000 до 5000 рублей;

наложение административного штрафа в размере от 10.000 до 20.000рублей;
не указано
наложение административного штрафа в размере от 15.000 до 75.000 рублей.
3
Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных
предупреждение или наложение административного штрафа в размере от 700 до 1500 рублей;
предупреждение или наложение административного штрафа в размере от 3000 до 6000 рублей;
предупреждение или наложение административного штрафа в размере от 5000 до 10.000 рублей;
предупреждение или наложение административного штрафа в размере от 15.000 до 30.000 рублей
4
Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, -
предупреждение или наложение административного штрафа в размере от 1000 до 2000 рублей;
предупреждение или наложение административного штрафа в размере от 4000 до 6000 рублей;
предупреждение или наложение административного штрафа в размере от 10.000 до 15.000 рублей;
предупреждение или наложение административного штрафа в размере от 20.000 до 40.000 рублей.
5
Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
предупреждение или наложение административного штрафа в размере от 1000 до 2000 рублей;
предупреждение или наложение административного штрафа в размере от 4000 до 10.000 рублей;
предупреждение или наложение административного штрафа в размере от 10.000 до 20.000 рублей;
предупреждение или наложение административного штрафа в размере от 25.000 до 45.000 рублей.
6
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния.
наложение административного штрафа в размере от семисот до двух тысяч рублей;
наложение административного штрафа в размере от 4000 до 10.000 рублей;
наложение административного штрафа в размере от 10.000 до 20.000 рублей;
наложение административного штрафа в размере от 25.000 до 50.000 рублей.
7
Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных.
предупреждение или наложение административного штрафа в размере от 3000 до 6000 рублей.

не указано
не указано
не указано
Таблица 2
Нарушение
Краткое описание
2016
2017
Нормы законодательства
1
Представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения
Уведомление об обработке персональных данных
+
+
В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
(Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» ст. 22, п. 6)
2
Непредставление в уполномоченный орган сведений о прекращении обработки персональных данных или об изменении информации, содержащейся в уведомлении об обработке персональных данных
Уведомление об обработке персональных данных
+

В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
(Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» ст. 22, п. 7)
3
Отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ
Места хранения персональных данных
+

Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ (Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», п. 13)
4
Отсутствие в поручении лицу, ответственному за обработку персональных данных, обязанности соблюдения конфиденциальности персональных данных и обеспечения их безопасности, а также требований к защите обрабатываемых персональных данных
Соблюдение конфиденциальности персональных данных


+
+
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
(Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», ст. 6, п. 3)
5
Обработка персональных данных в случаях, не предусмотренных Федеральным законом
Незаконная обработка персональных данных
+

Обработка персональных данных должна осуществляться на законной и справедливой основе.
(Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», ст. 5, п. 1)
6
Несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации
Согласие на обработку персональных данных
+
+
В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: …
 (Федеральный закон от 27.07.2006 N 152-ФЗ  «О персональных данных» ст. 9, п. 4)
7
Непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами
Меры по обеспечению выполнения обязанностей
+
+
1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:
(Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» ст. 18.1, п. 1)
8
Непринятие оператором, являющимся юридическим лицом, мер по назначению ответственного за организацию обработки персональных данных
Лицо, ответственное за организацию обработки персональных данных

+
Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
(Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», п. 1, ст. 18.1)
9
Невыполнение в установленный срок законного предписания органа (должностного лица) Уполномоченного органа по защите прав субъектов персональных данных, осуществляющего государственный надзор (контроль), об устранении нарушений законодательства Российской Федерации в области персональных данных
Предписания

+

Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), муниципальный контроль, об устранении нарушений законодательства -влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.
(«Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ», п. 1 ст. 19.5)
10
Несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства Российской Федерации
Типовые формы документов

+
При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:…
(Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», п. 7)


https://vk.com/kshudrova - подписывайтесь на страницу блога ВКонтакте. Здесь ссылки на свежие посты, новости мира ИБ и интересные статьи других авторов.

пятница, 20 октября 2017 г.

Код ИБ Красноярск. Эксклюзив - видео выступления Константина Михайлова

Добрый день, дорогие читатели! Уже во второй раз в Красноярске прошла конференция "Код информационной безопасности". Видеозаписи докладов доступны в рамках платного пакета "Профи" (до конца года можно приобрести контент). Однако организаторы специально для Красноярского отделения RISC сделали отличный подарок! Делюсь с Вами записью выступления Константина Михайлова* (Доклад "Практика управления ИТ и ИБ"). 

*Константин Михайлов - директор по ИТ ПВП "Контакт", Красноярский эксперт в сфере ИБ. Также в блоге есть запись отличного семинара Константина о медицинских учреждениях в рамках клуба RISC.


https://vk.com/kshudrova - подписывайтесь на группу блога ВК. Идет марафон постов о персональных данных, разыгрывается кружка с логотипом RISC

вторник, 3 октября 2017 г.

