18 Января, 2016

СЗПДн. Анализ. Проблемы онлайн уведомления РКН об обработке ПДн

Сергей Борисов
С момента выхода предыдущей заметки про уведомление РКН  набралось информация об ошибках и проблемах с электронной формой уведомления РКН.  Вопросы возникали и по предыдущей версии уведомления в электронной форме, но сейчас их количество превысили критическую массу.

Для анализа также использовались примеры заполнения офлайн уведомления от РКН (примеров заполнения онлайн нет)

Заметка в видео варианте



Давайте посмотрим:
·         Общие сведения –> Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»
В пояснении по данному пункту требуется внести данные об используемых СКЗИ (наименования, рег. номера, уровень криптозащиты и т.п.) при этом приводится ссылка на неактуальные Методические рекомендации ФСБ №149/5-144 от 2008 г.
Пояснение явно устарело! Забыли обновить? Так как ниже необходимо заполнять информацию по СКЗИ для каждой отдельной ИС.
Также в пояснении к данному пункту требуется указать информацию о лице, ответственном за организацию обработки ПДн.  Эта же информация вносится отдельно в подразделе “Ответственный за организацию обработки персональных данных

·         Сведения об информационной системе
В целом сбор информации по отдельным информационным системам противоречит приказу РКН, №39912 от 01.12.2015 (приложению 1 к приказу)
·         Сведения об информационной системе -> Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных -> (автоматизированная | неавтоматизированная | смешанная)
Ранее требовалось указывать имеется ли неавтоматизированная обработка ПДн в организации в целом – в этом случае мы выбирали смешанная.   Сейчас же требуется указать информацию о наличие неавтоматизированной обработки ПДн в конкретной информационной системе. Это как вообще возможно?

·         Сведения об информационной системе -> Использование шифровальных (криптографических) средств
Смотрите актуальный приказ ФСБ №378. Ну нет там информации о уровне специальной защиты от утечки по каналам побочных излучений и наводок и уровне защиты от несанкционированного доступа. Зачем вы собираете эту информацию?

·         Сведения об информационной системе –> Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ
В целом собираемая информации БД противоречит приказу РКН, №39912 от 01.12.2015 (приложению 1 к приказу)

·         Сведения об информационной системе –> Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ -> Адрес ЦОД-а
Нет возможности указать несколько адресов. А у нас может быть основной и резервный ЦОД.

·         Сведения об информационной системе –> Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ -> Собственный ЦОД
Множество ошибок, связанных с заполнением этого и последующих данных по ЦОД. Выбираем не собственный ЦОД. В сведениях об организации ответственной за хранение указываем юр. лицо и заполняем все поля.  Далее меняем ЦОД на собственный – остается лишнее поле.  Далее меняем ЦОД на не собственный. Нужные поля не появляются.

·         Сведения об информационной системе –> Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ
 Самое интересное. В любой организации может использоваться большое количество ИС, владельцем которой она не является, но выполняет обработку ПДн с использованием данных ИС. Где-то есть эти сервера ИС к которым подключаются наши пользователи.

В телефонном режиме представители РКН подтвердили, что все эти системы нужно учитывать, чтобы убедится, что мы не вводим данные на зарубежные серверы.

Для всех таких ИС нужно определить адреса ЦОД-ов, организации ответственные за хранение данных и т.п. А это может быть весьма затруднительно и занимать длительное время, так как потребуется обмениваться официальными письмами.

Вот небольшая подборка внешних ИС, для которыми систематически пользуется типовое современное ЛПУ. Для всех этих систем оператор должен получить информацию о местоположении БД и организациях ответственных за хранение ПДн:
·         РМИС (Региональная медицинская информационная система, http://xy.r-mis.ru/ )
·         ФРМР (Федеральный регистр медицинских работников)
·         система сбора информации о фактическом уровне автоматизации медицинских организаций ( http://fuamo.rosminzdrav.ru/ )
·         ПМУ, программный комплекс по ведению паспортов медицинских учреждений ( http://pmu.rosminzdrav.ru/ )
·         портал «Работа в России» ( http://trudvsem.ru/ )
·  модуль «Информация об энергосбережении и повышении энергетической эффективности» ( http://dper.gisee.ru/ )
·         портал государственных закупок ( https://zakupki.gov.ru/ )
·         единый портал информации о государственных (муниципальных) учреждениях ( http://bus.gov.ru/ )
·   подсистема мониторинга диспансеризации детей-сирот ( https://orph.rosminzdrav.ru )
·         ДЛО (М-Аптека плюс ЛПУ, http://xy.r-mis.ru/mal/ )
·         портал Минздрава по ВМП

Все приведенные проблемы затрудняют подготовку уведомлений в электронной форме. Приводят к противоречию уведомлений, заполненных в бумажной и электронной форме.

Я считаю, что инициатива по сбору избыточной информации в электронном уведомлении РКН является некорректной и противоречащей нействующим НПА. Необходимо приказ об административном регламенте РКН по услуге ведения реестра операторов ПДн поддерживать в соответствии федеральному законодательству, а электронная форма уведомления должна в точности соответствовать приложению к данному приказу.