25 сентября 2013 г.

Блогеры, львы, гладиаторы и интересующиеся коммерческой тайной

8-10 октября в павильоне № 7 Экспоцентра на Красной Пресне – традиционная осенняя выставка- конференция  «Инфобез-Экспо».
Наше агентство примет участие в трех мероприятиях. Во второй день конференции, 9 октября, с  12.30 до 14.00 пройдет блогер-панель на этот раз на тему «Стандартизация в информационной безопасности. Какие стандарты нужны и зачем». Тема животрепещущая, и обсудить ее приглашены коллеги, ведущие свои личные блоги, которые много и с удовольствием читают специалисты по информационной безопасности, и не только они.
Алексей Комаров (Злонов) расскажет про близкие каждому отечественному специалисту «Колбасу, дороги и стандарты ИБ», Александр Бондаренко (Security Insight) – про пришедший с Запада PCI DSS, его плюсы и минусы. Михаил Хромов (Ригельз Дыбр) поделится мыслями о том, почему нам нужны стандарты внутренние и для взаимодействия, а ваш покорный слуга (Рецепты безопасности от Емельянникова) – выпишет рецепт для лечения после прочтения стандартов на примере ГОСТ Р 53647.6-2012 и объяснит, почему принимать их вредно. Наталья Храмцовская (Кто не идёт вперед, тот идёт назад) раскроет секреты Международной организации по стандартизации ISO. А Андрей Прозоров (Жизнь 80 на 20) приготовит сюрприз, который преподнесет нам  непосредственно на месте.
Придуманный нами в прошлом году формат блогер-панели оказался вполне удачным и меняться не будет: каждое выступление длится 4-6 минут, а затем обсуждается блогерами и присутствующими в зале. Итого на каждый озвученный пост - 10-15 минут. Скучать будет некогда.
На третий день, 10 октября, я с 12.30 до 14.00 проведу в конференц-зале № 2 мастер-класс, на котором подготовлю ответы на шесть вопросов о коммерческой тайне, которые вы всегда хотели узнать, но стеснялись спросить:
  1. Кому и зачем надо устанавливать режим коммерческой тайны?
  2. Как можно защитить результаты интеллектуальной деятельности, в чем достоинства и недостатки различных режимов защиты (патентное и авторское право, институт коммерческой тайны)?
  3. Можно ли защищать секреты производства и иные сведения, ограничив доступ к информации и не устанавливая режим коммерческой тайны?
  4. Какие режимные меры необходимо принять и как регулировать, отношения с работниками и контрагентами?
  5. Правомерен ли контроль за использованием работниками средств хранения, обработки и передачи информации при реализации режимных мер?
  6. Можно ли защитить свои интересы в суде?
Времени на этот раз для обстоятельного погружения в тему достаточно, поэтому я с удовольствием отвечу на другие волнующие слушателей вопросы. Готовьте.
А закончится конференция традиционным конкурсом продуктов и услуг «Львы и гладиаторы» (10 октября, 14.30-16.00, конференц-зал № 1). Трепать бойцов, выступающих за гладиаторские школы российских и зарубежных вендоров, будут ветераны информационных битв, компетентность и объективность которых никто не рискнет поставить под сомнение. Среди них Дмитрий Устюжанин из «Вымпелкома», Олег Маслов из «Фосагро», Алексей Волков из «Северстали», Артем Кроликов из «АльфаСтрахования», Алексей Овчинников из «X5 Retail Group».
В прошлом году некоторые гладиаторы пожаловались, что львы были недостаточно агрессивны, и им было не страшно на арене. На этот раз мы договорились со львами, что обедать они в день конкурса не будут, так что гладиаторам понадобятся дополнительные доспехи. Пусть готовятся к не самым приятным вопросам.
Будет на конференции и много другого интересного.
Дмитрий Костров, в этом году ушедший из бизнеса в непростую по нынешним временам  жизнь госслужащего и ставший заместителем директора департамента Минкомсвязи, проведет в первый день планарное заседание «Текущая ситуация в мировом киберпространстве. Реальное положение дел. Мнения», на котором обещает разобраться с модными словами «кибер» и «электронный» (-е), которые подставляют сейчас к чему угодно, и проанализировать, как с ними сочетается слово «безопасность». Андрей Москвитин приоткроет тайны Microsoft и расскажет, как обеспечивается безопасность облачной инфраструктуры гиганта и как разместить там информационные системы персональных данных.
Не только интересным, но и непредсказуемым обещает быть обсуждение во второй день темы безопасности АСУ ТП на круглом столе, модерируемом лидерами двух компаний, конкурирующих в одном и том же сегменте рынка – Сергеем Гордейчиком из Positive Technologies и Ильей Медведовским из Digital Security.
Алексей Волков проведет круглый стол «Блеск и нищета DLP-систем», а Рустем Хайретдинов расскажет, как бороться с утечками, сбалансированно используя технические, методические, юридические и кадровые средства.
Дмитрий Устюжанин во второй раз будет ставить опыты в Лаборатории мобильной безопасности. Посетители получат возможность скачать и протестировать понравившееся решение на своем устройстве. Выступающие предоставят несколько тестовых смартфонов, на которых заинтересовавшиеся смогут протестировать предлагаемые продукты. Предложивший лучшее по мнению зрителей решение будет награжден призом. Обещают, что эксклюзивным.
На конференции не будут обойдены стороной проблемы обеспечения безопасности банков, борьбы с мошенничеством и другие.
Надеюсь, что, как и раньше, интересное для себя найдет каждый пришедший на выставку-конференцию. Пригласительные билеты можно оформить здесь.