Код ИБ в Красноярске

Добрый день, дорогие читатели! В этот четверг (5 октября) в Красноярске пройдет конференция "Код информационной безопасности". В прошлом году это мероприятие у нас провели впервые, я выступала куратором. Прочитать как это было можно здесь. К сожалению, в этом году поучаствовать лично у меня не получится, но я очень рекомендую это событие к посещению. 
Так как Красноярское отделение RISC оказывает информационную поддержку Коду ИБ, расскажу Вам немного о мероприятии.
В Красноярске события по информационной безопасности такого масштаба пока не проводятся, так что есть прекрасная возможность не только послушать интересные доклады, но и увидеть старых друзей, а также завести полезные знакомства.
В этом году изменилась площадка проведения конференции. Теперь это IBIS KRASNOYARSK CENTER, начало все также в 10 утра. Также я помню, что вы спрашивали про видео записи выступлений. В этом году можно зарегистрироваться платно и получить все необходимые файлы. Стоимость расширенного пакета до конференции составляет всего 1250 рублей. В него входят как видеозаписи выступлений, так и презентации, видео- и письменный конспекты, а также фирменный сувенир. Если решите купить записи после - цена составит 2500. Какую бы форму участия вы не выбрали, платную или бесплатную, необходимо обязательно зарегистрироваться заранее (не забываем про вкусные кофе-брейки и обед). 
Программа конференции уже доступна. Я очень рада, что в этом году нас снова радует своим участием Владимир Бабин (начальник отдела технической защиты информации), а также впервые выступает Константин Михайлов (эксперт по ИБ). Видеозапись семинара Константина в клубе RISC вы можете посмотреть у меня в блоге. Еще я очень рекомендую Вам послушать Илью Шабанова. Портал anti-malware.ru является одним из главных источников новостей мира ИБ, так что Илья личность практически легендарная. В общем, со всех сторон получается, что нужно идти! Ну а в следующем году я обязательно к вам присоединюсь :)


Вступайте в группу блога ВК, сегодня стартовал розыгрыш фирменной кружки - https://vk.com/kshudrova.

пятница, 29 сентября 2017 г.

Молодежная палата Роскомнадзора

Добрый вечер, дорогие читатели! Сегодня я хочу поделиться новостью с сайта Роскомнадзора. Вчера прошло заседание Молодежной палаты Консультативного совета при Уполномоченном органе по защите прав субъектов персональных данных (ссылка). Было анонсировано проведение дебатов по тематике защиты персональных данных на базе Московского государственного университета им М.В. Ломоносова и Российского государственного университета нефти и газа им. И.М. Губкина. Также на сайте указано, что обсуждался вопрос создания дискуссионных клубов на базе высших учебных заведений страны (ссылка)
Информацию о Молодежной палате Консультативного совета можно найти на сайте РКН (ссылка), положение находится здесь. Чем занимаются ребята? Ну, например, при их участии были разработаны рекомендации по составлению политики обработки персональных данных (ссылка). Возраст участников 18-30 лет. 
По этому поводу у меня две мысли - первая о том, что на вступление в их юные ряды у меня осталось где-то дней 30 (жаль), а вторая - имеет ли смысл создавать такие клубы? 
Как вы уже хорошо знаете, я руковожу красноярским отделением RISC и занимаюсь проведением семинаров по персональным данным, участие в которых принимают в основном студенты и молодые специалисты. Мы стараемся привлекать в качестве докладчиков людей взрослых, занимающих руководящие должности. На мой взгляд, именно такая дискуссия молодости и опыта имеет смысл. 
Мне кажется, что дебаты, которые проводят студенты для студентов очень поверхностны. Что можно обсуждать на таких собраниях? Идеи, мнения. Это очень здорово, но зачастую не имеет никакого отношения к реальной жизни. Все кто занимается защитой персональных данных на практике знают типовые проблемы и спорные вопросы. Это биометрия, моделирование угроз, судебная практика, данные о здоровье и т.д. Для дискутирования на эти темы недостаточно прочитать несколько нормативных актов, нужно также знать об ограниченности бюджета, времени, персонала и целесообразности выполнения тех или иных мероприятий. Молодого человека в 18-20 лет вопросы экономии денег оператора волнуют мало, это можно увидеть в экономическом обосновании дипломных работ.
В то же время если собирать людей, занятых исключительно практической деятельностью, дискуссия будет неполноценной. Мы получим простое перечисление проблем. Нужен свежий взгляд, который можно получить от молодежи. Лично я за баланс, а как считаете вы?
А.М. Герасимов. После дождя. Источник
https://vk.com/kshudrova - присоединяйтесь к клубу ВК! Здесь я размещаю свежие новости из мира ИБ, интересные посты других авторов и отвечаю на вопросы.

вторник, 19 сентября 2017 г.

Судебная практика в информационной безопасности

Добрый вечер, дорогие читатели! Вышел в свет Журнал IT-Manager: № 08/2017. Получить электронную версию можно бесплатно. Моя статья в номере доступна по ссылке - Судебная практика в информационной безопасности. Приятного чтения!

ЗЫ. В октябрьском номере вас ожидает статья про проверки Роскомнадзора.

Покидова Галина. Рябина. Источник


https://vk.com/kshudrova - подписывайтесь на официальную группу блога ВК.

пятница, 8 сентября 2017 г.

