четверг, 29 декабря 2011 г.

Общее. Обзор наиболее интересных событий информационной безопасности на Кубани


Конец года – возможность подвести итоги и сделать какие-то выводы. Чтобы оправдать название рассмотрю наиболее интересные для меня события, связанные с информационной безопасностью, произошедшие в Краснодарском Крае и окрестностях в 2011 году, на пересечении Заказчиков, Интеграторов и Регуляторов.

Новички, расширения, слияния
 1. Местный интегратор - “Орбита” поменяла бренд на ГК “Россигнал”, попутно потеряв часть наиболее квалифицированных сотрудников по ИБ, которые в том числе отличались в событиях описанных ниже. Вполне возможно, что соответствующая деятельность будет уже проводится под эгидой других компаний.

2. Местный интегратор - “Росинтеграция”, оказывающий услуги по ИБ, расширил свое присутствие в регионах. Теперь подразделения компании есть не только в Краснодаре, но и в Ростове-на-Дону, Майкопе, Ставрополе.

3. Новый местный интегратор “Сириус”, костяк которого составляют бывшие сотрудники компании “Орбита”, в конце 2011 года начал оказывать услуги по ИБ и создал соответствующее подразделение.

4. Активно расширяется Краснодарский офис интегратора “NVision”, который до недавнего времени не занимался местными проектами ИБ. Сейчас компания набирает специалистов и в новом году планирует оказывать полный комплекс услуг по Краснодарскому краю, в том числе по ИБ.

5. Аналогичная ситуация в Краснодарском офисе интегратора “Микротест”. Компания набрала местных ИБ специалистов и планирует наращивать объемы услуг в направлении ИБ.

6. Местный Роскомнадзор один из наиболее активных в плане количества проверок соблюдения законодательства о персональных данных и сами проверки проводит достаточно жестко,  о чем я уже писал ранее – 1, 2. Так что местным оператором ПДн есть чего опасаться.

7. В целом на Кубани за последний год выросло количество специалистов задействованных в услугах по информационной безопасности и следовательно растет количество и качество проектов по обеспечению ИБ у Заказчиков.

Образовательная деятельность
1. В 2011 году сотрудники компании “Росинтеграция” выступили на региональных конференциях департамента молодежной политики, департамента занятости, департаменте соц.защиты, на конференции "Практически" с докладами о защите персональных данных и состоянии киберпреступности в России.

2. Сотрудники компании “Орбита” выступили на семинаре главы Карачаево-Черкесской Республики, в научно-практической конференции Управления ФСТЭК России по ЮиСКФО с докладами об обеспечении безопасности персональных данных; провели цикл лекционных занятий для студентов 4-ого и 5-ого курса Кубанского государственно технологического университета, на которых рассказывали теоретические и практические аспекты защиты персональных данных и обеспечения информационной безопасности в банковской сфере.

3. Сотрудники компании “Микротест” вместе с партнерами ”headtechnology” и “NETWELL” провели семинар “Эффективные решениядля защиты информации и ключевых ресурсов предприятия” – пожалуй, наиболее технологический семинар по ИБ.

4. Сотрудники компании “eScan” провели семинар попродуктам eScan, Microsoft, Microworld Technologiesи Аладдин Р.Д.

5. Компания Cisco провела в Краснодаре “RVPN Road Show” по решениям криптографической защиты каналов связи.

6. Представители Краснодарского Роскомнадзора активно участвовали в семинарах по вопросам организации обработки персональных данных совместно с “Ростелеком”, совместно с УправлениемФедеральной налоговой службы, совместно с NVision, совместно с “Информ-Центр”.

7. А самым крупным местным ИБ мероприятием был vipforum “Инфоберег-2011” в Сочи, проводимый “Академией информационных систем”. Материалы с конференции.

8. Хочется сказать спасибо всем компаниям и специалистам участвовавшим в повышении уровня осведомленности и квалификации по вопросам ИБ на Кубани и пожелать в следующем году проводить ещё больше интересных семинаров и живых демонстраций СЗИ.


Новые продукты и услуги
1. В Росинтеграции создали специализированный отдел пентестов, единственный в ЮФО, который принял участие и занял призовые места в конкурсах на хакерской конференции ZeroNights в Санкт-Петербурге, а так-же провел несколько удачных пентестов для Заказчиков.
Данная услуга набирает обороты в России и теперь её можно заказать и в Краснодаре.

