Enviar búsqueda
Cargar
How interact with regulations bodies
•
2 recomendaciones
•
926 vistas
Aleksey Lukatskiy
Seguir
Desarrollo personal
Denunciar
Compartir
Denunciar
Compartir
1 de 65
Descargar ahora
Descargar para leer sin conexión
Recomendados
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1
Ekaterina Morozova
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
КРОК
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
aspectspb
пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Data protection RU vs EU
Data protection RU vs EU
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Внедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практика
LETA IT-company
Ключевые правовые аспекты регулирования обработки персональных данных на пред...
Ключевые правовые аспекты регулирования обработки персональных данных на пред...
КРОК
Fomchenkov
Fomchenkov
AKlimchuk
Recomendados
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1
Ekaterina Morozova
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
КРОК
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
aspectspb
пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Data protection RU vs EU
Data protection RU vs EU
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Внедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практика
LETA IT-company
Ключевые правовые аспекты регулирования обработки персональных данных на пред...
Ключевые правовые аспекты регулирования обработки персональных данных на пред...
КРОК
Fomchenkov
Fomchenkov
AKlimchuk
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
SQALab
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
GDPR intro
GDPR intro
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Information Security Certification process
Information Security Certification process
Учебный центр "Эшелон"
пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр Увольнение за разглашение КТ
пр Увольнение за разглашение КТ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
1
1
a_a_a
пр GDPR breach
пр GDPR breach
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Cisco Russia
Правила аудита
Правила аудита
Отшельник
Russia security regulations update
Russia security regulations update
Cisco Russia
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДн
Sergey Borisov
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
КРОК
пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Geometría
Geometría
Alejandro Dario Jaime
Plano y recta en el espacio geometria analitica
Plano y recta en el espacio geometria analitica
elvyss
Cisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityService
Aleksey Lukatskiy
Más contenido relacionado
La actualidad más candente
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
SQALab
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
GDPR intro
GDPR intro
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Information Security Certification process
Information Security Certification process
Учебный центр "Эшелон"
пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр Увольнение за разглашение КТ
пр Увольнение за разглашение КТ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
1
1
a_a_a
пр GDPR breach
пр GDPR breach
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Cisco Russia
Правила аудита
Правила аудита
Отшельник
Russia security regulations update
Russia security regulations update
Cisco Russia
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДн
Sergey Borisov
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
КРОК
пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
La actualidad más candente
(19)
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14
GDPR intro
GDPR intro
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИ
Information Security Certification process
Information Security Certification process
пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)
пр Увольнение за разглашение КТ
пр Увольнение за разглашение КТ
1
1
пр GDPR breach
пр GDPR breach
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Правила аудита
Правила аудита
Russia security regulations update
Russia security regulations update
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДн
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)
Destacado
Geometría
Geometría
Alejandro Dario Jaime
Plano y recta en el espacio geometria analitica
Plano y recta en el espacio geometria analitica
elvyss
Cisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityService
Aleksey Lukatskiy
Measurement of security efficiency
Measurement of security efficiency
Aleksey Lukatskiy
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБ
Aleksey Lukatskiy
Privacy approaches
Privacy approaches
Aleksey Lukatskiy
Information Security Trends
Information Security Trends
Aleksey Lukatskiy
Optimal algorithm for personal data operators
Optimal algorithm for personal data operators
Aleksey Lukatskiy
What every cio should know about security
What every cio should know about security
Aleksey Lukatskiy
Crypto regulations in Russia
Crypto regulations in Russia
Aleksey Lukatskiy
Регулирование ИБ в России
Регулирование ИБ в России
Aleksey Lukatskiy
Cyberwarfare examples
Cyberwarfare examples
Aleksey Lukatskiy
Secure Mobile Office
Secure Mobile Office
Aleksey Lukatskiy
Banking Security Misunderstanding
Banking Security Misunderstanding
Aleksey Lukatskiy
Future security regulations in Russia
Future security regulations in Russia
Aleksey Lukatskiy
Mobility and cloud security
Mobility and cloud security
Aleksey Lukatskiy
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычислений
Aleksey Lukatskiy
Защищенный мобильный офис. Опыт Cisco
Защищенный мобильный офис. Опыт Cisco