18 сентября 2013 г.

Мониторинг персонала, DLP, и ментальность

Оценка допустимости контроля со стороны работодателя за действиями своих работников –одна из сложных и наиболее часто обсуждаемых проблем. Евгений Бартов сделал подборку из переводов трех статей, касающихся подходу к организации такого контроля в трех странах – США, Франции и Германии.
Материал интересный, а в преддверии DLP Russia-2013 - весьма актуальный. Учитывая тематику и направленность мероприятия вопросы мониторинга персонала и использования DLP-систем всплывут обязательно. Я, во всяком случае, в своем выступлении «О разрешительной системе доступа к информации, допустимых границах контроля и доверии работнику» об этом обязательно  выскажусь.
В статьях, упомянутых выше, приводятся очень яркие примеры влияния ментальности наций как на сами законы, так и на практику их правоприменения.
Ближе всех к нашему отношению к вопросам мониторинга за персоналом из рассмотренных стран, безусловно, США. Все просто – работодатель может практически все, и это все будет законно. Более того, если действия работников не контролировать, можно влететь в правило «принципал отвечает» и понести конкретные убытки. Ну, а рассмотрение нюансов различных подходов к полноте и содержанию мониторинга, условно названных «нравственность», «прагматичность», «справедливость» и «всеобщее благо», - это от нас еще очень далеко. Мы люди простые и суровые.
С Францией сложнее. Там право на приватность есть, но личную переписку с рабочего места или личные файлы на рабочем компе надо фактически маркировать так, чтобы контролер работодателя мог это однозначно понять. Опять-таки, читать про разумные пределы использования средств работодателя для личных целей в судебных решениях занятно.
А в Германии опять все просто. В целом нельзя. Никогда. Никому. Частная жизнь и приватность священны и неприкосновенны. Но, если очень надо, то все-таки можно. Критерии того, когда допустимо, например, видеонаблюдение в общедоступных местах, впечатляют:
1) отсутствуют признаки нарушения законных интересов людей;
2) наблюдение необходимо для выполнения следующих задач:
·       предоставление возможности государственным службам выполнять свои обязанности;
·       препятствование попаданию нарушителей на территорию;
·       достижение правомерных целей в определенных ситуациях (например, при подозрении в совершении преступления).
Как вам правомерные цели в определенных ситуациях?
При скрытом наблюдении (в общественных местах недопустимо) надо заранее предупредить работников и дать им возможность самостоятельно решать, что можно делать с полученными результатами. Фантастика. А вот еще: «При возникновении конфликта между общими правами работника на приватность и интересами работодателя эти интересы и права подлежат сравнению, чтобы по ситуации определить, что приоритетнее». Или: «Согласно решениям Федерального суда по трудовым вопросам скрытое наблюдение с использованием технических средств разрешается только в следующих случаях:
• имеются конкретные признаки уголовного преступления или иных серьезных правонарушений, осуществляемых за счет работодателя;  
• наблюдение является самым безобидным средством для проверки возникших подозрений;  
• скрытое наблюдение является практически единственным средством решения проблемы;  
• скрытое наблюдение адекватно (например, причины недостач в кассе не могут быть выявлены никаким иным способом)».
Самое безобидное, практически единственное и адекватное. Как критерии допустимости.
Ну и про нас. У нас в законах ничего про это нет. Да и с судебными решениями плохо. Не до этого угнетенному персоналу. Зарплату бы получить.
Поэтому выскажу свою точку зрения. Мониторить можно. Но только открыто. На основании доведенных до работника регламентов. С его согласия. А если не даст – отключим газ (отберем компьютер, электронную почту, интернет – добавить недостающее). И пусть себе трудится и выполняет свои обязанности без всего этого.

