понедельник, 2 октября 2017 г.

ПДн. Нарушители в Реестре операторов ПДн?

В предыдущей части мы начали рассматривать реестр операторов ПДн. Сегодня продолжим с нарушителями законодательства о ПДн, которых можно выявить, едва взглянув на Реестр.

1. В связи с изменениями в № 152-ФЗ, внесенными от 25.07.2011 № 261-ФЗ, каждому оператору необходимо было определить лицо, ответственное за организацию обработки ПДн, принять дополнительные меры, определенные статьей 18.1 152-ФЗ и уведомить РКН о назначенном лице и принятых мерах.

Как видно по результатам анализа, в Реестре имеется 113 931 (на момент анализа) операторов, нарушающих это требование. И далее несколько примеров таких операторов:




 2. В связи с изменениями в № 152-ФЗ, внесенными от 21.07.2014 № 242-ФЗ и в ступившему в силу 1 сентября 2015 г. требовалось перенести все БД в РФ и уведомить Роскомнадзор о местах нахождения БД с ПДн.  

Как видно по результатам анализа, 267 306 (на момент анализа) операторов нарушает это требование и всё ещё не сообщила о месте нахождения БД с ПДн. Не помог даже комментарий РКН о необходимости предоставления этих сведений

глядя на предыдущие примеры, наверное, вы могли подумать, что нарушают требования исключительно небольшие операторы с потенциально низкой квалификацией в ЗПДн? Посмотрим на крупных операторов, располагающихся рядом с РКН

(На момент моего анализа только 7 из 21 федеральных министерств РФ вообще подали Уведомление. МЧС, Минюст, Минкультуры, Минпромторг и другие – где вы? Субъектам ПДн интересно какие ПДн вы обрабатываете …)



Только 2 министерства (Минобороны и Минэнерго) из 7, а также только 49 из 263 федеральных учреждений подали информацию о местонахождении БД с ПДн. Примеры тех кто забыл:



Такая вот получилась занимательная статистика. Далее следует продолжение анализа по характеристикам обработки ПДн … возможно будет полезным 

4 комментария:

Saches комментирует...

Сергей, обычно с интересом читаю Ваши публикации по ИБ вообще и о специфике защиты ПДн в частности. Но смысл данной статьи, мне несколько не понятен.
Вы бы лучше задались вопросом почему, например, на сайте ЦБ или НСПК, отсутствует политика обработки ПДн. Или они их (ПДн) не обрабатывают в т.ч., в качестве операторов ПС?

Сергей Борисов комментирует...

Блоги в общем то всегда использовались чтобы покритиковать / публично рассказать о какой-то проблеме, обсудить её. Мне показалось важным предупредить организации от нарушений; а РКН дать подсказку, в каком направлении прикладывать свои усилия.
Если вы считаете данную статью неуместной, объясните подробнее почему?

Сергей Борисов комментирует...

Про политику ПДн я кстати писал и неоднократно. Но всётаки проверки сайтов, это прерогатива РКН. Зачем мне специально этим заниматься? К тому же, наверняка процент нарушителей будет примерно одинаковый. у 30% и политики в порядке и уведомление актуальное. А остальные не делают ни того, ни другого ни третьего...

Saches комментирует...

Уважаемый Сергей!
Лично мне кажется, исполнение формальных требований законодательства, это, в какой-то мере, личное дело каждого. Точно так же, как "стучать" или "не стучать" в том числе и на не исполнение этих самых формальных требований.
Понятно, что блоги сами по себе, это удобная платформа для обсуждения существующих проблем, но почему бы не писать о реально сложившихся тупиковых ситуациях в нашей нормативке, которых КМК, более чем достаточно. Например:
1. Сравнительно недавно появившееся информационное сообщение ФСБ - "О неукоснительном соблюдении операторами персональных данных требований формуляров на СКЗИ" /[url]http://www.fsb.ru/fsb/science.htm[/url]/. Так сказать, напоминалка о ПКЗ2005.
Возможно Вы в курсе, что в настоящий момент, по требованию ЦБ, все банки переходят с АРМ КБР на т.н. АРМ КБР-Н и, в связи с этим, должны реализовать процедуру формирования ЭП (так называемых ЗК/КА) в своём ПО (в АБС или в каком-либо другом).
Т.е. все банки страны ( и похоже, что и ЦБ) разом попали на нарушение требований ФСБ. Вопрос, как эти требования могут выполнить все банки сразу? (Это пол-года/год и достаточно круглая сумма, + нужен доступ к исходникам).
И почему "под раздачу" попадают банки а не разработчики ПО, которые остались "не при делах". С учетом того, что, наверное, все банки являются лицензиатами ФСБ, представляется, что риски для них не исчерпываются указанной статьей КоАП в сообщении ФСБ.
Отдельную "пикантность" данной ситуации придает позиция разработчика СКЗИ.
Собственно, ситуация с ДБО для ЮЛ примерно такая, просто никто не замарачивается, во всяком случае пока.

2. Если зайти в ветку автоматизации форума на сайте bankir.ru можно увидеть, что самые "живые" темы это обсуждение различных способов сдачи отчетности и предоставления всяческой информации разным ведомствам в формате XML подписанных ЭП. Причем, можно увидеть, что все ведомства придумывают или используют какой-то свой собственный способ трансформации XML перед формированием ЭП. ЦБ тут опять впереди, т.к. отчетность в XML нужно преобразовывать для формирования ЭП одним способом, а платежи другим. Т.е. у любого банка используется некое кол-во ПО (примерно по числу получателей информации в виде XML файлов), где так или иначе встроено СКЗИ и, далее смотрим п.1.
Причем, самая гнусность ситуации, что всё это многочисленное ПО практически не совместимо друг-с другом, т.к. из-за отсутствия в стране стандарта на формирование ЭП под XML, каждое ведомство использует какую-то свою специфическую процедуру.
Вроде бы делов-то, ну стандартизировали бы XML-DSig или XAdES, разработчики ПО выпустили бы и (возможно) сертифицировали бы АРМ-ы или просто утилиты для подписания XML и вопрос закрыт. Так это не нужно никому, т.е. как Вы думаете, какая организация готова (или должна) взяться за разработку ГОСТа аналогичного европейскому XAdES или хотя бы XML-DSig? Отдельная песня, это то, что подавляющее большинство ведомств, включая ЦБ, предпочитают запихивать в XML подпись в формате CMS. Т.е. полностью запихивают весь контейнер PKCS#7. Спрашивается зачем всё это?

3. Отдельная интересная тема, это наши модули доверенной загрузки (МДЗ) в виде вставляемых в ПК плат. Никогда не задавались вопросом, почему у наших вендоров МДЗ нет зарубежных конкурентов? Я периодически задаю эти вопросы представителям наших разработчиков, обычно они начинают ржать.
Вне нашей страны, вся тема доверенной загрузки крутится вокруг UEFI, TPM и соответствующей поддержки в ОС и ПО. TPM, функционально, это фактически встроенный криптотокен, где хранятся ключи и, в лучшем случае, имеется встроенный криптопроцессор и датчик случайных чисел.
Может пора поправить что-то в консерватории?

С уважением!