пятница, 6 октября 2017 г.

ПДн. ТОП характеристик обработки ПДн

В предыдущих частях 1 и 2 мы начали рассматривать реестр операторов ПДн. Сегодня продолжим с с рассмотрения наиболее популярных характеристик обработки ПДн сообщаемых операторами.

К сожалению, в реестре не ведется анализ отраслей, к которым относятся операторы ПДн, что не позволяет проводить сравнение со статистикой общего количества организаций, действующих в определенных отраслях. Сопоставление целей, оснований и категорий субъектов ПДн позволяет проводить хотя бы косвенный анализ. Например, что из примерно 100 тыс. образовательных организаций РФ, в реестре зарегистрированы 45-69 тыс.  

Как я говорил в первой части, информация в реестре хаотическая. Пришлось достаточно сильно её дополнительно обрабатывать, фильтровать и типизировать.

Цели обработки ПДн


Основания обработки ПДн

Категории субъектов ПДн

Категории ПДн

Выше приведена статистика, так как она есть – что вносили операторы ПДн, без анализа корректности и уместности той или иной информации.

Хотя анализировать там есть что. Например, одни и те же категории собственных работников одни называют “сотрудниками”, другие “работниками”, а третьи – “лицами, состоящими в трудовых отношениях”. При том что в принципе для РКН нет особого смысла собирать информацию о типовой обработке ПДн работников, так как она характерна для 100% операторов ПДн. Зачем тогда такая информация РКН?

Опять же, какой смысл от ТК РФ, 152-ФЗ и уставных документов в основаниях обработки ПДн? Этим и так руководствуются 100% операторов.  Гораздо полезнее было бы, если бы оператор рассказывал про какую-то нестандартную обработку ПДн и указывал что нет никаких оснований кроме договора с клиентом / согласия. В таком случае и клиенту и РКН было бы удобнее – именно в таких случаях можно не давать согласие или отзывать его. Именно в таких случаях встречается передача третьим лицам без согласия.


А там, где обработка в соответствии с ФЗ, должно проходить как нечто типовое и пред заполненное. 

понедельник, 2 октября 2017 г.

ПДн. Нарушители в Реестре операторов ПДн?

В предыдущей части мы начали рассматривать реестр операторов ПДн. Сегодня продолжим с нарушителями законодательства о ПДн, которых можно выявить, едва взглянув на Реестр.

1. В связи с изменениями в № 152-ФЗ, внесенными от 25.07.2011 № 261-ФЗ, каждому оператору необходимо было определить лицо, ответственное за организацию обработки ПДн, принять дополнительные меры, определенные статьей 18.1 152-ФЗ и уведомить РКН о назначенном лице и принятых мерах.

Как видно по результатам анализа, в Реестре имеется 113 931 (на момент анализа) операторов, нарушающих это требование. И далее несколько примеров таких операторов:




 2. В связи с изменениями в № 152-ФЗ, внесенными от 21.07.2014 № 242-ФЗ и в ступившему в силу 1 сентября 2015 г. требовалось перенести все БД в РФ и уведомить Роскомнадзор о местах нахождения БД с ПДн.  

Как видно по результатам анализа, 267 306 (на момент анализа) операторов нарушает это требование и всё ещё не сообщила о месте нахождения БД с ПДн. Не помог даже комментарий РКН о необходимости предоставления этих сведений

глядя на предыдущие примеры, наверное, вы могли подумать, что нарушают требования исключительно небольшие операторы с потенциально низкой квалификацией в ЗПДн? Посмотрим на крупных операторов, располагающихся рядом с РКН

(На момент моего анализа только 7 из 21 федеральных министерств РФ вообще подали Уведомление. МЧС, Минюст, Минкультуры, Минпромторг и другие – где вы? Субъектам ПДн интересно какие ПДн вы обрабатываете …)



Только 2 министерства (Минобороны и Минэнерго) из 7, а также только 49 из 263 федеральных учреждений подали информацию о местонахождении БД с ПДн. Примеры тех кто забыл:



Такая вот получилась занимательная статистика. Далее следует продолжение анализа по характеристикам обработки ПДн … возможно будет полезным 

ПДн. Зачем Реестр операторов ПДн?