А про детали – в пятницу, 20 сентября, на конференции.

16 сентября 2013 г.

Персональные данные в негосударственных пенсионных фондах

Когда речь идет о проектах, связанных с приведением порядка обработки персональных данных в соответствие с федеральным законодательством, очень часто приходится слышать мнение, что дело это простое, шаблонное, думать особо не надо, требования закона одни для всех и т.д. То есть, проблем нет – взял в интернете любой шаблон, подставил нужное название – и все дела. С результатами такого подхода мы сталкивались не раз, когда после прочтения документов, уже имеющихся у клиентов и сделанных весьма солидными компаниями понять, чем занимается оператор, чьи данные, и зачем он обрабатывает, было абсолютно нельзя. Ну, когда торчат ушки другого заказчика, это понятно, тут и обсуждать нечего. А вот когда при всем желании нельзя определить, для кого написаны положение и политика – для банка, провайдера вычислительных услуг или трубного завода – случай уже клинический, хотя и не редкий.
Так получилось, что за прошедший год наше агентство сделало несколько проектов для негосударственных пенсионных фондов, промежуточным итогом которых стало участие в подготовке изменений законодательства, о котором я писал.
На примере этих проектов как раз и можно разобраться, насколько такая работа шаблонна, и чем один проект отличается от другого.
Первая и главнейшая задача – выявить все категории субъектов, чьи данные необходимы фонду для выполнения своих функций в соответствии с законом. В дополнение к традиционным категориям, характерным для каждого из операторов – работникам (в том числе бывшим), соискателям вакантных должностей, представителям контрагентов и посетителям  добавляются весьма специфические группы: вкладчики и участники фонда (а это не всегда одно и то же), застрахованные лица, заключившие договора об обязательном пенсионном страховании, и лица, в пользу которых заключены договора о создании профессиональной пенсионной системы, правопреемники участников фонда и застрахованных лиц (не будем забывать о бренности жизни и сроках, когда наступают выплаты), страхователи, представители субъектов, обращающиеся в фонд по их поручению и др.  
Для каждой такой категории необходимо четко определить правовые основания обработки данных, при необходимости – способы получения согласия на это субъектов (оно должно быть конкретным, информированным и сознательным, и при необходимости оператору придется это доказывать), сформулировать цель обработки персональных данных и конкретные группы сведений, которые необходимо обрабатывать фонду как оператору. Здесь не обойтись без анализа специальных законов. Кроме очевидного «О негосударственных пенсионных фондах» придется покопаться и в таких, как «Об обязательном пенсионном страховании в Российской Федерации», «О дополнительных страховых взносах на накопительную часть трудовой пенсии и государственной поддержке формирования пенсионных накоплений», «Об инвестировании средств для финансирования накопительной части трудовой пенсии в Российской Федерации» и так далее... Эти законы очень важны для определения не только состава обрабатываемых персональных данных, но и сроков их хранения. Например, выяснится, что персональные данные, связанные с трансфер-агентской деятельностью, должны храниться в фонде 6 лет. Или что одной из целей обработки персональных данных работников и их близких родственников является предотвращение конфликтов интересов, для чего необходимы весьма специфические сведения – о наличии у должностных лиц фонда и их родственников в собственности ценных бумаг или долей в уставном капитале организаций, в которые инвестированы средства пенсионных накоплений и наличии заинтересованности в изменении их рыночной цены.
В каждом фонде появляется своя специфика, связанная, например, с размещением вычислительной инфраструктуры в коммерческом облаке или дата-центре по схеме SaaS, PaaS или IaaS (а это сегодня – сплошь и рядом, при этом регулирование отношений между провайдером и фондом может быть осуществлено по совершенно разным схемам), привлечением различного рода организаций – колл-центров, служб доставки, рекламных, ивент-агентств и т.д к работе с клиентами фонда (существующими и потенциальными), и опять-таки, необходимость оценки правовых оснований и условий передачи им персональных данных, наличием и содержанием поручения на обработку. Для агентов и брокеров, действующих в интересах пенсионного фонда, целью такого поручения может быть и сбор персональных данных для заключения фондом в дальнейшем договора пенсионного обеспечения с субъектом.
Все эти вопросы необходимо отразить в локальных актах фонда, в том числе – политике в отношении обработки персональных данных. Если фонд создает на своем сайте для клиентов такой популярный сервис, как личный кабинет, политика должна быть опубликована на сайте обязательно.
И заключительный момент – оценка необходимости направления фондом уведомления об обработке персональных данных в Роскомнадзор. По нашему опыту, под исключения, определенные частью 2 ст.22 ФЗ «О персональных данных», негосударственные пенсионные фонды не подпадают в силу наличия категорий субъектов, не являющихся участниками или выгодоприобретателями по договорам пенсионного страхования и обеспечения. К тому же фраза «персональные данные также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных» и отсутствие в нем упоминания таких оснований для предоставления персональных данных, как случаи, предусмотренные федеральными законами, вообще ставит под сомнения существование исключений в принципе. И практика применения Роскомнадзором ст.19.7 КоАП такой вывод подтверждает.
Вот, если коротко, что такое учет специфики деятельности негосударственного пенсионного фонда оператора. А более подробно об этом можно будет поговорить 16 октября на конференции «Защита персональных данных и автоматизация на финансовом и пенсионном рынках», которую организует и проводит Национальная ассоциация негосударственных пенсионных фондов, пригласившая меня принять участие в мероприятии.