Aleksey Lukatskiy
Security and Crisis
Security and Crisis
Aleksey Lukatskiy
Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013
Aleksey Lukatskiy
Destacado
(20)
Geometría
Geometría
Plano y recta en el espacio geometria analitica
Plano y recta en el espacio geometria analitica
Cisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityService
Measurement of security efficiency
Measurement of security efficiency
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБ
Privacy approaches
Privacy approaches
Information Security Trends
Information Security Trends
Optimal algorithm for personal data operators
Optimal algorithm for personal data operators
What every cio should know about security
What every cio should know about security
Crypto regulations in Russia
Crypto regulations in Russia
Регулирование ИБ в России
Регулирование ИБ в России
Cyberwarfare examples
Cyberwarfare examples
Secure Mobile Office
Secure Mobile Office
Banking Security Misunderstanding
Banking Security Misunderstanding
Future security regulations in Russia
Future security regulations in Russia
Mobility and cloud security
Mobility and cloud security
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычислений
Защищенный мобильный офис. Опыт Cisco
Защищенный мобильный офис. Опыт Cisco
Security and Crisis
Security and Crisis
Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013
Similar a How interact with regulations bodies
News in FZ-152
News in FZ-152
Aleksey Lukatskiy
Законодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системы
КРОК
Security apocalypse
Security apocalypse
Aleksey Lukatskiy
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
Cisco Russia
Какие документы должны быть у оператора персональных данных
Какие документы должны быть у оператора персональных данных
Константин Бажин
Надо ли применять сертифицированные средства защиты ПДн
Надо ли применять сертифицированные средства защиты ПДн
Aleksey Lukatskiy
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
NAUMEN. Информационные системы управления растущим бизнесом
Юридические аспекты облачного бизнеса
Юридические аспекты облачного бизнеса
SaaS.ru Portal
Данные еще за границей. Что делать?
Данные еще за границей. Что делать?
КРОК
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?
Cisco Russia
Security regulations public
Security regulations public
Expolink
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
Aleksey Lukatskiy
Сертификация - это просто ?
Сертификация - это просто ?
cnpo
Про аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академии
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Cloud and Russian regulation
Cloud and Russian regulation
Cisco Russia
Обеспечение безопасности пдн
Обеспечение безопасности пдн
pesrox
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
Aleksey Lukatskiy
Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...
DialogueScience
аутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14окт
finopolis
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Cisco Russia
Similar a How interact with regulations bodies
(20)
News in FZ-152
News in FZ-152
Законодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системы
Security apocalypse
Security apocalypse
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
Какие документы должны быть у оператора персональных данных
Какие документы должны быть у оператора персональных данных
Надо ли применять сертифицированные средства защиты ПДн
Надо ли применять сертифицированные средства защиты ПДн
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Юридические аспекты облачного бизнеса
Юридические аспекты облачного бизнеса
Данные еще за границей. Что делать?
Данные еще за границей. Что делать?
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?
Security regulations public
Security regulations public
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
Сертификация - это просто ?
Сертификация - это просто ?
Про аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академии
Cloud and Russian regulation
Cloud and Russian regulation
Обеспечение безопасности пдн
Обеспечение безопасности пдн
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...
аутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14окт
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Más de Aleksey Lukatskiy
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Aleksey Lukatskiy
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Aleksey Lukatskiy
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Aleksey Lukatskiy
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
Más de Aleksey Lukatskiy
(20)
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
How interact with regulations bodies
1.
Как общаться с
регуляторами Алексей Лукацкий Бизнес-консультант по безопасности Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 1/65
2.
Вопросы при общении
с регуляторами Какие регуляторы меня могут проверить? Может ли меня проверить регулятор? Что может проверять регулятор? На основании чего меня может проверить регулятор? Как меня будет проверять регулятор? Когда меня будет проверять регулятор? Как часто меня может проверять регулятор? … Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 2/65
3.
Регуляторы в
области ПДн Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 3/65
4.
Достаточность принятых мер
Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора ст.3 Положения в ПП-781 Контроль соблюдения прав субъектов ПДн возложен на Роскомнадзор Контроль и надзор за выполнением требований к обеспечению безопасности персональных данных при их обработке в ИСПДн возлагается на ФСТЭК и ФСБ ст.19 ФЗ-152 Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 4/65
5.
