6 апреля 2020 г.

Персональные данные vs "удалёнка"

Цифровая трансформация в части перехода на удаленную работу в последний месяц сильно ускорилась, а освоение новых навыков пошло в массы. При этом перед организациями начали вставать вопросы о том, как при "удалёнке" правильно защитить права субъектов персональных данных.

Далее буду приводить действительные для всех отраслей требования с креном в отрасль образования. Уже длительное время ей занимаюсь и даже готовил 2 года назад курс из семи семинаров/вебинаров для школ и детских садов региона (если кому интересно, ссылку могу прислать). Образование – одна из отраслей, где есть потенциал для перевода части обучения в дистанционную форму. Для обучения могут использоваться сервисы электронной почты, онлайн-чаты, системы управления онлайн-обучением, системы для проведения видеоконференций, вебинаров и другие. Кое-что простое, типа электронных дневников существует массово давно, но и здесь зачастую есть вопросы, которые обозначены ниже.

Изложим подробнее проблему и решения. 152-ФЗ, как и европейское законодательство, требует, чтобы персональные данные обрабатывались на законной основе, в объеме, который соответствует целям, и защищались. При этом такие условия должны быть заранее установлены операторами персональных данных. 

19 марта 2018 г.

Методика ранжирования кандидатов в президенты по Гартнеру?

А что если применить для ранжирования кандидатов в президенты методику Гартнера? В Magic Quadrant имеется две шкалы: Completeness of vision и Ability to execute. В общем-то, если поразбирать дальше по критериям каждую эту составляющую и оценивать кандидатов, то в верхнем правом квадрате для нашей страны остался бы лишь один кандидат. 
А если взять Америку, то например текущий президент не дотягивает пока по части Ability to Execute и оказался бы в нижнем правом квадрате, причем ближе к середине, т.к. vision у неопытных кандидатов всегда ниже, чем у опытных. И кстати на выборах ведь не рассказывают про Ability to Execute, только про vision. Ability to Execute в таких высоких позициях, определяется командой кандидата. 
Интересно вообще такую методику применять к выбору кандидатов на должности, в проекты и т.п.

27 июля 2017 г.

О пачке документов по "Персональным данным" и четырех кашах.

Идет небольшой проект и заказчик накидывает нам порцию за порцией уже разработанные документы: свои, от вышестоящей организации, еще какие-то. Говорит, "может это поможет нам ускориться". Хорошо, открываем их, сравниваем, находим много недоработок, но и многое с иной точки зрения. В итоге работа превращается в анализ, выделение цветом и сращивание нескольких каш: заказчика, еще кого-то, нормативной и нашей Бывает просто с Консультанта или еще откуда-то с Инета надергают. И вот поди померяйся... Не могу сказать, что оно позволяет ускорить работу, но обычно до 20-30% времени проекта уходит на это.

26 июля 2017 г.

Что с новыми требованиями ФСТЭК к МЭ?

С сертификацией софтовых межсетевых экранов по требованиям ФСТЭК всё продолжает быть непросто. А ведь требования действуют окончательно уже с конца апреля. В реестре ФСТЭК пока фигурируют аппаратные межсетевые экраны типа А и Б, в т.ч. иностранные - Cisco ASA 5585 и коммутатор HP 5500. А вот по софтовым что интересно, в мае и июне ФСТЭК выдала два сертификата ПО СТАРЫМ требованиям РД: на SecretNet Studio и Виток-МЭ3. Еще есть несколько записей с мартовским и апрельским номерами, но с датой регистрации 30.11.2016. Интересно, если в марте ФСТЭК регил сертификаты МЭ по РД ноябрём 2016, а в мае уже текущей датой, то что последует за этим? Возврат РД? А иначе невозможно работать же...

5 июля 2017 г.