5 сентября 2013 г.

Информационная безопасность железных дорог

По просьбе журнала для менеджмента РЖД я написал статью о проблемах информационной безопасности, которые в первую очередь затрагивают интересы бизнеса транспортников. На мой взгляд, это безопасность АСУ ТП, особенно использующих интернет в качестве транспорта, персональные данные пассажиров, on-line бронирование и приобретение билетов, коммерческая тайна. Если покопаться в интернете, окажется, что сайты и информационные системы железных дорог – одни из самых атакуемых. И то, что ЧП там происходят в основном в силу человеческого фактора, как нам сообщают СМИ, – это еще большой вопрос. Упражнения на PH Days со SCADA от Siemens как-то такой уверенности не вселяют. Правда, в том же журнале менеджеры перевозчиков, довольно далекие от безопасности, уверяют, что все у них хорошо. Но показалось важным, что значительная часть номера весьма специфического журнала со специфической же аудиторией посвящена проблемам безопасности. Не антитеррористической деятельности, не транспортной безопасности и не кадровой даже. Информационной.

Говорят, журнал читает не просто менеджмент, а топ-менеджмент железнодорожного монополиста. Если так, может, кто-то действительно прочитает и задумается.

2 сентября 2013 г.

Новые разъяснения Роскомнадзора – теперь про биометрические персональные данные

В обстановке «строгой конспирации и секретности», конечно же, поздним вечером пятницы, на сайте Роскомнадзора опубликован второй документ, подготовленный уполномоченным органом с участием экспертной группы, куда вхожу и я. На этот раз разъяснения касаются вопросов отнесения фото- и видео- изображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки.
Судя по количеству прочтений, тема биометрии – самая популярная среди читателей моего блога. На персональной страничке прямых заходов на пост «Биометрические персональные данные: что это?» – более 7200, на портале Security Lab, где есть зеркало блога, – без малого 3000 прочтений. Если к ним добавить те посты, где я так или иначе писал про проблемы обработки биометрических персональных данных (здесь и здесь, например), общее число посещений страниц только с этой тематикой уже превысило 20 тысяч.
Поскольку в написании текста разъяснений я принимал самое непосредственное участие, позволю себе выделить главное, что в них отражено.
С самого начала я настаивал на формулировке «биометрические персональные данные, обработка которых регламентируется 152-ФЗ», но поддержки у коллег не нашел. Тем не менее, крайне важным представляется, что в разъяснении четко указаны три признака, при которых на работу с этой категорий сведений распространяются ограничения, определенные ст.11 152-ФЗ. Это сведения, которые:
·         характеризуют физиологические и биологические особенности человека;
·         на основании которых можно установить его личность;
·         которые используются оператором для установления личности субъекта персональных данных.
Все три признака должны присутствовать одновременно! Из чего следует логичный вывод, что «отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица». Нет идентификации – нет биометрии в понимании Федерального закона «О персональных данных».
