пятница, 25 мая 2012 г.

Доступ к образовательным ресурсам по информационной безопасности

Вот здесь можно найти и скачать учебные пособия по защите информации. Что ж я про это не знала, когда в университете училась?:) Здесь есть пособия и по технической защите информации и учебники по криптографии, в том числе учебно-методические пособия для преподавателей. 

вторник, 22 мая 2012 г.

Новый министр связи и массовых коммуникаций

Главой Минкомсвязи России стал Николай Никифоров, два последних года работавший вице-премьером, министром информатизации и связи Татарстана. Об этом сегодня объявил президент Владимир Путин.


пятница, 18 мая 2012 г.

Отчет о деятельности Роскомнадзора за 2011 год

Интересные моменты:
Серым выделены мои комментарии, остальное - цитаты из текста отчета. Остальное цитаты - они идут в произвольном порядке, обобщены по темам (из разных частей документа). Оригинал отчета: http://rsoc.ru/personal-data/reports/.

1. Про профилактические мероприятия:
Наряду с традиционными формами работы (проведение плановых и внеплановых проверок) Уполномоченным органом в 2011 году активно внедрялись меры профилактического характера (мониторинг деятельности Операторов), что позволило на начальной стадии выявить и пресечь ряд серьезных нарушений прав значительного числа граждан, которые, впоследствии, могли вызвать широкий общественный резонанс. Видимо имелся ввиду мониторинг Интернет-ресурсов, потому что далее:
...создана система взаимодействия с регистраторами доменных имен и уполномоченными органами иностранных государств, а также сформирована положительная судебная практика, позволившая  создать прецедентную практику прекращения (приостановления) деятельности интернет-ресурсов, незаконно распространявших персональные данные граждан...

2. Про количество проверок:
Всего в отчетном периоде было проведено 1440 плановых проверок, 266 проверок отменено в связи с ликвидацией Оператора. 
В рамках внепланового контроля проведена 791 проверка, из них по обращениям граждан проведено 366 проверок...
Увеличение количества внеплановых проверок по сравнению с 2010 годом обусловлено более чем двукратным ростом числа обращений граждан, поступивших в Уполномоченный орган. Внеплановые проверки составляют половину от плановых.

3. Про взаимодействие с прокуратурой
Так, использование Уполномоченным органом при исполнении поручений органов прокуратуры оснований внеплановых проверок, установленных Административным регламентом проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (приказ Роскомнадзора от 1 декабря 2009 г. № 630, зарегистрирован в Минюсте России 28 января 2010 г., № 16095) признавалось органами прокуратуры допустимым и правомерным.
В то же время использование аналогичных оснований при проведении Уполномоченным органом внеплановых проверок по обращениям граждан в ряде субъектов (Краснодарский край, Алтайский край) было признано органами прокуратуры незаконным, при этом по инициативе органов прокуратуры государственные инспекторы Роскомнадзора были привлечены к административной ответственности.
Причина отказов органами прокуратуры в возбуждении дел об административных правонарушениях за истечением срока давности отчасти связанна с изменениями, внесенными в июле 2011 года в Федеральный закон «О персональных данных», увеличившими сроки предоставления операторами информации по запросу Уполномоченного органа до 30 дней.
Принимая во внимание, что в отношении правонарушений по ст. 13.11 КоАП РФ установлен 3-х месячный срок давности, на сегодняшний день количество возбужденных дел по указанной статье ничтожно мало.
 В сложившейся ситуации логичным и эффективным решением является передача Уполномоченному органу – Роскомнадзору  полномочий по возбуждению и рассмотрению дел об административных правонарушениях, предусмотренных ст. 13.11 КоАП РФ. Это в значительной степени будет способствовать соблюдению принципа неотвратимости наказания за совершенное правонарушение.
Здесь говорится о проекте нового постановления Правительства.