Роскомнадзором ведется реестроператоров персональных данных, где каждый гражданин может проверить ключевую информацию об обработке персональных данных у конкретного оператора. Эти данные РКН мог бы также использовать в рамках своих полномочий и обязанностей, но мы давно уже не видели какой-то интересной сводной аналитики по операторам ПДн.

Я решил исправить этот недочет. Выгрузил пару месяцев назад данные реестра с открытых данных, провел анализ и хочу поделится с вами некоторыми интересными результатами.

1. В текущем виде реестр представляет из себя некую хаотическую массу информации. Вроде поля у всех одинаковые, но каждый может писать в них всё что заблагорассудится, без какой-либо типизации. Плюс со временем менялись рекомендации, но к уже ранее внесенной информации они никак не применялись. В результате имеем не фактически не поддающиеся анализу и сравнению данные
Сравните, например, данные оператора с рег. номером 08-0000106 и 77-17-005506. Они различаются по объему в десятки раз, пользовательская нумерация внутри одного поля, разные символы для разделения логических блоков; по-разному ссылаются на ФЗ и многое другое.  
Не удивительно, что мы давно не видели аналитики от РКН. Реестр в таком виде не подходит для аналитики …

2. Операторы действуют не вечно. Юридическое лицо может быть ликвидировано, поглощено, преобразовано либо прекратить деятельность, связанную с обработкой ПДн. Для этого операторы отправляют письма с просьбой исключить из реестра. В реестре операторов добавляется пометка “исключен”, а все данные остаются на месте J
Ниже статистика “исключенных” операторов. Их 14454



Но простейший перебор списка операторов с наиболее старыми датами уведомлений показал, что чуть ли не каждый второй в них уже ликвидирован или поглощен. Примеры ниже (первый скрин из реестра, второй из публичных справочников юр. лиц)

1.



2. 




3.




То есть, реестр полон “мертвых душ”. И если говорить в терминах ПДн, возможно тут хранение избыточных данных, когда цели обработки уже достигнуты?

3. Частью 7 статьи 22 152-ФЗ предусмотрена необходимость уведомления РКН при изменении любых сведений, указанных в части 3 статьи 22 (сведений в реестре операторов ПДн). По результатам анализа видно, что большая часть операторов подавали уведомление только раз и не разу не уведомляли РКН об изменениях.
То есть, реестр полон потенциальных нарушителей. Это повод для того чтобы продолжать анализ и разобраться поподробнее. Продолжение следует …


PS: по вопросам методике анализа обращайтесь лично   

вторник, 19 сентября 2017 г.

ПДн. СКЗИ. Перечни, журналы и другие записи в электронной форме

В предыдущей заметке мы обсудили спорные моменты, связанные с ведением “перечней лиц” в ИБ. В комментариях в блоге, facebook высказывались противоположные версии о необходимости ФИО. РКН по всей видимости пока решили никого не трогать, так как есть более значимые, с их точки зрения нарушения.

Взглянем на проблему чуть шире. В обязательных требованиях по ПДн и СКЗИ, помимо необходимости утверждения перечней лиц, есть ещё необходимость сохранения некоторых других свидетельств выполнения требуемых мероприятий: журналов, актов, ...

В современных организациях (особенно после диджитализации) хотелось бы максимально избежать бумажной работы и бумажных документов, тем самым существенно сократить накладные расходы на эксплуатацию системы ИБ. Перечни и журналы хотелось бы вести в электронном виде в excel или какой-то информационной системе, отчеты готовить в виде писем или презентаций и т.п. Но так чтобы не нарушать при этом требований.

