Хостеры и регистраторы - операторы персональных данных

XIV форум хостинг-провайдеровДмитрий Денискингенеральный директор ООО “ВЕБДРАЙВ”21 ноября 2009 года

Магические сокращения

• 152-ФЗ

• ПП 781, ПП 687, ПП 512, ДСП

• ИСПДн, СКЗИ, ТЗКИ, СТР-К, ПЭМИН

02/23

152-ФЗ

Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»

Вступил в действие через 180 дней29.01.2007

03/23

Яндекс – запрос «152-фз»

04/23

Яндекс – запрос «персональные данные»

05/23

Сравнение с соседями

Запрос в Яндексе «персональные данные»,количество показов в месяц:• Россия — 47426• Беларусь — 61• Украина - 7• Узбекистан — 16• Латвия — 9• Азербайджан — 3• Литва — 1

06/23

Регуляторы• Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) - уполномоченный орган по защите прав субъектов персональных данных;

• ФСТЭК (Федеральная служба по техническому и экспортному контролю) - контроль безопасности информации (некриптографические методы);

• ФСБ (Федеральная служба безопасности) - контроль безопасности информации (криптография).

07/23

Подзаконные акты ФСТЭК

• Приказ ФСТЭК, ФСБ и Мининформсвязи от 13 февраля 2008 г. № 55/86/20Об утверждении Порядка проведения классификации информационных систем персональных данных

«Четверокнижие»:1. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных;2. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;3. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных;4. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

08/23

Подзаконные акты ФСБ

• Методические материалы ФСБ от 21 февраля 2008 г. № 149/54-144«Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»

• Методические материалы ФСБ от 21 февраля 2008 г. № 149/6/6-622«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»

09/23

Парламентские слушания, 20.10.2009

• разрешить обработку ПДн, предшествующую заключению договора;

• уточнить случаи, когда согласие на обработку не требуются;

• дополнить случаи, когда обеспечение конфиденциальности не требуется;

• определить порядок адекватности защиты прав субъектов при трансграничной передаче;

• конкретизация условий обработки ПДн при директ-маркетинге;

• ограничение обязанности оператора сообщать субъекту об обработке ПДн, полученных от третьих лиц;

• исключение требования обязательного использования шифрования;• разрешить операторам негосударственных ИСПДн самостоятельно определять меры защиты;

• разработка отраслевых стандартов по защите ПДн под эгидой Минсвязи;

• отодвинуть срок вступления в силу ст.25.3;• исключить требование получения лицензии на ТЗКИ для собственных нужд.

10/23

Документы, регламентирующие обработку ПДн в компании

1. Положение о защите персональных данных в компании

2. Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн

3. Должностные инструкции персоналу в части обеспечения безопасности ПДн при их обработке в ИСПДн

4. Рекомендации по использованию программных и аппаратных средств защиты

5. Положение по организации контроля эффективности защиты информации в компании

6. Положение об организации режима безопасности помещений, где осуществляется работа с ПДн

7. Положение о порядке хранения и уничтожения носителей ПДн

8. Формы учета для организации обработки ПДн (шаблоны, бланки)

9. Отчет об обследования информационных систем компании

10. Перечень сведений конфиденциального характера

11. Приказ о назначении структурного подразделения или должностного лица, ответственного за обеспечение безопасности ПДн

12. Копия «Уведомления об обработке ПДн», выписка из реестра операторов ПДн.

11/23

Документы, регламентирующие обработку ПДн в ИСПДн (для каждой ИСПДн компании)

1. Акт классификации информационной системы персональных данных (ИСПДн)

2. Модель угроз безопасности ПДн при их обработке в ИСПДн

3. Определение границ контролируемой зоны ИСПДн

4. Технический паспорт ИСПДн

5. Электронный журнал регистрации обращений пользователей ИСПДн на получение ПДн

6. Регламент разграничения прав доступа

7. Приказ о назначении администратора безопасности ИСПДн

8. Руководство администратора ИСПДн

9. Руководство пользователя ИСПДн

10. Приказ об утверждении списка лиц, которым необходим доступ к ПДн, обрабатываемым в ИСПДн, для выполнения служебных (трудовых) обязанностей

11. Перечень применяемых средств защиты информации (СЗИ)