2. Компания Орбита развернула новую услугу по опросу лиц с применением Полиграфа. В случае подозрений на определенных сотрудников или повышенных требований доверия к персоналу можно обращаться.

3. Росинтеграции первой в ЮФО обучила аудиторов СТО БР ИББС и уже в этом году провела несколько успешных аудита соответствия стандарту Банка России СТО БР ИББС.
Сотрудники Орбита так-же обучались и сертифицировались на курсах по аудиту и внедрению СТО БР ИББС и реализовали проекты по аудиту и внедрению в банках СТО БР ИББС.
Увеличение внимания интеграторов и Банков в СТО БР ИББС позволяет ожидать в следующем году большого количества проектов по внедрению СТО БР ИББС и оценке ИБ Банков.

4. В Краснодаре появилось две софтверных компании производящих продукты в области ИБ. Первая – “LeetSoft” разработала и постоянно развивает BSAT – программный комплекс оценки информационной безопасности на соответствие требованиям стандарта Банка России СТО БР ИББС.

Вторая – “АйРЭД” разработала три продукта по ИБ:
·       BCM-Analyser - система предназначенная для анализа рисков ИБ, выбора эффективных управленческих решений построения системы защиты от рисков, учета всевозможных затрат, связанных с ИБ;
·       SIS-Analyser – система анализ безопасности конфигурации системы защиты, анализ информационных процессов на соответствие требованиям ИБ;
·       Privacy-SPS – система управления персональными данными.

Это новые и современные средства, аналогов которым нет на Российском рынке. Наиболее актуален продукт Privacy-SPS, необходимый для выполнения требований 152-ФЗ “О персональных данных”, о котором я писал в одной из предыдущих заметок, и к которому ожидаю большой спрос в следующем году.

5. В целом местными специалистами оказываются все необходимые и современные услуги в области ИБ , а также разрабатывают передовые для отрасли ИБ продукты.


вторник, 27 декабря 2011 г.

Общее. Система управления ПДн



Привожу в данной статье обзор системы “Privacy-SPS” производства компании ООО "АйРЭД" (IRADD), которая относится к новому классу систем – “Системы управления ПДн”. Примечательно, что система местного производства – разработчик находится в Краснодаре.
Система предназначена для автоматизации процессов связанных с обработкой и защитой персональных данных. Выполнение всех требований законодательства РФ в области ПДн требует большого количества рутинных операций и как следствие больших трудозатрат.
Причем, требуемые операции выполняются не один раз, а постоянно в течении срока жизни ИСПДн. Я думаю, что любой Оператор пытающийся выполнить требования осознал необходимость автоматизация таких операций. Я блоге я уже писал про некоторые из них: 1, 2, 3, 4.
На сайте выложена документация и по требованию Разработчик проводит демонстрацию решения. Основное, что можно почерпнуть из этого:
Разработчик заявляет, что в их продукте автоматизирован необходимый комплекс операций, например:
·        Сбор данных и описание процессов обработки ПДн
·        Сбор данных и описание процессов защиты ПДн
·        Учет активов (зданий, помещений, оборудования, информационных массивов, носителей ПДн, средств защиты и документации)
·        Обработка запросов и обращений субъектов ПДн
·         Контроль процессов обработки и защиты ПДн
·         Генерация документов на систему защиты ПДн (модели угроз, акты классификации, описания систем защиты)
·         Генерация уведомлений, форм согласий, других документов необходимых субъекту ПДн
·         Генерация перечня ПДн, Уведомления об обработке ПДн в Роскомнадзор
·         Генерация внутренних организационно-распорядительных документов (приказов, актов, заключений и т.п.)
Система имеет трехуровневую архитектуру: клиент, СУБД, коннекторы для внешних систем.


В системе используется ролевая модель. Предлагается – Пользователь, Делопроизводитель, Секретарь, Администратор ИТ, Администратор ИБ, Сотрудник службы безопасности.
При внедрении в систему вносится вся необходимая исходная информация и настраивается связь с существующими ИСПДн у Оператора. Первоначально – это процедура трудоемкая, но в дальнейшем внесение информации производится всеми лицами участвующими в обработке или защите ПДн с учетом их сфер ответственности либо автоматически экспортируется из других систем.