Разработчики же нормативных актов стараются максимально затруднить нам переход в цифровую эпоху: не учитывают нюансы электронного документооборота, используются разные формулировки для требований к документации, что вносит некоторую путаницу и ограничения:  
·         издание оператором документов (152-ФЗ)
·         утверждение руководителем оператора документ (ПП 1119, ПП 211, приказ ФСБ №378)
·         перечень … устанавливается оператором (ПП 687)
·         определить места …, установить перечень .. (ПП 687)
·         утверждение перечня … (приказ ФСБ №378)
·         осуществлять поэкземплярный учет … ведением журнала (приказ ФСБ №378)
·         формирования и утверждения руководителем оператора … (приказ ФСБ №378)
·         разработку … документации / разработку документов .. (приказ ФСТЭК №17)
·         отражаются в документации / вносятся в документацию (приказ ФСТЭК №17)
·         результаты оформляются актом .. (приказ ФСТЭК №17)
·         документирование действий / документирование процедур / документирование результатов (приказ ФСТЭК №17)
·         разработку схемы … схему утверждает (приказ ФАПСИ №152)
·         перечню … утверждаемому обладателем КИ (приказ ФАПСИ №152)
·         заключение, составленное комиссией (приказ ФАПСИ №152)
·         журналы ведут (приказ ФАПСИ №152)
·         правила устанавливает (приказ ФАПСИ №152)

В вариантах, когда требуется просто “вести”, “определять”, “установить”, “осуществлять учет”, “составляет” мы можем это делать и в электронной форме, в том числе в excel файлах...

Когда упоминается термин “документ”, обычным файлом уже не обойтись. Нужно добавлять реквизиты и вводить систему идентификации электронных документов (электронный документооборот) (ГОСТ Р 7.0.8-2013, №63-ФЗ)

Там, где требуется “утверждение” документов, уже не обойтись без электронной подписи. Кроме того, “утверждающему” сотруднику должны быть даны следующие полномочия.

Конечно было интересно узнать мнения регуляторов (особенно ФСБ России, которые уже так привыкли к бумажным журналам регистрации) по данному вопросу, поэтому я спросил, допустимо ли вести требуемую документацию в электронной форме? Нужна ли электронная подпись? Если нужна, то какая?
Ответ Минкомсвязи (только суть, общие слова как в предыдущей статье)


Ответ ФСБ России

Как видно, вариант с ведением документов в электронной форме (даже с простой ЭП) вполне устраивает регуляторов.  Издаем внутренний документ, разрешающий ведение таких-то документов в электронной форме и дающих право подписи и утверждения этих документов ответственному лицу с применением такого-то типа подписи в такой-то системе. Возможно это будет система ЭД, система управления учетными записями и правами пользователей или система автоматизации мероприятий ИБ, такая как DocShell. Далее все перечни, журналы по ПДн, СКЗИ ведем исключительно в электронной форме. Бумага больше не пострадает... Профит.. 



 PS: Кстати не мешало бы в новых НПА использовать какие-то одинаковые формулировки требований к документации: "документировать" "утверждать"

вторник, 12 сентября 2017 г.

ПДн. Эксплуатация. Перечни ФИО или должностей сотрудников?

Ранее эта проблема уже обсуждалась, но всё ещё остается актуальной. Итак. Статьей 88 ТК РФ, Постановлением правительства №687, Постановлением правительства №1119, Постановлением правительства №211, приказом ФСБ №378 требуется установить и утвердить перечень лиц, допущенных к обработке ПДн.

Перечней может быть один, а может быть несколько (по допуску к разным ИСПДн, неавтоматизированной обработке ПДн, местам хранения ПДн, в помещения с СКЗИ, к работе с СКЗИ), не суть. Если организация достаточно большая, то в следствии текучки и кадровых перемещений приходится регулярно обновлять такие перечни.  Необходимо каждый день собирать информацию об изменениях, готовить приказ об утверждении перечня и утверждать его у руководителя Оператора.

В целях минимизации трудозатрат, небольшая часть встреченных мной организаций предпочитает вести перечни допущенных к … лиц включающие только должность и наименование подразделения.
   
