пятница, 7 декабря 2018 г.

ИБ. Администратор безопасности VS Лицо, ответственное за безопасность


При распределении ответственности в области ИБ необходимо как-то назвать роли, описать их функции, права, ответственность и назначить конкретным работникам. В НПА часто есть обязанности назначить работников ответственными за что-то, но это не значит, что организации должны именно так называть роли – вообще то, вы вольны выбрать любое наименование роли, лишь бы для ней были прописаны нужные функции и ответственность.  

Но по моим наблюдениям, организации стараются назвать роль именно так как указано в НПА, например, “приказываю ... Иванова И.И. назначить лицом, ответственным за обеспечение безопасности объектов КИИ” или “… назначить администратором безопасности объектов КИИ” или “… назначить лицом, ответственным за обеспечение безопасности ПДн” или “… назначить администратором ИБ в системе XXX”.

Аргументы за “лицо, ответственное за безопасность”:
·         Постановление правительства РФ №1119 пункт 14
·         Приказ ФСТЭК России № 235, пункт 10, 11, 12, 13, 14
·         Приказ ФСТЭК России № 21, мера УКФ.3
·         Приказ ФСТЭК России № 17, пункт 9
·         Приказ ФСБ России № 378, пункт 17
·         ГОСТР 57580.1—2017, мера ЖЦ.17
·         Положение ЦБ РФ № 382-П, пункт 2.2, 2.3.1, 2.14.4,
Как правило вместе с лицом, ответственным за обеспечение безопасности упоминаются функции:
·         Разрабатывать предложения по совершенствованию
·         Проводить анализ угроз
·         Обеспечивать реализацию мероприятий, эксплуатацию СЗИ
·         Разработка и контроль выполнения планов мероприятий
·         Осуществлять реагирование на инциденты
·         Координацию деятельности других сотрудников по вопросам ИБ

Аргументы за “администратора безопасности”:
·         Приказ ФСТЭК России № 239, пункт 12.3 г), пункт 13.3
·         Приказ ФСТЭК России № 17, пункт 18.1
·         Методический документ ФСТЭК России “меры защиты информации в ГИС”, меры УПД.5, ОПС.1, РСБ.3, АВЗ.1, СОВ.1, АНЗ.1, ЗИС.1
Как правило вместе с администратором (или администрированием) безопасности упоминаются функции:
·         Администрирование подсистемы безопасности
·         Управление учетными записями
·         Управление СЗИ
·         Обновление ПО
·         Мониторинг событий ИБ

Также в НПА встречаются упоминания частных ролей “лицо, ответственное за реагирование на инциденты”, “лицо, ответственное за использование СЗИ”, “лицо, ответственное за планирование мероприятий”, “лицо ответственное за контроль”, но они в жизни встречаются гораздо реже.

Понятно, что от смены названия, суть не меняется, но всё-таки интересно, если в вашей организации только один работник занимается ИБ, как называется его роль? Или у вас выделены все эти роли? Или может быть у вас за все ответственность подразделение ИБ? 






понедельник, 3 декабря 2018 г.

КИИ. Системы “распределенные” по нескольким участникам


Есть объекты КИИ (ИС, АСУ или ИТС) для которых пользователи, оператор или владелец – это разные организации. Такие объекты в рамках данной статьи буду называть Распределенными системами. Разнообразны варианты Распределённых систем, давайте посмотрим на примеры некоторых из них:
·         ЕГИСЗ: владелец - Минзрав РФ, основной оператор – Минздрав РФ, но привлекаются также иные организации, пользователи – медицинские организации
·         Региональные МИС: владельцы и операторы региональных сегментов – региональные Минздравы, МИАЦ, ЦИТ, комитеты по информатизации или иные операторы, пользователи – медицинские организации
·         Госзакупки: владелец – Федеральное казначейство, пользователи – гос. органы и учреждение, в том числе сферы здравоохранения (для закупки лекарственных средств)  
·         ДБО: владелец – банк, пользователи – клиенты банка
·         Диспетчерские системы, например в сфере энергетики: владелец – РДУ; пользователи – энергетические компании
·         Какое-то облачное приложение: владелец и пользователь – организация 1, оператор облачного серверов / оператор приложения – организация 2

Так вот, оказалось, что для Распределенных систем нельзя установить простые правила: кто должен включать такие системы в Перечень объектов КИИ? кто должен проводить категорирование? кто моделировать угрозы и создавать систему безопасности?

