Оформление внедрения и использования DLP (часть 2)

Появилась новая запись в блоге посвященном борьбе профсоюза работников Cisco с самой Cisco по вопросу нарушения прав работника. Первая часть описывалась у меня здесь. 

Так вот, поступил ответ Департамента персонала Cisco, в котором они сообщают о том, что в обращении профсоюза не содержалось доказательной базы (документов, записей и т.д.) и соответственно получается разговор не о чем. Поэтому они не будут консультироваться с профсоюзом по данному вопросу, но если необходимо будет, то они всегда рады помочь. 

Интересная позиция. С одной стороны вроде бы правильная. Чем коллеги могут доказать свои обвинения? Как говорится "Разговор к делу не пришьешь.". Мало ли кто и что сказал. Профсоюз планирует обращаться с требованием о проверке фактов. Правда не понятно куда. И еще написать в ФСБ и Министру связи. Думаю правильно обратиться в правоохранительные органы. Но в ответ на запрос органов Cisco вполне может сообщить (и предоставить документы), что имеется соответствующая политика, инструкция, и согласие работника. А может быть и нет таких документов у Cisco (правда я в этом сомневаюсь). Или написаны они не совсем правильно. 

В общем буду следить. Очень интересная ситуация.

Документы в рамках ФЗ №152 (продолжение)

Вчера был пост про документы по ФЗ №152 и их внутреннему наполнению. Сегодня я наткнулся на ссылку на сайте Защита персональных данных, содержащую подборку документов необходимых в рамках ФЗ №152. Документы из тех же методических рекомендаций Министерства здравоохранения и социального развития. Подборка большая (26 документов) и на мой взгляд полезная. Желающие могут ознакомиться. Мне кажется если оператор сделает себе примерно такую же подборку, то вопросов от регуляторов будет гораздо меньше. 

Документы в рамках ФЗ №152

Просматривая перечень документов необходимых для выполнения требований ФЗ №152 "О персональных данных" обратил внимание на документы Инструкция пользователя ИСПДн, Инструкция администратора ИСПДн, Инструкция администратора безопасности ИСПДн. Возник вопрос, а насколько подробными должны быть эти инструкции? Будет ли достаточно инструкции размером в 2-3 страницы, описывающей основные действия пользователей и администраторов? Решил поискать в сети, какие варианты предлагаются обществом. Наткнулся на следующие варианты от Министерства здравоохранения и социального развития РФ (инструкция администратора безопасности, Инструкция администратора, Инструкция пользователя). Варианты весьма лаконичные. Но тем не менее описывают основные действия. Формально инструкция есть. Вопрос удовлетворит ли такая инструкция регуляторов? Может быть у кого то был опыт общения с регуляторами? Какие требования к таким документам?

Борьба с мошенниками

Во время моей работы в банке нам приходилось бороться с так называемыми дропами. Т.е. людьми, которые занимаются обналичиванием краденных денег через банковские карты. И большой проблемой были люди, которые открывали счет сначала в одном банке. Потом когда там закрывали их счет за такие операции обналичивания, они шли в следующий банк и так далее. Возникает вопрос, как узнать, что человек уже участвовал в схемах обналичивания или других негативных схемах и не открывать ему счет или применять некие средства контроля? 

И тогда возникла идея организовать обмен такой информацией между банками и заинтересованными организациями. Но как это сделать не нарушая закон о банковской деятельности и закон о персональных данных? Одним из вариантов видится объединение участников в некую сеть и организация обмена информацией на базе некоего сервера для обмена. Но при этом на сервере не должно храниться никакой информации. Т.е. это просто некий сервер для связи. 

