Автор: Антон | 73915

17.07.2017 15:35

Приветствую, форумчане! Помогите решить вопрос: есть группа компаний (несколько разных юр.лиц), и есть один корпоративный портал - минисоцсеть для сотрудников всех этих компаний. На личной странице каждого сотрудника показаны данные: ФИО, дата рождения, телефон, e-mail, должность). Как в данном случае описывать это? Выделять ли в отдельную ИСПДн. Вариант: "Не показывать регуляторам при проверке" - не подходит, т.к. на портале подаются все внутренние заявки (от "поменять замок" до "доступ к интернет") и соответственно данные моменты указывают во внутренних инструкциях и порядках. Первым на ум приходит вариант - сделать все данные общедоступными, подписав соответствующее согласие у сотрудников. Но это с технической стороны крайне сложно сделать. Товарищи, помогите найти выход из сложившейся тяжелой ситуации! Может у кого-то был подобный случай в практике?

Автор: oko | 73917

17.07.2017 16:01

Эх, учишь-учишь, а вопросы одни и те же... Вариант 1. Дешевый и правильный. Уйти от полноты ПДн. Т.е. оставить Фамилия ИО + контакты + должность. Этого достаточно для заполнения заявок и обращения друг к другу. А отслеживать даты дней рождений можно и иными средствами. В конечном счете, если это особенно надо, через кадры (которые однозначно нужно выделять в ИСПДн)... Вариант 2. Дешевый, но глупый и замороченный. Объявить эти ПДн общедоступными. Посредством анализа аккаунтов соц.сетей всех фигурирующих на портале лиц. И размещать на портале только те данные, которые выложены в Сеть самими владельцами. Но помните, что "общедоступные ПДн" - это все равно ИСПДн минимум 4 уровня защищенности. Со всеми вытекающими... Вариант 3. Дорогой и, в целом, правильный (по перспективе). Выделить портал в отдельную ИСПДн. Классифицировать, защитить, аттестовать (опционально). Попутно выяснить, какие данные куда передаются во внутренней сети (а они передаются). И сегментировать внутреннюю сеть, защитить, аттестовать (опционально). Попутно выяснить логические, технические и иные каналы утечки (уязвимости) в остальной внутренней сети. Сегментировать ее еще раз, защитить, аттестовать (опционально). На выходе получить добротную, грамотно реализованную, структурированную и четко контролируемую внутреннюю сеть, защищенную от внешних воздействий. Принцип действия, как говорил мудрец: "Даже самый долгий дорог начинается с первый шаг"...

Автор: Антон | 73940

18.07.2017 10:01

oko, приветствую Вас! Забыл сказать, что еще там есть Фото. По сути все эти данные, кроме ФИО и должности добавляются самим пользователем. Возможно ли придумать галочку типо "добавляя данные я согласен с тем, что они станут общедоступными"? P.S. почему нужно однозначно выделять кадры в ИСПДн? У нас кадры работают в 1С:ERP и, соответственно, ИСПДн будет "1С:ERP". P.S.S. Заранее хочу поблагодарить за проявленное внимание к моим постам. Вижу, что Вы разбираетесь в теме. Продолжая учить-учить нас по таким одним и тем же вопросам, Вы делаете ИБ в РФ качественнее!

Автор: Alex | 73947

18.07.2017 16:48

+1 1-й вариант тов. oko фото ничего не изменит, но на всякий случай сделайте приписку вида: загружаемая фотография не предназначена для мероприятий, направленных на установление личности конкретного лица. однозначно выделять кадры всё-таки придётся, поскольку не следует обрабатывать ПДн с разными целями обработки в одной ИСПДн (надеюсь, написал доступно :) ) полагаю, что добавляя галочку "сделать мои ПДн общедоступными" вы противоречите законодательству. Хотя, были разъяснения, что просто ФИО не может однозначно идентифицировать субъект персональных данных, а служ.телефон, номер комнаты, e-mail, должность тем более присваиваются работодателем. осталось избавиться от поздравлений с ДР и датой рождения в частности :)