Например, внесение информации о структуре подразделений:

Например, ввод типов документов с ПДн:

Например, заполнение справочника составов ПДн в процессах обработки ПДн:

Например, ввод целей обработки ПДн:

Например, инвенторизация активов – серверов:

Например, учет актуальных угроз:

Например, задание требуемых функций безопасности СЗИ в зависимости от ключевых характеристик ИСПДн.
И так далее, документируется вся информация об ИСПДн и СЗПДн. Аналогичная работа выполняется Интеграторами при проведении обследования ИСПДн, разработке модели угроз, ТЗ, разработке рабочей документации на СЗПДн.
Далее начинается этап эксплуатации ИСПДн, в рамках которого автоматизируются все операции. Например, учет обращений на ознакомление с характером ПДн и генерация уведомлений:


Например, учет жалоб и запросов на уточнение/дополнение ПДн:

Например, регулярная генерация актуального уведомления Роскомнадзора, которое нужно формировать при любых изменениях информации, приводящейся в уведомлении:

Например, регулярная генерация актуальных Актов классификации ИСПДн, которые надо переделывать при изменении существенных характеристик ИСПДн:


Например, генерация актов и приказов контроль защищенности ИСПДн, который надо проводить на регулярной основе:
Например, генерация заключений о готовности СЗИ к эксплуатации, которые надо делать по мере их установки/переустановки:

Например, генерация приказов на допуск к работе с СКЗИ при изменении пользователей СКЗИ:

Например, генерация перечня ПДн при изменениях в характеристиках обработки ПДн:


Все приведенные выше функции, а так-же функции имеющиеся в системе, но не вошедшие в статью, позволяют действительно регулярно выполнять необходимые процедуры, хранить всю актуальную информацию в единой базе данных, а отчетные документы генерировать именно тогда, когда они нужны – когда приходит проверка Регуляторов, аудиторов и других сторонних организаций. 
По информации на сайте разработчика клиентами являются МТС и Комстар-ОТС. Дополнительно представитель Разработчика прокомментировал, что изначально система “Privacy-SPS” внедрялась и обкатывалась в МТС, но теперь уже перешла в стадию коммерческого распространения и доступна всем желающим.
С моей точки зрения, данный продукт может быть интересен не только каждому Оператору ПДн, но так-же и Интеграторам, осуществляющим аутсорсинг организации и защиты ПДн. Ведь “Privacy-SPS” позволяет автоматизировать и их рутинные операции.


У производителя опубликованы цены на “Privacy-SPS”
Позиция
Стоимость
Лицензия до 10 объектов
20 000р.
Лицензия до 50 объектов
40 000р.
Лицензия до 100 объектов
60 000р.
Лицензия до 300 объектов
150 000р.
Лицензия до 500 объектов
300 000р.
Лицензия до 1000 объектов
700 000р.
Лицензия более 1000 объектов
1 500 000р.
Объект – это любой значимый компонент информационной системы. В качестве объектов могут выступать – автоматизированные рабочие места, серверы, сетевое и телекоммуникационное оборудование и т.п.

Как видно, для есть предложения как для больших так и для маленьких операторов ПДн.
                                                                                                                              


пятница, 23 декабря 2011 г.

Общее. Новый регламент Роскомнадзора


Документ представляет большой интерес, но он пока не опубликован. Вместо него у меня оказался под рукой проект регламента. Так как это проект не буду разбирать его детально – только несколько замечаний:
·        Появился раздел с правами и обязанностями должностных лиц РКН. Например, могу получать доступ к ИСПДн в режиме просмотра; обязаны учитывать при определении мер тяжесть нарушений, не допускать ораничение прав Оператора; не требовать от Оператора документы, не предусмотренные законодательством РФ.
·        Появился раздел с ответственностью  должностных лиц РКН.
·        Появился раздел с правами и обязанностями проверяемых. Например, могут указать в акте проверке несогласие с определенными пунктами проверки; обязаны предоставить доступ на территорию, к документам, к оборудованию.
·        (осталось без изменений) Срок проверки ограничен 20 рабочими днями + может быть продлен ещё на 20 рабочих дней
·         (осталось без изменений) О плановой проверке уведомляют не позднее чем за 3 рабочих дня (плюс сам план публикуется)
·        (осталось без изменений) Внеплановые проверки на по следующим основаниям:
o   истечение срока предписания об устранении нарушений
o   по обращениям граждан
o   поручение правительства РФ или президента РФ
o   нарушение прав субъектов
o   нарушения операторами законодательства РФ
o   некорректное Уведомление
·        (осталось без изменений) О выездной внеплановой проверке уведомляют не позднее чем за 24 часа
·        (осталось без изменений) О документарной проверке уведомляют не позднее чем за 3 рабочих дня
·        Добавился раздел про порядок контроля выполнения регламента должностными лицами
·        Добавилась возможность контроля Проверок со стороны граждан и общественных организаций  