4. Про типичные нарушения
Основными, типичными нарушениями требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятых на его основе подзаконных актов, выявленными в ходе плановых и внеплановых проверок, являются:
а) ст. 7 Федерального закона «О персональных данных» – нарушение требований конфиденциальности при обработке персональных данных;
б) ч. 3 ст. 18 Федерального закона «О персональных данных» – неуведомление гражданина о начале обработки его персональных данных;
в) п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 в части, касающейся несоблюдение Оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
Основное, как и раньше - неавтоматизированная обработка и отсутствие согласия. Пункт а - собирательный.

5. Про штрафы
Как и в предшествующие периоды, в отчетном продолжился рост количества правонарушений в области персональных данных. Так, в 2011 году Уполномоченным органом составлено 4901 протоколов об административных правонарушениях, что почти 2 раза превышает показатели 2010 года.
Мировыми судьями в 4315 случаях вынесены постановления о привлечении Операторов к административной ответственности в форме штрафа на общую сумму 7,9 млн. рублей. ( средний штраф - менее 2 тыс. руб.).

6. Про утечки баз данных
Учитывая подобные случаи распространения баз данных, предположительно имеющих принадлежность к  информационным системам госорганов, представляется целесообразным нормативно урегулировать вопросы обеспечения идентификации баз персональных данных, обрабатываемых в госорганах, с целью однозначного определения источника в случае их утечки или появления в продаже. В этих же целях предлагается применять процедуру обезличивания персональных данных, успешное использование которой существенно снизит риски идентификации конкретных граждан в случаях утечек баз данных.
Интересно, каким образом это можно сделать?

7. Про технический стандарт
В качестве решения указанной проблемы представляется целесообразной разработка технического стандарта, определяющего набор необходимых правил и мер, реализация которых обеспечит безопасность персональных данных при их обработке в информационно-телекоммуникационной сети Интернет и позволит исключить подобные случаи.
Разрабатывать будет Роскомнадзор?

8. Про обращения граждан
По итогам рассмотрения обращений граждан следует отметить, что доводы заявителей подтвердились лишь в 857 случаях, что составляет 27 % от общего числа обращений.
Ну что ж, только треть жалоб подтверждается, для операторов внушает надежды.


9. Об увеличении штата
В связи с чем, сегодня видится актуальным рассмотрение вопроса об увеличении штатной численности работников Уполномоченного органа, осуществляющих функции в области защиты прав субъектов персональных данных.
Скажется ли это на увеличении проверок.

10. О совместных проверках
Решения о проведении совместных проверок в 2012 году были приняты органами ФСБ России по 23 субъектам Российской Федерации, органами ФСТЭК России - по 9 субъектам.
В качестве показательного примера можно привести совместные проверки, проведенные в 2011 году в отношении Пенсионного фонда Российской Федерации и 6 негосударственных пенсионных фондов, в которых помимо трех регуляторов приняли участие представители органов внутренних дел.
  По результатам совместных контрольно-надзорных мероприятий в деятельности Пенсионного фонда Российской Федерации фактов незаконной передачи персональных данных застрахованных лиц, а также условий, способствующих утечке персональных данных из информационной системы Пенсионного фонда Российской Федерации, установлено не было.

11. О проверках ФСБ
В 2011 году ФСБ России проведено 270 проверок по контролю за обеспечением безопасности персональных данных, обрабатываемых в информационных системах персональных данных.
Выявленные нарушения и недостатки можно разделить на 4 категории:
1. Разработка ведомственных нормативных документов по обеспечению безопасности персональных данных с отступлениями от требований нормативно-методических документов ФСБ России (35%).
2. Использование СКЗИ, не прошедших сертификацию ФСБ России или с истекшими сроками действия сертификатов (28%).
3. Подготовка и назначение пользователей СКЗИ осуществляется с отступлениями от требований нормативных документов (30%).
4. Нарушения в учете, хранении, уничтожении СКЗИ и ключевой документации к ним (55%).

