СЗПДн. Проверки. Систематический контроль операторов ПДн часть 2

Продолжаю предыдущую статью про переход РКН к систематическому контролю операторов ПДн рассмотрением возможных видов такого контроля.

Напомню основную идею систематического контроля на данный момент: проводить проверки без выезда (с минимальными трудовыми затратами) сразу для большого количества компаний, собирая информацию через сайт или путем переписки с оператором.

Что сейчас проверяет РКН таким способом:
·         запрос уведомления об обработке ПДн. Пример.

·         наличие на сайте (оператора который взаимодействует с субъектами ПДн через сеть Интернет) публичной политики обработки ПДн. Пример 1. Пример 2.

·         наличие на сайтах ПДн в открытом виде. Пример.

·         наличие на сайте (галочки) согласия на обработку ПДн. Пример.


Давайте подумаем какие ещё проверки в принципе может проводить РКН удаленно:
·         РКН может запросить любые данные приведенные в части 3 статьи 22 152-ФЗ, а также любую другую информацию, необходимую для реализации полномочий РКН.  Особенно сейчас стоит ожидать запросов по месту расположения БД с ПДн. Предоставить информацию необходимо в течении 30 дней. Подробнее тут.

·         РКН может искать сайты на которых осуществляется сбор ПДн (сайты личными кабинетами пользователей) и проверять месторасположение web серверов.
Сайтов с расположением за границами РФ ещё хватает: пример 1 пример 2 пример 3

В первую очередь могут проверять организации указавшие в уведомлении трансграничную передачу.
Для первичного определения адреса сайта и даже пути можно множество доступных гео сервисов


·         РКН может сравнивать информацию, указанную в (реестре Операторов ПДн, публичной политике, согласия на обработку ПДн с сайта, места расположения web сайтов) и выявлять несоответствия. Из данного несоответствие можно в любом случае выйти на одно из нарушений: некорректная информация в уведомлении РКН = отсутствие уведомления, некорректная информация в политике = отсутствие политики, некорректная информация в согласии = отсутствие согласия.

·         РКН может пройтись по топовым зарубежным ЦОД-ам и хостингам (amazon, azure, …) и посмотреть какие российские сервисы на них размещаются. Например, так можно посмотреть истории успеха amazon и найти там лабораторию Касперского, на сайте которой также имеются личные кабинеты пользователей

·         РКН может собирать информацию об информационных системах, которыми пользуется оператор (с сайта оператора или с сайтов партнеров) и сравнивать с реестром (а в последней онлайн версии уведомления РКН необходимо указывать перечень ИС)

·         РКН может собирать информацию об изменении адресов центрального офиса и филиалов Оператора (новости об изменении адресов офисов легко ищутся на сайте оператора или получаются по СМЭВ) и сравнивать с реестром


Что можно посоветовать в таком случае: обеспечить чтобы информация на сайте, в политике, реестре операторов, согласии – была актуальна и соответствовала друг другу. Возможно с применением промежуточной системы, куда все изменения вносятся только один раз.

Комментарии

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3