UPD: Опубликован новый административный регламент Роскомнадзора. (спасибо Алексею Лукацкому за ссылку)
По сравнению с проектом регламента есть небольшие изменения:
- из раздела IV ответственности должностных лиц РКН убрали пункт о (обязательном) привлечении к  ответственности в соответствии с ФЗ и убрали пункт об информировании лица, по обращению которого проводилась проверка нарушений должностных лиц.
- из раздела V по досудебному обжалованию действий должностных лиц РКН убрали пункт о праве обжаловать решения, принятые в ходе проверки.

В остальном без изменений.



понедельник, 19 декабря 2011 г.

СЗПДн. Проектирование. Выбор СЗИ


В обсуждениях к предыдущейзаметке был поднят вопрос о таком важном этапе в процессе проектирования СЗПДн как – выбор СЗИ. Действительно, при внедрении качественной, работающей СЗПДн – Заказчик не должен ставится перед фактом, что будет внедрятся такой-то перечень СЗИ и точка. Заказчик должен активно участвовать в выборе СЗИ, и на выбор должны влиять не только требования Правительства РФ, ФСТЭК, ФСБ но и некие особенности в данном Операторе.
Предполагается, что приступая к выбору СЗИ, мы уже определили требуемый минимально перечень мер (методов и способов) защиты ПДн, на предыдущем этапе.
Хочу отметить, что сравниваться должны не только СЗИ и СЗИ, но и организационные меры. Например, требования по регистрации определенных событий, уничтожению информации могут быть выполнены как СЗИ, так и без них.  Так-же могут сравниваться варианты с применением централизованных средств (управления, сбора событий и т.п.) и без них.
Одним из важнейших характеристик при сравнении СЗИ является их цена.  При оценке стоимости необходимо учесть не только первоначальную стоимость СЗИ, но и затраты на внедрение и эксплуатацию СЗИ в течении среднего срока жизни СЗИ в организации.
Например, в может оказаться, что в сравнении электронных замков Соболь и сетевого варианта Secret Net, начальная стоимость решения будет меньше у электронных замков.  Но стоимость внедрения и эксплуатации электронных замков будет выше. Ведь они не имеют централизованного управления и в случае проблем, неисправностей требуют вскрытия технических средств.
Если существенных характеристик СЗИ, имеющих значение для данного проекта - очень много,  их сравнение становится не очевидным для большой аудитории. В таком случае, в зависимости от ценности характеристик для данного проекта и данного Заказчика может быть определен показатель эффективности СЗИ (либо несколько ключевых показателей). И при согласовании с большой аудиторией, особенно руководством, можно оперировать уже этими показателями эффективности.
Форма, в которой производится сравнение, и выбор вариантов СЗИ может быть различной. Встречался ряд проектов, где формальный отчетный документ о выборе СЗИ не требовался. Вместо этого Исполнитель делал согласование с техническими специалистами Заказчика по аналитическим материалам в формате Excel, а с руководством Заказчика в формате презентации.
Если принято решение формально документировать выбор СЗИ в рамках СЗПДн, то в при выставлении требований к Исполнителю необходимо убедиться что результаты работ будут содержать:
1.      описание существующей ИТ-инфраструктуры (ситуация до внедрения СЗПДн)
2.      описание существующих средств защиты информации, в том числе наличия сертификатов или возможности сертификации
3.      описание обязательных требований к мерам защиты ПДн, которые должны выполняться системой в соответствии с законодательством РФ
4.      описание дополнительных требований к СЗПДн, которые должны выполняться системой в соответствии с внутренними стандартами Заказчика (например, средства построения VPN должны поддерживать IPSEC)
5.      описание рекомендаций к СЗПДн, которые являются критериями выбора СЗИ при выполнении всех требований с указанием их значимости (цена, надежность, поддержка, возможности управления, мониторинга, системные возможности и т.п.)
6.      правила сравнения и выбора СЗИ
7.      возможные варианты выполнения обязательных и дополнительных требований (как с применением СЗИ, так и с применением организационных мер)
8.      описание значимых характеристик каждого из перечисленных СЗИ
9.      сравнение СЗИ для каждого из требований (возможна группировка требований)
10.   сравнение альтернативных технологий выполнения требований (например, криптографическая защита трафика с применением Site-to-Site VPN и Remote VPN)  
11.   сравнение вариантов мероприятий требующих модернизацию текущей ИТ-инфраструктуры с вариантами фактически не влияющими на неё (например, необходимость внедрения службы каталогов или замены всех коммутаторов на управляемые)  
12.   сравнение вариантов сертификации СЗИ (например, сертификация серии совместно с производителем или самостоятельная сертификация экземпляра)
13.   сравнение вариантов с централизованным управлением, мониторингом и без них
14.   сравнение вариантов с применением организационных мероприятий и СЗИ
15.   перечень выбранных мероприятий по каждому из требований
16.   итоговый расчет затрат на реализацию всех мероприятий.
В соответствии с ГОСТ 34.601-90 такой документ может называться концепция СЗПДн либо в соответствии с ГОСТ 24.202-80 называться технико-экономическим обоснованием СЗПДн.

