ИСПДн Корпоративный портал - Форум по вопросам информационной безопасности

Приветствую, форумчане!

Помогите решить вопрос: есть группа компаний (несколько разных юр.лиц), и есть один корпоративный портал - минисоцсеть для сотрудников всех этих компаний. На личной странице каждого сотрудника показаны данные: ФИО, дата рождения, телефон, e-mail, должность). Как в данном случае описывать это? Выделять ли в отдельную ИСПДн.

Вариант: "Не показывать регуляторам при проверке" - не подходит, т.к. на портале подаются все внутренние заявки (от "поменять замок" до "доступ к интернет") и соответственно данные моменты указывают во внутренних инструкциях и порядках.

Первым на ум приходит вариант - сделать все данные общедоступными, подписав соответствующее согласие у сотрудников. Но это с технической стороны крайне сложно сделать.

Товарищи, помогите найти выход из сложившейся тяжелой ситуации! Может у кого-то был подобный случай в практике?

Эх, учишь-учишь, а вопросы одни и те же...
Вариант 1. Дешевый и правильный. Уйти от полноты ПДн. Т.е. оставить Фамилия ИО + контакты + должность. Этого достаточно для заполнения заявок и обращения друг к другу. А отслеживать даты дней рождений можно и иными средствами. В конечном счете, если это особенно надо, через кадры (которые однозначно нужно выделять в ИСПДн)...
Вариант 2. Дешевый, но глупый и замороченный. Объявить эти ПДн общедоступными. Посредством анализа аккаунтов соц.сетей всех фигурирующих на портале лиц. И размещать на портале только те данные, которые выложены в Сеть самими владельцами. Но помните, что "общедоступные ПДн" - это все равно ИСПДн минимум 4 уровня защищенности. Со всеми вытекающими...
Вариант 3. Дорогой и, в целом, правильный (по перспективе). Выделить портал в отдельную ИСПДн. Классифицировать, защитить, аттестовать (опционально). Попутно выяснить, какие данные куда передаются во внутренней сети (а они передаются). И сегментировать внутреннюю сеть, защитить, аттестовать (опционально). Попутно выяснить логические, технические и иные каналы утечки (уязвимости) в остальной внутренней сети. Сегментировать ее еще раз, защитить, аттестовать (опционально). На выходе получить добротную, грамотно реализованную, структурированную и четко контролируемую внутреннюю сеть, защищенную от внешних воздействий. Принцип действия, как говорил мудрец: "Даже самый долгий дорог начинается с первый шаг"...

oko, приветствую Вас!

Забыл сказать, что еще там есть Фото. По сути все эти данные, кроме ФИО и должности добавляются самим пользователем. Возможно ли придумать галочку типо "добавляя данные я согласен с тем, что они станут общедоступными"?

P.S. почему нужно однозначно выделять кадры в ИСПДн? У нас кадры работают в 1С:ERP и, соответственно, ИСПДн будет "1С:ERP".

P.S.S. Заранее хочу поблагодарить за проявленное внимание к моим постам. Вижу, что Вы разбираетесь в теме. Продолжая учить-учить нас по таким одним и тем же вопросам, Вы делаете ИБ в РФ качественнее!

+1 1-й вариант тов. oko

фото ничего не изменит, но на всякий случай сделайте приписку вида: загружаемая фотография не предназначена для мероприятий, направленных на установление личности конкретного лица.

однозначно выделять кадры всё-таки придётся, поскольку не следует обрабатывать ПДн с разными целями обработки в одной ИСПДн (надеюсь, написал доступно :) )

полагаю, что добавляя галочку "сделать мои ПДн общедоступными" вы противоречите законодательству. Хотя, были разъяснения, что просто ФИО не может однозначно идентифицировать субъект персональных данных, а служ.телефон, номер комнаты, e-mail, должность тем более присваиваются работодателем. осталось избавиться от поздравлений с ДР и датой рождения в частности :)

ПДн собираются по совокупности. Так что ФИО (полные) + контакты + место работы + должность + фото = однозначно ПДн, пусть и без биометрии (т.е. "иные ПДн"). Если фотография будет особой четкости и в полный рост (а не как на паспорте, ага), то особо ретивые регуляторы могут и под биометрию попытаться подтянуть. А если всю эту красоту сделать "общедоступной", то, во-первых, нужно веское для того основание (например, содержание таких ПДн в общем доступе уже - справочники, те же соц.сети в Сети и т.п.), а во-вторых, это все равно требует защиты. Потому как "иные ПДн + общедоступность + те же 3 угрозы НДВ + <> 100000 записей (не принципиально) = 4 уровень защищенности". Т.е. выделенная ИСПДн, средства защиты информации, орг.-режимные меры и проч., и проч.
Повторю совет еще раз: постарайтесь уйти от ПДн вообще. Как максимум - Фамилия+ИО+контакты+должность. А фотографии, даты рождения и проч. - отказаться совсем.