Автор: oko | 73949

18.07.2017 17:14

ПДн собираются по совокупности. Так что ФИО (полные) + контакты + место работы + должность + фото = однозначно ПДн, пусть и без биометрии (т.е. "иные ПДн"). Если фотография будет особой четкости и в полный рост (а не как на паспорте, ага), то особо ретивые регуляторы могут и под биометрию попытаться подтянуть. А если всю эту красоту сделать "общедоступной", то, во-первых, нужно веское для того основание (например, содержание таких ПДн в общем доступе уже - справочники, те же соц.сети в Сети и т.п.), а во-вторых, это все равно требует защиты. Потому как "иные ПДн + общедоступность + те же 3 угрозы НДВ + <> 100000 записей (не принципиально) = 4 уровень защищенности". Т.е. выделенная ИСПДн, средства защиты информации, орг.-режимные меры и проч., и проч. Повторю совет еще раз: постарайтесь уйти от ПДн вообще. Как максимум - Фамилия+ИО+контакты+должность. А фотографии, даты рождения и проч. - отказаться совсем. Кадры - всегда ИСПДн, причем всегда выделенная по организации, если речь не идет о концернах (с единой кадровой политикой), и то не всегда. Потому как форма Т-2 и проч. "служебная информация"... А про "1С: ERP"... 1С вообще требования безопасности в своих продуктах выполняет на от*сь (чего стоит их "заплатка" 1С8.2z-1C8.3z). С другой стороны, это не их проблема. Если уж объединили CRM, TMS и проч. между собой и с базой кадрового состава в единой СУБД (и в единой БД) - сами виноваты. Думайте над разграничением доступа. БД, в целом, может быть одной (черт с ней, с формулировкой из 152-ФЗ, она слишком "расплывчатая"). Главное, чтобы каждый пользователь такой "комбайн-системы" обрабатывал только ту информацию, которая ему положена по служебной необходимости... ЗЫ С "учишь", конечно, погорячился, признаю. В конце концов, педагогического образования и стажа не имею (пара десятков часов не в счет).

Автор: Alex | 73950

18.07.2017 17:44

> Так что ФИО (полные) + контакты + место работы + должность + фото = однозначно ПДн, пусть и без биометрии (т.е. "иные ПДн"). Если фотография будет особой четкости и в полный рост (а не как на паспорте, ага), то особо ретивые регуляторы могут и под биометрию попытаться подтянуть не соглашусь с тем, что "ФИО (полные) + контакты + место работы + должность + фото = однозначно ПДн". в соответствии с разъяснениями оф.разъяснениями РКН (https://77.rkn.gov.ru/p3852/p13239/ 3. Вопрос: Является ли обработкой персональных данных размещение фамилии, имени и отчества без иной дополнительной информации? Ответ: Размещение на страницах сайтов в сети «Интернет» фамилии, имени и отчества без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица.) ответ на вопрос сводится лишь к термину "дополнительная информация". Дополнительная информация, предоставляемая работодателем (№ телефона, № комнаты, e-mail, табельный номер, прочее) не может однозначно идентифицировать субъект ПДн даже в пределах одной компании (если она, конечно, не состоит из 32 чел.)