Схема работы могла быть такой. Есть некое клиентское ПО. В него заносятся ФИО человека, его дата рождения и некая "Соль" для усложнения взлома хеша. Считается хеш полученной строки и результат передается на сервер. Сервер отправляет запрос наличия такого хеша членам сети. Соответственно, банк или другая организация получив запрос от сервера производит поиск по заранее просчитанным хешам известных ему дропов или мошенников. Если совпадение есть, то он отправляет серверу флаг. Таким образом, сервер получает от участников обмена флаги, говорящие о том, что на запрашиваемое лицо есть негатив. Но при этом сервер не фиксирует от кого получена информация и какой именно негатив. После получения всех ответов сервер передает результат инициатору запроса. Инициатор на основании количества флагов может принимать некие решения и учитывать риски. Например, ставя клиента на контроль. Таким образом мы не раскрываем информацию о клиентах, не передаем ПДн в открытом виде. 

Вроде бы на первый взгляд все должно быть хорошо. Возможно коллеги найдут уязвимые места такого алгоритма. Готов выслушать.

Мы персональные данные не обрабатываем!

Во время аудита на предмет выяснения ИСПДн очень часто в начале разговора возникает ситуация, когда опрашиваемый заявляет: "А мы никакие персональные данные не обрабатываем!". И все точка. Причин такого ответа может быть несколько. Основная это конечно же непонимание людьми, что такое персональные данные. Второе, очень часто считают, что персональные данные это только в отделе кадров. А у них в КИС или еще где то, это так, мелочи. Еще один вариант, когда люди путают обработку и работу. Аудиторы спрашивают про обработку понимая под этим все процессы. А люди понимают обработку это как в кадрах или бухгалтерии. А я не обрабатываю, я только получаю и отправляю. Но когда уточняешь, ведется ли работа с персональными данными, вот тогда люди начинают рассказывать больше. В общем аудитор должен быть большим психологом и уметь общаться с людьми. А иначе получится, что на словах никто ничего не обрабатывает, а на деле все наоборот.

Дешевле платить штраф

В связи с новой версией закона "О персональных данных" возникла ситуация, что закон уже есть. а подзаконных актов пока нет. Кроме того. не определены требования к техническим средствам защиты. И в связи с этим, многие компании даже не пытаются внедрять защиту ПДн. Т.к. по их подсчетам пока дешевле платить штраф. Особенно если нет внешних субъектов, а только сотрудники. Как уже замечал Емельянников в своем блоге, он также в последнее время сталкивается с разновидностью такой ситуации. Когда компании готовы внедрять нормативную часть, но не готовы техническую. Получается как всегда, закон есть. но выполняют его не все и не всегда. А причиной является само государство, не обеспечившее полноценную поддержку закону. И в результате хотели как лучше. а получилось как всегда.

Внедрение корпоративных систем и персональные данные

В соответствии с ФЗ №152 "О персональных данных" все вновь внедряемые информационные системы должны соответствовать требованиям закона. Кроме этого, обязанность по обеспечению безопасности персональных данных лежит на операторе.

У меня возник вопрос такого плана. Вот компания решила внедрить какую либо информационную систему. Например, SAP. В этой системе будут обрабатываться персональные данные и об этом известно интегратору или производителю (например, система SAP HR). Так вот должны ли интеграторы/производители продавать систему изначально соответствующую требованиям ФЗ №152 или они продают то что есть, а оператор должен при покупке выдвинуть требования к системе для обеспечения соответствия ФЗ №152?

Мне многие говорят, что оператор должен выдвинуть требования. А интегратор/производитель их реализовать. 

Однако мне кажется, что это не совсем правильно. Ведь закон есть, он утвержден и все знают о нем (и интеграторы и производители). Если я, по каким то причинам, не выдвинул отдельные требования по соответствию ФЗ №152, то мне внедрят заведомо неправильный продукт. Т.е. он заведомо не соответствует ФЗ №152. И у меня будут проблемы при проверках. Но  тогда как то странно, на мой взгляд. 

Когда Вы покупаете, скажем автомобиль, он соответствует требованиям российских законов. И Вы не задумываетесь о том, правильно ли у него стоят фары, того ли цвета фонари и т.д.. Вы рассчитываете, что раз Вы купили его у официального дилера, то все в порядке. И при прохождении ТО претензий со стороны ГИБДД (государства) не будет. 