Регуляторы: Роскомнадзор
• Рассматривает обращения субъектов ПДн • Проверка сведений в заявлении • Требование изменение незаконно полученных ПДн РКН • Принимать меры • Обращаться в суд по факту нарушения • Направлять заявления о приостановлении лицензии • Привлекать к административной ответственности • Направлять в органы прокуратуры материалы по нарушениям Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 5/65
6.
Регуляторы: ФСТЭК
• Выработка требований • Классификация ИСПДн • Определение каналов утечек ФСТЭК • Аттестация, сертификация и экспертиза • Согласнование правил пользования СЗИ • Учет СЗИ Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 6/65
7.
Регуляторы: ФСБ
• Выработка требований • Классификация ИСПДн • Определение каналов утечек • Тематические исследования, ФСБ сертификация и экспертиза • Согласование правил пользование СЗИ • Учет СЗИ • Эксплуатация и услуги в области шифрования Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 7/65
8.
Может ли меня
проверить регулятор Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 8/65
9.
Генпрокуратора
Приказ от 02.10.2009 №319 «О порядке формирования ежегодного сводного плана проведения органами государственного контроля (надзора), муниципального контроля плановых проверок в отношении юридических лиц и индивидуальных предпринимателей» Разработан в соответствие с ФЗ-294 Ключевые моменты План проверок подается регуляторами до 1 ноября На сайте Генпрокуратуры сводный план публикуется до 31 декабря Обязательно наличие административного регламента на проверки Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 9/65
10.
Что проверяет
регулятор? Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 10/65
11.
Только обязательные требования
В соответствие с ФЗ-294 и приказом Генпрокуратуры надзорный орган имеет право проверять выполнение только обязательных требований Обязательные требования могут быть как подлежащие регистрации в МинЮсте, так и не подлежащие Неподлежащие регистрации нормативные акты должны иметь заключение МинЮста Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 11/65
12.
Требования по защите
ПДн Документы, которые устанавливает правовой статус организаций Должны быть опубликованы в открытой печати п.2 ст.4 ФЗ-152 п.17 Постановления Правительства №1009 от 13.08.1997 «Об утверждении Правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации» Должны быть зарегистрирована в МинЮсте п.10 Постановления Правительства №1009 от 13.08.1997 Должны быть подписана только руководителем п.9 Постановления Правительства №1009 от 13.08.1997 Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 12/65
13.
К чему это
ведет?.. Федеральные органы исполнительной власти направляют для исполнения нормативные правовые акты, подлежащие государственной регистрации, только после их регистрации и официального опубликования При нарушении указанных требований нормативные правовые акты, как не вступившие в силу, применяться не могут п.19 Постановления Правительства №1009 от 13.08.1997 Нелегитимность нормативно-правового акта определяет только суд и МинЮст Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 13/65
14.
О
коррупциогенности нормативных актов по ПДн Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 14/65
15.
О коррупциогенности НПА
Ни один из нормативно-правовых актов не может быть утвержден без проверки по методике проведения экспертизы проектов нормативных правовых актов и иных документов в целях выявления в них положений, способствующих созданию условий для проявления коррупции Постановление Правительства от 5 марта 2009 г. №196 Новые версии НПА должны будут пройти через нее С непредвзятой точки зрения предыдущая версия требований по защите ПДн обладали очень высоким уровнем для проявления коррупции ;-( Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 15/65
16.
О коррупциогенности НПА
(продолжение) Факторы, связанные с реализацией полномочий органа государственной власти Установление неопределенных, трудновыполнимых и обременительных требований к организациям Отсутствие четкой регламентации прав организаций Возможность необоснованного установления исключений из общего порядка для организаций по усмотрению органов власти Установление общеобязательных правил поведения в подзаконном акте в условиях отсутствия закона Употребление неустоявшихся, двусмысленных терминов и категорий оценочного характера 5 из 9 факторов! Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 16/65
17.
О коррупциогенности НПА
(продолжение) Факторы, связанные с правовыми пробелами Отсутствие порядка совершения органами власти определенных действий либо одного из элементов такого порядка Отсутствие превентивных антикоррупционных норм Отсутствие норм о юридической ответственности служащих, а также норм об обжаловании их действий (бездействия) и решений Отсутствие норм, обеспечивающих возможность осуществления контроля, в том числе общественного, за действиями органов власти Отсутствие норм, предусматривающих раскрытие информации о деятельности органов власти и порядка получения информации по запросам граждан и организаций 5 из 7 факторов Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 17/65
18.
