Приключения персональных данных в России

[Crazyvlad]

Как Вы определили что у вас угрозы 3-го типа? Иль облачный оператор предоставил необходимые бумаги?

[volkovmm]

Облачный провайдер дал контакты подрядчика, который быстро сделал аудит и оценку.

[volkovmm]

Сначала нам сватали 2-й уровень с дополнительными аппаратно-программными средствами. Но провайдер дал контакты эксперта, который быстро привел все к разумному знаменателю — УЗ 3 с ОРД и соглашением с провайдером, который стал обработчиком перс.данных, а мы — оператор. ОРД оказалась самой затратной частью.

[Loreweil]

Наше доблестное ФСБ принуждает всех операторов, которые прочитали что-то больше 152-ФЗ, правдами и неправдами уходить на угрозы 3 типа. Т. к. в соответствии с 378 приказом ФСБ от 2014 года, если у вас угрозы 2 типа вы должны использовать сертифицированные криптосредства классов не ниже КВ1 и КВ2, а если 1 типа, то класса КА1. Проблема в том, что вы эти криптосредства вряд ли сможете купить, даже если у вас куча денег, а сертифицированные криптосредства вы должны использовать если персданные передаются куда-то по сетям общего пользования. В подавляющем количестве случаев персональные данные все-таки передаются таким образом, поэтому особо выбора по типу угроз у операторов нет.

[volkovmm]

Я не специалист в области ИБ, хоть и имею за свою долгую жизнь несколько сертификатов о законченных курсах по ИБ)) Поэтому рекомендую всем коллегам: нам нужен ИТ-кругозор и здравый смысл для оценки и выбора решения проблемы. И что еще важно — выбрать подрядчика, который не будет вас разводить на избыточные меры и решения. И доверие… Вот его найти — самое ценное, и какому доктору доверить лечение. И это — самая непростая проблема, поверьте!

[gecube]

Из статьи не увидел ничего практически полезного, кроме совета идти в «отечественное» облако…

[volkovmm]

Идти в отечественное облако — один из вариантов. Главное — не вестись на безумные затраты. В нашем случае вопрос стоя еще жестче — закрываться нафиг или что-то сделать такое чудесное, чтобы пролезть через игольное ушко. И чудо, оказалось, что пролезть можно, а все эти штрафы и последствия, догадайтесь какие, — для слабонервных) Вы же понимаете, что делает бизнес, когда ему угрожают заплатить 18 000 000 руб? Об этом все молчат, потому что понимаете, что обычно делает бизнес?

[Loreweil]

Не хотел лишний раз рекламироваться, но «все молчат» зацепило, посмотрите наш блог хотя бы тут на хабре: habr.com/ru/company/ic-dv/blog довольно много материала по теме.

[numb]

Проблема облаков с бумажкой, о соответствии нужному уровню защищенности ПД, в том, что ценник на их услуги, сильно завышен при посредственном уровне сервиса.

[volkovmm]

Интересный опыт. Можете поделиться, какой провайдер такое вытворяет? Мы сравнили нескольких. Специально их не упоминаю, чтобы не было рекламы. У всех + / — одно и тоже. Но Доктор, конечно имеет значение — это я про подрядчика, который делал ОРД — вот здесь сильно разные предложения.

[EvseyFaydo]

Нет в реестре работающих с ПДн, не придут, начнем с этого :)

[volkovmm]

А какой тип угроз Вы рассматриваете?

[KivApple]

Статье категорически не хватает технических деталей. Какие именно требуются меры защиты (или хотя бы "меры защиты"). Даже единственный упомянутый пункт про "нельзя хранить за границей" не раскрыт (звучит как будто можно хранить за границей реплику, но это значит, что это закон не о защите ПД, а о защите прав силовиков на доступ к ПД). По сути дела вся статья сводится к "обратитесь к облачному провайдеру и всё сделают за вас", но хабр вроде технический ресурс, а не просто рекламная площадка, не? Даже если за бумажки придется отвалить денег, многим всё равно хочется знать, что их ждёт в техническом плане, чтобы учесть заранее при проектировании инфраструктуры и разработке софта.