12. О деятельности ФСТЭК
Деятельность ФСТЭК России в области обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных в отчетном году осуществлялась по следующим направлениям:
1. Совершенствование законодательства Российской Федерации в области обеспечения безопасности персональных данных.
2. Оказание методической помощи федеральным органам исполнительной власти, органам исполнительной власти субъектов Российской Федерации, органам местного самоуправления, другим операторам и специалистам по реализации требований законодательства Российской Федерации и методических документов ФСТЭК России по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
В 2011 году ФСТЭК России и его территориальными органами было проведено 83 проверки, том числе 56 в федеральных органах исполнительной власти и их территориальных органах (МИД России, Минэкономразвития России,  МЧС России, Минпромторг России, Минэнерго России, ФТС России, ФСИН России, ФАС России, Рособрнадзор, Росздравнадзор, Росимущество, Росрезерв), в органах исполнительной власти 14 субъектов Российской Федерации, 7 органах местного самоуправления и 6 организациях ЖКХ.
В ходе контрольных мероприятий выявлено значительное количество недостатков, связанных с:
незавершенностью работ по классификации информационных систем персональных данных;
формальным подходом при формировании модели угроз безопасности персональных данных;
использованием технических средств защиты информации, не прошедших в установленном порядке процедуру оценки соответствия, в том числе межсетевых экранов при подключении информационных систем персональных данных к сети Интернет;
отсутствием описания системы защиты персональных данных;
отсутствием надлежащего учета применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных.
Сертифицированные средства - необходимы

13. О будущем
Задачи и приоритетные направления деятельности Уполномоченного органа:
1.      Осуществление на постоянной основе мониторинга деятельности Операторов, направленного на предупреждение, выявление и пресечение нарушений в области персональных данных.
2.      Работа по выявлению и пресечению деятельности по продаже физических носителей, содержащих персональные данные граждан, а также ресурсов, незаконно распространяющих персональные данные граждан в информационно – телекоммуникационной сети Интернет в судебном порядке и посредством организации взаимодействия с уполномоченными органами иностранных государств и национальными регистраторами доменных имен.
3. Обмен опытом и оказание взаимной помощи в вопросах защиты и восстановления охраняемых законом прав и интересов субъектов персональных данных в рамках сотрудничества с уполномоченными органами по защите прав субъектов персональных данных иностранных государств.
4. Продолжение практики совместных проверок в области персональных данных с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю.
5. Совершенствование форм и методов контрольно-надзорной деятельности, направленной на  качественное повышение уровня защиты прав субъектов персональных данных.
6. Методическое обеспечение и повышение профессиональной квалификации сотрудников Уполномоченного органа.
7. Подготовка предложений по совершенствованию и гармонизации законодательства Российской Федерации в области персональных данных.
8. Издание приказа Уполномоченного органа об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS 108), и обеспечивающих адекватную защиту прав субъектов персональных данных.
9. Разработка требований и методов обезличивания персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.
10. Организация и проведение совместной с Координационным центром национального домена сети Интернет работы по предотвращению нарушений прав и законных интересов граждан в информационно-телекоммуникационной сети Интернет. 
Нас ждут изменения в законодательстве?









пятница, 11 мая 2012 г.

Журнал заявок субъектов персональных данных


В "Методических рекомендациях  по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации" http://www.ib-bank.ru/docs/recommendations.pdf в Приложении 11 есть полезная вещь - журнал учета обращений субъектов персональных данных:
На мой взгляд, сведения о запрашивающем лице должны включать в себя:
  1. ФИО субъекта;
  2. Номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, 
  3. Сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, 
  4. Подпись субъекта персональных данных или его представителя.





суббота, 5 мая 2012 г.

Как представить результаты работы по ИБ на совещании

Безопасникам часто приходится обосновывать затраты на защиту информацию перед руководством. Я попробовала обобщить свои заметки по этому вопросу и получилась статья. Моя статья в открытом доступе  здесь.

пятница, 4 мая 2012 г.

Новое постановление правительства об уровнях защищенности персональных данных

У Алексея Волкова в заметке "Уровни и требования" дан полезный и развернутый обзор проекта постановления Правительства. Также информацию для себя можно почерпнуть здесь, здесь и здесь.