Оффтоп. RSS блога - как решить проблему с feedburner

Добрый день, дорогие читатели! Вчера совершенно случайно обнаружила, что не работают зеркала блога на Securitylab и Bis-expert. И все это продолжается с июня. Выяснилось, что возникла ошибка на моей стороне - был переполнен файл фида (более 1024Кб). За 6 с лишним лет ведения блога предел-таки был достигнут :) Как решить эту проблему было непонятно, так как feedburner просто предлагал обратиться на технические форумы. Я нашла следующее решение - не загружать весь архив блога в файл фида, а ограничиться последними 15ю публикациями (значение выбиралось методом тыка - 20 уже не пролазило, 3 - было маловато и т.д.). Для того, чтобы показывались последние 15 постов, нужно заполнить значение Original Feed следующим образом:

http://shudrova.blogspot.com/feeds/posts/default?max-results=15


Минусом моих экспериментов стала замена файла фида (как одна из проб найти решение), а, следовательно, потеря всех подписчиков RSS, но это дело наживное :)

ЗЫ. Если вы следили за моим блогом по зеркалам, то наверняка пропустили вот эти посты:

Приятного чтения!

https://vk.com/kshudrova - ссылки на свежие посты, новости мира ИБ и интересные статьи других авторов. Подписывайтесь!

среда, 6 сентября 2017 г.

Вопросы читателей по ПДн

Добрый день, дорогие читатели! Мне приходит множество интересных вопросов на тему защиты информации, а особенно - персональных данных. Ответы на некоторые из них являются достаточно универсальными. Сегодня представляю вашему вниманию пять вопросов с моими ответами на них. 

Вопрос  1
Подскажите минимальный комплект документов которые необходимы при обработке ПДн физ лицом (ИП).
Ответ
Из Фейсбука Алексея Лукацкого шаблоны документов по персональным данным. Аж 318 страниц! Автора, к сожалению, идентифицировать не могу.

Вопрос 2
Спасибо, что опубликовали свою презентацию с Paymentsecurity. Не могли бы вы ответить на те вопросы которые обозначили в конце презентации. 
1. Насчет цели обработки ПДн родственников работников. Правильно ли я понимаю что это - соблюдение требований трудового законодательства? На Ваш взгляд, обязательно ли выделять родственников работников в отдельную категорию субъектов? 
2. Интересно Ваше мнение по вопросу легализации обработки ПДн родственников заемщиков банков, которые они указывают в своих анкетах без взятия согласия. Единственное что приходит в голову это поручение заемщиком обработки ПДн своих родственников согласно ч.3 ст.6 ФЗ-152. Соответственно обязанность брать согласие в таком случае лежит на заемщике. Как к этому относится Роскомнадзор?

3. Если информация о судимости работника представляет собой только сведения о наличии или отсутствии судимости, без указания статьи УК, являются ли данные сведения персональными данными?

Ответ
1. Родственников нужно стараться не выделять отдельно, лучше попробовать обозначить их через привязку к субьекту. Например, назвать - информация о семье. 
2. По родственникам заемщиков сложная ситуация. Первое, что приходит в голову - обрабатывать вне информационной системы, на бумаге, но на деле это будет реализовать сложно или даже невозможно. РКН считает такую обработку без согласия нарушением. Также обратите внимание на п. 3, ст. 18:

Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных;
5) источник получения персональных данных.

3. Думаю, являются. Можно посмотреть комментарий РКН, который в виде книги, там должно быть про судимость (Научно-практический комментарий Роскомнадзора к закону «О персональных данных»).

Вопрос 3
Здравствуйте Ксения. Я пишу работу по социальной инженерии, не могли бы вы подсказать где можно наткнуться на статьи по новым тенденциям в этом направлении?
Ответ
Добрый вечер! Могу порекомендовать вот эти материалы: Социальная инженерия: сущность и парадигмальная методологияСоциальнаяинженерия как дисциплинарно-организованное знание. Также оставлю ссылку на свою статью на эту тему.

Вопрос 4
Вопрос по ИСПДн. Допустим создана информационная система в которой будут обрабатываться ПДн. Можно ли на ней обрабатывать ПДн, если не проводились мероприятия по защите информации (даже не определен тип угроз и уровень защищенности)? И какие могут быть наказания за это? Спасибо.
Ответ
Согласно статье 19 оператор обязан принимать меры для защиты ПДн при обработке - с самого начала такой обработки. Если посмотреть статью 22 про уведомление, то там написано, что уведомление подаётся до начала обработки и в нем указываются принятые меры защиты. Штрафы по статье 13.11 КоАП, с 1 июля повышены.

Вопрос 5
Кто и как определяет подразделения в организации, которые обрабатывают ПДн (это должно быть зафиксировано документом (актом или приказом и т.п.))?
Ответ
Подразделения определяет оператор, закон здесь ничего нам не говорит. Ст. 18.1 п. 6 говорит о том, что нужно проводить ознакомление работников, осуществляющих обработку, значит такой круг лиц должен быть закреплен документом.

Андреев Александр. Сентябрь. Источник

Группа ВК: 
https://vk.com/kshudrova - подписывайтесь на официальную страницу блога!