ФСТЭК попытались решить просто, но даже в рамках одного мероприятия SOC Forum, получилось что на докладе по практике категорирования КИИ говорят одно, а на диалоге с Регулятором вынуждены отвечать прямо противоположное. На встрече с блогерами говорили одно, а после рассмотрения частных примеров получается прямо противоположное.

Раз простые правила не подходят, давайте попробуем сформулировать хотя бы подходы к сложным правилам. Но для начала разберемся почему вообще возникла идея что для пользователей или операторов Распределенных систем возникают какие-то обязанности в части категорирования и обеспечения безопасности объектов КИИ? Смотрим на определение субъекта КИИ из 2 статьи 187-ФЗ и пункта 2 ПП РФ №127:



И на правильную трактовку “законного основания” и видим, что сюда попадают как пользователи как и операторы.

Такой подход позволяет ФСТЭК обеспечить, что в реестр значимых объектов КИИ попадут все нужные объекты, даже если их владельцы или операторы не попадают в сферу КИИ. С другой стороны, пользовали могут вообще ничего не знать о Распределенной системе, для них она может быть черным ящиком. При рассмотрении многих конкретных примеров, оказывается что системы пользователей не надо включать в Перечень.

А теперь рекомендованный подход:
1.       Вы являетесь субъектом КИИ, в вашей организации выявлен Критический процесс из сферы КИИ, Распределенная система обрабатывает информацию такого процесса, а вы не являетесь владельцем Распределенной системы

2.       Распределенная система выполнены ВСЕ следующие условия:
·         в вашем ведении отсутствуют серверные компоненты
в случае если на вашей стороне достаточно сложный сегмент, владелец или оператор системы не всегда смогут оценить возможный ущерб, поэтому оценка с вашей стороны может быть полезной
·         для работы вашей организации не используется эта Распределенная система (например данные предоставляются для отчетности вышестоящей организации) или вы самостоятельно не определяете для чего используется Распределенная система (то, что вы делаете в системе строго регламентировано инструкциями, порядками и другими НПА)
если вы самостоятельно придумали как вы будете использовать данную систему, то кроме вас никто не сможет правильно оценить возможный ущерб от инцидента с данной системой
·         ваша организация не единственный пользователь Распределенной системы
если вы единственный пользователь системы - то скорее всего кроме вас никто не сможет правильно оценить возможный ущерб от инцидента с данной системой
·         вы точно знаете, что владелец ИС – занимается деятельности в сферах КИИ, а соответственно является субъектом КИИ
если владелец и оператор не являются субъектами КИИ, они не будут проводить категорирование объектов КИИ и соответственно данная ИС, возможно значимый объект КИИ, будет упущена и останется не защищенной
3.       Тогда можно не включать эту Распределённую систему в Перечень объектов КИИ
иначе
3.       В рабочем порядке спросить otd25 ФСТЭК России, стоит ли включать данную систему в ваш Перечень объектов КИИ указав все подробности
4.       Если Распределенная система не была включена в ваш перечень объектов КИИ, значит у неё гарантировано есть иной владелец, и он проводит категорирование данной системы. Вы можете ждать от него требований по обеспечению безопасности или самостоятельно запросить была ли отнесена данная система к значимым объектам КИИ и предъявляются ли какие то требования к вам как к пользователю.   

В дальнейшем, на сколько мне известно, проблема с "Распределенными" системами будет прорабатываться более детально и в новой версии ПП 127 можно ожидать каких-то уточнений по этой части


понедельник, 19 ноября 2018 г.

ИБ. Круглый стол с регуляторами на конференции Роскомнадзора по ЗПДн. UPDATE


8 ноября 2018 года принимал участие в международной конференции Защита персональных данных, организованной при поддержке Роскомнадзора. Мой отчет про основную часть мероприятия можно будет почитать по ссылке. 