вторник, 13 декабря 2011 г.

СЗПДн. Проектирование. Качественный проект


В последнее время очень часто сталкивался со следующей ситуацией: Операторы ПДн заказывает у Лицензиата комплект бумажек (отчет об обследовании, модель угроз, ТЗ, проект, ОРД) и сертифицированных средств защиты по минимальной стоимости, не беспокоясь как это будет работать и будет ли работать. Главное чтобы жопу прикрыть защитится от Регулятора.
В результате этого у других Операторов создается впечатление – всё что связано с СЗПДн это что-то бесполезное, заведомо не работающее.
На самом деле это не так. Мне приходилось участвовать в большом количестве проектов, в рамках которых внедрялись действительно необходимые заказчику меры и СЗИ. В дальнейшем СЗПДн расширялась или интегрировалась в общую систему обеспечения ИБ Организации.
Что можно предпринять, если вам нужна действительно работающая СЗПДн и исполнитель - Интегратор обещает внедрить такую систему?
Большое значение для эффективной реализации СЗПДн имеет проект СЗПДн.  При выставлении требований к Исполнителю необходимо убедится, что проект на СЗПДн будет содержать:
1.       описание существующей ИТ-инфраструктуры (ситуация до внедрения СЗПДн)
2.       описание существующих средств защиты информации, в том числе наличия сертификатов или возможности сертификации
3.       описание актуальных угроз безопасности, которые для нейтрализации которых предназначена система
4.       описание актуальных обязательных требований, которые должны выполняться системой
5.       описание структуры СЗПДн в целом, составляющих её подсистем, назначения подсистем
6.       перечень выбранных средств защиты информации и их взаимосвязь с подсистемами СЗПДн
7.       описание наличия сертификатов у выбранных средств защиты или возможности их сертификации
8.       описание компонентов, из которых состоят средства защиты информации
9.       описание точного количества компонентов средства защиты информации, которые будут  вновь устанавливаться на каждом из территориально выделенных объектов Заказчика
10.   описание точного количества существующих у Заказчика компонентов средств защиты информации, которые будут  использоваться в составе СЗПДн
11.   описание предварительных мероприятий по изменению ИТ-инфраструктуры или подготовке к внедрению средств защиты информации (например, перенос существующего оборудования, изменения в IP-адресации, добавление новых VLAN, переключении существующего оборудования и т.п.)
12.   перечень технических средств (АРМ, серверов и т.п.) на которые устанавливаются программные компоненты СЗИ с идентификаторами, позволяющими однозначно определить такие технические средства
13.   описание мест, в которые устанавливаются новые технические средства СЗПДн c указанием идентификаторов новых технических средств (ТС), помещений, стоек.
14.   описание физических соединений между новыми и существующими ТС, между новыми ТС и внешними системами
15.   описание взаимодействия между компонентами в рамках подсистемы
16.   описание взаимодействия между подсистемами
17.   описание взаимодействия СЗПДн с внешними системами
18.   описание тех функций (из всех возможных функций) средств защиты информации, которые будут использоваться в СЗПДн
19.   описание этапов конфигурации каждого компонента СЗПДн
20.   описание параметров конфигурации компонентов СЗПДн
21.   описание изменения параметров конфигурации существующих технических средств
22.   описание возможных режимов функционирования СЗПДн и её компонентов
23.   описание правил диагностирования и перехода СЗПДн и её компонентов из одного режима в другой
24.   описание существенных характеристик вновь внедряемых технических средств (производительность, форм-фактор, размеры, потребляемая мощность и т.п.)
25.   описание мер, используемых в СЗПДн для нейтрализации угроз, подготовленных в соответствии с требованием  3.
26.    описание соответствия предлагаемой СЗПДн обязательным требованиям, предъявляемым к системе
27.   описание функций и ролей выполняемых персоналом при эксплуатации и обслуживании СЗПДн
28.   расчет численности персонала, необходимого для эксплуатации и обслуживания СЗПДн
29.   описание квалификации персонала, необходимой для эксплуатации и обслуживания СЗПДн
30.   описания необходимых изменений в организационной структуре Заказчика
Пункты выше приведены, не потому что они требуются каким-то стандартом, а потому что они были бы необходимы мне при внедрении СЗПДн. И если Исполнитель не собирается при проектировании делать приведенные выше работы, то стоит задуматься - будет ли работать ваша СЗПДн?
Правильное содержание других работ, кроме проектирования, рассмотрю в отдельных заметках.