Несколько лет назад региональное управление Роскомнадзора по ЮФО на семинарах и проверках категорически настаивало на том что перечни должны быть именными – содержать ещё и ФИО. Аргументы к этому были следующие:
·         Оператор обязан в документе определить лица, допущенные / уполномоченные обработке ПДн. Необходимо по каждому конкретному сотруднику понимать, допущен он к обработке ПДн или нет. Чаще всего в одном подразделении существует много ставок с одинаковым наименованием должности, что не позволяет без ФИО однозначно определить.
·         В перечнях лиц может быть указана какая-то специфика, актуальная только для конкретного сотрудника (отвечает за сохранность материальных носителей ПДн в таком-то кабинете, в таком-то шкафу, допущен к работе с каким-то специфическим СКЗИ). Без ФИО, перечень лиц будет неверно определять ответственных в таком случае.

Последние пару лет от местного Роскомнадзора уже не слышно такой четкой позиции по отношению к перечню лиц. Опять же встречал несколько операторов, которые ведут перечни допущенных лиц без ФИО, только с указанием должностей и подразделений.

К сожалению, не удалось найти судебной практики, содержащей случаи, когда у Оператора ведется перечень допущенных к обработке ПДн лиц, без указания ФИО. Если вы встречали что-то подобное, прошу поделиться информацией …

Было интересно, какая существует практика утверждения “перечня лиц” в областях не связанных с ПДн. Беглый просмотр около 100 последних публичных приказов и распоряжений об утверждении “перечня лиц” показал, что в более 90% случаев перечни содержат ФИО (примеры 1, 2, 3) но встречаются и варианты только с должностями (пример 4, 5).  

Для возможного разрешения данной проблемы задал вопрос в Роскомнадзор и Минкомсвязи. РКН традиционно ответили, что не комментируют законодательство РФ. А ответ Минкомсвязи привожу ниже.



Как видно, орган государственной власти ответственный за нормативно-правовое регулирование в сфере ПДн считает что ФИО нужны.

А что вы думаете по поводу перечней лиц, ответственных/допущенных к .. ПДн?

среда, 9 августа 2017 г.

ПДн. НПА. Рекомендации Роскомнадзора по составлению политики обработки ПДн

Недавно Роскомнадзор подготовил и опубликовал на сайте Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».


У меня в целом положительное отношение к данным рекомендациям. Объясню почему: зачастую Операторы ПДн относятся к публичной политике ПДн как к типовой декларации на одну страницу – туда попадают какие-то типовые вещи, а все подробности остаются во внутренних документах Оператора. Но пользователю/клиенту этой типовой декларации может быть недостаточно для принятия решения о том, стоит ли пользоваться услугой и насколько она безопасна.

Роскомнадзор порекомендовал указывать в политике некоторые сведения, которые операторы уже обязаны указывать в уведомлении Роскомнадзору. Всё равно эти сведения доступны через реестр операторов ПДн, так зачем заставлять клиента ходить за сведениями на внешние ресурсы, если можно указать это в политики. Роскомнадзор порекомендовал указывать дополнительную информацию о передаче ПДн третьим лицам, которая свидетельствует о том, что оператор соблюдает основные принципы обработки ПДн. Рекомендовали описать регламент взаимодействия с субъектом ПДн и привести в примере формы – это будет полезно клиентам, решившим обратится к Оператору ПДн.

В общем то приведенные рекомендации соответствуют и подходам к политике обработки ПДн, принятым в евросоюзе: пример 1, пример 2.