Тут же хочу отдельно написать про последнюю часть - Круглый стол с регуляторами. Ниже привожу наиболее интересные ответы, которые удалось услышать на мероприятии (кроме круглого стола, было несколько интересных вопросов на секциях):
·         Вопрос к Роскомнадзору: В законодательстве РФ запрещено проверять одни и те же требования, несколькими регуляторами. Как вы выходите из этого при пересечении с ЦБ РФ или Роструда?
Ответ Роскомнадзора: у нас нет никаких пересечений. В сферу Роскомнадзора входит только 14 статья ТК РФ, остальное проверяет Трудовая инспекция. Также и со специфическими законами (например, идентификация клиентов) – Роскомнадзор их не учитывает и не проверяет.

·         Вопрос к Роскомнадзору: что считать автоматизированной обработкой?
Ответ Роскомнадзора: если подразумевается фиксация ПДн на материальных носителях определенной формы – то РКН считает это неавтоматизированной обработкой.

·         Вопрос к Роскомнадзору: возьмем, например, рецепт. Это небольшой документ. Если применить к нему правила, установленные ПП 687 к типовым формам с ПДн (цели, сроки, наименование и адрес оператора, правила обработки), то это станет здоровенный документ. Но ничего же – живем и с 2008 г. никто не менял.
Ответ Роскомнадзора: если унифицированные формы утверждены актами гос. органов или гос. стандартами, то такие формы менять не нужно. А в остальных случаях, когда форма придумывается организацией, для каких-то своих собственных целей – тогда исполнение пункта 7 ПП 687 обязательно.

·         Вопрос к Роскомнадзору: какой подписью можно подписывать согласие на обработку ПДн в электронной форме.
Ответ Роскомнадзора: достаточно простой ЭП.

·         Вопрос к Роскомнадзору: какие ситуации можно подтянуть под законный интерес и не собирать согласия.  Например, сбор данных родственников работника или передача данных работника в банк.
Ответ Роскомнадзора: сейчас на уровне рабочих групп Цифровой экономики чтобы определить границы законного интереса. Пока окончательного ответа нет. Но по указанным примерам, РКН считает так – если речь о данных самого сотрудника, то можно. А если о третьих лицах (родственниках), то дополнительное согласие обязательно.

·         Вопрос к Роскомнадзору: со скольки лет действительно согласие на обработку ПДн не/совершеннолетнего, право распоряжения своими ПДн.
Ответ Роскомнадзора: мы считаем, до 14 лет – законные представители, а с 14 лет может давать согласие сам несовершеннолетний.

·         Вопрос к Роскомнадзору: могут ли суммироваться штрафы по статье 13.11. Например, если пострадало 10 тыс. субъектов.  
Ответ Роскомнадзора: За этот год составлено всего лишь 98 протоколов о правонарушении. В большинстве случаев, когда сталкиваются с нарушением – истекает срок давности привлечения к ответственности.
Но текущие формулировки статьи 13.11 позволяют трактовать её так что если факты нарушений выявлены по нескольким лицам, то по каждому факту можно привлекать. Но сейчас у РКН нет задачи массового поражения. На текущий момент массовых наказаний не зафиксировано.  

·         Вопрос к Роскомнадзору: согласно обновленным правилам услуг связи – телефонный номер относится к аппаратному средству. Будет ли теперь считаться что телефонный номер теперь не ПДн?   
Ответ Роскомнадзора: Мы всегда внимательно следим за изменениями законодательства, если уж подход поменялся, мы не будем против. Теперь считаем, что просто телефонный номер – это не ПДн, а атрибут аппаратного средства связи, так же как номер авто – это атрибут транспортного средства.