А здесь я приведу свой анализ нового документа "Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных" :-)

С текстом проекта можно ознакомиться на сайте ФСБ России - http://www.fsb.ru/files/fsbdoc/project_normakt/urovni.pdf.

Итак, мы имеем 4 уровня защищенности: УЗ-1, УЗ-2, УЗ-3, УЗ-4. Уровни защищенности персональных данных определяются оператором в зависимости:
  • от угроз безопасности персональных данных с учетом возможного вреда субъекту персональных данных (т.е. необходимо оценить вред субъекту персональных данных),
  • объема и содержания обрабатываемых персональных данных (это аналогично приказу трех), 
  • вида деятельности, при осуществлении которого обрабатываются персональные данные (это что-то новое и интересное), 
  • актуальности угроз безопасности персональных данных (строим модель угроз).
"Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах". 
Определение уровня защищенности персональных данных включает в себя следующие этапы:
  • сбор и анализ исходных данных по информационной системе;
  • классификацию информационной системы;
  • формирование модели угроз и определение категории нарушителя;
  • установление уровня защищенности персональных данных и его документальное оформление.
Причем появились некоторые изменения в классификации информационной системы. В частности в определении категории данных, которые теперь называются типы данных.

ТИП 1
СТАЛО:
тип 1 – специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также биометрические персональные данные;
БЫЛО:
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
Добавились биометрические персональные данные. 

ТИП 2
СТАЛО:
тип 2 – фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, или любая совокупность таких персональных  данных, позволяющая однозначно определить субъекта персональных данных, а также дополнительные  персональные данные, за исключением персональных данных типа 1;
БЫЛО:
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
Стало понятнее, что относить ко второй категории: например, ФИО, паспорт и еще что-то.

ТИП 3
СТАЛО:
тип 3 – фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, или любая совокупность таких персональных данных, позволяющая однозначно определить субъекта персональных данных;
БЫЛО:
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
Т.е. ФИО и паспорт - тип 3.

ТИП 4
СТАЛО:
тип 4 – результат обезличивания персональных данных, представляющего действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (далее – обезличенные персональные данные). В случае, если имеется возможность получения оператором  такой дополнительной информации, информационная система считается обрабатывающей  персональные данные того типа содержания, который был определен до прохождения процедуры обезличивания.
БЫЛО:
категория 4 - обезличенные и (или) общедоступные персональные данные.
Очень важно: теперь не получится разбить базу на две и объявить одну из них класса 4, так как есть возможность получения дополнительной информации!

Определение объема также изменилось: исчезло указание на возможное определение в пределах субъекта РФ, организации или отрасли экономики, теперь разделяем только по количеству субъектов. Т.е. если в организации работает более 1000 человек, то это уже объем 2, а не 1 как раньше.

Таблица классификации новая:


Таблица классификации старая:



Желтым обозначены те позиции, которые изменились (для удобства старая таблица была развернута аналогично новой, столбцы и строки переставлены). Т.е. для категории 1 стал возможен 2 класс, а для категории 2 - невозможен 3й. :)

Оператор вправе поставить класс выше, чем требуется. Затем по требования ФСТЭК и ФСБ строится модель угроз. Интересно, можно ли будет пользоваться Базовой моделью угроз от ФСТЭК и Методическими рекомендациями ФСБ или же появятся новые требования?

Дальше начинается самое интересное - определение нарушителя. В Методических рекомендациях по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации была классификация нарушителей по 6 типам: Н1- Н6.В данном проекте предусмотрено 3 класса: КН1, КН2, КН3.


КН1 – нарушитель (группа нарушителей), самостоятельно осуществляющий (осуществляющая)  создание методов и средств реализации атак и реализацию атак на информационную систему (нарушитель с низким потенциалом); 

Инсайдер или сторонний злоумышленник с небольшими возможностями (неспециалист).

КН2 – группа нарушителей, осуществляющая создание методов и средств реализации атак и реализацию атак на информационную систему с привлечением специалистов в области разработки и анализа средств защиты информации, включая специалистов в области защиты информации от утечки по техническим каналам и (или) специалистов в области использования для реализации атак недокументированных  (недекларированных) возможностей прикладного программного обеспечения (нарушитель со средним 
потенциалом);

Привлекаются специалисты по защите информации.

