СЗПДн. Проверки. Систематический контроль операторов ПДн часть 2

Продолжаю предыдущую статью про переход РКН к систематическому контролю операторов ПДн рассмотрением возможных видов такого контроля.

Напомню основную идею систематического контроля на данный момент: проводить проверки без выезда (с минимальными трудовыми затратами) сразу для большого количества компаний, собирая информацию через сайт или путем переписки с оператором.

Что сейчас проверяет РКН таким способом:
·         запрос уведомления об обработке ПДн. Пример.

·         наличие на сайте (оператора который взаимодействует с субъектами ПДн через сеть Интернет) публичной политики обработки ПДн. Пример 1. Пример 2.

·         наличие на сайтах ПДн в открытом виде. Пример.

·         наличие на сайте (галочки) согласия на обработку ПДн. Пример.


Давайте подумаем какие ещё проверки в принципе может проводить РКН удаленно:
·         РКН может запросить любые данные приведенные в части 3 статьи 22 152-ФЗ, а также любую другую информацию, необходимую для реализации полномочий РКН.  Особенно сейчас стоит ожидать запросов по месту расположения БД с ПДн. Предоставить информацию необходимо в течении 30 дней. Подробнее тут.

·         РКН может искать сайты на которых осуществляется сбор ПДн (сайты личными кабинетами пользователей) и проверять месторасположение web серверов.
Сайтов с расположением за границами РФ ещё хватает: пример 1 пример 2 пример 3

В первую очередь могут проверять организации указавшие в уведомлении трансграничную передачу.
Для первичного определения адреса сайта и даже пути можно множество доступных гео сервисов


·         РКН может сравнивать информацию, указанную в (реестре Операторов ПДн, публичной политике, согласия на обработку ПДн с сайта, места расположения web сайтов) и выявлять несоответствия. Из данного несоответствие можно в любом случае выйти на одно из нарушений: некорректная информация в уведомлении РКН = отсутствие уведомления, некорректная информация в политике = отсутствие политики, некорректная информация в согласии = отсутствие согласия.

·         РКН может пройтись по топовым зарубежным ЦОД-ам и хостингам (amazon, azure, …) и посмотреть какие российские сервисы на них размещаются. Например, так можно посмотреть истории успеха amazon и найти там лабораторию Касперского, на сайте которой также имеются личные кабинеты пользователей

·         РКН может собирать информацию об информационных системах, которыми пользуется оператор (с сайта оператора или с сайтов партнеров) и сравнивать с реестром (а в последней онлайн версии уведомления РКН необходимо указывать перечень ИС)

·         РКН может собирать информацию об изменении адресов центрального офиса и филиалов Оператора (новости об изменении адресов офисов легко ищутся на сайте оператора или получаются по СМЭВ) и сравнивать с реестром


Что можно посоветовать в таком случае: обеспечить чтобы информация на сайте, в политике, реестре операторов, согласии – была актуальна и соответствовала друг другу. Возможно с применением промежуточной системы, куда все изменения вносятся только один раз.

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп...
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его ...
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). ...
Далее...