среда, 20 мая 2015 г.

Управление уязвимостями с R-Vision

Коллеги, небольшой анонс. 

22 мая (пятница) в 10:00 мы будем проводить вебинар на тему управления уязвимостями с использованием R-Vision.  

В рамках вебинара мы рассмотрим лучшие практики по управлению уязвимостями, а также представим первые результаты по интеграции системы R-Vision с решениями по управлению уязвимостями. 

Регистрация тут - https://rvision.pro/?post_type=event&p=803

Приходите !

понедельник, 18 мая 2015 г.

Новый порядок контроля за обработкой ПДн со стороны Роскомнадзора

На Едином портале для размещения информации о разработке федеральными органами исполнительной власти проектов нормативных правовых актов и результатов их общественного обсуждения опубликован проект документа: 

Постановление Правительства Российской Федерации «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации»
Алексей Волков уже представил свое краткое, но довольно яркое видение последствий принятия этого документа - http://anvolkov.blogspot.ru/2015/05/blog-post.html#.VVjICdPtmko

Я же со своей стороны хотел бы привести в этой заметке наиболее важные выдержки из документа.  Так что если вам некогда читать весь документ, то обратите внимание хотя бы на это.  Обозначением "...." определяется что часть оригинального текста пропущена.

....

3. Деятельность по осуществлению государственного контроля и надзора подразделяется на плановую и внеплановую и осуществляется посредством проведения плановых и внеплановых проверок, а также мероприятий систематического наблюдения.

7. Внеплановые проверки проводятся на основании решения руководителя (заместителя руководителя) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа, принятого: 

7.1. в случае истечения срока исполнения .... предписания об устранении выявленного нарушения;

7.2. по результатам рассмотрения обращений граждан, поступивших в Федеральную службу...при условии:

7.2.1. наличия материалов, подтверждающих факт нарушение их прав, определенных статьями 14-17 Федерального закона от 27 июля 2006 г. №152-ФЗ ...... за исключением случаев, не порождающих юридические последствия для субъекта персональных данных, установленных статьей 16.

7.2.2. непредставления ...... информации по запросу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа в сроки, установленные частью 4 статьи 20 Федерального закона.

7.3. поступления в Федеральную службу .... информации от органов государственной власти, органов местного самоуправления и средств массовой информации о подтвержденных фактах нарушения законодательства Российской Федерации, допущенных при обработке персональных данных.  

7.4. в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации.

7.5. в случае нарушения ...... требований законодательства Российской Федерации в области персональных данных, выявленного по итогам мероприятий систематического наблюдения в области персональных данных.

7.6. на основании подтвержденного факта несоответствия сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности государственного органа, органа местного самоуправления, юридического лица, физического лица.

7.7. в случае неисполнения требования Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа об устранении выявленного нарушения требований в области персональных данных. 7.8. на основании представления (требования) органа прокуратуры о проведении внеплановой проверки.

9. Должностные лица Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций .... вправе:
...

9.5. получать доступ к информационным системам персональных данных для оценки законности деятельности по обработке персональных данных, в том числе, на предмет соответствия содержания, объема, способов обработки, сроков хранения обрабатываемых персональных данных целям их обработки.

9.7. в пределах своей компетенции проверять и оценивать достаточность принятых государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом мер для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».

Для оценки и анализа вышеуказанных мер, принятых государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом, могут привлекаться эксперты и (или) экспертные организации, аккредитованные в порядке, установленном Федеральным законом от 28 декабря 2013 г. № 412-ФЗ «Об аккредитации в национальной системе аккредитации». 

20. О проведении внеплановой выездной проверки государственный орган, орган местного самоуправления, юридическое лицо, физическое лицо уведомляется не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом.

24. Должностными лицами в пределах своей компетенции проводится проверка:

24.1. деятельности ..... по обработке персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации, на предмет ее соответствия требованиям законодательства Российской Федерации в области персональных данных;

24.2. документов, локальных актов, а также принятия государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом мер, указанных в части 1 статьи 18.1 Федерального закона «О персональных данных»;

24.3. исполнения государственными и органами местного самоуправления обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, установленных Правительством Российской Федерации.

24.4. информационных систем персональных данных и содержащейся в них информации в части, касающейся обработки персональных данных субъектов персональных данных.

36. Документарные проверки осуществляются посредством анализа документов и информации, полученных от государственного органа, органа местного самоуправления, юридического лица, физического лица по письменным запросам Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов (далее - запрос).

45. .... В случае если после рассмотрения представленных пояснений и документов либо при отсутствии пояснений Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальный орган установят признаки нарушения обязательных требований, установленных нормативными правовыми актами в области персональных данных, должностные лица ... вправе провести выездную проверку.

46. Решение о проведении выездной проверки также может быть принято в случаях, если государственный орган, орган местного самоуправления, юридическое лицо, физическое лицо не представил запрашиваемые документы в установленные законодательством Российской Федерации сроки.

47. Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения государственного органа, органа местного самоуправления, юридического лица, физического лица и (или) по месту фактического осуществления им деятельности по обработке персональных данных.

48. Предметом выездной проверки являются содержащиеся в документах государственного органа, органа местного самоуправления, юридического лица, физического лица сведения и принимаемые им меры по исполнению обязательных требований, установленных нормативными правовыми актами в области персональных данных.

60. В случае выявления по результатам проверки нарушения требований законодательства Российской Федерации в области персональных данных, государственному органу, органу местного самоуправления, юридическому лицу, физическому лицу, вместе с актом, выдается предписание об устранении выявленных нарушений.

71. Мероприятия систематического наблюдения в области персональных данных проводятся на основании:

71.1. плана деятельности Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и плана территориального органа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций на текущий календарный год;

71.2. поручения Президента Российской Федерации, Правительства Российской Федерации, поручения Руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций;

71.3. обращения государственного органа, органа местного самоуправления, юридического лица, физического лица, публикаций средств массовой информации о нарушении прав и законных интересов субъекта (субъектов) персональных данных и (или) нарушения требований законодательства Российской Федерации.

75. При выявлении нарушений (признаков нарушения) законодательства Российской Федерации в области персональных данных в адрес ... лица направляется требование об устранении выявленного нарушения в срок, не превышающий десять календарных дней, с последующим информированием Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа об исполнении требования.

77. В случае, если неисполнение требования об устранении выявленного нарушения требований законодательства Российской Федерации в области персональных данных нарушает права и законные интересы субъекта (субъектов) персональных данных в отношении государственного органа, органа местного самоуправления, юридического лица, физического лица, не выполнившего указанное требование, Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальным органом проводится внеплановая проверка в порядке, установленным настоящим Положением.

78. Анализ и оценка состояния исполнения требований законодательства Российской Федерации при осуществлении .... деятельности по обработке персональных данных осуществляется .... на основании представленных в инициативном порядке .... документов, локальных актов и иной информации, подтверждающих выполнение требований законодательства Российской Федерации.

81. По итогам проведенного анализа и оценки состояния исполнения требований законодательства Российской Федерации .... направляется письмо с итоговой информацией с заключением о соответствии деятельности .... по обработке персональных данных законодательству Российской Федерации в области персональных данных либо в случае наличия фактов несоответствия представленных документов, локальных актов и информации законодательству Российской Федерации в области персональных данных, с требованием об устранении выявленных нарушений.

82. Требование об устранении выявленных нарушений подлежит исполнению в срок, не превышающий десять календарных дней с момента получения письма с требованием об устранении выявленных нарушений, с последующим информированием Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа об исполнении требования.