пятница, 18 апреля 2014 г.

ИСПДн "Система Предотвращения Утечек Информации"

В одном из своих прошлых постов я написал, что являюсь сторонником открытости систем DLP. Можно явно не указывать, что за система, однако рассказать о ней своим сотрудникам и сказать, для каких благих целей это делается, на мой взгляд, нужно. 
И на этом фоне возникает еще один интересный нюанс. Что мы расскажем сотрудникам?
  1. Что есть такая умная система.
  2. Что она  в автоматическом режиме собирает и хранит информацию.
  3. Что она на своем уровне ее анализирует.
  4. Что сотрудник может иметь к ней доступ.
Больше всего здесь интересен пункт 2, и вот почему:
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 
(ФЗ "О персональных данных")

Могут ли в системе DLP быть персональные данные? Могут! Ведь используем мы ее, в том числе, для защиты таких данных. Значит система DLP может являться ИСПДн. И тогда необходимо соблюсти все законодательные требования относительно такой ИСПДн, однако в силу специфики систем DLP необходимо учитывать некоторые нюансы:

1. В первую очередь необходимо понять, обрабатываются ли в системе DLP персональные данные. Скорее всего, да. 
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных 
(ФЗ "О персональных данных")

2. В DLP-системе могут находится как данные сотрудников, по которым мы их в последующем можем идентифицировать при расследовании инцидентов, так и прочие данные сотрудников и данные клиентов. Следовательно, нужно провести категоризацию информации, которую мы защищаем от утечек с помощью DLP. Я бы в этом случае не упирался рогом только в "ПДн клиентов" и "ПДн сотрудников", а взглянул на эти две категории шире и глубже.

3. В DLP-системе могут находиться все четыре категории ПДн (которые определены в ФЗ-152 и ПП 1119), так как в большинстве случаев DLP защищает всё и вся. Однако, если мы защищаем с помощью DLP базу СКУД и если в ней есть фотографии сотрудников - биометрические персональные данные -, то в DLP они уже не будут таковыми, так как они не будут использоваться для идентификации субъекта. Таким образом, при определении категорий персональных данных не нужно руководствоваться простым суммированием.

4. Если мы все-таки решаем обозначать такую ИСПДн, то в согласии на обработку персональных данных в целях обработки нужно указать что-то вроде "Предотвращение утечек информации". И это будет как у клиентов, так и у сотрудников.

Это только основные, на мой взгляд, и выделяющиеся моменты, которые дают повод задуматься, является ли ваша DLP-система ИСПДн и сделать первые выводы. Остальное может варьироваться от случая к случаю (от DLP к DLP ;) )

Также интересно: DLP. Спрятать или показать?

среда, 16 апреля 2014 г.

Сроки реагирования и ответов в ФЗ "О персональных данных"

В 20 и 21 статьях ФЗ "О персональных данных" указаны четкие сроки, которые должны быть соблюдены оператором в случаях обращения к нему субъекта персональных данных, а также в случаях выявления нарушений законодательства при обработке персональных данных.
Свел все в одну таблицу для наглядности.

Статья, часть
Ситуация
Действие
Срок
Уведомление
ст.20 ч.1 Обращение субъекта или его представителя с требованием предоставить сведения, касающиеся обработки его ПДн Предоставление сведений, касающихся обработки ПДн субъекта (ст.14, ч.7) При обращении или в срок до 30 календарных дней с момента обращения или получения запроса
ст.20 ч.2 Обращение субъекта или его представителя с требованием предоставить сведения, касающиеся обработки его ПДн Мотивированный отказ с указанием положения, предусмотренного ч.8 ст.14. При обращении или в срок до 30 календарных дней с момента обращения или получения запроса
ст.20 ч.3 Предоставление субъектом  сведений, подтверждающих неточность, неполноту или неактуальность ПДн Внесение изменений в персональные данные (актуализация). 7 рабочих дней с момента предоставления сведений О внесенных изменениях
ст.20 ч.3 Предоставление субъектом сведений, что данные получены незаконно или не соответствуют заявленным целям обработки Уничтожение персональных данных 7 рабочих дней с момента предоставления сведений Об уничтожении (явно не указано)
ст.20 ч.4 Обращение уполномоченного органа по защите прав субъектов ПДн (Роскомнадзор) Предоставление Роскомнадзору необходимой информации 30 календарных дней с даты получения запроса
ст.21 ч.1 Выявление неправомерной обработки (в результате обращения субъекта, его представителя или уполномоченного органа)  блокирование неправомерно обрабатываемых ПДн или обеспечение блокирования (в случае обработчика) с момента обращения или получения запроса (ст 14. ч.1) на период проверки
ст.21 ч.1 Выявление неточных ПДн (в результате обращение субъекта, его представителя или уполномоченного органа)  блокирование неточных ПДн или обеспечение блокирования (в случае обработчика) с момента обращения или получения запроса (ст 14. ч.1) на период проверки
ст.21 ч.2 Подтверждение факта неточных ПДн уточнить данные (или обеспечить их уточнение) и снять блокирование 7 рабочих дней со дня предоставления О внесенных изменениях (ст.20 ч.3)
ст.21 ч.3 Выявление факта неправомерной обработки ПДн прекращение неправомерной обработки 3 рабочих дня Об устранении нарушений
ст.21 ч.3 Невозможность обеспечения правомерности обработки уничтожение персональных данных * 10 рабочих дней с даты выявления неправомерной обработки Об уничтожении ПДн
ст.21 ч.4 Достижение цели обработки ПДн уничтожение персональных данных * ** 30 календарных дней с момента достижения цели
ст.21. ч.5 Отзыв субъектом согласия на обработку ПДн и если сохранение ПДн не требуется для целей обработки Прекращение обработки и уничтожение ПДн * ** 30 календарных дней с даты поступления отзыва согласия

