пятница, 18 октября 2019 г.

Теперь можно отправить документы по ПДн на предварительную проверку Роскомнадзору


Как вы могли заменить из предыдущей статьи Центр Компетенций Роскомнадзора создал рабочие группы для методической помощи операторам ПДн.
В этой заметке я хочу рассказать вам про вторую важную задачу этих групп.
Перед внедрением сложных СЗИ широко практикуются так называемые Пилотные проекты / тестовые зоны / опытная эксплуатация, в рамках которых проверяется работоспособность технического решения и его соответствие требованиям и только потом решение распространяется на всю организацию и вводится в действие.

Для организационных мер ничего подобного не применяется: разрабатываем регламенты, по которым будут функционировать процессы обработки и защиты ПДн и сразу утверждаем, и внедряем их в организации. Потом оказывается, что процессы не соответствуют требованиям законодательства РФ и все нужно переделывать, менять устоявшиеся правила и переобучать персонал. 

Теперь в тестовом режиме Роскомнадзор вводит услугу по предварительной проверке пакета документов по ПДн, на соответствие обязательным требованиям. Решение по направлению проектов документов на рассмотрение исключительно добровольное. РКН называет эту процедуру “рассмотрением … подтверждающим выполнение требований” и никаких юридических последствий данная процедура иметь не будет.
  
Оператор в результате получит
·        подтверждение соответствия документов требованиям
·        либо рекомендации по потому чего не хватает

Следовать рекомендациям или нет – дело добровольное. Но как минимум вы будете в курсе того, что вам ждать на настоящей проверке РКН.

Хочу отметить, что подобные “рассмотрения” не заменяют полноценного аудита соответствия 152-ФЗ, так как не включает обследование обработки ПДн на месте и проверку соответствия фактически выполняемых процедур требованиям законодательства. Над этим вам придется поработать уже без помощи Роскомнадзора.

 Кстати, подобные предварительные проверки со стороны регулятора широко применяются в Евросоюзе и даже обязательны для определенных категорий операторов.


Напомню, что эксперимент проводится пока только в трех федеральных округах. Документы на рассмотрение можно отправить обычной почтой, по адресу управления Роскомнадзора по вашему региону, либо на электронную почту:

Я бы рекомендовал, как минимум, операторам самостоятельно (без помощи консультантов) разработавшим процессы и документы по ПДн – воспользоваться предложением РКН. Только отправляйте сразу весь пакет проектов документов который касается обработки и защиты ПДн. Не отправляйте утвержденные документы!

вторник, 15 октября 2019 г.

Рабочие группы Роскомнадзора по Персональным данным


Для оказания методической помощи операторам персональных данных в Роскомнадзоре были сформированы центры компетенции и рабочие группы по направлению «Персональные данные» в трех федеральных округах.

Я вошел в состав рабочей группы в Южном федеральном округе, ответственной за разработку наиболее полезного, с моей точки зрения, “методического портфеля” оператора ПДн. Рабочие группы в других ФО отвечают за разработку механизмом выявления, предотвращения и пресечению неправомерной обработки ПДн, за повышение уровня воспитания и поведения несовершеннолетних в сети Интернет. 

11 октября 2019 г. прошло установочное заседание нашей рабочей группы, на которой утвердили положение о РГ, программу мероприятий. Всего в РГ входит 50 экспертов из 5 городов. В виду сжатых сроков (до 25 ноября), выделили 4 подгруппы, каждая из которых берет на себя разработку одного из документов “Методического портфеля”. Разработанные документы согласует РГ, утвердит Центр компетенции Роскомнадзора, после чего они будут публиковаться на портале РКН и продвигаться для всех операторов ПДн в РФ (но это уже в следующем году). 


Почему я согласился поучаствовать в этой инициативе РКН? При анализе лучших практик других стран, в блоге я достаточно часто критиковал РКН за отсутствие публичной помощи операторам ПДн. 
Теперь представилась возможность самому поучаствовать и убедиться, что лучшие практики будет учтены. Надеюсь, что у нас, при помощи Аналитического центра УЦСБ, получится полезный для оператора “методический портфель” .

Буду держать Вас в курсе.



понедельник, 7 октября 2019 г.

ИБ. Связь между угрозами из БДУ ФСТЭК и мерами защиты из 17/21 приказа


Одни из наиболее проблемных вопросов с которым сталкиваются все операторы ПДн и ГИС связаны с отсутствием связи мер защиты из приказов ФСТЭК №17 и №21 с угрозами безопасности из БДУ ФСТЭК:
·        нужно ли их вообще связывать?
·        как они должны быть связаны?
·        какими методиками и лучшими практиками можно руководствоваться?
·        как это сделать для 50 ИС, более 200 угроз и более 100 мер защиты?  

В недавнем голосовании большой процент читателей сообщили что им интересная эта тема
 

Поэтому в прошлый вторник прошел второй наш совместный вебинар с Ксенией Шудровой (при поддержке RISC) посвященный связи мер и угроз. По задумке это должно было быть противостояние (versus): Ксения рассказывает про теоретический подход – что делать в общем с любыми угрозами в том числе новыми, ведь БДУ будет ещё пополняться; я рассказываю какие подходы в выборе контрмер применяются на практике и разбираю ряд свежих угроз из БДУ ФСТЭКа.

Примерно половину вебинара заняла секция вопросов и ответов. От слушателей было очень много вопросов (вот тут-то и было местами противостояние), за что спасибо.  Пришлось закругляться чтобы не ответить на все в мире вопросы по ИБ. Ниже запись вебинара:

Презентации можно будет скачать в группе VK или Facebook

Если вам интересен такой формат, то тут можно проголосовать за тему следующего вебинара или предложить собственную.

PS: Собственно по ссылке выкладываю таблицу соответствия угроз из БДУ ФСТЭК и мер защиты из приказов 17 / 21.  Пользуйтесь, а также оставляйте комментарии: что поправить и как улучшить – вместе сделаем доброе дело.