·         Вопрос к ЦБ РФ: как ЦБ РФ будет осуществлять надзор за ПДн в сфере ПДн (упоминаются в ЕБС, письме 42-Т и приложение Б к ГОСТ Р 57580.1-2017)? Сроки, порядок, глубина контроля. Регламентов же пока нет.
Ответ ЦБ РФ: Все просто. ЦБ РФ осуществляет свои полномочия в соответствии с существующими НПА, формирует также, как и все график контрольных мероприятий, указывает тематику, включает соответствующих сотрудников, выходят на место, принимают решение о соответствии/несоответствии, принимают решение о воздействии в случае нарушений.

·         Вопрос у ЦБ РФ: можно ли признать платежную систему, содержащую ПДн не ИСПДн.
Ответ ЦБ РФ: требования к платежным системам жёстче, чем к ИСПДн. Так делать нелогично.
Роскомнадзор: мы корректность перечней ИСПДн не проверяем.   

·         Вопросы к ФСТЭК России и ФСБ России: закон 152-фз требует определить перечень актуальных угроз. Почему ФСТЭК и ФСБ требуют модель угроз или предположения о совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак? 
Ответ ФСТЭК России и ФСБ России: для выполнения требований 152-ФЗ достаточно только перечня угроз (без всего). Но когда вы будете отправлять нам на согласование, то вам придется написать пояснительную записку, информации в которой будет достаточно для согласования – почему именно эти угрозы. Например, так сделал Минюст.

·         Вопросы к ФСТЭК России: в приказе 235 ФСТЭК по КИИ явно указал что можно проводить оценку СЗИ, в иной форме, отличной от сертификации. Значил ли это что и для ПДн можно использовать такие же методы.  
Ответ ФСТЭК России: также можно использовать другие формы оценки соответствия СЗИ.
ФСБ России: если СКЗИ используются для защиты персональных данных, то это могут быть только сертифицированные СКЗИ.

·         Вопросы к ФСБ России: по методическим рекомендациям по МУ от 2015 года. Обязательный ли это документ? Можно ли совмещать МУ по ФСТЭК и ФСБ?   
Ответ ФСБ России: Это же рекомендации - поэтому не обязательный. Но существенно упрощает процедуру согласования.            152-ФЗ в обязанностях оператора упоминает один документ, поэтому считают что МУ по ФСТЭК и ФСБ может быть совмещен.

·         Вопрос к ФСБ России: недавно ФСТЭК России обновили Положение по сертификации СЗИ, в соответствии с которым применение сертифицированных СЗИ существенно упростилось – пользователям теперь не нужно отслеживать сроки действия сертификатов, а в случае наличия уязвимостей можно экстренно устанавливать патчи. Бывает, что в организациях одновременно используются СЗИ сертифицированные в системе ФСТЭК и ФСБ. Планируется ли внесение аналогичных изменений положение о сертификации СЗИ ФСБ России?
Ответ ФСБ России: Как только мы решим поменять НПА – выложим законопроект на согласование, и вы сразу об этом узнаете. Пока его нет.


Для желающих самим послушать обсуждение на круглом столе я сделал аудиозапись >>> она доступна по ссылке <<<

Напоследок поделюсь общим впечатление о конференции ЗПДн:
·         Кроме круглого стола, обычным специалистам по ИБ, руководителям отделов ИБ, консультантам и интеграторам нечего делать на этом форуме
·         Конференция может быть полезна тем, кому по каким-то причинам важно знать куда может двинуться регулирование РФ в области защиты данных (инвесторы?), для участников групп по совершенствованию законодательства (те, кто пишет законопроекты или рецензии на них) и представителей СМИ, которым нужно раз в год написать статью про ПДн и потом забыть об этом ещё на год
·         Частично создалось впечатление, что все это делается в том числе для европейских коллег, чтобы показать, что мы "адекватная" страна, а участники конференции статисты в этой постановке
·         Слишком короткие 10ти минутные доклады – тему просто не успевают раскрыть
·         Много докладов иностранных коллег не применимых для ИБшника
·         Регуляторы были, но возможность пообщаться с ними отсутствовала
·         Моя оценка 3 из 5 в плане полезности (единичные доклады, секция А. Волкова и Круглый стол с Регуляторами)
·         Моя оценка 1 из 5 по удобству общения с коллегами и питанию (на этом платном для участников мероприятии за целый день был всего один кофе-брейк)

В общем не рекомендую - для общения сходите лучше на какое-то нормально организованное мероприятие (soc, phd, bis, уральский форумы или подобные) а для получения информации.  А за знаниями - в учебный центр.
Может быть конференцию ЗПДн надо транслировать в онлайне. Так хотя бы не жалко будет потраченного на проезд времени и денег.

PS: Также можете почитать отчет Михаила Емельянникова с интересностями данного мероприятия. 


вторник, 13 ноября 2018 г.

КИИ. Блогеры. ФСТЭК


На прошлой неделе состоялась встреча блогеров (С. Борисов, А. Комаров, В. Комаров, А. Кузнецов, А. Лукацкий, П. Луцик), регулярно пишущих по теме КИИ с руководством и специалистами ФСТЭК России ответственными за КИИ. Коллеги (под давлением общественности) поспешили скорее опубликовать свои статьи чтобы донести до Вас добытую информацию.  Я же в этой заметке хочу поделиться некоторыми общими мыслями и впечатлением, а по конкретике пройдусь отдельными статьями. 

Про блогеров. В комментариях под статьями коллег, есть комментарии от читателей типа “почему вообще позвали этих блогеров?”, “да они же теоретики”, “зачем нам вообще ваше мнение”, “да зачем нам вообще мнение ФСТЭК, они и прав разъяснять ФЗ не имеют”. Уж так сложилось что в области КИИ уже действует большое количество НПА (уже 17, а будет больше). Ответственные за ИБ в своих организациях, в силу своего опыта и квалификации пытаются разобраться как им выполнять эти НПА – в чем-то у них возникают вопросы и сложности, в чем-то хотят узнать, как делают коллеги, в чем-то хотят не делать самим, а взять готовое и в чем-то хотят узнать, мнение регулятора.
Блогер – это тот, который добывает и доносит до читателей нужную им информацию. Как добывает информацию? Проводит собственный анализ, отбирает возможное для публикации из практики своей компании, посещает мероприятия с интересными ИБ докладами и круглыми столами, смотрит лучшие вебинары ИБ, обменивается информацией с ИБ специалистами, задает вопросы регулятору.  Но главное, что блогер публикует эту информацию.
Вы можете быть большим экспертом, вы можете знать все про КИИ, СЗИ и киберугрозы. Может быть у вас уже проведено категорирование и создана эффективная система защиты ЗОКИИ. Но какая польза от этого другим ИБ специалистам, если вы не поделитесь подробностями и держите это в себе?
Приглашенные на встречу блогеры регулярно писали на тему КИИ. Иногда даже пересказывали позицию ФСТЭК. Но не всегда правильно. Одна из целей встречи дать правильную позицию. Чтобы если уж взялись доносить позицию ФСТЭК, то доносили правильно.  

Про ФСТЭК. Исходя из озвученной на встрече позиции ФСТЭК по ключевым вопросам, а также по их планах корректировки ПП 127 и своих приказов создалось впечатление что ФСТЭК хочет, чтобы у субъектов КИИ осталось как можно меньше вариантов для сомнений, чтобы категорирования прошло как можно быстрее, владельцы значимых объектов уже приступили к их защите, и чтобы сам ФСТЭК мог эффективно исполнять свои обязанности и реализовывать свои права.
Поэтому по некоторым пунктам позиция ФСТЭК может показаться в чем-то несправедливой отдельным операторам, но именно такая позиция позволит большинству субъектов как можно быстрее и проще выполнить возложенные на них обязанности.
Аналогичное мнение я слышал и от ИБ блогеров, с которыми удалось пообщаться: надо меньше рассуждать, а просто взять и начать делать то, что требуется НПА. Будете подавать сведения в ФСТЭК, заодно и получите отзыв, правильно или нет.