* в случае отсутствия возможности уничтожения персональных данных в течение указанных сроков, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

** если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ "О персональных данных" или другими федеральными законами.

четверг, 10 апреля 2014 г.

DLP. Спрятать или показать?

Недавно на BIS-Expert'e своими размышлениями по поводу бюджетов в ИБ поделился УЦ "Информзащита". И в этих размышлениях есть пункт, с которым я несогласен. И касается это использования систем DLP-систем в организации, предлагается держать это в секрете. И одним из аргументов является то, что если сотрудник будет знать, что в организации есть DLP-система, он будет искать пути обхода. Моя позиция относительно использования DLP-систем в организации , а именно в их сокрытии от сотрудников, обратна. И на этот счет у есть несколько аргументов:


1. Если мы скрываем то, что применяем DLP-систему для контроля утечек, то организация должна понимать, что есть высокая вероятность нарушения конституционных прав человека (а сотрудники у нас в первую очередь люди), предоставленных им 23 статьей. Ведь контролируя свою информацию, мы можем наткнуться и на личную информацию сотрудника, на его переписку. И здесь недостаточно закрытия внешних почтовых ресурсов. Сотрудник может вести личную переписку со служебной почты, даже если это запрещено внутренними положениями. Сотрудник нарушает внутреннее положение организации, возможно. Да, мы можем его депримировать или уволить. Но организация нарушает его конституционные права, и он может подать в суд. На мой взгляд, несоизмеримо. Для этих целей нужно предупредить сотрудника о том, что его личная информация может стать доступна лицам, указать, при каких условиях и взять на это его согласие. Главное здесь, не перегнуть палку и сказать, что организация это делает только в рамках защиты своей КТ и ни в коем случае ни в целях слежения за сотрудниками. И здесь сразу несколько profit'ов:
  • Мы действуем в рамках закона.
  • У сотрудника не будет лишнего желания поделиться интимными подробностями пятничного вечера с товарищем "снаружи" с рабочего места.
  • Сотрудник понимает, что к нему относятся с уважением и лояльность его относительно компании может возрастать.

2. Открытость внедрения DLP-систем является драйвером для службы ИБ для более тщательной и грамотной ее настройки. Теперь сотрудник знает, что такая система есть и может предпринимать шаги к ее обходу. И, следовательно, службе ИБ нужно более грамотно настроить DLP-систему. А чем грамотнее она будет настроена, тем лучше для организации.

3. Даже само название Data Loss(Leak) Prevention говорит о том, что основной задачей таких систем является предотвращение утечек. А немалая часть таких утечек совершается по банальной ошибке. Не даром во многих DLP-системах во всплывающих окнах при отправке документа, попадающего под политику ограничения, есть пункт "Я не знал, что это коммерческая тайна". Какие выводы можно сделать из этого?
  • Если сотрудник и правда не знал, он это укажет (результаты ответов падают АИБу и за сотрудником можно присмотреть более пристально, а вдруг и правда инсайдер). Если сотрудник знал, но попытался, он будет осторожней (опять таки, за ним можно присмотреть). Но в любом случае мы предотвратили утечку. Система достойно справилась со своей основной задачей.
  • В обратном случае если сотрудник отправит документ и такого окошка у него не будет, то вслучае, если сотрудник не инсайдер лояльность отношения к компании у него может упасть, так как может появиться ощущение "тотальной слежки". А организации это надо? И тем более, после нескольких инцидентов вся тайна о существовании DLP-системы в организации перестанет быть тайной, так как сарафанное радио никто не отменял. И здесь можно добавить еще и принцип испорченного телефона, когда из обыной DLP-системы и порядочного АИБа мы получим СОРМ и злого КГБшника (простите, если кого обидел).

Итак, вывод прост. Использование DLP-системы не должно быть секретом для сотрудников. Ну, разве что на этапе тестирования и внедрения, чтобы готовящийся совершить злодеяние инсайдер не ускорился.