Кадры - всегда ИСПДн, причем всегда выделенная по организации, если речь не идет о концернах (с единой кадровой политикой), и то не всегда. Потому как форма Т-2 и проч. "служебная информация"...

А про "1С: ERP"... 1С вообще требования безопасности в своих продуктах выполняет на от*сь (чего стоит их "заплатка" 1С8.2z-1C8.3z). С другой стороны, это не их проблема. Если уж объединили CRM, TMS и проч. между собой и с базой кадрового состава в единой СУБД (и в единой БД) - сами виноваты. Думайте над разграничением доступа. БД, в целом, может быть одной (черт с ней, с формулировкой из 152-ФЗ, она слишком "расплывчатая"). Главное, чтобы каждый пользователь такой "комбайн-системы" обрабатывал только ту информацию, которая ему положена по служебной необходимости...

ЗЫ С "учишь", конечно, погорячился, признаю. В конце концов, педагогического образования и стажа не имею (пара десятков часов не в счет).

> Так что ФИО (полные) + контакты + место работы + должность + фото = однозначно ПДн, пусть и без биометрии (т.е. "иные ПДн"). Если фотография будет особой четкости и в полный рост (а не как на паспорте, ага), то особо ретивые регуляторы могут и под биометрию попытаться подтянуть

не соглашусь с тем, что "ФИО (полные) + контакты + место работы + должность + фото = однозначно ПДн".
в соответствии с разъяснениями оф.разъяснениями РКН (https://77.rkn.gov.ru/p3852/p13239/

3. Вопрос: Является ли обработкой персональных данных размещение фамилии, имени и отчества без иной дополнительной информации?

Ответ: Размещение на страницах сайтов в сети «Интернет» фамилии, имени и отчества без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица.)

ответ на вопрос сводится лишь к термину "дополнительная информация".
Дополнительная информация, предоставляемая работодателем (№ телефона, № комнаты, e-mail, табельный номер, прочее) не может однозначно идентифицировать субъект ПДн даже в пределах одной компании (если она, конечно, не состоит из 32 чел.)

to Alex
*в сторону* все зависит от опять-таки криво прописанного в законодательстве понятия "идентификация субъекта ПДн"...

imho, "идентификация" в нашем случае - это процесс, в ходе которого устанавливается, что такой-то конкретный объект обладает такими-то конкретными свойствами, присущими только ему (уникальными свойствами, признаками). Вытекает из общеизвестного понятия "идентификация" - как установление самого объекта по этим уникальным свойствам...
В таком ракурсе - при постановке задачи, озвученной тов. Антоном -, Иванов Иван Иванович, работающий (и, весьма вероятно, проживающий) в городе N в организации M, являющийся сотрудником отдела X, имеющий примерно такие-то черты лица и такие-то контактные данные (телефон, e-mail) - это уже объект, обладающий уникальными свойствами из всех таких "классов" как: Ивановы И.И., жители г. N, сотрудники организации M вообще и отдела X в частности, мужчины (в нашем примере), русые/блондины/брюнеты/.../лысые (зависит от фотографии). Про контактные данные вообще молчу - наше законодательство старается нас же убедить, что записи в БД телефонных компаний или mail-серверов - это анонимные (не общедоступные) и не уникальные (как серия и номер паспорта) записи. Особенно учитывая, что в большинстве своем физ.лица вынуждены регистрировать свои телефонные номера по тому же паспорту...
Собственно, сам РКН как бы намекает на правильность означенной выше цепи рассуждений своей фразой, которая, кстати, развязывает им руки для принятия решения в любую пользу (свою или, как в нашем случае, тов. Антона): "без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных"...
Вывод: не хотите подставляться? считайте приведенную выше совокупность информации как "иные ПДн" (без или с пометкой "общедоступные", о чем уже ранее говорил) со всеми вытекающими. Не хотите заморачиваться на обработку "иных ПДн" в своей ИС? Откажитесь от них или дифференцируйте и откажитесь от несущественной части. Это, конечно, не панацея, как полноценное "обезличивание ПДн" (а "обезличивание" непосредственно по методичке РКН еще менее удачное решение, ага), но вполне вменяемое. Вам, как безопаснику, надо оценить риски и вероятность попадания указанной информации в "чужие руки" (к нарушителям). Желательно, приняв во внимание такую вещь, которая в законе и НМД по ПДн вообще не рассматривается. Называется она "поиск по косвенным данным"...

