Продолжу предыдущую статью об обязанностях обработчика и необходимости оператором выполнения ряда мероприятий за обработчика. Рассмотрим два типа обработки ПДн по поручению:
1. широкий круг Обработчиков выполняет схожий набор действий с ПДн (обработку)
2. только один Обработчик выполняет для данного Оператора определенный набор действий ПДн (обработку)
Примерами первого типа являются:
· оператор сотовой связи и дилеры (собирает данные клиентов для заключения договора)
· банк и платежные агенты (собирают данные для платежей)
· банк и коллекторские агенства (используют данные для связи с клиентом)
· банк и организации - клиенты по зарплатному проекту (передают данные для платежей)
· организации и курьерские компании, доставляющие что-либо клиентам (используют данные для доставки)
· страховая компания и страховые агенты (собирает данные клиентов для заключения договора)
· авиа/жд/авто транспортные компании и агенты (собирает данные для оформления билета)
· Министерство обороны Российской Федерации и организации (собирают и передают данные сотрудников для воинского учета)
· ФОМС и организации (собирают и передают данные сотрудников для медицинского страхования)
· ПФР и организации (собирают и передают данные сотрудников для пенсионного страхования)
· Росстат и организации (собирают и передают данные сотрудников для статистического учета)
· ФНС и организации (собирают и передают данные сотрудников для налогового учета)
· ФМС и организации (собирают и передают данные сотрудников для миграционного учета)
· Росминтруд, Роструд и организации (собирают и передают данные сотрудников для социальной защиты)
· Рособразования и школы (собирают и передают данные учащихся) и т.п.
В варианте первого типа обработки ПДн Оператору хорошо известно, какие действия выполняет обработчик с ПДн, как взаимодействует Обработчик с ИС, скорее всего такая деятельность хорошо регламентирована самим Оператором (договор, приказ, правила, порядки, инструкции) и скорее всего применяется автоматизация обработки – Обработчик использует ИС Оператора.
Учитывая это, у Оператора есть вся необходимая информация, чтобы разработать высокоуровневую модель угроз , выбрать перечень мер ОБПДн (дополненный уточненный адаптированный базовый набор мер) и даже определить конкретные способы реализации мер (если обработчик использует ИС Оператора).
В то же время у Обработчика первого типа нет полной картины процессов обработки (обработчику поручили какой-то кусок операций, для чего они выполняются он может и не знать), нет информации для оценки возможного вреда и соответственно для построения адекватной модели угроз.
Ещё один аргумент – экономический. Оператор один, а Обработчиков у него может быть десятки/сотни/тысячи. Разработка модели угроз для охватывающей как Оператора так и Обработчиков повлечет, в худшем случае, двойные трудозатраты, но приведет к экономии в десятки/сотни/тысячи раз для множества этих компаний.
Если отдать выбор мер защиты полностью на усмотрение Обработчику, то возможны следующие проблемы:
· применение несовместимых мер защиты Обработчиком и Оператором (например, обработчик решит, что необходима сертифицированная криптография, а оператор что криптография не требуется и будет использовать западные средства защиты, или Оператор определит что для управления доступом будут использоваться наложенные СЗИ, а Обработчик решит что нужно применять возможности самой ИС и сертифицировать её)
· применение дублирующих мер защиты
· применение сильно различающихся по составу наборов мер защиты; это позволит злоумышленнику для атаки на систему в целом использовать самого слабозащищенного Обработчика.
Все несовместимости, избыточности и слабости децентрализованного подхода по выбору мер защиты в итоге выражаются в дополнительных затратах по сравнению с централизованным, для обеспечения аналогичного уровня защищенности для тех же процессов обработки ПДн.