пятница, 9 декабря 2011 г.

СЗПДн. Анализ. Поручение обработки ПДн. Часть 2.


Для начала сравним обязанности и ответственность Оператора ПДн и Обработчика ПДн (лицо, осуществляющее обработку персональных данных по поручению оператора) при обработке ПДн.
 
Обязанности и ответственность Оператора
Обязанности и ответственность Обработчика
Общие
1.            
Соблюдение принципов обработки ПДн, определенных в статье 5
Соблюдение принципов обработки ПДн, определенных в статье 5
2.            
Ответственность перед субъектом ПДн за действия Обработчиков, которым поручал
Ответственность перед Оператором, который поручил обработку
3.            
Назначать ответственного за организацию обработки ПДн
-
При взаимодействии с Субъектом
4.            
Соблюдение условий обработки ПДн, определенных в части 1 статьи 6, в том числе получение согласия на обработку ПДн в случаях, не попадающих под исключения.
-
5.            
Предоставлять доказательства получения согласия
-
6.            
Вести перечень Обработчиков, которым поручил и включать этот перечень в согласие
-
7.            
Вести перечень действий с ПДн выполняемых как Оператором так и Обработчиком, которым поручил и включать этот перечень в согласие
-
8.            
Не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн
Не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн
9.            
При получении ПДн от третьих лиц  соблюдать условия в части 8 статьи 9 (требовать подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11)
Получение ПДн от третьих лиц должно быть разрешено в поручении Оператора
10.         
Разъяснять субъекту ПДн порядки, условия,  правила
-
11.         
Рассматривать возражения субъекта ПДн в ряде случаев
-
12.         
Предоставлять субъекту информацию об обработке в ряде случаев
-
13.         
Предоставлять субъекту возможность ознакомления с обрабатываемыми ПДн (в том числе обрабатываемыми Обработчиком по поручению)
Предоставлять субъекту возможность ознакомления с обрабатываемыми ПДн, по требованию Оператора, поручившего обработку
14.         
Давать мотивированные ответы субъекту в ряде случаев
-
15.         
Блокировать обработку ПДн в ряде случаев или обеспечить блокирование Обработчиком
Блокировать обработку ПДн по запросу Оператора, поручившего обработку
16.         
Уточнять ПДн в ряде случаев или обеспечить уточнение Обработчиком
Уточнять ПДн по запросу Оператора, поручившего обработку
17.         
Прекратить обработку ПДн в ряде случаев или обеспечить прекращение Обработчиком
Прекратить обработку ПДн по запросу Оператора, поручившего обработку
18.         
Уничтожить ПДн в ряде случаев или обеспечить уничтожение Обработчиком
Уничтожить ПДн по запросу Оператора, поручившего обработку
19.         
Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей предусмотренных 152-ФЗ и подзаконными актами
Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей предусмотренных 152-ФЗ и поручение оператора
20.         
Опубликовать политику обработки ПДн
-
При взаимодействии с Регуляторами
21.         
Предоставить Роскомнадзору набор внутренних нормативных актов по запросу
-
22.         
Предоставить Роскомнадзору информацию по запросу
-
23.         
Уведомить Роскомнадзору об обработке ПДн (в том числе перечень Обработчиков и перечень действий с ПДн, выполняемых обработчиками)
-
По защите ПДн
24.         
Убедится в адекватности защиты  ПДн иностранным государством при трансграничной передаче
Трансграничная передача должна быть разрешено в поручении Оператора
25.         
Принимать необходимые меры ОБ ПДн или обеспечивать их принятие Обработчиком
Принимать меры защиты ПДн требуемые поручение Оператора
26.         
В поручении Обработчику определять:
·     перечень действий c ПДн
·     цели обработки ПДн
·     ответственность по обеспечению конфиденциальности ПД
·     ответственность по обеспечению безопасности при обработке
·     ответственность за действия с ПДн
·     требовании по защите ПДн
·     порядок взаимодействия Оператора и Обработчика при необходимости изменений перечня действий с ПДн
·     порядок взаимодействия Оператора и Обработчика при ознакомлении Субъекта с ПДн
·     порядок взаимодействия Оператора и Обработчика по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных.
-
27.         
Выполнять требования ПП 781 и 687
Принимать меры защиты ПДн требуемые в поручение Оператора
28.         
Выполнять требования подзаконных актов ФСТЭК и ФСБ
Принимать меры защиты ПДн требуемые в поручение Оператора