КН3 – нарушитель или  группа нарушителей, осуществляющая создание методов и средств реализации атак и реализацию атак на информационную систему с привлечением специалистов в области разработки и анализа средств защиты информации, включая специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного программного обеспечения (нарушитель с высоким потенциалом).

Привлекаются специалисты-разработчики.

Для рядовой ИСПДн, на мой взгляд, достаточно КН1. Уровень защищенности определяется по специальной таблице, где столбцы - классы нарушителей, строки - классы ИСПДн. 



Для КН1 нет уровня защищенности 1, только 2, 3 и 4. Уровень защищенности необходимо закреплять актом, делать его выше - право оператора. Устанавливать уровень ниже можно только с письменного разрешения ФСТЭК и ФСБ.

Ну вот и весь анализ, отметила основные моменты, надеюсь он будет Вам полезен в работе :)
А и кстати - где же специальные системы?:)

Проект постановления Правительства о контроле и надзоре за обработкой персональных данных


Спасибо Алексею У. за ссылку на новый проект постановления Правительства. Ссылка здесь. Достаточно интересный для изучения документ, привожу его вместе со своими комментариями - комментарии выделены фиолетовым. Для изучения документа полезно освежить в памяти Административный регламент Роскомнадзора. Ссылка на регламент.
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от «__» ________________________ г.  _______
Об утверждении Положения о государственном контроле и надзоре  за соответствием обработки персональных данных  требованиям законодательства Российской Федерации в области персональных данных


В соответствии с пунктом 2 статьи 2 Федерального закона  от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (Собрание законодательства Российской Федерации, 2008, № 52, ст. 6249; 2009, № 18, ст. 2140; № 29, ст. 3601; № 48, ст. 5711; № 52, ст. 6441; 2010, № 17, ст. 1988; № 18, ст. 2142; № 31, ст. 4160, 4193, 4196; № 32, ст. 4298; 2011, № 1, ст. 20; № 17, ст. 2310; № 23, ст. 3263; № 27, ст. 3880; № 30,  ст. 4590; № 48, ст. 6728) Правительство Российской Федерации
п о с т а н о в л я е т :
Утвердить прилагаемое Положение о государственном контроле
и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.


Председатель Правительства
Российской Федерации В. Путин

УТВЕРЖДЕН
постановлением Правительства
Российской Федерации
от «___»___________ № _____


Положение
о государственном контроле и надзоре 
за соответствием обработки персональных данных 
требованиям законодательства Российской Федерации 
в области персональных данных