*в сторону* не ответ получился, а нечто заунывное и слабо читабельное... попробую исправиться посредством краткой пьесы в 3 действиях... действующих лиц представлять не буду - сами поймете - да и кто я такой, чтобы их ПДн в общий доступ выкладывать, ага (рекурсия, однако, получается)...

Название: "Донос, позор и инструменты косвенного поиска"
Эпиграф: <Дополнительная информация, предоставляемая работодателем (№ телефона, № комнаты, e-mail, табельный номер, прочее) не может однозначно идентифицировать субъект ПДн даже в пределах одной компании> тов. Alex

Акт 1
/организация М, кабинет Y, входят двое/
- Сегодня в курилке какой-то чел Петрова П.П. по матери распекал. Так задорно и звонко - я аж заслушался. Говорит, достал его этот Петров - не начальник, а г*но.
- Петров П.П.? Так это мой давний друг! Как, говоришь, звали того негодяя, что его за глаза материт?
- Не знаю. Давай на нашем сайте посмотрим.
/стук клавиш, щелчки "мыши"/
- Такс, поглядим... Подразделение В, отдел Х, перечень сотрудников...
- Вот этот чел! Это он в курилке был!
- Хмм... Что ж, попал ты, Иванов И.И...

Акт 2
/те же + телефонный разговор с Петровым П.П./
- Здорова, Петр! Как сам, как дети, как жена?
- Привет! Ничего, все в порядке. Если б не работа эта дурацкая, жить было бы совсем хорошо...
- А я тебе как раз по рабочему моменту звоню. По секрету скажу: есть у тебя такой человек - Иванов И.И. - негодяй, ругает тебя последними словами. Не иначе, на место твое метит.
- Иванов? Вот как? Что ж, не ты один мне такое уже говоришь. Пора, видимо, его прижать слегка. Спасибо!

Акт 3
/в кабинете у Петрова П.П., монолог Петрова П.П./
- Ну здравствуй, Ванечка. А чего грустный такой? Никак думаешь, "что же мне теперь делать с задачами, которые ты - т.е. я - под конец года подкинул?" Работай, Ванечка, работай. Фирма у нас уважаемая, марку и темп должен поддерживать каждый сотрудник. Мы же команда тут, а не абы кто! Так что, не выполнишь - лишишься премии, отпуска и, возможно, должности. Все, иди, свободен...

Заключение: Иванов И.И. не справляется с задачами (по понятным причинам), увольняется "по собственному", не выплачивает ипотеку в срок, лишается квартиры и заканчивает свою жизнь... на даче в сытости и достатке, потому что сумел в суде доказать вину организации M, а, вернее, наличие у них внутренней информационной системы, столь неудачно подвернувшейся под руку героям нашей пьесы (конечно, основной упор был на самого Петрова П.П., но денег больше поимел все-таки с организации)...

Мораль: отсутствие доступной информационной системы - отсутствие инструмента для поиска по косвенным данным - снижает modus operandi у тех людей, кого принято в нашем деле объявлять пресловутым "человеческим фактором" (с которым, зачастую, мало что можно сделать - можно только ограничить его влияние)...

Выводы: кто виноват? что делать? едят ли курицу руками? на первые два есть ответ - не давать инструмент в руки кому-либо, не просчитав последствий. А если уж раздали, то готовьтесь на себя взять часть вины. И умейте оценивать последствия от тех или иных действий. Хотя бы от внедрения тех или иных систем...

ЗЫ На красоту драматургии не претендую, поскольку и пьеса, и антецедент - дерьмо. Но, надеюсь, весьма наглядно вышло...

2 oko | 73954: Спасибо, улыбнулся!

oko,

Пьеса не прям то уж и говно! Очень даже наглядно показан риск.

С абсолютной уверенностью могу сказать, что ФОТО и ДАТУ рождения убрать не получится. Даже не спрашивайте почему...привет HR! Также руководство компании не станет всерьез думать о случаях аналогичных представленному в пьесе. Цель - защита от регулятора.

А решил я это все так: возвращаясь к Вашим рекомендациям, а именно п.1 "убрать Фото и ДР". Есть у нас web-программист, который следит за данным корпоративным порталом. Я с ним договорился и он сделает некую "кнопку". При проверке, нажав на эту "кнопку", все данные "Фото и ДР" чудесным образом исчезнут. После проверки - появятся обратно.

Всем спасибо за помощь!