понедельник, 18 января 2016 г.

СЗПДн. Анализ. Проблемы онлайн уведомления РКН об обработке ПДн

С момента выхода предыдущей заметки про уведомление РКН набралось информация об ошибках и проблемах с электронной формой уведомления РКН.  Вопросы возникали и по предыдущей версии уведомления в электронной форме, но сейчас их количество превысили критическую массу.

Для анализа также использовались примеры заполнения офлайн уведомления от РКН (примеров заполнения онлайн нет)

Заметка в видео варианте


Давайте посмотрим:
·         Общие сведения –> Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»
В пояснении по данному пункту требуется внести данные об используемых СКЗИ (наименования, рег. номера, уровень криптозащиты и т.п.) при этом приводится ссылка на неактуальные Методические рекомендации ФСБ №149/5-144 от 2008 г.
Пояснение явно устарело! Забыли обновить? Так как ниже необходимо заполнять информацию по СКЗИ для каждой отдельной ИС.
Также в пояснении к данному пункту требуется указать информацию о лице, ответственном за организацию обработки ПДн.  Эта же информация вносится отдельно в подразделе “Ответственный за организацию обработки персональных данных

·         Сведения об информационной системе
В целом сбор информации по отдельным информационным системам противоречит приказу РКН, №39912 от 01.12.2015 (приложению 1 к приказу)
·         Сведения об информационной системе -> Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных -> (автоматизированная | неавтоматизированная | смешанная)
Ранее требовалось указывать имеется ли неавтоматизированная обработка ПДн в организации в целом – в этом случае мы выбирали смешанная.   Сейчас же требуется указать информацию о наличие неавтоматизированной обработки ПДн в конкретной информационной системе. Это как вообще возможно?

·         Сведения об информационной системе -> Использование шифровальных (криптографических) средств
Смотрите актуальный приказ ФСБ №378. Ну нет там информации о уровне специальной защиты от утечки по каналам побочных излучений и наводок и уровне защиты от несанкционированного доступа. Зачем вы собираете эту информацию?

·         Сведения об информационной системе –> Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ
В целом собираемая информации БД противоречит приказу РКН, №39912 от 01.12.2015 (приложению 1 к приказу)

·         Сведения об информационной системе –> Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ -> Адрес ЦОД-а
Нет возможности указать несколько адресов. А у нас может быть основной и резервный ЦОД.

·         Сведения об информационной системе –> Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ -> Собственный ЦОД
Множество ошибок, связанных с заполнением этого и последующих данных по ЦОД. Выбираем не собственный ЦОД. В сведениях об организации ответственной за хранение указываем юр. лицо и заполняем все поля.  Далее меняем ЦОД на собственный – остается лишнее поле.  Далее меняем ЦОД на не собственный. Нужные поля не появляются.

·         Сведения об информационной системе –> Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ
 Самое интересное. В любой организации может использоваться большое количество ИС, владельцем которой она не является, но выполняет обработку ПДн с использованием данных ИС. Где-то есть эти серверы ИС к которым подключаются наши пользователи.

В телефонном режиме представители РКН подтвердили, что все эти системы нужно учитывать, чтобы убедится, что мы не вводим данные на зарубежные серверы.

Для всех таких ИС нужно определить адреса ЦОД-ов, организации ответственные за хранение данных и т.п. А это может быть весьма затруднительно и занимать длительное время, так как потребуется обмениваться официальными письмами.

Вот небольшая подборка внешних ИС, для которыми систематически пользуется типовое современное ЛПУ. Для всех этих систем оператор должен получить информацию о местоположении БД и организациях ответственных за хранение ПДн:
·         РМИС (Региональная медицинская информационная система, http://xy.r-mis.ru/)
·         ФРМР (Федеральный регистр медицинских работников)
·         система сбора информации о фактическом уровне автоматизации медицинских организаций (http://fuamo.rosminzdrav.ru/)
·         ПМУ, программный комплекс по ведению паспортов медицинских учреждений (http://pmu.rosminzdrav.ru/)
·         портал «Работа в России» (http://trudvsem.ru/)
·  модуль «Информация об энергосбережении и повышении энергетической эффективности» (http://dper.gisee.ru/)
·         портал государственных закупок (https://zakupki.gov.ru/)
·         единый портал информации о государственных (муниципальных) учреждениях (http://bus.gov.ru/)
·   подсистема мониторинга диспансеризации детей-сирот (https://orph.rosminzdrav.ru)
·         ДЛО (М-Аптека плюс ЛПУ, http://xy.r-mis.ru/mal/)
·         портал Минздрава по ВМП

Все приведенные проблемы затрудняют подготовку уведомлений в электронной форме. Приводят к противоречию уведомлений, заполненных в бумажной и электронной форме.

Я считаю, что инициатива по сбору избыточной информации в электронном уведомлении РКН является некорректной и противоречащей нействующим НПА. Необходимо приказ об административном регламенте РКН по услуге ведения реестра операторов ПДн поддерживать в соответствии федеральному законодательству, а электронная форма уведомления должна в точности соответствовать приложению к данному приказу.


вторник, 12 января 2016 г.

Видеоматериалы по ИБ за 2015 год

 Как я уже не раз писал, что смотреть онлайн трансляции мероприятий, вебинаров, вебкастов удается чаще чем очно участвовать в мероприятиях по ИБ.



Подготовил обзор ресурсов с онлайн материалами по ИБ, которыми я наиболее активно пользовался в 2015 году.
·         Видеозапись выступлений PHDays 5  тут и тут 
·         Видеозапись выступлений Security meetup в mail.ru  тут и тут 
·         Вебинары от BISA
·         Вебинары Лета ИТ
·         Вебинары УЦСБ
·         Вебинары Infowatch

Пересматривал их во время новогодних праздников и отбирал наиболее интересные для истории. Возможно и вы найдете для себя что-то полезное.