понедельник, 2 октября 2017 г.

ПДн. Нарушители в Реестре операторов ПДн?

В предыдущей части мы начали рассматривать реестр операторов ПДн. Сегодня продолжим с нарушителями законодательства о ПДн, которых можно выявить, едва взглянув на Реестр.

1. В связи с изменениями в № 152-ФЗ, внесенными от 25.07.2011 № 261-ФЗ, каждому оператору необходимо было определить лицо, ответственное за организацию обработки ПДн, принять дополнительные меры, определенные статьей 18.1 152-ФЗ и уведомить РКН о назначенном лице и принятых мерах.

Как видно по результатам анализа, в Реестре имеется 113 931 (на момент анализа) операторов, нарушающих это требование. И далее несколько примеров таких операторов:




 2. В связи с изменениями в № 152-ФЗ, внесенными от 21.07.2014 № 242-ФЗ и в ступившему в силу 1 сентября 2015 г. требовалось перенести все БД в РФ и уведомить Роскомнадзор о местах нахождения БД с ПДн.  

Как видно по результатам анализа, 267 306 (на момент анализа) операторов нарушает это требование и всё ещё не сообщила о месте нахождения БД с ПДн. Не помог даже комментарий РКН о необходимости предоставления этих сведений

глядя на предыдущие примеры, наверное, вы могли подумать, что нарушают требования исключительно небольшие операторы с потенциально низкой квалификацией в ЗПДн? Посмотрим на крупных операторов, располагающихся рядом с РКН

(На момент моего анализа только 7 из 21 федеральных министерств РФ вообще подали Уведомление. МЧС, Минюст, Минкультуры, Минпромторг и другие – где вы? Субъектам ПДн интересно какие ПДн вы обрабатываете …)



Только 2 министерства (Минобороны и Минэнерго) из 7, а также только 49 из 263 федеральных учреждений подали информацию о местонахождении БД с ПДн. Примеры тех кто забыл:



Такая вот получилась занимательная статистика. Далее следует продолжение анализа по характеристикам обработки ПДн … возможно будет полезным 

3 комментария:

Saches комментирует...

Сергей, обычно с интересом читаю Ваши публикации по ИБ вообще и о специфике защиты ПДн в частности. Но смысл данной статьи, мне несколько не понятен.
Вы бы лучше задались вопросом почему, например, на сайте ЦБ или НСПК, отсутствует политика обработки ПДн. Или они их (ПДн) не обрабатывают в т.ч., в качестве операторов ПС?

Сергей Борисов комментирует...

Блоги в общем то всегда использовались чтобы покритиковать / публично рассказать о какой-то проблеме, обсудить её. Мне показалось важным предупредить организации от нарушений; а РКН дать подсказку, в каком направлении прикладывать свои усилия.
Если вы считаете данную статью неуместной, объясните подробнее почему?

Сергей Борисов комментирует...

Про политику ПДн я кстати писал и неоднократно. Но всётаки проверки сайтов, это прерогатива РКН. Зачем мне специально этим заниматься? К тому же, наверняка процент нарушителей будет примерно одинаковый. у 30% и политики в порядке и уведомление актуальное. А остальные не делают ни того, ни другого ни третьего...