Согласие или несогласие

О согласии на обработку ПДн сегодня снова полемизировал с одним главным бухгалтером. "Вот везде это согласие нам дают, вот в 1С даже типовая форма есть и т.д. и т.п." Если везде - это культура. А Роскомнадзор проверяет 0,01% организаций и результаты этих проверок говорят о том, что культура должна быть другой! Однако 0,01% это же не 90%, по мнению главного бухгалтера.
Но! Согласие может быть отозвано. Поэтому есть одна единственная проверка, рекомендуемая Роскомнадзором: "Что с вами будет, если субъект отзовет согласие?" Вы прекратите обрабатывать ПДн или нет? А если не прекратите, то значит есть причины, есть основания и согласие не нужно! Есть исключения, например видеонаблюдение - для него оснований нет и согласие нужно. Но можете ли вы без видеонаблюдения, если люди будут отзывать согласия? Если не можете, то включите эту позицию в трудовой договор и основание появится, а согласие не потребуется! Это условие труда такое, это безопасность. Но в такой договор в ряде случаев включается до 15 подобных видеонаблюдению ситуаций: охранные меры, банковские карты, медицинское обслуживание, страхование, обучение, мониторинг за пользователями в сети, привлечение аутсорсеров, передача отчетности через 3-и лица и тд и тп. Только прошерстив все договоры и соглашения, поговорив с многими представителями организации, выявляешь это.
В обычной жизни и её текучке людям конечно не до этого, что и подтвердилось в вышеобозначенной беседе ;(.

Политика обработки ПДн для сайта

Многие спрашивают про политику обработки ПДн на сайте. Привожу ниже шаблон. С ним мы проходили с клиентами проверки Роскомнадзора несколько раз. Она короткая, т.к. длинные политики никто не читает. Да и выверить их сложно. Часто видим копипасты, в которых есть ошибки, например включающие среди действий с ПДн их распространение. Это неправильно!
Что нужно сделать:
1. Корректно заполнить политику, указав актуальные название Оператора, цели, действия с ними человеческим языком. Например, если нет онлайн-чата или звонков, то уберите, если есть кабинет, то добавьте и опишите его. Часто сайт используется лишь для отправки информации по открытым каналам, а далее их обработка ведется оператором у себя на ПК. В политике нужно отразить кратко физику процесса. В примере учтены провайдеры и хостинг, что есть у большинства операторов.
2. Если есть формы на сайте, то в них перед кнопкой отправки требуется организовать галочку с подписью "Согласен с политикой обработки персональных данных (ссылка на политику)".
Удачи!
---------
Политика
обработки персональных данных
с использованием официального сайта Наименование организации
г. Киров «__»__________ 201__ г.
Настоящая Политика содержит общие сведения об обработке и защите персональных данных, которые Наименование организации (далее – Оператор персональных данных или Оператор) может получить от физического лица (субъекта персональных данных, далее – Пользователя), пользующегося услугами сайта http://_______________________ и его сервисов (далее – Сайт).
Понятия «персональные данные», «субъект персональных данных», «оператор персональных данных», «обработка персональных данных» используются в соответствии с их определениями в ст. 3 закона от 26.07.2006 г. № 152-ФЗ «О персональных данных».
Целью обработки персональных данных является оказание Пользователю услуг в электронном виде с помощью форм обращений и заявок, размещенных на Сайте:
 доступность услуг;
 информирование;
 осуществление обратной связи с целью улучшения качества обслуживания.
Персональные данные Пользователя обрабатываются в объеме, указанном в формах на сайте и предоставленном Пользователем по личной инициативе. Персональные данные, необходимость обработки которых отсутствует, удаляются и не обрабатываются.
Помимо указанных данных Оператор может собирать информацию об используемых Пользователем браузере, версии операционной системы, параметрах экрана, шрифтах с целью улучшения качества услуг, предоставляемых сайтом Оператора.
Основанием для обработки персональных данных является согласие Пользователя.
Оператор может применять персональные данные в статистических целях и для опубликования на сайте при условии их обезличивания.
Обработка персональных данных Оператором осуществляется до достижения целей обработки.
В процессе сбора и обработки персональных данных с использованием указанного Сайта производится их передача по открытым каналам связи сети Интернет через операторов связи и провайдеров услуг хостинга указанного Сайта. Помимо этого, персональные данные Пользователя могут передаваться при использовании услуг Онлайн-чата и Онлайн-звонков поставщикам таких сервисов в сети Интернет.
Оператор применяет правовые, организационные и технические меры для соблюдения конфиденциальности и обеспечения безопасности персональных данных, включающие в себя соглашения с контрагентами, установление правил доступа к персональным данным, использование средств защиты информации, а также контроль и оценку эффективности применяемых мер и их усовершенствование.
Оператор несет ответственность за обеспечение защиты прав субъектов персональных данных в соответствии с законодательством РФ.
В случае возникновения вопросов, связанных с обработкой персональных данных Оператором, запрос ответственному лицу можно направить по следующим контактным данным:
- адрес: индекс, город, улица, дом/строение, кабинет.
- тел/факс: телефон
- электронная почта: адрес электронной почты
Пользователь имеет право:
- получить информацию, касающуюся обработки его персональных данных Оператором, в том числе информацию о третьих лицах, имеющих доступ к персональным данным;
- получить доступ к своим персональным данным по запросу ответственному лицу Оператора;
- просить уточнения, блокирования и уничтожения своих персональных данных при условии подтверждения факта неточности данных либо неправомерности их обработки;
- отозвать свое согласие на обработку персональных данных, если обработка осуществлялась исключительно на его основании, и прекращение обработки не нарушает законных прав и интересов Оператора;
- отозвать свое согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг, оказываемых Оператором, путем осуществления прямых контактов с Пользователем с помощью средств связи и требовать немедленного прекращения такой обработки;
- получить разъяснение основания обработки его персональных данных без его согласия в случаях, определённых законодательством РФ;
- на защиту своих прав и интересов в отношении персональных данных.
Утвержденная редакция Политики доступна любому пользователю сети Интернет по следующему адресу: http://_____________________________.
При внесении изменений в Политику, Оператор уведомляет об этом Пользователей путем размещения новой редакции Политики на Сайтах не позднее, чем за 10 дней до вступления в силу соответствующих изменений.
Директор _______________________ /______________________

