СЗПДн. Анализ. Проблемы онлайн уведомления РКН об обработке ПДн

С момента выхода предыдущей заметки про уведомление РКН набралось информация об ошибках и проблемах с электронной формой уведомления РКН.  Вопросы возникали и по предыдущей версии уведомления в электронной форме, но сейчас их количество превысили критическую массу.

Для анализа также использовались примеры заполнения офлайн уведомления от РКН (примеров заполнения онлайн нет)

Заметка в видео варианте

Давайте посмотрим:

·         Общие сведения –> Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»

В пояснении по данному пункту требуется внести данные об используемых СКЗИ (наименования, рег. номера, уровень криптозащиты и т.п.) при этом приводится ссылка на неактуальные Методические рекомендации ФСБ №149/5-144 от 2008 г.

Пояснение явно устарело! Забыли обновить? Так как ниже необходимо заполнять информацию по СКЗИ для каждой отдельной ИС.

Также в пояснении к данному пункту требуется указать информацию о лице, ответственном за организацию обработки ПДн.  Эта же информация вносится отдельно в подразделе “Ответственный за организацию обработки персональных данных”

·         Сведения об информационной системе

В целом сбор информации по отдельным информационным системам противоречит приказу РКН, №39912 от 01.12.2015 (приложению 1 к приказу)

·         Сведения об информационной системе -> Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных -> (автоматизированная | неавтоматизированная | смешанная)

Ранее требовалось указывать имеется ли неавтоматизированная обработка ПДн в организации в целом – в этом случае мы выбирали смешанная.   Сейчас же требуется указать информацию о наличие неавтоматизированной обработки ПДн в конкретной информационной системе. Это как вообще возможно?

·         Сведения об информационной системе -> Использование шифровальных (криптографических) средств

Смотрите актуальный приказ ФСБ №378. Ну нет там информации о уровне специальной защиты от утечки по каналам побочных излучений и наводок и уровне защиты от несанкционированного доступа. Зачем вы собираете эту информацию?

·         Сведения об информационной системе –> Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ

В целом собираемая информации БД противоречит приказу РКН, №39912 от 01.12.2015 (приложению 1 к приказу)

·         Сведения об информационной системе –> Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ -> Адрес ЦОД-а

Нет возможности указать несколько адресов. А у нас может быть основной и резервный ЦОД.

·         Сведения об информационной системе –> Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ -> Собственный ЦОД

Множество ошибок, связанных с заполнением этого и последующих данных по ЦОД. Выбираем не собственный ЦОД. В сведениях об организации ответственной за хранение указываем юр. лицо и заполняем все поля.  Далее меняем ЦОД на собственный – остается лишнее поле.  Далее меняем ЦОД на не собственный. Нужные поля не появляются.

·         Сведения об информационной системе –> Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ

 Самое интересное. В любой организации может использоваться большое количество ИС, владельцем которой она не является, но выполняет обработку ПДн с использованием данных ИС. Где-то есть эти серверы ИС к которым подключаются наши пользователи.

В телефонном режиме представители РКН подтвердили, что все эти системы нужно учитывать, чтобы убедится, что мы не вводим данные на зарубежные серверы.

Для всех таких ИС нужно определить адреса ЦОД-ов, организации ответственные за хранение данных и т.п. А это может быть весьма затруднительно и занимать длительное время, так как потребуется обмениваться официальными письмами.

Вот небольшая подборка внешних ИС, для которыми систематически пользуется типовое современное ЛПУ. Для всех этих систем оператор должен получить информацию о местоположении БД и организациях ответственных за хранение ПДн:

·         РМИС (Региональная медицинская информационная система, http://xy.r-mis.ru/)

·         ФРМР (Федеральный регистр медицинских работников)

·         система сбора информации о фактическом уровне автоматизации медицинских организаций (http://fuamo.rosminzdrav.ru/)

·         ПМУ, программный комплекс по ведению паспортов медицинских учреждений (http://pmu.rosminzdrav.ru/)

·         портал «Работа в России» (http://trudvsem.ru/)

·  модуль «Информация об энергосбережении и повышении энергетической эффективности» (http://dper.gisee.ru/)

·         портал государственных закупок (https://zakupki.gov.ru/)

·         единый портал информации о государственных (муниципальных) учреждениях (http://bus.gov.ru/)

·   подсистема мониторинга диспансеризации детей-сирот (https://orph.rosminzdrav.ru)

·         ДЛО (М-Аптека плюс ЛПУ, http://xy.r-mis.ru/mal/)

·         портал Минздрава по ВМП

Все приведенные проблемы затрудняют подготовку уведомлений в электронной форме. Приводят к противоречию уведомлений, заполненных в бумажной и электронной форме.

Я считаю, что инициатива по сбору избыточной информации в электронном уведомлении РКН является некорректной и противоречащей нействующим НПА. Необходимо приказ об административном регламенте РКН по услуге ведения реестра операторов ПДн поддерживать в соответствии федеральному законодательству, а электронная форма уведомления должна в точности соответствовать приложению к данному приказу.