Настоящее Положение разработано на основании Федерального закона от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановлений Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», от 20 августа 2009 г. № 689 «Об утверждении правил аккредитации граждан и организаций, привлекаемых органами государственного контроля (надзора) и органами муниципального контроля к проведению мероприятий по контролю» и устанавливает порядок осуществления государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
1. Государственный контроль и надзор за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных на территории Российской Федерации и находящихся под юрисдикцией Российской Федерации территориях осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций непосредственно и через ее территориальные органы.
Контроль над операторами осуществляет Роскомнадзор.
2. Государственный контроль и надзор за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных включает в себя мониторинг деятельности государственных органов, муниципальных органов, юридических лиц, индивидуальных предпринимателей и физических лиц, направленный на предупреждение, выявление и пресечение нарушений законодательства Российской Федерации в области персональных данных, а также контроль и надзор за соблюдением государственными органами, муниципальными органами, юридическими лицами, индивидуальными предпринимателями и физическими лицами обязательных требований, установленных федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами Российской Федерации в области персональных данных, в том числе за выполнением организационных и технических мер по обеспечению безопасности персональных данных при обработке персональных данных в негосударственных информационных системах персональных данных (далее – обязательные требования в области персональных данных).
Осуществляется контроль не только за выполнением организационных, но и технических мер.
3. Государственный контроль и надзор за соблюдением обязательных требований в области персональных данных от имени Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций уполномочены осуществлять должностные лица - государственные инспекторы по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – должностные лица).
4. В целях осуществления государственного контроля и надзора за соблюдением обязательных требований в области персональных данных Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальные органы организуют и проводят плановые и внеплановые проверки.
Проверки все также могут быть плановыми и внеплановыми.
5. Должностные лица Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальных органов при проведении проверки вправе:
5.1. запрашивать и получать на основании мотивированного письменного запроса от государственных органов, муниципальных органов, юридических лиц, индивидуальных предпринимателей и физических лиц информацию и документы, связанные с исполнением указанными органами и лицами обязательных требований в области персональных данных;
5.2. беспрепятственно по предъявлению служебного удостоверения и копии приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа о проведении проверки посещать и проводить обследования используемых государственными органами, муниципальными органами, юридическими лицами, индивидуальными предпринимателями и физическими лицами при осуществлении деятельности зданий, помещений, сооружений, негосударственных информационных систем персональных данных, технических средств, оборудования, документов, а также проводить необходимые исследования, испытания, расследования, экспертизы и другие мероприятия по контролю;
В Регламенте Роскомнадзора говорилось о том, что проверка может осуществляться исключительно, если присутствует руководитель организации.
64. Служба или ее территориальный орган не вправе осуществлять плановую или внеплановую выездную проверку в случае отсутствия при ее проведении руководителя или иного уполномоченного представителя Оператора, за исключением случая проведения такой проверки по основанию, предусмотренному подпунктами 38.2.2 настоящего Регламента.
5.3. выдавать обязательные для выполнения предписания об устранении выявленных нарушений в области персональных данных;
5.4. использовать технику и оборудование, принадлежащие Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальному органу;
5.5. получать доступ к государственным информационным системам персональных данных в режиме просмотра и выборки необходимой информации;
Т.е. нельзя знакомиться с содержанием баз в коммерческих организациях?
5.6. получать доступ и проверять выполнение организационных
и технических мер по обеспечению безопасности персональных данных при обработке персональных данных в негосударственных информационных системах персональных данных;
5.7. cоставлять протоколы об административном правонарушении или направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении дел об административных правонарушениях;
5.8. направлять в органы прокуратуры, другие правоохранительные органы по подведомственности материалы для решения вопросов о возбуждении уголовных дел по признакам преступлений, связанных с нарушением обязательных требований в области персональных данных;
5.9. в рамках международного сотрудничества с уполномоченными органами по защите прав субъектов персональных данных иностранных государств оказывать правовую и организационную помощь по предотвращению, пресечению и прекращению незаконной деятельности в области персональных данных;
5.10. принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями обязательных требований в области персональных данных;
5.11. требовать от государственных органов, муниципальных органов, юридических лиц, индивидуальных предпринимателей и физических лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.
6. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальные органы при осуществлении мероприятий по контролю в части выполнения юридическими лицами, индивидуальными предпринимателями и физическими лицами организационных и технических мер по обеспечению безопасности персональных данных при обработке персональных данных в негосударственных информационных системах персональных данных привлекают экспертов, экспертные организации, аккредитованных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в порядке, определенном постановлением Правительства Российской Федерации от 20 августа 2009 г. № 689 «Об утверждении правил аккредитации граждан и организаций, привлекаемых органами государственного контроля (надзора) и органами муниципального контроля к проведению мероприятий по контролю».
7. Плановые и внеплановые проверки проводятся должностными лицами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами в форме документарной или выездной проверки.
8. Запросы в адрес государственных органов, муниципальных органов, юридических лиц, индивидуальных предпринимателей и физических лиц о получении информации по существу вопросов, указанных в обращении, поступившем в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальный орган, направленные в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Федеральным законом от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» не являются документарной проверкой.
9. Плановые проверки проводятся на основании ежегодного плана проведения плановых проверок, утверждаемого руководителем Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций на текущий календарный год.
Порядок подготовки ежегодного плана проведения плановых проверок, его представления в органы прокуратуры и согласования, а также типовая форма ежегодного плана проведения плановых проверок установлены постановлением Правительства Российской Федерации от 30 июня 2010 г. № 489 «Об утверждении Правил подготовки органами государственного контроля (надзора) и органами муниципального контроля ежегодных планов проведения плановых проверок юридических лиц и индивидуальных предпринимателей».
10. Плановые проверки проводятся в отношении государственных органов, муниципальных органов, юридических лиц, индивидуальных предпринимателей и физических лиц, организующих и (или) осуществляющих обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
11. Основанием для включения плановой проверки в План является:
11.1. начало осуществления государственным органом, муниципальным органом и физическим лицом деятельности по обработке персональных данных;
11.2. истечение трех лет со дня:
11.2.1. государственной регистрации юридического лица, индивидуального предпринимателя в качестве таковых;
11.2.2. окончания проведения последней плановой проверки юридического лица, индивидуального предпринимателя.
12. Внеплановые проверки проводятся по следующим основаниям:
12.1. истечение срока исполнения государственным органом, муниципальным органом, юридическим лицом, индивидуальным предпринимателем и физическим лицом выданного Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций предписания об устранении выявленного нарушения обязательных требований в области персональных данных;
12.2. поступление в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления и средств массовой информации о фактах:
12.2.1. возникновения угрозы причинения вреда жизни, здоровью граждан;
12.2.2. причинения вреда жизни, здоровью граждан;
12.3. приказ руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа, изданный в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации;
12.4. нарушение прав и законных интересов граждан действиями (бездействием) государственных органов, муниципальных органов, юридических лиц, индивидуальных предпринимателей и физических лиц при обработке их персональных данных;
12.5. нарушение государственным органом, муниципальным органом, юридическим лицом, индивидуальным предпринимателем и физическим лицом обязательных требований в области персональных данных, а также несоответствие сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.
13. Проведение внеплановых проверок по основаниям, предусмотренным подпунктом 12.2. пункта 12 настоящего Положения, требует согласования с органами прокуратуры.
14. Срок проведения как плановой, так и внеплановой проверки не может превышать двадцать рабочих дней.
В исключительных случаях, связанных с необходимостью проведения сложных и (или) длительных исследований, испытаний, специальных экспертиз и расследований на основании мотивированных предложений должностных лиц Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальных органов, проводящих проверку, срок проведения каждой из проверок может быть продлен руководителем Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или руководителем ее территориального органа, но не более чем на двадцать рабочих дней.
15. При проведении проверок в отношении государственных органов, муниципальных органов, юридических лиц, которые осуществляют свою деятельность на территориях нескольких субъектов Российской Федерации, срок проведения каждой из проверок устанавливается отдельно по каждому филиалу, представительству, обособленному структурному подразделению, при этом общий срок проведения проверки не может превышать шестьдесят рабочих дней.
16. Порядок проведения и оформление результатов проводимых проверок осуществляется в соответствии с положениями Федерального закона от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
17. В приказе о проведении проверки и акте проверки в обязательном порядке подлежат указанию фамилия, имя, отчество эксперта и (или) наименование экспертной организации, привлекаемые Федеральной службой по надзору в сфере связи, информационным технологиям и массовым коммуникациям или ее территориальными органами к проведению мероприятий по контролю при осуществлении проверки.
18. Форма проведения проверки определяется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальным органом самостоятельно, с учетом оснований, предусмотренных пунктами 11 и 12 Положения.