О коррупциогенности НПА
(окончание) Факторы системного характера Противоречия (нормативные коллизии), в том числе внутренние, между нормами, создающие для органов власти возможность произвольного выбора норм, подлежащих применению в конкретном случае Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 18/65
19.
К чему приводит
отсутствие согласования «обязательных» требований с МинЮстом Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 19/65
20.
ПЭМИН: ФСТЭК против
РКН Внеплановые проверки Роскомнадзора по «радиочастотному» направлению Департамент здравоохранения города Москвы Управление архитектуры и градостроительства администрации Ангарского муниципального образования Обнаружен факт эксплуатации генератора шума (для защиты от ПЭМИН) без разрешения на использование радиочастот или радиочастотных каналов и свидетельства о регистрации радиоэлектронного средства Административная ответственность (по 13.4 КоАП) Генератор шума отключен Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 20/65
21.
ПЭМИН: ФСТЭК против
РКН (продолжение) Разрешено использовать без оформления отдельных решений ГКРЧ генераторы шума в диапазоне 0,1-1000 МГц Решение ГКРЧ 05-10-03-001 от 28.11.2005 «О выделении полосы радиочастот 0,1-1000 МГц для генераторов радиошума, используемых в качестве средств защиты информации» Но потребуется регистрация генератора и получение разрешения в ФАС на использование радиочастот в диапазоне 0,1-1000 МГц Большинство генераторов шума «бьет» до 2 Ггц или даже 10 ГГц Частное решение ГКРЧ может получаться около года Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 21/65
22.
ПЭМИН: ФСТЭК против
РКН (продолжение) Без соответствующих решений ГКРЧ, Минобороны России и ФСО России не допускается разработка, модернизация, производство и применение РЭС и ВЧУ, ввоз на территорию Российской Федерации РЭС и ВЧУ, а также принятие технических регламентов, национальных стандартов и правил применения, касающихся вопросов использования полос радиочастот РЭС и ВЧУ «Положение о порядке рассмотрения материалов, проведения экспертизы и принятия решения о выделении полос радиочастот для радиоэлектронных средств и высокочастотных устройств», утвержденное решением ГКРЧ от 17.11.2007 № 07-22-03-001 Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 22/65
23.
ПЭМИН: ФСТЭК против
РКН (продолжение) …ГКРЧ является органом исполнительной власти, а ее решения в качестве межведомственного координационного органа, действующего при Мининформсвязи, приобретают обязательный характер постольку, поскольку утверждаются данным полномочным федеральным органом исполнительной власти в области связи либо согласованным решением этого органа и других заинтересованных федеральных органов исполнительной власти п.2.4 постановления Конституционного суда Российской Федерации от 28.02.2006 № 2-П Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 23/65
24.
ПЭМИН: ФСТЭК против
РКН (окончание) Наличие сертификата ФСТЭК является необходимым, но недостаточным условием для эксплуатации генератора шума Данная ситуация сложилась в результате некорректных действий руководства ФСТЭК России, убедившего производителей ГРШ в возможности производства ГРШ, использующих радиочастоты в диапазоне 0,1-2000 МГц, без соответствующего решения ГКРЧ Более того ФСТЭК России были выданы сертификаты соответствия на ГРШ такого типа без учета требований нормативных правовых актов в сфере связи Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 24/65
25.
ПЭМИН и приказ
№58 В «первой» версии документов ФСТЭК для типовых ИСПДн 1-го и 2-го классов борьбы с ПЭМИН была обязательной В приказе №58 это требование стало необязательным Борьбы с ПЭМИН зависит от модели угроз Решение принимается оператором ПДн Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 25/65
26.
На основании чего
меня проверяет регулятор? Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 26/65
27.
Административные регламенты
Надзорный орган обязан разработать и утвердить в МинЮсте административный регламент проведения проверок в области ПДн На сегодняшний день такой регламент есть только у Роскомнадзора Утвержден приказом от 01.12.2009 № 630 (прошел регистрацию в МинЮсте) У ФСБ есть «Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 27/65
28.
Контроль и надзор Personal
Data © 2008 Cisco Systems, Inc. All rights reserved. 28/65
29.
