С момента выхода предыдущей заметки про уведомление РКН набралось информация об ошибках и проблемах с электронной формой уведомления РКН. Вопросы возникали и по предыдущей версии уведомления в электронной форме, но сейчас их количество превысили критическую массу.
Для анализа также использовались примеры заполнения офлайн уведомления от РКН (примеров заполнения онлайн нет)
Заметка в видео варианте
Давайте посмотрим:
·
Общие сведения –> Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»
В пояснении по данному пункту требуется внести данные об используемых СКЗИ (наименования, рег. номера, уровень криптозащиты и т.п.) при этом приводится ссылка на неактуальные Методические рекомендации ФСБ №149/5-144 от 2008 г.
Пояснение явно устарело! Забыли обновить? Так как ниже необходимо заполнять информацию по СКЗИ для каждой отдельной ИС.
Также в пояснении к данному пункту требуется указать информацию о лице, ответственном за организацию обработки ПДн. Эта же информация вносится отдельно в подразделе “Ответственный за организацию обработки персональных данных”
·
Сведения об информационной системе
В целом сбор информации по отдельным информационным системам противоречит приказу РКН, №39912 от 01.12.2015 (приложению 1 к приказу)
·
Сведения об информационной системе -> Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных -> (автоматизированная | неавтоматизированная | смешанная)
Ранее требовалось указывать имеется ли неавтоматизированная обработка ПДн в организации в целом – в этом случае мы выбирали смешанная. Сейчас же требуется указать информацию о наличие неавтоматизированной обработки ПДн в конкретной информационной системе. Это как вообще возможно?
·
Сведения об информационной системе -> Использование шифровальных (криптографических) средств
Смотрите актуальный приказ ФСБ №378. Ну нет там информации о уровне специальной защиты от утечки по каналам побочных излучений и наводок и уровне защиты от несанкционированного доступа. Зачем вы собираете эту информацию?
·
Сведения об информационной системе –> Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ
В целом собираемая информации БД противоречит приказу РКН, №39912 от 01.12.2015 (приложению 1 к приказу)
·
Сведения об информационной системе –> Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ -> Адрес ЦОД-а
Нет возможности указать несколько адресов. А у нас может быть основной и резервный ЦОД.
·
Сведения об информационной системе –> Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ -> Собственный ЦОД
Множество ошибок, связанных с заполнением этого и последующих данных по ЦОД. Выбираем не собственный ЦОД. В сведениях об организации ответственной за хранение указываем юр. лицо и заполняем все поля. Далее меняем ЦОД на собственный – остается лишнее поле. Далее меняем ЦОД на не собственный. Нужные поля не появляются.
·
Сведения об информационной системе –> Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ
Самое интересное. В любой организации может использоваться большое количество ИС, владельцем которой она не является, но выполняет обработку ПДн с использованием данных ИС. Где-то есть эти сервера ИС к которым подключаются наши пользователи.
В телефонном режиме представители РКН подтвердили, что все эти системы нужно учитывать, чтобы убедится, что мы не вводим данные на зарубежные серверы.
Для всех таких ИС нужно определить адреса ЦОД-ов, организации ответственные за хранение данных и т.п. А это может быть весьма затруднительно и занимать длительное время, так как потребуется обмениваться официальными письмами.
Вот небольшая подборка внешних ИС, для которыми систематически пользуется типовое современное ЛПУ. Для всех этих систем оператор должен получить информацию о местоположении БД и организациях ответственных за хранение ПДн:
·
ФРМР (Федеральный регистр медицинских работников)
·
система сбора информации о фактическом уровне автоматизации медицинских организаций ( http://fuamo.rosminzdrav.ru/ )
·
ПМУ, программный комплекс по ведению паспортов медицинских учреждений ( http://pmu.rosminzdrav.ru/ )
· модуль «Информация об энергосбережении и повышении энергетической эффективности» ( http://dper.gisee.ru/ )
·
портал Минздрава по ВМП
Все приведенные проблемы затрудняют подготовку уведомлений в электронной форме. Приводят к противоречию уведомлений, заполненных в бумажной и электронной форме.
Я считаю, что инициатива по сбору избыточной информации в электронном уведомлении РКН является некорректной и противоречащей нействующим НПА. Необходимо приказ об административном регламенте РКН по услуге ведения реестра операторов ПДн поддерживать в соответствии федеральному законодательству, а электронная форма уведомления должна в точности соответствовать приложению к данному приказу.