Автор: oko | 73953

18.07.2017 21:40

to Alex *в сторону* все зависит от опять-таки криво прописанного в законодательстве понятия "идентификация субъекта ПДн"... imho, "идентификация" в нашем случае - это процесс, в ходе которого устанавливается, что такой-то конкретный объект обладает такими-то конкретными свойствами, присущими только ему (уникальными свойствами, признаками). Вытекает из общеизвестного понятия "идентификация" - как установление самого объекта по этим уникальным свойствам... В таком ракурсе - при постановке задачи, озвученной тов. Антоном -, Иванов Иван Иванович, работающий (и, весьма вероятно, проживающий) в городе N в организации M, являющийся сотрудником отдела X, имеющий примерно такие-то черты лица и такие-то контактные данные (телефон, e-mail) - это уже объект, обладающий уникальными свойствами из всех таких "классов" как: Ивановы И.И., жители г. N, сотрудники организации M вообще и отдела X в частности, мужчины (в нашем примере), русые/блондины/брюнеты/.../лысые (зависит от фотографии). Про контактные данные вообще молчу - наше законодательство старается нас же убедить, что записи в БД телефонных компаний или mail-серверов - это анонимные (не общедоступные) и не уникальные (как серия и номер паспорта) записи. Особенно учитывая, что в большинстве своем физ.лица вынуждены регистрировать свои телефонные номера по тому же паспорту... Собственно, сам РКН как бы намекает на правильность означенной выше цепи рассуждений своей фразой, которая, кстати, развязывает им руки для принятия решения в любую пользу (свою или, как в нашем случае, тов. Антона): "без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных"... Вывод: не хотите подставляться? считайте приведенную выше совокупность информации как "иные ПДн" (без или с пометкой "общедоступные", о чем уже ранее говорил) со всеми вытекающими. Не хотите заморачиваться на обработку "иных ПДн" в своей ИС? Откажитесь от них или дифференцируйте и откажитесь от несущественной части. Это, конечно, не панацея, как полноценное "обезличивание ПДн" (а "обезличивание" непосредственно по методичке РКН еще менее удачное решение, ага), но вполне вменяемое. Вам, как безопаснику, надо оценить риски и вероятность попадания указанной информации в "чужие руки" (к нарушителям). Желательно, приняв во внимание такую вещь, которая в законе и НМД по ПДн вообще не рассматривается. Называется она "поиск по косвенным данным"...

Автор: oko | 73954

18.07.2017 22:30

*в сторону* не ответ получился, а нечто заунывное и слабо читабельное... попробую исправиться посредством краткой пьесы в 3 действиях... действующих лиц представлять не буду - сами поймете - да и кто я такой, чтобы их ПДн в общий доступ выкладывать, ага (рекурсия, однако, получается)... Название: "Донос, позор и инструменты косвенного поиска" Эпиграф: <Дополнительная информация, предоставляемая работодателем (№ телефона, № комнаты, e-mail, табельный номер, прочее) не может однозначно идентифицировать субъект ПДн даже в пределах одной компании> тов. Alex Акт 1 /организация М, кабинет Y, входят двое/ - Сегодня в курилке какой-то чел Петрова П.П. по матери распекал. Так задорно и звонко - я аж заслушался. Говорит, достал его этот Петров - не начальник, а г*но. - Петров П.П.? Так это мой давний друг! Как, говоришь, звали того негодяя, что его за глаза материт? - Не знаю. Давай на нашем сайте посмотрим. /стук клавиш, щелчки "мыши"/ - Такс, поглядим... Подразделение В, отдел Х, перечень сотрудников... - Вот этот чел! Это он в курилке был! - Хмм... Что ж, попал ты, Иванов И.И... Акт 2 /те же + телефонный разговор с Петровым П.П./ - Здорова, Петр! Как сам, как дети, как жена? - Привет! Ничего, все в порядке. Если б не работа эта дурацкая, жить было бы совсем хорошо... - А я тебе как раз по рабочему моменту звоню. По секрету скажу: есть у тебя такой человек - Иванов И.И. - негодяй, ругает тебя последними словами. Не иначе, на место твое метит. - Иванов? Вот как? Что ж, не ты один мне такое уже говоришь. Пора, видимо, его прижать слегка. Спасибо! Акт 3 /в кабинете у Петрова П.П., монолог Петрова П.П./ - Ну здравствуй, Ванечка. А чего грустный такой? Никак думаешь, "что же мне теперь делать с задачами, которые ты - т.е. я - под конец года подкинул?" Работай, Ванечка, работай. Фирма у нас уважаемая, марку и темп должен поддерживать каждый сотрудник. Мы же команда тут, а не абы кто! Так что, не выполнишь - лишишься премии, отпуска и, возможно, должности. Все, иди, свободен... Заключение: Иванов И.И. не справляется с задачами (по понятным причинам), увольняется "по собственному", не выплачивает ипотеку в срок, лишается квартиры и заканчивает свою жизнь... на даче в сытости и достатке, потому что сумел в суде доказать вину организации M, а, вернее, наличие у них внутренней информационной системы, столь неудачно подвернувшейся под руку героям нашей пьесы (конечно, основной упор был на самого Петрова П.П., но денег больше поимел все-таки с организации)... Мораль: отсутствие доступной информационной системы - отсутствие инструмента для поиска по косвенным данным - снижает modus operandi у тех людей, кого принято в нашем деле объявлять пресловутым "человеческим фактором" (с которым, зачастую, мало что можно сделать - можно только ограничить его влияние)... Выводы: кто виноват? что делать? едят ли курицу руками? на первые два есть ответ - не давать инструмент в руки кому-либо, не просчитав последствий. А если уж раздали, то готовьтесь на себя взять часть вины. И умейте оценивать последствия от тех или иных действий. Хотя бы от внедрения тех или иных систем... ЗЫ На красоту драматургии не претендую, поскольку и пьеса, и антецедент - дерьмо. Но, надеюсь, весьма наглядно вышло...