Рассмотрим обработчиков второго типа. Примеры:
· компания и внешняя бухгалтерия
· компания и ЧОП
· компания и аутсорсер какого-либо бизнес-процесса
· компания и хостинг (в случае оказания, каких либо доп. услуг)
· компания и облачные сервисы (в случае оказания, каких либо доп. услуг)
При таком типе обработки ПДн, Оператор, скорее всего, не может регламентировать все процессы Обработчика, но Оператору всё равно должны быть известны и понятны действия, выполняемые Обработчиком с ПДн (152-ФЗ это явно требует).
Так-же обычной практикой является уточнение состава мер защиты, применяемых Обработчиком, оценка возможного ущерба и даже моделирование угроз ( как Алексей Волков делает это ). Отдавать, защищаемую законом информацию в неизвестность никто не захочет. Ведь ответственность перед Субъектами ПДн несет Оператор.
Выводы.
Если вы Оператор или выполняете работы по защите ПДн Оператора:
· при анализе характеристик и описании ИС обязательно учитывайте процессы обработки ПДн выполняемые Обработчиками
· при анализе возможного ущерба, включите анализу возможного ущерба в Обработчике (наверняка он будет меньше, так как обработчик задействован только для некоторых процессов и части данных)
· при моделировании угроз учитывайте Обработчика ПДн (либо включаем его в ИС, либо выделяем отдельную типовую ИС Обработчика)
· при выборе перечня мер ОБПДн (дополненный уточненный адаптированный базовый набор мер) готовим аналогичный или отдельный для Обработчика
· при проектировании и выборе конкретных способов реализации мер крайне рекомендую учитывать и Обработчика. Можно не ограничивать его конкретными моделями/версиями/производителями средств защиты. Но включать в требования типы средств защиты можно и нужно. Например “межсетевой экран, сертифицированный ФСТЭК Р по 4-ому классу МЭ” “защищенные носители ключей электронной подписи в виде USB-ключа или смарт-карты”
· в поручении Обработчику указывать кроме того что требуется законом (см. предыдущую статью), ещё и информацию о возможном вреде и результаты моделирования угроз обработчика - перечень актуальных угроз, для нейтрализации которых были выбраны меры. Если Обработчик посчитает что какие-либо угрозы избыточны для его процессов и аргументирует это, то Оператор может изменить требования.
Если вы Обработчик или выполняете работы по защите ПДн Обработчика:
· определите все процессы для которых вы являетесь не Оператором, а обработчиком
· не спешите проводить мероприятий по защите ПДн в данных процессах. Требования по защите ПДн вам должен предъявить оператор. Если не предъявил – запрашивайте. Не дает – защищайте так, как принято для другой корпоративной информации, в соответствии с внутренними политиками
· не проводите анализ возможного вреда (это обязанность Оператора), только если от вас явно не потребует это Оператор
· не проводите моделирование угроз (это обязанность Оператора), только если от вас явно не потребует это Оператор
· не проводите выбор мер защиты (это обязанность Оператора), только если от вас явно не потребует это Оператор
· сохраняйте свидетельства выполнения тех требований, которые Оператор всё таки предъявил, так как в обязанность оператора входит оценка эффективности принимаемых мер – рано или поздно он запросит у вас эту информацию
PS: Пример поручения от Департамента образования (с моей точки зрения не корректен - нет четких требований по защите, нет требований по моделированию и выбору мер. фраза о необходимости соблюдения требований законодательства по защите - равносильна пустому множеству. нет других обязательных разделов)
PS: Пример поручения от Туроператора (с точки зрения защиты ПДн - корректен. вопросы обработки ПДн не описаны, но возможно это отдельный документ)
PS: Похожий пример от другого Туроператора (а тут уже с нарушением, конкретные меры по защите ПДн не предъявлены)
PS: Пример поручения от ФОМС (вроде все выполнено - но сгрузили все мероприятия на Обработчика, в том числе моделирование угроз и выбор мер защиты. я бы не советовал так делать)
PS: Пример поручения от ФОМС (вроде все выполнено - но сгрузили все мероприятия на Обработчика, в том числе моделирование угроз и выбор мер защиты. я бы не советовал так делать)