1.      Из приведенного выше сравнения видно, что большая часть обязанностей по взаимодействию с Субъектами и Регуляторами ложится на Оператора. Фактически Оператор становится посредником между Субъектами, Регуляторами и Обработчиками.
Если говорить о различие во внутренних документах по обработке, то у Оператора должны быть регламентированы мероприятия:
·        по организации обработки ПДн
·        по обработке ПДн
·        по взаимодействию с Субъектами
·        по взаимодействию с Регуляторами
·        по взаимодействию с Обработчиками
До выхода 152-ФЗ, вопросы организации обработки в Обработчике и вопросы взаимодействия с Обработчиком фактически не прорабатывались, всё организации были сами за себя и внедряли свои оригинальные мероприятия. Теперь же Оператор должен анализировать, проектировать, разрабатывать мероприятия для себя и всех кому поручил.
 Если раньше Оператор вел перечень ПДн, действий с ПДн, целей, оснований, сроков хранения ПДн только за себя, то теперь он должен вести эти перечни по всем Обработчикам, которым поручил.
У Обработчика же должно быть регламентированы мероприятия обработке ПДн и по взаимодействию с Оператором.  И то, большей частью они должны быть получены от Оператора или тесно связаны с ним.
Так что глупо приходить к обработчику и спрашивать, почему он не собирает согласия, не принимает такие-то меры, если эти меры не требует от него Оператор.
Соответственно когда приходит Интегратор и внедряет Обработчику типовой комплект документов для Оператора это вызывает недоумение.
2.      Из приведенного выше сравнения видно, что большая часть обязанностей Обработчика по обеспечению безопасности ПДн зависит от требований предъявляемых в Поручении.
Могут быть варианты, когда требования для Обработчика окажутся даже более жесткими или более широкими чем для Оператора. Ведь ничего не мешает Оператору скопировать все требования из 152-ФЗ, подзаконных актов и добавить ещё что-то от себя.
Но в некотором идеальном варианте должно быть наоборот – Оператор может взять на себя такие мероприятия как проведение обследования ИСПДн, оптимизацию ИСПДн, разработку модели угроз, технических требований к СЗПДн, проекта СЗПДн, шаблонов документов. Обработчику же останется только выбрать из готового перечня понравившиеся СЗИ и принять у себя рекомендованные документы.
Соответственно когда приходит Интегратор и выполняет для Обработчика полный набор мероприятий не имея на руках требований Оператора - это вызывает недоумение.