Автор: ustav | 73999	19.07.2017 10:10
2 oko | 73954: Спасибо, улыбнулся!

Автор: Антон | 74000

19.07.2017 10:29

oko, Пьеса не прям то уж и говно! Очень даже наглядно показан риск. С абсолютной уверенностью могу сказать, что ФОТО и ДАТУ рождения убрать не получится. Даже не спрашивайте почему...привет HR! Также руководство компании не станет всерьез думать о случаях аналогичных представленному в пьесе. Цель - защита от регулятора. А решил я это все так: возвращаясь к Вашим рекомендациям, а именно п.1 "убрать Фото и ДР". Есть у нас web-программист, который следит за данным корпоративным порталом. Я с ним договорился и он сделает некую "кнопку". При проверке, нажав на эту "кнопку", все данные "Фото и ДР" чудесным образом исчезнут. После проверки - появятся обратно. Всем спасибо за помощь!

Автор: Alex | 74003

19.07.2017 11:53

> - Такс, поглядим... Подразделение В, отдел Х, перечень сотрудников... уязвимость логических рассуждений в пьесе проста - для выполнения требований текущего законодательства в области защиты ПДн присвоение не уникальных "подразделение В, отдел Х" субъекту ПДн его не идентифицирует. а вот для работодателя, ищущего критика, указанной информации достаточно, что наглядно продемонстрировано в пьесе :) т.к. топикстартер принял правильное решение, сворачиваюсь

Автор: oko | 74074

21.07.2017 00:44

to Антон "Волшебная кнопка" - не самое мудрое решение. Впрочем, принимать его, разумеется, не мне... to Alex <для выполнения требований текущего законодательства в области защиты ПДн присвоение не уникальных "подразделение В, отдел Х" субъекту ПДн его не идентифицирует> Нихрена не понял, но понравилось (с) Если вы о том, что "подразделение В, отдел Х" - это не уникальные свойства объекта, то не соглашусь. Наименования подразделений и отделов как раз нужны для верной идентификации/распределения функционала сотрудников. Если речь не идет об особо секретных объектах, где первой задачей всегда является "запутать потенциального противника", ага... Впрочем, суть представленной в пьесе выборки была в другом. Каталогизация и структурирование данных без разграничения к ним доступа - вот корень зла. Товарищам-доносчикам нужна была совокупность данных для успешного совершения... хмм... доноса. И нужный каталог оказался как нельзя кстати. К примеру, если я захочу вычислить всех молодых особ, проживающих в моем городе и страдающих от триппера, мне придется туго. Необходимо будет как-то уломать врачей местных лечебниц на раскрытие весьма интимной информации (или пойти путем более эмпирическим, ага). Но, попади под руку структурированный перечень таких лиц, мне будет куда проще и быстрее, вооружившись оными данными, исписать все стены в округе фразами аля "***а проститутка!". Весь вопрос будет заключаться в сложности системы разграничения доступа к такому перечню. Но, ежели он (перечень) есть и доступен многим в режиме 24/7 (пусть и в пределах профессионального круга), то, можно утверждать с большой вероятностью, что с течением времени он будет доступен всем... ЗЫ Пьеса дерьмо, поскольку рассматривает проблему однобоко (без обид, но так мне кажется, исходя из комментариев). Главное было понять, что куда проще не хранить уязвимые данные в одном месте и в структурированном виде, чем просчитать, взвесить и оценить все возможные вариативные составляющие опасности их утечки в чужие руки. Особенно, когда чужими могут быть руки не только внешних (привет, стойкость периметральной защиты!), но и внутренних нарушителей (что куда вероятнее)...