12. Перечень эксплуатационной и технической документации применяемых СЗИ

13. Перечень носителей ПДн

14. Заключение о готовности СЗИ к эксплуатации

12/23

Автоматизация работ по защите ПДн

WingDoc ПД (ntc-sfera.ru):• Модуль «Модель угроз ИСПДн»• Модуль «Модель угроз ИСПДн-К»• Модуль «Документы»• Модуль «Техническое задание»

13/23

Регистратору требуется письменное согласие на обработку ПДн

152-ФЗ:Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

14/23

Акцепт оферты = согласие в письменном видеГражданский Кодекс РФ:

Статья 434. Форма договора.2. Договор в письменной форме может быть заключен .. путем обмена документами посредством .. электронной .. связи, позволяющей достоверно установить, что документ исходит от стороны по договору.

3. Письменная форма договора считается соблюденной, если письменное предложение заключить договор принято в порядке, предусмотренном пунктом 3 статьи 438 настоящего Кодекса.

Статья 438. Акцепт.

3. Совершение лицом, получившим оферту, в срок, установленный для ее акцепта, действий по выполнению указанных в ней условий договора (отгрузка товаров, предоставление услуг, выполнение работ, уплата соответствующей суммы и т.п.) считается акцептом, если иное не предусмотрено законом, иными правовыми актами или не указано в оферте.

15/23

Согласие на обработку ПДн

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных Письменное согласие субъекта должно включать в себя:1) ФИО,адрес, данные документа, удостверяющего личность;2) наименование и адрес оператора;3) цель обработки персональных данных;4) перечень ПДн, на обработку которых дается согласие;5) перечень действий с ПДн, на совершение которых дается согласие;6) срок действия согласия, а также порядок его отзыва.

16/23

Цель обработки и срок действия согласия на обработку Пдн у регистратора

Регистрация доменного имени в домене .RU?

Статья 5 ФЗ-152:Хранение персональных данных должно осуществляться ... не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижению целей обработки...

17/23

Правильно формулируйте цель обработки ПДн

Требования к аккредитованному Регистратору:5. Регистратор обязан сохранять в течение всего срока действия настоящего Соглашения и в течение трех лет после его завершения полную информацию о произведенных им и (или) его партнерами операциях, связанных с регистрацией доменных имен, в том числе:5.1. договоры с пользователями (администраторами) об оказании услуг регистрации доменных имен;5.2. копии документов, подтверждающие информацию, необходимую для идентификации пользователей (администраторов).

18/23

Бабушка-DDOS

В соответствии с статьей 14 закона «О персональных данных» прошу предоставить сведения о наличии моих персональных данных:1) перечень обрабатываемых вами персональных данных и источник их получения;2) какими способами эти данные обрабатываются;3) какие лица имеют доступ к моим персональным данным;4) срок хранения моих персональных данных;5) какие юридические последствия может повлечь для меня обработка моих персональных данных.Ответ прошу направить в письменной форме в предусмотренный законом срок.

19/23

Результат проверки можно не разглашать294-ФЗ «О защите прав юридических лиц...» :

Статья 15. Ограничения при проведении проверки

При проведении проверки должностные лица органа государственного контроля (надзора), органа муниципального контроля не вправе:

5) распространять информацию, полученную в результате проведения проверки и составляющую государственную, коммерческую, служебную, иную охраняемую законом тайну, за исключением случаев, предусмотренных законодательством Российской Федерации;

Статья 16. Порядок оформления результатов проверки

7. Результаты проверки, содержащие информацию, составляющую государственную, коммерческую, служебную, иную тайну, оформляются с соблюдением требований, предусмотренных законодательством Российской Федерации.

20/23

Продолжительность проверок

294-ФЗ. Статья 13. Срок проведения проверкиСрок проведения каждой из проверок не может превышать:

• 20 рабочих дней;• для малого предприятия (до 100 сотрудников) — 50 часов в год;• для микропредприятия (до 15 сотрудников) — 15 часов в год;• В исключительных случаях срок проведения выездной плановой проверки может быть продлен, но не более чем на 20 рабочих дней, в отношении малых предприятий, микропредприятий не более чем на 15 часов.

21/23

Источники

• Блог Алексея Лукацкого “Бизнес без опасности”http://lukatsky.blogspot.com

• ReignVox.ru: Документы, регламентирующие обработку персональных данныхhttp://www.reignvox.ru/privacy-comments-regulating-documents.html

22/23

Вопросы?

deniskin.telДмитрий Денискин

23/23