Общее о проверках
РКН, ФСТЭК и ФСБ не имеют опыта проведения проверок по линии персональных данных и учатся на операторах ПДн, постепенно набирая опыт РКН проверяет соответствие требования ФЗ-152, забывая про Европейскую Конвенцию ФСТЭК и ФСБ проверяют соответствие собственным требованиям, не всегда легитимным Проверяющие не всегда юридически подкованы Все ждут 01.01.2011, когда ФЗ-152 вступит в полную силу Правда, «неожиданно» вступилв силу и ФЗ-294 ;-) Все надзорные органы в РФ зависимы, в отличие от Европы Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 29/65
30.
Контроль со стороны
ФСТЭК / ФСБ Контроль со стороны ФСТЭК Проверки на данный момент носят эпизодический характер Преимущественно государственные и муниципальные структуры Существующий общий административный регламент ФСТЭК разрешает проверять только лицензиатов Основание для проверок – СТР-К и т.п. Контроль со стороны ФСБ Преимущественно касается наличия лицензий на деятельность в области шифрования 10+ уголовных дел по ст.171 УК РФ (Незаконное предпринимательство) против московских банков с конца 2008 года Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 30/65
31.
Проверки ФСТЭК
Результаты анализа 80 тысяч ИСПДн отсутствие требований по технической защите персональных данных в ТЗ и проектной документации незавершенность классификации ИСПДн или ее ошибочность невыполнение работ по анализу угроз информационной безопасности незавершенность разработки необходимого комплекта организационно-распорядительной документации отсутствие документов, регламентирующих порядок передачи персональных данных третьим лицам отсутствие необходимых мер и сервисов защиты информации использование несертифицированных СЗИ невыполнение работ по аттестации ИСПДн Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 31/65
32.
Проверки ФСТЭК
Результаты анализа 80 тысяч ИСПДн непринятие мер по учету машинных носителей отсутствие в должностных регламентах ответственных лиц за защиту персональных данных и их полномочий по контролю за выполнением требований по защите отсутствие достаточного количества квалифицированных специалистов Достоверность данных проверок вызывает вопросы Число проверенных ИСПДн существенно превышает число проверок РКН при полном отсутствии информации о первых Низкая достоверность представленных данных не говорит о «нереальности» обнаруженных недочетов Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 32/65
33.
Проверки ФСБ
В полной мере работы по контролю и надзору будут начаты с января 2011 года Порядок проведения проверок, ограничения в отношении должностных лиц, осуществляющих проверку, а также программа проведения работ по контролю и надзору, определяются подготовленным 8 Центром ФСБ России «Типовым регламентом проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации…» Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 33/65
34.
Проверки ФСБ (окончание)
Выбор объектов проверок осуществляется на основании информации, представленной Роскомнадзором Обычно нарушений по линии ФСБ нет, исключая Использование средств криптозащиты, отличающихся от эталонных сертифицированных версий Невыполнение отдельных требований по порядку эксплуатации криптосредств, предусмотренных технической документацией Несовершенство отдельных подготовленных оператором документов, регламентирующих вопросы обеспечения безопасности в конкретной организации Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 34/65
35.
Права Роскомнадзора по
надзору ПП-419 в части контроля и надзора ПДн отсылает нас к ФЗ-152 ПП является подзаконным актом и не должен противоречит ФЗ Ст.23 ФЗ-152 – это частная норма права, а ФЗ-294 – общая ПП-419 ФЗ-152 ФЗ-294 Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 35/65
36.
Планируемые изменения
Появление новых оснований для плановых и внеплановых проверок Утверждение регламентов осуществления проверок Как ведомственных, так и совместных Уведомление РКН о принимаемых мерах по защите Передача сведений об используемых средствах защиты из РКН в ФСБ и ФСТЭК Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 36/65
37.
Требования ФЗ-
294 Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 37/65
38.
Государственный контроль и
надзор Любая проверка со стороны регулятора должна проводиться в строгом соответствии с ФЗ от 26.12.2008 №294 «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного и муниципального контроля (надзора)» Если другие нормативные акты не сужают область действия надзорного органа Предыдущий ФЗ-134 прекращает свое действие с 01.07.2009 г. Отдельные положения ФЗ-294 вступают в силу с 01.01.2010 Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 38/65
39.