[volkovmm]

Мы же тут уважаем точки зрения друг друга, так? :) Я намеренно не стал выкладывать вываливать все материалы, так это большинству не интересно и, поверьте, не надо. Но ОК, в следующей статье «Мифы о защите персональных данных» я обязательно постараюсь более детально раскрыть и те вопросы, которые Вы упоминаете.
Главная цель статьи — предупредить коллег о необоснованных угрозах, понимаете о каких: цифры 800 000 руб — персональной ответственности и 18 000 000 руб + лишение работы CIO сильно сбивают с толку и приводят моих коллег к необдуманным затратам.
И да, мы потратили несколько дней, чтобы во всем этом разобраться, а потом оказалось, нам мне все это сделали бесплатно — я думаю, что это точно не всем очевидно. В техническом плане нам не пришлось НИЧЕГО делать. Только соблюдать ОРД! Вот ОРД может стоить от 45 000 до 300 000 / 500 000 руб — да, так сильно зависит от поставщика! А начиналось все с «необходимости покупки эстеры и випнетов» по мнению тех, кто хочет продать побольше своих сервисов и железок или некоторых дилетантов.

[volkovmm]

Ого :) Все видят эту ситуацию очень субъективно, под своим углом зрения, так сказать. В том числе и я, и, возможно, остальные присутствующие))
Реально то, что нарушают все повально, но проверяющие приходят в первую очередь к тем, кто вызывает у них интерес по каким-то неведомым или ведомым причинам (думаю, что все догадываются, как обстоят дела с проверками). Проблема в том, что публично никто не рассказывает, как он решал свои проблемы. Думаю, Вы понимаете почему. Поэтому на поверхности только публичные кейсы с крупными компаниями. Но, если у вас есть доступ к подписке консультанта или гаранта, посмотрите судебную практику. И опять оговорюсь, до судов, по моему мнению, доходит меньше 1% случаев.
Мы не планировали облако, оно уже было — Azure, мы искали максимально быстрый и дешевый путь, рассмотрели 3 варианта, выбрали не самый дешевый, искали самый недорогой в горизонте на 3 года с хорошей поддержкой. Моя задача была — помочь хорошему приятелю, а здесь предупредить коллег, в том числе CIO / ДИТов / админов / разработчиков, чтобы не боялись и не паниковали, когда на них навалится подобная проблема. И мне «самолечение» стоило потерянных 3 рабочих дня — это тоже ценный опыт.

[Devoter]

Пару лет назад приходилось ковыряться в вопросе. И совсем не все так однозначно, как вы говорите. Да, наши "провайдеры", конечно, скажут, что все надо хранить в их защищённом облаке, да ещё и доступ, желательно по сертифицированному VPN. Но правда часто оказывается далека от сказок. Для тех же онлайн-магазинов, зачастую персональные данные и не требуется хранить вовсе. Само понятие персональных данных подразумевает однозначную идентификацию человека по набору некоторых признаков. Таким образом, ФИО сами по себе — не перс. данные. Также ими не является публичная информация (тут есть нюансы в трактовке), отдельно телефон, e-mail, и так далее. Защита персональных данных сотрудников требуется в том случае, если эти данные могут утечь в сеть. Если все данные на изолированном сервере в сейфе, доступ к которому имеет только физически ген.дир., к примеру — то какие могут быть претензии?
К сожалению, наше законодательство, зачастую устроено так, чтоб имелось побольше поводов для штрафа. Вас напугали 18млн., а потом совершенно неаффилированные частные компании предлагают спасительную услугу всего за 12к.
Помню, в детстве, гопники на улице таким промышляли.

[volkovmm]

Советую прочитать этот материал:
"Персональные данные – 2018: как избежать штрафов"

Обратите внимание на:

Случаи, когда уведомление Роскомнадзора не требуется
При обработке ПДн, если они:

• относятся к субъектам, которых связывают с оператором трудовые отношения;
• получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
• являются общедоступными ПДн;
• включают только ФИО субъектов ПДн;
• нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
• включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
• обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

[Newm]

Советую прочитать этот материал:
«Персональные данные – 2018: как избежать штрафов»

А я бы советовал его не читать, так как количество ошибочных утверждений там просто зашкаливает.

Например:

Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.
…
Что делать владельцу сайта, чтобы избежать штрафов
Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Вот это однозначно вводит в заблуждение. Вот форма обратной связи почти всегда не требует брать согласие на обработку, потому что ст.6.1.6 из 152-ФЗ (при условии внимательного прочтения, причем по тексту статьи автор этот пункт сократил так, что это становится не так).

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально.

Да вот не так это. Ссылка должна быть на «согласие». Об этом в ст. 9 152-ФЗ. Для особо въедливых, вот как вы себе представляете, чтобы субъект персональных отзывал политику конфиденциальности юрлица, а такое право как раз в этой статье и прописано. А уж если речь идет про договор, то по вышеупомянутому ст.6.1.6 из 152-ФЗ однозначно следует, что брать согласие нельзя, так как его и отозвать нельзя.

И там практически вся статья лажа такого же порядка.