Общее. Опять черные списки. Теперь для операторов ПДн

Вчера в Госдуму был внесен законопроект по внесению изменений в законодательные акты, связанные с ПДн и сетью Интернет. 

Помимо требования о необходимости обработки ПДн граждан РФ в БД, расположенных на территории РФ, о котором написал Алексей Лукацкий, РКН наделяется полномочиями ограничивать доступ к информации, обрабатываемой с нарушением законодательства о ПДн и вести реестр нарушителей прав субъектов ПДн.

В своей заметке Алексей не совсем корректно говорит о том, что полномочия по ограничению доступа и реестр нарушителей связаны только с БД, расположенными вне РФ.  На самом, деле вид нарушения никак не ограничивается. Под новую норму попадают такие часто встречаемые ситуации:
·        Не подача уведомления в РКН, когда оно необходимо
·        Некорректно заполненное уведомления в РКН
·        Отсутствие публичной политики ПДн, когда ПДн собираются через сеть Интернет
·        Жалоба субъекта и т.п.

То есть там, где оператору грозил мелкий штраф, теперь возможна блокировка сайта Оператора.

За нарушение в обработке ПДн в одной ИСПДн, теперь могут пострадать все ИСПДн оператора.

Блокировать планируется теми же механизмами черных списков, которые раньше внедрялись в соответствии с ФЗ о защите детей, потом для блокирования террористов, ложной информации о банках, нерадивых блогеров, а теперь и операторов ПДн.


Многие эксперты высказываются что существующие механизмы ограничения доступа не эффективны. Злоумышленники слишком быстро меняют доменные имена и ip-адреса и черные списки за ними не успевают.
В случае с легальными операторами ПДн - для них замена доменного имени приведет к потере клиентов, а следовательно черные списки будут более эффективны.

Ещё одна проблема черных списков заключается в том, что на одном IP-адресе могут располагаться web сайты различных компаний. Блокировка одного нарушителя обработки ПДн может привести к блокированию web сайтов компаний, не связанных с нарушением и вообще не обрабатывающих ПДн.


Комментарии

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3