Про вопросы КИИ. Опыт встречи показал, что ФСТЭК готова обсуждать в таком формате, только общие вопросы, касающиеся всех субъектов КИИ в целом. Частные случаи, касающиеся выполнения требований в отдельных организациях, ФСТЭК обсуждать с нами не будет (а таких было много среди 150 подготовленных заранее вопросов к ФСТЭК)
Но будет обсуждать эти вопросы с вами – субъектами КИИ, а также с лицензиатами, проводящими работы по контракту. Поэтому не откладывая проводите работы по категорированию, не стесняйтесь звонить и писать в ФСТЭК. Если сочтете возможным, делитесь полученной информацией. Не знаете как – передайте одному из упомянутых блогеров, помогут опубликовать.    

PS: Рекомендую ознакомится с подготовленными по итогам встречи со ФСТЭК публикациями в блогах у Алексея Комарова, Александра Кузнецова, Павла Луцика, Алексея Лукацкого.
Я планирую сделать несколько статей, которые будут доступны по тегу КИИ. Также стоит ожидать полезной информации в блоге Валерия Комарова.  


пятница, 19 октября 2018 г.

КИИ. Подключение к ГосСОПКА


В последнее время сталкиваюсь с большим количеством вопросов типа “у нас обычная организация, нет SOC-а, как нам технически подключится к ГосСОПКА?”. Так как раньше возможности такого подключения были описаны только в ДСП-шных документах, которые мог получить только лицензиат, то приходилось отправлять их либо в коммерческий центр ГосСОПКА, либо за получением лицензии.
Но наконец, по материалам одной из недавних конференций информация появилась и в публичных источниках. Ей и спешу свами поделиться. Озвучено было 3 варианта подключения к технической инфратструктуре ГосСОПКА:
1.       Купить новое клиентское ПО VipNet Client КС3. Подключить его в сеть НКЦКИ. Цена вопроса – до 10 тыс. рублей

2.       Купить новый шлюз VipNet Coordinator или HW. Подключить его в сеть НКЦКИ. Цена вопроса – 60-200 тыс. рублей в зависимости от шлюза

3.       Связать уже имеющуюся у вас сеть VipNet с сетью НКЦКИ с помощью межсетевого. Без доп. затрат  

Как видно из выдержки презентации, подключившись к технической инфраструктуре ГосСОПКА, мы сможем работать в личном кабинете по адресу portal.cert.local и вносить данные через web. Также вероятно будет возможность импортировать инцидент из файла. И ещё один способ взаимодействия: связать систему учета инцидентов организации и систему учета инцидентов НКЦКИ через API.
Кроме того, в приказах ФСБ России №367 и 368 озвучивается возможность, при отсутствии технического подключения к НКЦКИ, передавать информацию в ГосСОПКА посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на сайте http://cert.gov.ru. Сейчас там указаны: телефон +7 (916) 901-07-42 и почта gov-cert@gov-cert.ru
Кроме того есть web-форма для сообщения об инциденте http://cert.gov.ru/abuse/index.html Но состав полей этой web формы не совпадает с составом информации, которую нужно предоставлять в ГосСОПКА в соответствии с приказом ФСБ №.

Собрал все возможные варианты (без участия сторонних SOC) передачи сведений в ГосСОПКА на одной картинке:


PS: под вопросом пока остается минимальный или рекомендованный набор данных об инциденте или атаке, которые достаточно передавать в НКЦКИ, а также форматы файлов. Надеюсь по нему также будут публичные разъяснения. 


пятница, 12 октября 2018 г.

КИИ. Обязательные документы


При планировании мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры важно понимать какие процессы обеспечения безопасности необходимо создать/изменить, а также в каких документах они должны быть определены и описаны.
Я провел полный анализ действующих НПА в области КИИ на предмет требований в которых какие-либо документы упоминаются в явном виде, либо имеются требования к мерам необходимость документирования которых очевидна и неоспорима.   
Для владельцев незначимых объектов КИИ получился примерно следующий перечень


Для владельцев значимых объектов КИИ перечень существенно больше
В хорошем качестве можно скачать PDF 

Получилось 18 политик, 8 порядков, 4 приказа, 3 журнала, 2 положения. Но это как минимум.