Но есть у меня и несколько замечаний к Рекомендациям:
·         В уведомлении Роскомнадзора категории ПДн и категории субъектов разбиваются по информационным системам, а в Политике в соответствии с Рекомендациями надо разделять по целям обработки. Для оператора ПДн это двойная работа и сложная кросс аналитика. Можно было бы использовать какой-то единый подход.
·         В описании передачи ПДн третьим лицам Рекомендуется указывать перечень действий которые разрешено совершать с ПДн третьему лицу, требования по защите ПДн, которые Оператор предъявил третьему лицу. Тут Роскомнадзор не учел случаи, когда оператор передает данные не по своему желанию, а потому что обязан передать эти данные в соответствии с каким-то ФЗ (ПФР, ФНС и т.п.). И в таком случае он не знает, какие действия будет совершать с ними третье лицо, не может ограничить эти действия или установить требования по защите.
То, что приведено в Рекомендациях применимо только для таких случаев передачи ПДн третьим лицам, в которых Оператор самостоятельно поручает обработку ПДн третьему лицу (обработчику).
·         Авторам Рекомендаций надо было привести примеры, больше примеров !!!, того что можно писать в каждом разделе. Эти примеры есть у Ромкомнадзора в Реестре операторов ПДн. Они были бы полезны
·        Стоило бы рекомендовать указывать в Политике ФИО и контакты лица, ответственного за орг. обр. ПДн  
·         Не мешало бы привести пример полноценной политики, составленной в соответствии с Рекомендациями. Пока что политики Минкомсвязи и управлений РКН не соответствуют данным рекомендациям.

Чтобы немного сгладить последнюю оплошность привожу ниже пример политики обработки ПДн блога (в соответствии с частью 2 статьи 1 152-ФЗ на обработку ПДн физическими лицами для личных нужд не распространяются требования, но мы предположим, что на месте sborisov.blogspot.ru был бы какой-то корпоративный блог) имеющего форму обратной связи (недавняя шумиха с наказанием РКН сайтов, имеющих форму обратной связи, но не имеющих политики ПДн)



Альтернативная ссылка на случай если вариант выше недоступен.

четверг, 13 июля 2017 г.

ИБ. Защита бесконтактных банковских карт и эмуляций

Раз уж от бесконтактных банковских карт (на карте совмещены чип и NFC) не скрыться и добрались они даже до массовых зарплатных проектов, стоит ждать роста количества атак на них (скрытые списания, копирования, клонирования).  Давайте посмотрим какие у нас есть варианты более безопасного использования их:



1.       Экранирующий чехол с защитой RFID / NFC. Но покупать и использовать чехольчик для каждой отдельной карты – неудобно. Скорее уж при обновлении кошелька, выбирать сразу с RFID защитой.  
2.       Задать лимит на списание средств без ПИН-кода? Упс. Тут уже постарались без нас. По РФ действует лимит - до 1000 руб. в сутки можно оплачивать без ПИН. Поменять сумму невозможно
3.       Отключить возможность бесконтактной оплаты, оставив возможность обычной чиповой карты? Упс. Такой возможности нет. Ни со стороны банка, ни со стороны клиента.  
4.       Скопировать свою карту в телефон/смарт часы/браслет/кольцо с поддержкой NFC (в приложение Apple pay, Samsung pay, android pay, microsoft wallet и другое ПО). Выложить все бесконтактные карты дома.
5.       Не забывать про классические меры безопасности с вязанные с банковскими картами (SMS информирование, доверенные получатели, иметь под рукой номер для оперативной блокировки карты, помнить кодовое слово для разблокировки и т.п.)

Далее посмотрим какие варианты есть в случае если все ваши банковские карты сохранены на телефоне:
1.       Экранирующий чехол с защитой RFID / NFC
2.       Вывести кнопку управления беспроводного интерфейса NFC на быстрый доступ. По умолчанию держать выключенным.  При необходимости быстро включать одним нажатием

3.       Отключить возможность проведения платежа пока телефон заблокирован
iOS: Settings -> Touch ID & Passcode -> Allow access when locked: wallet – off
Android Pay и Samsung Pay:  это уже сделано по умолчанию.


4.       Настроить один из вариантов авторизации платежа (Pattern, PIN, or Password)

5.       Включить уведомления о платежах в телефоне. По умолчанию включено.
iOS: Settings -> Wallet & Apple Pay-> Card Notifications
Android:  это уже сделано по умолчанию.
Settings > Applications > Application Manager > Android Pay > Notifications
Samsung Pay -> Settings -> Notifications


6.       Не отдавайте надолго разблокированный телефон. Не допускайте установки вредоносного ПО на мобильное устройство – хотя на нем и хранятся виртуальные токены вместо данных пластиковых карт, но клонирование устройства с виртуальной картой в ряде случаев возможно.