• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Статья Нарушения при проверке РКН: Рекомендации, Штрафы

Всем привет! Сегодня хотел бы поговорить о частых нарушениях, которые появляются в ходе проверок Роскомнадзора по защите персональных данных, о том, как этого избежать и что для этого необходимо делать. О видах проверок и о плане подготовки к ней я описал в статье Защита персональных данных, ФЗ-152, Проверка РКН, подготовка документов, кому интересно, рекомендую к просмотру.

для статьи.png


Проанализировав отчеты о проверках Роскомнадзора за 2017-2019г я пришел к выводу, что нарушения из года в год повторяются, а значит операторы ПДн не делают выводов и не относятся к этому серьезно. Если учесть, что РКН пытается поднять штрафы за нарушение требований по ПДн, то становиться совсем как-то грустно, но об этом в конце статьи.

Итак, пройдемся по самым частым нарушениям, выявленным Роскомнадзором по ПДн за 2019 год.

1. Не предоставление уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения.
Для тех, кто сомневается стоит ли им подавать уведомление или нет, в ФЗ-152 есть статья 22 п. 2, где прописывается, когда не нужно уведомлять РКН, во всех же других случаях отправлять уведомление обязательно (если у вас имеется ИСПДн и вы оператор, то вы в обязательном порядке должны направить уведомление).

2. Не выполнение требований конфиденциальности при обработки персональных данных.
Давайте разберемся, что же относится к данному пункту. Если вы оператор или иное лицо, получившее доступ к ПДн, то вы обязаны не раскрывать третьим лицам и не распространять сведения без согласия субъекта. Есть исключения, они прописаны в статье 7 ФЗ 152. Кстати, в 2020 году РКН выкатил свои поправки в КОАП по штрафам, и данный пункт также туда попал. Штрафы мы рассмотрим более подробно в конце статьи.

3. Оператор не принял меры по опубликованию или обеспечению неограниченного доступа к положению по обработке персональных данных.
Согласно ФЗ-152 статье 18.1 п.2 оператор обязан опубликовать данный документ или же предоставить неограниченный доступ. Если у вас есть сайт организации и в нем идет сбор и обработка ПДн (например заявок), то вы обязаны разместить данный документ там.

4. Оператор не принял меры, необходимых для обеспечения выполнения обязанностей, предусмотренных ФЗ 152.
В данном пункте речь идет опять-таки о статье 18.1 и 19 ФЗ 152. Перечислим типы нарушений:
  • Отсутствие ответственного (не назначили ответственного или же наоборот назначили нескольких ответственных, о указано в должностной инструкции ответственного полномочий, установленных в статье 22.1 ФЗ-152)
  • Не разработаны и не утверждены руководителем ОРД по вопросам обработки ПДн
  • Отсутствует внутренний контроль (нет плана проведения внутреннего аудита)
  • Не ознакомлены сотрудники организации с нормативными документами по ПДн.
  • Не определены угрозы безопасности (Модель угроз)
  • Не проведен учет машинных носителей в организации.
5. Оператор обрабатывает избыточные персональные данные.
В большинстве случаев у многих организаций именно этот пункт преобладает в нарушениях. Организации требуют избыточные ПДн сами этого не понимая, там, где не нужны паспортные данные они их запрашивают, запрашивают сведения о доходах итд. Также организации любят запрашивать фото клиента или же нового сотрудника, не осознавая, что тем самым они начинают обрабатывать уже специальную категорию персональных данных, где требования к защите намного выше.

6. Отсутствие у оператора места хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих доступ к ним.

Итак, мы рассмотрели основные нарушения операторов ПДн, а теперь я хотел бы в вкратце пробежаться по пунктам самооценки для операторов (мини опросник), что мы проверяем в своей организации в первую очередь:
  • Наличие положения по обработке ПДн
  • Назначен ли ответственный за обработку ПДн
  • Отправлено ли уведомление в РКН
  • Готов ли полный комплект документов по ПДн
  • Имеются ли листы ознакомления с документами
  • Имеются ли и заполнены все журналы
  • Имеется ли согласие на обработку ПДн
  • Прописаны ли правила доступа пользователей к ПДн
  • Реализован ли порядок хранения материальных носителей
На сайте Роскомнадзора имеется вкладка – часто задаваемые вопросы, где подробно расписаны основные вопросы по персональным данным, кто такой оператор, когда нужно подавать уведомление, понятие конфиденциальности итд.

