пятница, 29 апреля 2011 г.

О семинаре Softline

О семинаре Softline. 
28 апреля 2011 года в Красноярске прошел семинар "Код безопасности – комплексные решения для защиты персональных данных, конфиденциальной информации, коммерческой и государственной тайны" компании Softline. Семинар проходил в бизнес-центре Сириус.
Программа была запланирована следующая:
09.30 – 10.00 Регистрация участников, приветственный кофе
10.00 – 10.10 Вступительное слово от компании Softline
10.10 – 10.50 "Средства для защиты рабочих мест от несанкционированного доступа и сетевых угроз: Secret Net, SSEP"
10.50 – 11.40 "Сертифицированные средства межсетевого экранирования и организации VPN: АПКШ "Континент", Trust Access"
11.40 – 12.00 Перерыв
12.00 – 12.40 Аппаратно-программный модуль доверенной загрузки: электронный замок "Соболь"
12.40 – 13.20 "vGate 2 - новая версия программного решения для защиты информации, выполнения требований законодательства и отраслевых стандартов, а также для управления политиками безопасности виртуальных инфраструктур на базе платформ VMware Infrastructure 3 и vSphere 4"
13.20 – 13.40 Сессия вопросов и ответов
Хочу поделиться своими впечатлениями от данного мероприятия, ибо зацепило :-)


Об организации
Организовано мероприятие было на достаточно высоком уровне, временной регламент соблюдался, плюшки на кофе-брейке были, журнальчики агитационные выдали :-) Из минусов только расположение самого бизнес-центра, до которого добраться без машины не так-то просто, но здание красивое (к слову с другой стороны находится Лексус-центр). А еще в зале было достаточно прохладно, но это уже мое субъективное мнение :-)
Докладов было больше, чем заявлено в программе. И доклады были действительно интересные, на предложения послушать еще презентации или идти домой, все просили рассказывать дальше. Спасибо Альберту Нурутдинову, рассказывать в течение многих часов и не усыпить аудиторию, задача непростая :-) Презантации были показаны на двух экранах одновременно, что очень удобно, учитывая что зал был практически полным, что удивило и порадовало. «Для физиков 10 человек на конференции уже Вудсток» (вольная интерпретация фразы из «Теории большого взрыва»).
Что характерно для Красноярска, на таких мероприятиях можно встретить множество знакомых лиц, как мне говорили когда-то, будешь работать в безопасности, поймешь, насколько это узкий круг:-)В частности были представители ГУВД по Красноярскому краю, где я когда-то проходила летнюю практику и где я впервые познакомилась с защитой персональных данных :-)

О докладах
Лично я шла на мероприятие ради двух докладов – по Континенту и SecretNet, ибо это практически стандарт и классика для информационной безопасности.
Доклады были на следующие темы:
1. Secret Net;
2. Security Studio Endpoint Protection;
3. АПКШ "Континент";
4. TrustAccess;
5. vGate;
6. Honeypot Manager;
7. "Код Безопасности: Инвентаризация".
На сайте Кода Безопасности можно ознакомиться с презентациями по данным продуктам, многие слайды презентаций повторяют то, что было показано 28 апреля в Сириусе, что и не удивительно :-)
Но в семинарах всегда самое интересное – обсуждения. Ради них все и собираются. Агитационные листовки мы уже и так не раз видели :-)


Вопросы из зала
Были вопросы про Linux, цены продуктов, лицензии на криптографию, ошибки, возможности обхода защиты, резервировании и т.д. 

суббота, 23 апреля 2011 г.

Рецепт 2. Разработка формы согласия на обработку ПДн


Рецепт 2. Разработка формы согласия на обработку ПДн

Ингридиенты: субъекты персональных данных, персональные данные, ваша организация, ответственное лицо.

Способ приготовления:
Начать приготовление формы согласия, на мой взгляд, лучше всего с определения круга лиц, с которых это согласие будет собираться.