Почему же с программным обеспечением такого нет? Было бы логично продавать ПО соответствующее всем требованиям российского законодательства. Даже если заказчик по какой то причине не указал специально об этом. 

Тот же SAP на сайте ФСТЭК указан. У него есть сертификат, но нет никаких гарантий, что его внедрят так, чтобы были выполнены требования ФЗ №152. Или может быть мне неправильные интеграторы попадались?

Персональные данные по новому

Президент подписал закон с поправками Резника. И теперь вместо послабления мы получили ужесточение. Чтобы было проще понять что же поменялось в новой редакции Орлов в своем блоге дал ссылку на сравнительную таблицу, которую сделал после анализа старой и новой редакций. Взять таблицу можно здесь. Очень познавательно. Спасибо автору.

Сайт по персональным данным

Наткнулся на интересный сайт посвященный вопросам защиты персональных данных.

Семь уровней защиты персональных данных

Сайт подготовлен компанией Айдеко. На сайте имеется информация о том, что такое ФЗ №152, последствиях его невыполнения, требования закона. Есть еще раздел практика. В нем дано описание действий в отношении вымышленной компании и предоставляются шаблоны документов необходимых для выполнения требований закона. Правда документы даны для самого простого случая, когда обрабатываем только данные сотрудников. Но все равно интересно. В целом ресурс мне показался полезным. Занес в закладки.

Персональные данные и Тинькофф

Ранее я уже публиковал новости по моей жалобе в РосКомНадзор о действиях Тинькофф Кредитные Системы. В одном из крайних постов был ответ РКН о том, что Тинькофф якобы не виноват, а виноват его партнер, который занимается раасылками. С ним сейчас разбираются. И вот обнаружил интересный пост в блоге Игоря Хайрова. В нем описывается как раз ситуация аналогичная моей. А может быть и моя... Статья в блоге взята из газеты "Коммерсант".
Вот ссылка на оригинал статьи в газете "Коммерсант":

Тинькофф агентские системы // Посредники довели ТКС-банк до прокуратурыБанк "Тинькофф Кредитные Системы" (ТКС-банк) получил представление прокуратуры за рассылку предложений оформить кредитную карту без согласия получателя. Банк сослался на действия своих агентов, которые производили рассылку от его имени. Менять модель работы ТКС-банк не намерен, однако в отношении агентов пообещал принять меры. открыть материал…

Интересно чем все закончится.

Ответ РосКомНадзора на жалобу

Продолжается процесс проверки моего обращения по поводу обработки моих ПДн Банком Тинькофф кредитные системы. Пришло очередное письмо из Роскомнадзора. В нем сообщается, что расслыкой занималось не ТКС, а некая ЗАО "ПостерПаблисити".

Так что ждем дальше. По результатам будет видно, что делать. Меня больше интересует вопрос откуда они взяли данные о состоянии здоровья моей семьи.

Персональные данные

Вчера получил письмо из РосКомНадзора по поводу обращения. Чуть раньше я писал о том, что получил письмо от Тиньков Кредитные системы с предложением кредитной карты. При этом в нем имелась информация о состоянии здоровья, которую Тиньков знать не мог никак. Соответственно я обратился в РКН с требованием разобраться откуда Тиньков получил мои ПДн.  Так вот РКН сообщил, что :"В связи с отправкой запроса в Тиньков сроки рассмотрения продлены до 8 июля 2011 г.". Ну что ж, будем ждать. А там может и в прокуратуру отправим запросец...

Персональные данные

На днях жена получила письмо от Банка Тинькоф с предложением кредитной карты. Казалось бы обычный спам. Но в письме имелась информация, которая никому кроме нашей семьи и женской консультации неизвестна. Речь шла о скором прибавлении в нашей семье. Стало мне интересно, откуда же это банк получил такую информацию..... И решил я написать заявление на сайте РосКомНадзора с требованием прояснить ситуацию с разглашением персональных данных. Написал, приложил скан письма. Ответа от РКН пока не получил никакого. Посмотрим чем закончится.