Для тех, кто только начинает приведение в соответствие своей организации по требованиям ФЗ-152 и не знает какие нормативные акты требуются, предлагаю рассмотреть пошаговый опрос:
  • Начинаем с ФЗ-152, мы являемся оператором ИСПДн? Если нет, то все вопросы к оператору. Если да, то идем ниже.
  • Мы головное отделение или филиал? Если филиал, то за обеспечение безопасности персональных данных мы не отвечаем. Если головной офис, то идем ниже.
  • Есть ли нормативные документы по защите ПДн? Если нет, то нужно разработать
  • Идет ли обработка персональных данных на бумаге? Если да, то 687 ПП
  • Персональные данные обрабатываются в ГИС? Если да, то приказ ФСТЭК №17
  • Передаются ли персональные данные? Если да, то приказ ФСБ 387
  • В итоге получается: ФЗ-152, ПП1119, 21 приказ ФСТЭК и остальные если в пунктах выше у вас ответы – да.
Часто на форумах и мне в частности задают вопрос, о том где взять хорошие шаблоны по защите персональных данных, ответ на этот вопрос прост – хороших шаблонов, которые подойдут под любую ситуацию и требования организации нет. В идеале вы берете каркас (шаблон) какого-либо документа и заполняете его полностью сами в зависимости от требований и характеристик вашей организации. При выборе шаблона обратите внимание на некоторые признаки:
  • Приказ ФСТЭК №21 вышел в 2013 году, все шаблоны, сделанные ранее не годятся
  • Пакет документов маленький, в хорошем доков от 30 штук
  • Изменение в КОАП произошли в 2017 году, если видите старые штрафы, то доки не годятся
  • Если в тексте указан класс ИСПДн, то документы старые, в новых уровень защищенности ПДн, по ПП 1119
  • По части ГИС, с 2017 года убрали 4 класс защищенности.
  • Если в списке нормативной базы имеются законодательные акты, утратившие силу
Далее я хотел бы рассмотреть штрафы за невыполнение требований по защите персональных данных.
Итак, если сотрудник неправильно обрабатывает ПДн, то для него штраф – 5-10 тысяч рублей, для его фирмы 30-40 тысяч рублей. Если фирма не разработала положение по обработке ПДн и не разместила в открытом доступе, штраф на ответственного – 3-6 тысяч рублей, для фирмы 15-30 тысяч рублей. Если фирма обрабатывает ПДн клиента без согласия на обработку или же передала ПДн третьим лицам, для сотрудника – 10-20 тысяч рублей, для фирмы 15-75 тысяч рублей.

Подводим итоги. Мы рассмотрели типовые нарушения операторов в ходе проверок Роскомнадзора, подготовили мини опросник и рекомендации для людей которые только начинают приводить в соответствие свои организации в части защиты персональных данных. Создаётся впечатление, что операторы относятся халатно к данным проверкам и не реализуют хотя бы минимум требований по защите персональных данных, я уже не говорю, про реализацию требований ФСТЭК и ФСБ. При проверке Роскомнадзор выписывает штрафы, но как видим по статистике нарушений, не очень это и помогло. На данный момент идут внесения новых поправок в КОАП. Роскомнадзор внес предложение за невыполнение обязанности по соблюдению конфиденциальности ввести штраф в размере 500000 рублей. Видимо единственным решением РКН видит подъём штрафов. Наверное, в данной ситуации я полностью согласен с ними, если учесть огромное количество утечек персональных данных.

Надеюсь, что статья кому-нибудь пригодится. Спасибо, что дочитали до конца.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!