В будущем могут
быть сюрпризы Особенности организации и проведения проверок при осуществлении… лицензионного контроля,… контроля и государственного надзора в области связи, контроля в области обращения и защиты информации… в части, касающейся вида, предмета, оснований проверок и сроков их проведения, могут устанавливаться другими федеральными законами Аналогичная норма есть в ст.5 ФЗ-184 «О техническом регулировании» - появляется возможность выпуска иных нормативных актов, требования которых противоречат ФЗ-294 Однако в ФЗ-294 такие исключения разрешены только на уровне федерального закона – в защите ПДн таких исключений в данный момент нет Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 39/65
40.
Государственный контроль и
надзор Принципы контроля и надзора Презумпция добросовестности Открытость и доступность для юридических лиц и индивидуальных предпринимателей нормативных правовых актов, устанавливающих обязательные требования, выполнение которых проверяется при проведении государственного контроля (надзора) Проведение проверок в соответствии с полномочиями органа государственного контроля (надзора) Недопустимость проводимых в отношении одного юридического лица несколькими органами государственного контроля (надзора) проверок исполнения одних и тех же обязательных требований Недопустимость взимания органами государственного контроля (надзора) с юридических лиц платы за проведение мероприятий по контролю Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 40/65
41.
Государственный контроль и
надзор Особенности контроля и надзора .Для проверки нужно основании, которое выражается в виде распоряжения (приказа), в котором среди прочего упомянуты - цели, задачи и предмет проверки и правовые основания проведения проверки Нормативные правовые акты, принятые органами государственного контроля (надзора) в нарушение законодательства Российской Федерации, признаются недействительными полностью или частично в порядке, установленном законодательством Российской Федерации Орган контроля не имеет права проверять исполнение обязательных требований, которые не относятся к сфере его компетенции Все проверки делятся на документарные и (или) выездные. Документарные проверки проводятся в первую очередь Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 41/65
42.
Программа проверок РКН
К приказу о проведении проверки в форме приложения составляется программа (план) проверки Программа составляется в произвольной форме Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 42/65
43.
Государственный контроль и
надзор Процедура проверки Уведомление о плановой проверке не позднее чем в течение трех рабочих дней до начала ее проведения в виде заказного письма с уведомлением или иным доступным способом Уведомление о внеплановой проверке не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом Если в результате деятельности юридического лица причинен или причиняется вред … предварительное уведомление юридических лиц о начале проведения внеплановой выездной проверки не требуется Акт проверки должен составлять сразу после ее завершения Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 43/65
44.
Государственный контроль и
надзор Плановые проверки Предметом плановой проверки является соблюдение юридическим лицом в процессе осуществления деятельности обязательных требований Плановое мероприятие по контролю может быть проведено не более чем один раз в три года (кроме образования, здравоохранения и социалки – можно чаще) План проверок должен быть размещен на сайте Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 44/65
45.
Государственный контроль и
надзор Основание для плановой проверки Регистрация юридического лица Истечение 3-х лет с последней проверки Начало осуществления предпринимательской деятельности согласно уведомления В административном регламенте РКН предусмотрено еще 2 основания Осуществление оператором ПДн деятельности по обработке персональных данных Истечение 3-х лет с момента государственной регистрации оператора ПДн Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 45/65
46.
Государственный контроль и
надзор Предмет внеплановой проверки Предметом внеплановой проверки является соблюдение юридическим лицом обязательных требований, выполнение предписаний органов государственного контроля (надзора), проведение мероприятий по предотвращению причинения вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, по обеспечению безопасности государства, по предупреждению возникновения чрезвычайных ситуаций природного и техногенного характера, по ликвидации последствий причинения такого вреда Защита прав субъектов ПДн, а также выполнения требований по обеспечению безопасности ПДн не подпадают ни под одно из данных определений Также считает и сам РКН (из выступления на парламентских слушаниях) Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 46/65
47.
Государственный контроль и
надзор Основания для внеплановых проверок Истечение срока исполнения юридическим лицом ранее выданного предписания об устранении выявленного нарушения обязательных требований Поступление в органы государственного контроля (надзора) обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о фактах возникновения угрозы или причинения вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, безопасности государства, а также угрозы чрезвычайных ситуаций природного и техногенного характера Обращения, не позволяющие установить лицо, обратившееся в орган надзора, не могут служить основанием для проведения внепланового мероприятия по контролю Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 47/65
48.