19. В ходе проведения проверки Федеральная служба по надзору в сфере связи, информационным технологиям и массовым коммуникациям или ее территориальные органы осуществляют следующие мероприятия по контролю:
19.1. рассмотрение документов государственных органов, муниципальных органов, юридических лиц, индивидуальных предпринимателей и физических лиц, в том числе:
19.1.1. уведомлений об обработке персональных данных;
19.1.2. документов, необходимых для проверки фактов, содержащих признаки нарушения законодательства Российской Федерации в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Федеральную службу по надзору в сфере связи, информационным технологиям и массовым коммуникациям или ее территориальный орган;
19.1.3. документов, подтверждающих выполнение государственным органом, муниципальным органом, юридическим лицом, индивидуальным предпринимателем и физическим лицом предписания об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных;
19.1.4. документов, подтверждающих наличие в установленных законодательством Российской Федерации в области персональных данных случаях согласия субъекта персональных данных на обработку его персональных данных в письменной или иной форме;
19.1.5. документов, подтверждающих соблюдение обязательных требований в области персональных данных при обработке специальных категорий и биометрических персональных данных;
19.1.6. документов, подтверждающих уничтожение государственным органом, муниципальным органом, юридическим лицом, индивидуальным предпринимателем и физическим лицом персональных данных субъектов персональных данных по достижении цели обработки;
19.1.7. локальных актов, определяющих политику государственных органов, муниципальных органов, юридических лиц, индивидуальных предпринимателей и физических лиц в отношении обработки персональных данных, по вопросам обработки персональных данных, а также устанавливающих процедуры, направленные на предотвращение и выявление нарушений обязательных требований в области персональных данных, устранение последствий таких нарушений;
В регламенте было: Локальных актов Оператора, регламентирующих порядок и условия обработки персональных данных.
19.2. исследование (обследование) государственной и негосударственной информационной системы персональных данных, в части касающейся проверки соблюдения установленного порядка и условий обработки персональных данных;
19.3. исследование (обследование) негосударственной информационной системы персональных данных, в том числе по вопросам применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке в указанных информационных системах персональных данных, необходимых для выполнения обязательных требований к защите персональных данных;
Проверка технических мер для негосударственных ИСПДн!
19.4. оценка соответствия действий государственных органов, муниципальных органов, юридических лиц, индивидуальных предпринимателей и физических лиц по обезличиваю и деобезличиванию персональных данных требованиям и методам, установленным Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций;
Новое - деобезличивание, видимо процесс преобразования обезличенных данных в личные.
19.5. оценка достаточности принимаемых государственным органом, муниципальным органом мер, направленных на обеспечение выполнение обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
20. При осуществлении мероприятий по контролю в рамках проведения проверки с привлечением экспертов и (или) экспертных организаций должностными лицами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами также осуществляется:
20.1. обследование и определение уровня защищенности информационных систем персональных данных, используемых юридическими лицами, индивидуальными предпринимателями и физическими лицами при осуществлении своей непосредственной деятельности;
Уровень защищенности - новое.
20.2. оценка соответствия применяемых юридическими лицами, индивидуальными предпринимателями и физическими лицами технических средств защиты информации;
И снова про технические меры.
20.3. оценка достаточности и эффективности принимаемых юридическими лицами, индивидуальными предпринимателями и физическими лицами технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных;
Интересно - достаточность и эффективность технических мер, следовательно, должна появиться методика оценки.
20.4. проведение исследований, а также проведение экспертиз, направленных на установление причинно-следственной связи выявленного нарушения обязательных требований в области персональных данных.
Вот это очень важно! Т.е. будет доказываться связь между недостаточностью мер и произошедшей утечкой?
21. В случае выявления в ходе или по результатам проверки административного правонарушения, предусмотренного Кодексом Российской Федерации об административных правонарушениях, в том числе невыполнения в установленный срок ранее выданного предписания об устранении выявленного нарушения обязательных требований в области персональных данных, должностные лица Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа составляют протокол об административном правонарушении в порядке, установленном законодательством Российской Федерации или направляют материалы в органы прокуратуры, другие правоохранительные органы для разрешения вопроса о возбуждении дела об административном правонарушении, а также о возбуждении уголовного дела, при наличии оснований для возбуждения уголовных дел по признакам преступлений, выявленных в ходе проверки и связанных с нарушением обязательных требований в области персональных данных, в соответствии с подведомственностью.
Роскомнадзор сам выписывает протоколы об административных правонарушениях...

Анализ данного проекта показал, что почти все пункты копируют административный регламент Роскомнадзора. Однако в случае принятия это будет уже Постановление Правительства, а это уже совершенно другой статус документа.