27 июня 2016 г.

Проект доктрины ИБ РФ - предложения

Ознакомился с проектом доктрины ИБ РФ и, поскольку это возможно, внес свои предложения. По крайней мере сайт сообщил, что "сообщение принято". Итак:

1. Важным считаю выделение в Доктрине ИБ такого существенного интереса РФ, как "ЗАЩИТА ОПЫТА". Данный момент никоим образом не обозначен ни среди угроз, ни среди интересов, ни среди мер, ни среди сил ИБ. Однако, Опыт - это наиболее затратная составляющая в любой сфере.  Более того, украсть опыт можно только одним способом - перетянуть команду специалистов. Опыт НЕ КОПИРУЕТСЯ в привычном смысле. В отсутствие опыта любые проекты стоят гораздо дороже и выполняются дольше, а ИБ - не обеспечивается!!! В связи с этим Доктрина должна обратить на Защиту/Накопление/Сохранение Опыта пристальное внимание.
2. В п.8.в. не приводится такой интерес РФ, как достижение широкого признания в мире отечественной ИТ-индустрии, включающей электронику, аппаратное и программное обеспечение.
3. Среди угроз ИБ не обозначена явно, но являющаяся ключевой угроза, связанная с низкой компетентностью (недостаточно выделенной компетентностью) и отсутствием культуры ИБ. Понятие компетентности не приводится, но оно должно концептуально включать: образование, обучение, навыки и опыт.
4. п.23.перечисление п.1: ИТ должны составлять существенную долю не только ВВП, но и экспорта, обеспечивая диверсификацию экспорта.
5. п.23.перечисление п.3: независимость также должна достигаться путем активного участия в системе международной стандартизации, в которой по объективным показателям РФ сегодня практически не участвует. Угроза состоит в том, что РФ принимает ИТ по итогу, по факту. Ввиду неготовности к новым стандартам это может приводить к невозможности быстрой модернизации.
6. п.6.д. Средства ИБ - отмечен традиционный набор средств, но считаю необходимым выделить "правовые" и "образовательные" средства ИБ, как имеющее существенное отличие от собственно организационных и технических.

P.S. К сожалению интерфейс сайта Совета безопасности не позволяет отправить больше. Пришлось формулировать сжато.