Государственный контроль и
надзор (окончание по основания для внеплановых проверок) Основания для внеплановых проверок нарушение прав потребителей (в случае обращения граждан, права которых нарушены) В административном регламенте РКН предусмотрено еще 2 основания - поступление в РКН обращений и заявлений о следующих фактах нарушение прав и законных интересов граждан действиями (бездействием) операторов при обработке их ПДн нарушение операторами ПДн требований ФЗ-152 и иных нормативных правовых актов в области ПДн, а также о несоответствии сведений, содержащихся в уведомлении об обработке ПДн, фактической деятельности Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 48/65
49.
О правах потребителя
Вспомним: основание для внеплановых проверок нарушение прав потребителей (в случае обращения граждан, права которых нарушены) Надзором в сфере защиты прав потребителей занимается Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека (Роспотребнадзор) По ФЗ-294 несколько органов по контролю не могут проверять одни и те же обязательные требования Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 49/65
50.
Кто такой потребитель?
Потребитель - гражданин, имеющий намерение заказать или приобрести либо заказывающий, приобретающий или использующий товары (работы, услуги) исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности ФЗ "О защите прав потребителей Клиент и сотрудник банка. Кто из них двоих является потребителем? Клиент, но не сотрудник ;-( Нарушение прав субъекта ПДн не является нарушением прав потребителя (?) Субъект ПДн в данном случае ничего не потребляет Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 50/65
51.
Государственный контроль и
надзор Согласование проверок Внеплановые проверки тоже надо согласовывать с прокуратурой до проверки и только когда существует угроза причинения вреда Внеплановую проверку можно начать без предварительного согласования, но только при условии уже нанесенного вреда (и с последующим уведомлением в течение 24 часов). При этом прокуратура в течение суток определяет законность внеплановой проверки План проверок должен быть представлен в прокуратуру для составления сводного плана до 1 ноября. Отсутствие правовых оснований для проверки приведет к отказу прокураторы в ее проведении Прокуратура согласовывает только выездные, не документарные проверки Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 51/65
52.
Государственный контроль и
надзор Документарная проверка Предметом документарной проверки являются сведения, содержащиеся в документах юридического лица устанавливающих их организационно-правовую форму, права и обязанности, документы, используемые при осуществлении их деятельности и связанные с исполнением ими обязательных требований, исполнением предписаний и постановлений органов государственного контроля (надзора) В случае, если достоверность сведений вызывает обоснованные сомнения либо эти сведения не позволяют оценить исполнение юридическим лицом обязательных требований орган государственного контроля (надзора) направляют в адрес юридического лицамотивированный запрос с требованием представить иные необходимые для рассмотрения в ходе проведения документарной проверки документы Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 52/65
53.
Государственный контроль и
надзор (окончание по документарным проверкам) Документарная проверка При проведении документарной проверки орган государственного контроля (надзора) не вправе требовать у юридического лица сведения и документы, не относящиеся к предмету документарной проверки Выездная проверка Выездная проверка проводится в случае, если при документарной проверке не представляется возможным удостовериться в полноте и достоверности сведений или оценить соответствие деятельности юридического лица обязательным требованиям без проведения соответствующего мероприятия по контролю Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 53/65
54.
Государственный контроль и
надзор Продолжительность проверок Продолжительность мероприятия по контролю не должна превышать 20 дней. Для малого предприятия – 50 часов В исключительных случаях, связанных с необходимостью проведения специальных исследований (испытаний), экспертиз со значительным объемом мероприятий по контролю, на основании мотивированного предложения должностного лица, осуществляющего мероприятие по контролю, руководителем органа государственного контроля (надзора) или его заместителем срок проведения проверок может быть продлен, но не более чем на 20 дней (15 часов для SMB) Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 54/65
55.
Блок-схема проверок РКН
Утверждение приказа Службы о проведении проверки за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных Документарная Выездная Изучение документов Выезд по местонахождению Оператора, имеющихся в Оператора распоряжении Службы Предъявление служебного Оформление и направление удостоверения, ознакомление мотивированного запроса в представителей Оператора с адрес Оператора с приказом о проведении приложением перечня проверки, целями, задачами, запрашиваемых документов основаниями выездной проверки, видами и объемом мероприятий по контролю, со Изучение полученных Принятие решения сроками и условиями ее документов Оператора о выездной проведения проверке Проведение мероприятий по контролю Завершение проверки Завершение проверки Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 55/65
56.