Автор: Alex | 74214

24.07.2017 17:58

в сторону (с) :) если не ошибаюсь, как-то давно malotavr развлекался в этой связи ("подразделение В, отдел Х - это не уникальные свойства объекта"). to oko вы слишком близко к сердцу воспринимаете дискуссию именно об идентификации субъекта ПДн. хотя, полезное, несомненно, есть - популяризация внедренцев от ИБ на лицо :) > Необходимо будет как-то уломать врачей местных лечебниц на раскрытие весьма интимной информации (или пойти путем более эмпирическим, ага). Но, попади под руку структурированный перечень таких лиц, мне будет куда проще и быстрее, вооружившись оными данными, исписать все стены в округе фразами аля "***а проститутка! весьма вольное сравнение об объёмах идентифицирующих признаков - Пупкин Василий Алибабаевич, отдел ИБ ЗАО Газпромнефтьтранссбытснабгаз и Пупкина Надежда Константиновна, Зажопинск, ул.Маркса д.11 кв.1

Автор: Alex | 74216	24.07.2017 18:00
PS для Пупкина забыл добавить дирекция защиты, а для Пупкиной - число, месяц и год выпуска

Автор: oko | 74221

24.07.2017 22:23

to Alex <весьма вольное сравнение об объёмах идентифицирующих признаков> Умному хватит вчера, а дураку и не надо (с) Т.е. весь вопрос не в объемах (они нужны для "лобового" решения задачи), а в месте их приложения. Стечение обстоятельств, нужное время и т.п. совокупность факторов. Не спорю, на том и зиждется вся ЗИ (не допустить нарушителя до нужных условий), но, повторю еще раз свой отчасти риторический вопрос: зачем ему вообще в руки давать часть ключа, когда можно не давать ничего? К тому же оперировать ключом столь беспечно? И еще одна пословица вспомнилась, сугубо применимая к рассматриваемой нами ситуации - "Не стоит класть все яйца в одну корзину"... А ваши замечания весьма верные. Но для сферической ситуации в вакууме (без обид). Применительно к корпоративному порталу и +100500 его штатных субъектов доступа (и объектов тоже) решать задачу стоит более... мнэ... элегантно. Взвесив все "ЗА" и "Против" как можно более тщательно. А я всего лишь пытаюсь показать, что беготня по графу возможных последствий зачастую не стоит того бонуса, который предполагает внедрение автоматизации при обработке ИОД... <хотя, полезное, несомненно, есть - популяризация внедренцев от ИБ на лицо> Вторично нихрена не понял, но опять-таки понравилось :)

Автор: Alex | 74258

25.07.2017 18:02

to oko, >зачем ему вообще в руки давать часть ключа, когда можно не давать ничего? это к ТС. или мы уже перешли к рассмотрению задачи без учёта "требований бизнеса"? >замечания весьма верные. Но для сферической ситуации это для дискуссии о тт. Пупкиных? согласен :) >Применительно к корпоративному порталу и +100500 его штатных субъектов доступа (и объектов тоже) решать задачу стоит более... мнэ... элегантно не могу не согласиться. и делать это надо, как завещал великий Л.. ФЗ152 >Вторично нихрена не понял . вторично закругляюсь, если есть желание продолжить дискуссию, лучше завести отдельную тему.

Автор: oko | 74296

26.07.2017 23:01

to Alex Эта тема ничем не лучше других - задача топикстартера решена (более-менее), а место на форуме различается разве что заголовком. Но... кроме моих риторических вопросов и ваших *вырезано* столь напоминающих мои же обычные замечания в соседних ветках форума */вырезано* на них ответов больше в этой дискуссии ничего необычного не предвидится. Так что, пожалуй, поддержу идею "закругляться" - останемся при своих и разойдемся до следующего раза :)

Просмотров темы: 6518

Copyright © 2004-2019, ООО "ГРОТЕК"