Совет: Это могут быть разные категории, чаще всего две: клиенты и сотрудники (кошки и собаки). Но мы можем эти категории детализировать – работники по основному месту работу, совместители, клиенты постоянные и т.д. (перс, сиамская, бульдог, чау-чау и т.д.). Однако зачастую достаточно выделить только внутренних и внешних субъектов, что упростит процедуру разработки документации.

Письменное согласие об обработке персональных данных должно включать в себя следующее:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва;
7) собственноручную подпись субъекта персональных данных.
(ст. 9, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 23.12.2010) "О персональных данных" (принят ГД ФС РФ 08.07.2006))

Совет: как показало общение с представителями Роскомнадзора во время проверки, сбор согласий, не включающих хотя бы один из данных пунктов, является нарушением. К слову сказать, мои формы согласия были оценены как правильные J

Итак, мы определились что у нас в согласии должно быть, приступим к его составлению. Первый пункт понятен, оставляем пустые строчки, для того, чтобы субъект вписал туда свои персональные данные. Второй пункт тоже простой, вспоминаем, как называется наша организация, не забудьте указать форму собственности, а также указываем адрес регистрации.

Далее нам необходимо определить цель обработки. Разработайте разные формы согласий для клиентов и сотрудников, пропишите в каждом согласии конкретную цель. Это будет гораздо удобнее, чем многостраничный универсальный документ для всех, который трудно прочитать и осознать. Тем более, категории обрабатываемых данных клиентов и сотрудников обычно отличаются.

Существует мнение, что для обработки персональных данных сотрудников нет необходимости собирать согласия в письменном виде, так как:
2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
(ст. 6, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 23.12.2010) "О персональных данных" (принят ГД ФС РФ 08.07.2006))

 В нашем случае - это трудовой договор. Однако в ходе работы могут возникнут ситуации напрямую не связанные с трудовыми отношениями – оформление доверенности, оформление зарплатных счетов и т.д. Лучше все-таки согласия собрать, тем более что сбор согласий с сотрудников - гораздо более легкое мероприятий, чем сбор согласий с клиентов. Своих все-таки отловить легче, да и лояльнее они, так как понимают, что подписать придется в любом случае.J

Совет: Примеры целей: исполнение договорных отношений с ОАО «ХХХ» или осуществление трудовых отношений с ОАО «ХХХ». К подобной формулировке у Роскомнадзора претензий не было. Если Вами было уже составлено уведомление об обработке, смело можете копипастить информацию оттуда. С другой стороны, если у Вас это уведомление составлено, зачем Вы все это читаете, там все есть J

Теперь мы знаем чьи данные, кто обрабатывает, где обрабатывает и для чего. Определим, что мы обрабатываем. Это процесс нелегкий, особенно если предприятие большое. Я пошла следующим путем – опрос сотрудников, вычленение персональных данных из документов и баз данных.

Совет: Лучше проводить как опрос, так и самостоятельный анализ. Вас может удивить, насколько разную информацию Вы при этом получите J Заодно проверите бизнес-процессы, уберете лишнюю информацию, которая никому не нужна. В общем оптимизация и мир во всем мире J

Чтобы примерно знать где копать – начинайте с бухгалтерии, кадров, отдела по работе с клиентами и юридического отдела. А они уже Вас направят в другие подразделения за дополнительной информациейJ

Перечень действий берем из ФЗ «О персональных данных»:
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
(ст. 3, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 23.12.2010) "О персональных данных" (принят ГД ФС РФ 08.07.2006))

Срок действия можно сформулировать следующим образом:
1) «Согласие вступает в силу с даты передачи мною персональных данных в ОАО «ХХХ» и действует до момента расторжения Договора с погашением задолженности по Договору».
2) Согласие вступает в силу со дня передачи мною персональных данных в ОАО «Красноярсккрайгаз» и до момента расторжения трудового договора.

Совет: Дополнительно укажите, что согласие может быть отозвано и организация обязана прекратить обработку в трехдневный срок в соответствии с законодательством.

Резюме: Сегодня мы с Вами приготовили согласие на обработку персональных данных, подавайте его с личной подписью клиента или сотрудника. Храните в надежном месте.