Чем завершается проверка
Акт проверки Предписание об устранении выявленных нарушений Составлением протокола об административном правонарушении Подготовка и направление материалов проверки в органы прокуратуры, другие правоохранительные органы для решения вопроса о возбуждении дела об административном правонарушении, о возбуждении уголовного дела по признакам правонарушений (преступлений), связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью Проект административного регламента РКН Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 56/65
57.
Предписание об устранении
РКН Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 57/65
58.
Блок-схема оформления проверки
РКН Составление должностными лицами Службы акта проверки Оператора Нарушения не Нарушения выявлены выявлены Ознакомление представителя Ознакомление представителя Оператора с содержанием акта Оператора с содержанием акта проверки проверки Должностные лица Службы, а также представители Оператора, не согласные с Подписание акта должностными Подписание акта должностными лицами Службы лицами Службы принятыми решениями, излагают в письменной форме особое мнение, которое прилагается к акту проверки Вручение экземпляра акта Вручение экземпляра акта проверки с проверки с копиями приложений копиями приложений представителю представителю Оператора или Оператора или направление по почте направление по почте с с уведомлением о вручении уведомлением о вручении Выдача предписания об Выявление в ходе или по результатам проверки устранении выявленного В рамках компетенции Службы административного правонарушения или нарушения и осуществление уголовно наказуемого деяния контроля за его исполнением Вне компетенции Направление протокола об Материалы проверки направляются в органы Службы административном правонарушении прокуратуры, другие правоохранительные органы для с материалами проверки на рассмотрение в суд разрешения вопроса о возбуждении дела об административном правонарушении, о возбуждении уголовных дел по признакам правонарушений (преступлений), связанных с нарушением прав субъектов персональных данных, в соответствии с Personal Data © 2008 Cisco Systems, Inc. All rights reserved. подследственностью 58/65
59.
Тайна результатов проверки
Орган контроля не вправе распространять информацию, полученную в результате проведения проверки и составляющую государственную, коммерческую, служебную, иную охраняемую законом тайну, за исключением случаев, предусмотренных законодательством Российской Федерации Если результаты проверок включить в перечень служебной или коммерческой тайны, то РКН не сможет сообщать о фактах нарушения ФЗ на своем сайте или в прессе Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 59/65
60.
Если вы не
согласны Юридическое лицо в случае несогласия с фактами, выводами, предложениями, изложенными в акте проверки, либо с выданным предписанием об устранении выявленных нарушений в течение пятнадцати дней с даты получения акта проверки вправе представить в соответствующие орган государственного контроля (надзора) в письменной форме возражения в отношении акта проверки и (или) выданного предписания об устранении выявленных нарушений в целом или его отдельных положений. При этом юридическое лицо вправе приложить к таким возражениям документы, подтверждающие обоснованность таких возражений Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 60/65
61.
Если вы не
согласны (окончание) Объединения юридических лиц вправе обращаться в органы прокуратуры с просьбой принести протест на противоречащие закону нормативные правовые акты, на основании которых проводятся проверки юридических лиц, индивидуальных предпринимателей Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 61/65
62.
Блок-схема обжалования проверки
РКН Обжалование Оператором действий (бездействия) должностных лиц Службы или ее территориального органа при проведении проверки Продление срока рассмотрения Рассмотрение обращения обращения Оператора, но не более Оператора в течении 30 дней 30 дней. В случае подтверждения фактов, изложенных обращении Оператора Проводится служебная проверка по итогам которой, в отношении должностных лиц Направление ответа Службы или ее Оператору по территориального органа, результатам принимаются меры рассмотрения его дисциплинарного характера обращения Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 62/65
63.
Пример: опротестование мнения
РКН Хабаровский край Роскомнадзор без согласования с прокуратурой провел внеплановую выездную проверку небольшой организации по факту нарушения прав субъекта ПДн Мотивация РКН - защита прав потребителей Прокуратора посчитала такой мотив некорректным В действиях Роскомнадзора было выявлено нарушение законодательства По сути – небольшая организация действительно нарушила права субъекта ПДн Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 63/65
64.
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 64/65
65.
Personal Data
© 2008 Cisco Systems, Inc. All rights reserved. 65/65
Descargar ahora