Поэтому рентгеновские снимки или результаты биохимического анализа крови в поликлинике – не биометрические персональные данные. Как и результаты видеосъемки в офисе или фотография в личном деле работника. Все они не используются для идентификации субъекта медицинским учреждением, кадровым органом или службой безопасности. Но как только они попадут в органы следствия, дознания или исполнения судебных актов для розыска или установления личности, они становятся именно биометрическими персональными данными. А оператором в отношении этих биометрических данных будут как раз следственные и исполнительные органы.
Исходя их этих же соображений, цифровое фото, зашитое в чип загранпаспорта или пропуска, используемого в СКУД, – биометрия, поскольку используется оно как раз при установлении личности владельца пропуска, предъявившего его на входе, паче чаяния у охранника возникнут сомнения, что молодой человек, проходящий через трипод, похож на пожилую даму, чей портрет в этот момент появился на экране монитора.
К чему это я? А к тому, что в соответствии с законом, организации, поставившие у себя СКУД, использующие фотографии и уж тем более дактилоскопическую систему идентификации, должны получить у владельцев пропусков или лиц, прислоняющих свои пальчики к считывателю, согласие на обработку персональных данных в письменной форме, предусмотренной частью 4 ст.9 Федерального закона. И никак по-другому. А вот ФМС, выдающей биометрические загранпаспорта, никаких согласий получать не надо. Часть 2 ст.11: «Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных… в случаях, предусмотренных законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию».
Можно, наконец, вздохнуть с облегчением банкам, которых Управление Роскомнадзора по Краснодарскому краю и республике Адыгея и некоторые его коллеги-единомышленники постоянно штрафуют за ксерокопирование паспортов без письменного согласия клиентов. Теперь всем будет ясно, что «В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных». Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность».
Конечно, всех сложных проблем, связанных с биометрией, данное разъяснение решить не может. Остается, например, просто неприличное несоответствие оснований для обработки биометрических данных без согласия субъектов в федеральных законах «О персональных данных» и «О геномной регистрации». Но все равно такие разъяснения представляются крайне важными для создания единой практики правоприменения. И не надо в очередной раз писать, что толкование законов – вне компетенции Роскомнадзора. Оно уж тем более не в компетенции авторов таких высказываний.
Считаю, что надо радикально менять определение биометрии в 152-ФЗ. В рамках рабочей группы, созданной при Совете Федерации, я предложил следующее: «Биометрические персональные данные – это зафиксированные по определенным правилам параметры, характеризующие биологические особенности человека и используемые в системах автоматической идентификации (распознавания), такие, как изображения папиллярных узоров пальцев, сетчатки глаза и т.п. Само по себе фотографическое изображение человека, в том числе и в цифровой форме, к биометрическим данным не относится, если не используется для его автоматической идентификации».
С обратной связью пока трудно, но можно обсудить и усовершенствовать это определение прямо на блоге. При случае передам заинтересованным и компетентным.