понедельник, 17 марта 2014 г.

СЗПДн. Анализ. Обязанности обработчика ПДн

К одной из недавних статей состоялось обсуждение в комментариях необходимости учета в модели угроз обработчика (лицо, осуществляющее обработку персональных данных по поручению оператора). Как и обещал, подробности представляю в виде отдельной статьи.
Для начала посмотрим на требования законодательства РФ. Обязанности по моделированию угроз, выбору мер защиты, необходимых для нейтрализации угроз,   лежат на операторе. Обработчик обязан соблюдать требования по защите ПДн, предъявляемые оператором. (Далее привожу обновленную табличку сравнения обязанностей, первую версию которой уже публиковал в одной из предыдущих статей)

Обязанности и ответственность Оператора
Обязанности и ответственность Обработчика
151-ФЗ. Общие
1.            
Соблюдение принципов обработки ПДн, определенных в статье 5
Соблюдение принципов обработки ПДн, определенных в статье 5
2.            
Ответственность перед субъектом ПДн за действия Обработчиков, которым поручал
Ответственность перед Оператором, который поручил обработку
3.            
Назначать ответственного за организацию обработки ПДн
-
152-ФЗ. При взаимодействии с Субъектом
4.            
Соблюдение условий обработки ПДн, определенных в части 1 статьи 6, в том числе получение согласия на обработку ПДн в случаях, не попадающих под исключения.
-
5.            
Предоставлять доказательства получения согласия
-
6.            
Вести перечень Обработчиков, которым поручил и включать этот перечень в согласие
-
7.            
Вести перечень действий с ПДн выполняемых как Оператором так и Обработчиком, которым поручил и включать этот перечень в согласие
-
8.            
Не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн
Не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн
9.            
При получении ПДн от третьих лиц  соблюдать условия в части 8 статьи 9 (требовать подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11)
Получение ПДн от третьих лиц должно быть разрешено в поручении Оператора
10.         
Разъяснять субъекту ПДн порядки, условия,  правила
-
11.         
Рассматривать возражения субъекта ПДн в ряде случаев
-
12.         
Предоставлять субъекту информацию об обработке в ряде случаев
-
13.         
Предоставлять субъекту возможность ознакомления с обрабатываемыми ПДн (в том числе обрабатываемыми Обработчиком по поручению)
Предоставлять субъекту возможность ознакомления с обрабатываемыми ПДн, по требованию Оператора, поручившего обработку
14.         
Давать мотивированные ответы субъекту в ряде случаев
-
15.         
Блокировать обработку ПДн в ряде случаев или обеспечить блокирование Обработчиком
Блокировать обработку ПДн по запросу Оператора, поручившего обработку
16.         
Уточнять ПДн в ряде случаев или обеспечить уточнение Обработчиком
Уточнять ПДн по запросу Оператора, поручившего обработку
17.         
Прекратить обработку ПДн в ряде случаев или обеспечить прекращение Обработчиком
Прекратить обработку ПДн по запросу Оператора, поручившего обработку
18.         
Уничтожить ПДн в ряде случаев или обеспечить уничтожение Обработчиком
Уничтожить ПДн по запросу Оператора, поручившего обработку
19.         
Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей предусмотренных 152-ФЗ и подзаконными актами
Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей предусмотренных 152-ФЗ и поручение оператора
20.         
Опубликовать политику обработки ПДн
-
152-ФЗ. При взаимодействии с Регуляторами
21.         
Предоставить Роскомнадзору набор внутренних нормативных актов по запросу
-
22.         
Предоставить Роскомнадзору информацию по запросу
-
23.         
Уведомить Роскомнадзор об обработке ПДн (в том числе перечень Обработчиков и перечень действий с ПДн, выполняемых обработчиками)
-
152-ФЗ. По защите ПДн
24.         
Убедится в адекватности защиты  ПДн иностранным государством при трансграничной передаче
Трансграничная передача должна быть разрешено в поручении Оператора
25.         
Принимать необходимые меры ОБ ПДн или обеспечивать их принятие Обработчиком
Принимать меры защиты ПДн требуемые поручение Оператора
26.         
В поручении Обработчику определять:
·     перечень действий c ПДн
·     цели обработки ПДн
·     ответственность по обеспечению конфиденциальности ПД
·     ответственность по обеспечению безопасности при обработке
·     ответственность за действия с ПДн
·     требования по защите ПДн
·     порядок взаимодействия Оператора и Обработчика при необходимости изменений перечня действий с ПДн
·     порядок взаимодействия Оператора и Обработчика при ознакомлении Субъекта с ПДн
·     порядок взаимодействия Оператора и Обработчика по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных.
-
ПП 1119
27.         
Обеспечивать безопасность персональных данных при их обработке в ИС
Обеспечивать безопасность персональных данных при их обработке в ИС
28.         
Осуществлять выбор средств защиты в соответствии с документами ФСБ Р и ФСТЭК Р
-
29.         
Определять тип угроз безопасности персональных данных, актуальных для информационной системы, с учетом оценки возможного вреда
-
30.         
Организовать режим обеспечения безопасности помещений ИСПДн
Организовать режим обеспечения безопасности помещений ИСПДн
31.         
Обеспечивать сохранность носителей персональных данных
Обеспечивать сохранность носителей персональных данных
32.         
Утверждение перечня лиц, допущенных к обработке ПДн в ИС
-
33.         
Назначение ответственного за ОБПДн в ИС
Назначение ответственного за ОБПДн в ИС
34.         
Организовать и проводить  контроль за выполнением требований ПП 1119
Организовать и проводить  контроль за выполнением требований ПП 1119
Приказ №21 ФСТЭК Р
35.         
Обеспечивать безопасность персональных данных при их обработке в ИС
Обеспечивать безопасность персональных данных при их обработке в ИС
36.         
Выбирать меры ОБПДн
-
37.         
При использовании сертифицированных СЗИ применять требуемые классы СЗИ
При использовании сертифицированных СЗИ применять требуемые классы СЗИ
38.         
Проводить оценку эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных
-
Проект Приказа ФСБ Р
39.         
Обеспечивать применение организационных и технических мер, определенных в приказе
-
ПП 221 (перечень мер ОБПДн для государственных и муниципальных органов)
40.         
Назначать ответственного за организацию обработки персональных данных
-
41.         
Утверждать ОРД по обработке ПДн (правила, перечни, инструкции, обязательства, формы, порядки)
-
42.         
Принимать правовые, организационные и технические меры по ОБПДн из ПП 1119
-
43.         
При обработке ПДн, осуществляемой без использования средств автоматизации, выполнять требования ПП 687
-
44.         
Организовывать проведение периодических проверок условий обработки персональных данных
-
45.         
Осуществлять ознакомление служащих, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о ПДн и с ОРД по ПДн
-
46.         
Уведомлять РКН об обработке ПДн
-
47.         
Осуществлять обезличивание ПДн в ИСПДн
-

Конечно, оператор может поручить обработчику разработать ещё и модель угроз и самостоятельно выбрать контрмеры. Но стоит ли это делать?

Кроме требований законодательства, подключим холодный расчет.  Но об этом в следующей статье.



Комментариев нет: