15.9.15

Рекомендации Роскомнадзору о том, как собирать сведения о месте нахождения баз данных ПДн россиян

Позволю себе дать и пару рекомендаций Роскомнадзору, если он будет готовить (или уже готовит) упомянутые мной в предыдущей заметке изменения в свой регламент по ведению реестра операторов и в свои рекомендации по заполнению формы уведомления. И пусть я уже не член Консультативного совета РКН, вдруг мои соображения будут учтены.
  1. Не надо требовать указания сведений о наименовании и версии СУБД, обрабатывающей ПДн. Во-первых, это сложно отнести к "сведениям о местонахождении", а во-вторых, эта информация не нужна для защиты прав субъектов ПДн.
  2. Более того, учитывая частоту обновления ПО и выпуск обновлений, устраняющих уязвимости в нем, требования указания версии СУБД приведет к тому, что операторы ПДн будут вынуждены отправлять повторные уведомления каждый раз, когда они обновят свой софт, а это может быть несколько раз в год или даже в месяц. Это не только вызовет волну возмущения, но и терорганы РКН потонут в ворохе приходящей макулатуры.
  3. Учитывайте, что сведения о наименовании и конкретной версии СУБД может быть отнесена оператором персональных данных к охраняемой законом информации (информации ограниченного доступа) и они не будут иметь права ее передавать за пределы своей организации. Это не шутка. Многие СУБД содержат в себе механизмы защиты и часто используются как средства защиты персональных данных на прикладном уровне. Информация же о системе защиты и используемых средствах защиты часто относится к информации ограниченного доступа, за разглашение которой наступает вполне конкретная ответственность (от дисциплинарной до уголовной).
  4. Если все-таки (хотя, я надеюсь, здравый смысл восторжествует) вы будете требовать указывать сведения о СУБД, то не размещайте их в общедоступной части реестра операторов ПДн. Уже было немало ситуаций (кстати, проблема до сих пор не устранена), когда в открытой части реестра были указаны контактные сведения лиц (включая e-mail и телефоны), ответственных за обработку ПДн. А лица эти, по закону, подчиняются исполнительному органу предприятия, что означает их высокий статус. Иными словами, своими требованиями вы создали замечательную базу для спамеров. Хотя бывали ситуации, когда зампредам банков звонили разгневанные заемщики, которым отказали в кредите, и которые угрожали самоубийством по вине банка и его отдельных должностных лиц. Если же информация о наименовании и версии СУБД появится в открытом доступе, то это будет отличная помощь киберпреступникам, которые смогут сконцентрироваться на поиске слабых мест именно в той версии СУБД, которая указана в реестре, и не тратить время на все остальное.
  5. Учтите, что в условиях повального перехода многих организаций, особенно муниципальных и государственных, на аутсорсинг и облака, встанет непростой вопрос о том, что указывать оператору ПДн в качестве местонахождения базы данных, если она ведется, хранится и обслуживается не самим оператором, а привлеченным обработчиком (например, Ростелекомом)? У оператора этой информации может и вовсе не быть.
  6. Если вы будете требовать указания почтового адреса местонахождения базы данных, то учитывайте, что активно используемые многими технологии виртуализации приводят к перемещению хранимых данных между различными серверами и центрами обработки данных. Это означает, что потовых адресов может быть больше одного (и даже больше двух).
  7. Кстати, есть еще понятие резервных копий баз данных. Они тоже могут храниться не по основному месту нахождения.
Вот такие рекомендации. Надеюсь они будут учтены Роскомнадзором или его территориальными органами.

1 коммент.:

Target комментирует...

1. Собирать сведения о наименованиях и версиях СУБД или другого программного обеспечения, которое используется оператором для обработки ПДн, не имеет никакого практического смысла. В данном случае важнее цель обработки и состав ПДн.
2. Во многих случаях ПДн хранятся не в СУБД, а, например, в таблицах формата MS Excel или pdf.
3. Файлы в таких форматах могут храниться на рабочих станциях пользователей или даже на ноутбуках, часто копироваться и перемещаться в рамках корпоративной сети и вне сети. Ситуацию, конечно, усугубляет виртуализация и аренда информационных ресурсов и услуг. Не понятно какие сведения собирать в таких случаях и как поддерживать сведения в актуальном состоянии, предоставлять их в 10-дневный срок в Роскомнадзор России.