Есть ещё ряд процессов обеспечения ИБ, которые требуется выполнять, но требований по документированию которых не приводится – тут документы могут разрабатываться на усмотрение субъекта КИИ. Также для многих процессов, может быть недостаточно политики и порядка – могут понадобится дополнительные инструкции или документы, возникающие в результате процесса.
Пока получается что в области КИИ требования к организационным мерам и документированию более сильные чем в других сферах.    

Но конечно возможна и оптимизация. Можно объединять документы в более крупные, делать документы сразу по нескольким темам, но это вопрос уже других статей.  

Думаю, что далее буду более подробно рассматривать отдельные процессы и документацию по ним. Вас также прошу высказываться по поводу документов, может быть есть альтернативное виденье или дополнение к тому что приведено в статье.


понедельник, 3 сентября 2018 г.

ПДн. Обезличивать не надо защищать



До недавнего времени, интерес к обезличиванию ПДн был не большой, как со стороны законодателей, так и со стороны операторов.


НПА РФ касающиеся обезличивания ПДн:
·         Федеральный закон 152-ФЗ “О персональных данных”
требования по обезличиванию в редких случаях
·         Приказ Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных"
описаны возможные методы, но требования фактически отсутствуют
·         КОАП РФ
есть штраф за нарушение требований и методов обезличивания, но мизерный и только для должностных лиц гос. органов

Появилось несколько свежих отраслевых НПА, устанавливающих требования обезличивать ПДн:
·         Приказ Министерства здравоохранения РФ от 14 июня 2018 г. N 341н "Об утверждении Порядка обезличивания сведений о лицах, которым оказывается медицинская помощь, а также о лицах, в отношении которых проводятся медицинские экспертизы, медицинские осмотры и медицинские освидетельствования"
касается всех Мед. организаций, но обезличивание происходит автоматически через специальный модуль ЕГИСЗ
·         Поправки федеральный закон от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд”
при закупке лекарственных препаратов требование публиковать обезличенные решения врачебных комиссий
·         Приказ Росстата от 17.04.2018 N 179 "Об утверждении порядка сбора сведений о населении в электронной форме, определяющего требования к программному обеспечению, техническим средствам, включая носители информации, каналам связи, средствам защиты и форматам представления данных в электронной форме"
требования обезличивать данные переписи населения

Минкомсвязи выдвинул 2 законопроекта:
1.       Изменения в 152-ФЗ: 
a.       добавить обязанность проводить обезличивание в случаях, когда это требуется законодательством РФ (ну это и так вроде очевидно)
b.       всем операторам добавили обязанность разрабатывать правила работы с обезличенными данными, в случае применения обезличивания
раньше такие правила требовались только для гос. органов
2.       Изменения в КОАП РФ
Теперь штрафы для всех операторов и распространяются на физ лиц, должностных лиц и юр. лиц. До 30 тыс.
Заключение:
Начало появляться больше НПА, обязывающие операторов проводить обезличивание ПДн в определенных случаях. Сейчас эти случаи:
·         обезличивать или уничтожать по достижению целей обработки ПДн
·         обработка ПДн в статистических или исследовательских целях
·         обработка ПДн при оказании мед. услуг
·         публикация решений врачебный комиссий при проведении закупок лекарственных препаратов
·         при переписи населения
Скорее всего число таких случаев, где обезличивание требуется в явном виде, будет только увеличиваться. Поэтому очевидно, что за невыполнение требований должно быть предусмотрено хоть какое-то наказание. Так кто ожидаемы поправки в КоАП
Для всех случаев обработки ПДн, операторам нужно будет определять, будет ли в них применяться обезличивание или нет. Если будет то определить способ обезличивания, реализовать автоматизированные механизмы или назначить ответственных лиц, при обезличивании в ручную и действительно внедрить выбранные способы на практике.  
Вероятно, во многих массовых ИС/ГИС (также как в ЕГИСЗ) должны появляться встроенные возможности по обезличиванию данных.

PS: Также рекомендую обзор законопроектов по обезличиванию ПДн от Михаила Емельянникова – рассмотрел проблему с другой стороны

PPS:Нажмите чтобы посмотреть цитаты из НПА и планируемые изменения