понедельник, 18 апреля 2016 г.

СЗПДн. Проверки. Систематический контроль операторов ПДн часть 2

Продолжаю предыдущую статью про переход РКН к систематическому контролю операторов ПДн рассмотрением возможных видов такого контроля.

Напомню основную идею систематического контроля на данный момент: проводить проверки без выезда (с минимальными трудовыми затратами) сразу для большого количества компаний, собирая информацию через сайт или путем переписки с оператором.

Что сейчас проверяет РКН таким способом:
·         запрос уведомления об обработке ПДн. Пример.

·         наличие на сайте (оператора который взаимодействует с субъектами ПДн через сеть Интернет) публичной политики обработки ПДн. Пример 1. Пример 2.

·         наличие на сайтах ПДн в открытом виде. Пример.

·         наличие на сайте (галочки) согласия на обработку ПДн. Пример.


Давайте подумаем какие ещё проверки в принципе может проводить РКН удаленно:
·         РКН может запросить любые данные приведенные в части 3 статьи 22 152-ФЗ, а также любую другую информацию, необходимую для реализации полномочий РКН.  Особенно сейчас стоит ожидать запросов по месту расположения БД с ПДн. Предоставить информацию необходимо в течении 30 дней. Подробнее тут.

·         РКН может искать сайты на которых осуществляется сбор ПДн (сайты личными кабинетами пользователей) и проверять месторасположение web серверов.
Сайтов с расположением за границами РФ ещё хватает: пример 1 пример 2 пример 3

В первую очередь могут проверять организации указавшие в уведомлении трансграничную передачу.
Для первичного определения адреса сайта и даже пути можно множество доступных гео сервисов


·         РКН может сравнивать информацию, указанную в (реестре Операторов ПДн, публичной политике, согласия на обработку ПДн с сайта, места расположения web сайтов) и выявлять несоответствия. Из данного несоответствие можно в любом случае выйти на одно из нарушений: некорректная информация в уведомлении РКН = отсутствие уведомления, некорректная информация в политике = отсутствие политики, некорректная информация в согласии = отсутствие согласия.

·         РКН может пройтись по топовым зарубежным ЦОД-ам и хостингам (amazon, azure, …) и посмотреть какие российские сервисы на них размещаются. Например, так можно посмотреть истории успеха amazon и найти там лабораторию Касперского, на сайте которой также имеются личные кабинеты пользователей

·         РКН может собирать информацию об информационных системах, которыми пользуется оператор (с сайта оператора или с сайтов партнеров) и сравнивать с реестром (а в последней онлайн версии уведомления РКН необходимо указывать перечень ИС)

·         РКН может собирать информацию об изменении адресов центрального офиса и филиалов Оператора (новости об изменении адресов офисов легко ищутся на сайте оператора или получаются по СМЭВ) и сравнивать с реестром


Что можно посоветовать в таком случае: обеспечить чтобы информация на сайте, в политике, реестре операторов, согласии – была актуальна и соответствовала друг другу. Возможно с применением промежуточной системы, куда все изменения вносятся только один раз.

Комментариев нет: