Доверие или объем документации?

Главная проблема при внедрении стопки документов (по персональным данным, в частности) заключена в том, что целевая аудитория их читать не будет. Не то что бы читать - прочитать-то они прочитают, и даже распишутся, что прочитали, как требует того Трудовой кодекс, но не будут они по документации жить!? В принципе не будут. Исполнять они документацию не будут. В этом проблема :(

Почему?

Рассмотрим один из аспектов проблемы.

Почему ISO 9001 не совместим с отечественными реалиями

Крайне важным требованием к системам менеджмента качества (СМК) согласно ISO 9001 является ПРОЗРАЧНОСТЬ процессов менеджмента.

Что это значит? На первый взгляд - еще одно избитое нашими реалиями слово. Поясню, почему оно избито реалиями.

Не только в "вайфай" по паспорту, но и на сайты по паспорту?

Очень много вопросов вызвали у экспертов (1,2) последние июльские поправки в ФЗ-149, а также в постановление Правительства РФ "Об утверждении правил оказания телематических услуг связи".

 

Что ясно: постановление в новой редакции действительно для Операторов связи, является основным нормативным документом, которым они руководствуются при осуществлении своей лицензионной деятельности по предоставлению телематических услуг связи Абонентам(попросту - Интернета). При этом оно опосредованно - через договоры - распространяется формально на всех остальных юр. лиц, ИП, физ.лиц, потребляющих услуги связи.

 

Пункт 22.1. вносит новые требования к договорам, по которым Абоненты (юр.лица и ИП) обязаны передавать Оператору связи перечни пользователей подключения к Интернет (ФИО, адрес, паспорт). Раз в квартал.

 

О примерном перечне документов, запрашиваемых Роскомнадзором в проверках, и его развитии

В руки попали две версии списка документов, которые запрашивает Роскомнадзор у коммерческих организаций при проверке в области персональных данных.
Списки от 2012 и от 2013 года решил сравнить.
Зеленым отметил то, что не изменилось, Синим - новое, а Красным - то, что из списка исчезло.

Девальвация информационной безопасности ИТ-инфраструктур

Если посмотреть данные Positive Tech, то 74% инфраструктур ведущих компаний могут быть взломаны снаружи с использованием двух уязвимостей. Это ведущих! Не ведущих, а СМБ - 90%. Цифры говорят сами за себя. Так же само за себя говорит статистика целенаправленных атак. Они стали частыми. Мы с этим сталкиваемся и случаи банальны и грустны - в большинстве через ОДНУ уязвимость.

Давайте теперь возьмем в аналогию распространенность Windows = 99% и связанную с этим вирусописательскую активность в сравнении с нераспространенными ОС. Улавливаете взаимосвязь?

Об уязвимостях, рисках ИБ и культуре создания ИТ-инфраструктур

Каждая конференция по информационной безопасности неизменно обсуждает уязвимости и риски. ИТ-конференции уже перестали обходить стороной эту проблематику, хотя лет пять назад могли. При этом неизбежна полемика между ИТ-прикладниками и безопасниками о "Борьбе с мельницами". Первые считают, что риски преувеличены и что главное - бизнес-результат, вторые же настаивают на необходимости внимания к ИБ, демонстрируя различные данные своих и сторонних исследований.
Вот, к примеру:

• Positive Technologies сообщает, что 74% компаний из ТОП-100 были уязвимы снаружи в 2013 году и для проникновения внутрь нужно было использовать всего 2 уязвимости. В 100% компаний возможно повысить привилегии, находясь внутри инфраструктуры.
• Kaspersky Labs & B2B International сообщают, что 96% компаний эксплуатируют критические уязвимости, а более 40% потеряли данные в результате атак. В 25% случаев это были конфиденциальные сведения (в России) и 35% организаций в мире потеряли конфиденциальные данные.

Наша статистика также неутешительна.  А с учетом того, что мы также работаем в сегменте среднего и малого бизнеса, то отчетливо видно, что 90% организаций вообще не выделяют тематику безопасности ИТ-инфраструктуры - действуют по инерции и ждут от ИТ только бизнес-функционала. Лишь в 10% мы видим наличие системного администратора с функциями безопасника. В остальных случаях оказывается, что соблюдать даже хотя бы ключевые хорошие практики безопасности некому. Бдительности либо нет, либо она усыплена "простыми" решениями. Типичные ляпы включают слабые пароли, отсутствие обновлений, открытые настежь сервера, неиспользование антивирусов, неконтролируемые конфигурации межсетевых экранов, слабые протоколы, неидентифицированные устройства и т.п.

В последние год-два, к сожалению, статистика наблюдаемых нами инцидентов ИБ значительно ухудшилась: инциденты действительно стали частыми и заметными :(. Независимые группы по расследованию инцидентов растут в прогрессии, а Symantec сообщает о "смерти антивирусов" и росте риска специализированных атак, учащение которых мы уже видим в нашем регионе.

Иными словами, на самом деле я свожу проблему не к вопросу о "Борьбе с ветряными мельницами", в которой интеграторов обвиняют ИТ-шники, а к вопросу компетентности, к вопросу общей культуры создания ИТ-инфраструктуры, отношения к её технологичности. К вопросу о том, что обозревать риски и применять хорошие практики  просто необходимо всем. Более того, часто и серьезные затраты не нужны, а просто грамотная настройка ИТ-инфраструктуры, контроль действий, а не просто "Скомпилировалось да и ладно...".

Это же очевидно, что возросший риск инцидентов продиктован именно тотальной слабостью конфигурации ИТ-инфраструктур, высунутых в Интернет. Фактически речь об уязвимостях не в софте, а в настройках, в руках.
Представьте, если бы не 74%-90% инфраструктур было уязвимо, а где-нибудь 10-15%, то кому это было бы интересно? Т.е. задача найти уязвимую организацию уже была бы проблемой.

Риск подмены субъекта персональных данных при взаимодействии через Интернет: РЕШЕНИЕ

В целом проблему можно обозначить так: риск подмены субъекта ПДн при удалённом взаимодействии.
Собственно здравого смысла никто не отменял, однако прогресс неминуем, а стереотипы наши инертны.
Потому многие организации, стремясь не отстать от времени и от лидеров, создают сайты с обратной связью, с возможностью подать обращение несколькими способами, регистрироваться и взаимодействовать с клиентами.

Органы власти и муниципального самоуправления получают тысячи и десятки тысяч запросов в год и обязаны их обрабатывать в соответствии с 59-ФЗ.

Однако формулировка о возможности получения обращений в форме "электронного документа" настолько сегодня расплывчата и не разъяснена, что многие восприняли под этими двумя словами "в т.ч. и через Интернет", забыв при этом об идентификации личности!

Вопрос в Windows XP или в том, как подходить к делу?

Завтра 8 апреля 2014 прекращается выпуск обновлений для Windows XP. Имея в виду, что данная ОС была выпущена в 2002, нетрудно вычислить общий срок технической поддержки, предоставлявшейся Microsoft - 12 лет!

Случай сам по себе уникальный среди большинства операционных систем. Однако и сейчас приходится слышать упрёки с горечью со стороны ИТ-специалистов, мол "не рановато ли, потому что мы не успеем перевести парк?", "мы не будем соответствовать 152-ФЗ!?" или "Microsoft - буржуи!!!" и т.п.? 

Но 12 лет - это много или мало? 

Возьмите, к примеру, анонсированную году в 2008 в нашей стране программу перехода на свободное ПО. И где оно разнообразие продуктов? Я вот что-то не вижу. Многие из них попросту уже забыты, не поддерживаются, а многие выпущены, но за них заломлен такой ценник, что их стоимость соответствует сертифицированной XP, а с техподдержкой она будет в два раза превосходить стоимость этой самой XP уже через три года! Посмотрел бы я на них года через три... Будут ли своевременно обнаруживаться уязвимости, будут ли обновления, будет ли совместимость версий и т.п. И это без услуг специалистов, коих еще надо поискать.

Вообще у меня всегда складывалось впечатление, что многие ИТ-специалисты, защищая бесплатность и доступность продуктов СПО, не понимают одного: дело не в том, во сколько Вам это обошлось, а в том, как долго и как успешно Вы будете вместе работать! 

То есть, попросту - это вопрос отношения к общему для клиента и производителя делу и видят ли они друг друга вместе в долгосрочной перспективе. Подчеркну - именно клиента, а не ИТ-специалиста, т.к. клиент платит ИТ-шнику всегда. А опыт показывает, что эти отношения всегда стоят определённых затрат.

Собственно из этого отношения и складывается цена общего дела. Состоять она может как из цены "входного билета", так и цены "ежегодного подтверждения", то есть признания важности совместной работы и совместного развития. Оба варианта ценообразования отражают не что иное, как договор - оценку обеими сторонами интеллектуальных затрат производителя, его ответственности и ожидаемого профессионального роста.

При этом заслуживание доверия к продукту - это дело производителя и в случае с Microsoft мы видим, что компания не поскупилась и предприняла все усилия в этом направлении. И поэтому продукты Microsoft успешно используются на большинстве ПК как в бизнесе, так и в государственных организациях. И, собственно, 12 лет совместной работы и желание ИТ-специалистов продолжать использовать именно эту ОС - характеристика сложившемуся уровню доверия сильному глобальному игроку.

Однако жизненный цикл продукта не вечен и чем дальше, тем стоимость участия в общем деле одной из сторон - производителя - становится несоизмеримо высокой. И это следует понимать второй стороне, т.к. это общее дело. 

С уважением.

ПДн руководителя государственного учреждения

Много работаем с госучреждениями и обнаруживается вопрос правомерности обработки персональных данных руководителя организации, его заместителей и возможно еще некоторых категорий.

Анализируя законодательство об устройстве системы власти как федерального уровня, так и регионального, а также документы об избрании и назначении руководителей государственных учреждений и органов власти, обнаруживаем, что законодательство правовых оснований на обработку ПДн данных категорий субъектов ПДн часто не устанавливает.

Как правило, руководитель, его заместители действуют на основании трудового договора с руководителем вышестоящей организации. Однако есть и такие, у кого трудового договора вообще нет, так как нет вышестоящего руководителя.

Поднимаем в этом случае положение об организации, которая обрабатывает его персональные данные, в котором определены полномочия и функции в части кадрового обеспечения и государственной службы, и обнаруживаем что либо в функции организации не входит обязанность обрабатывать данные обсуждаемых категорий, либо обязанность есть, но документ принят при предыдущем руководителе (согласия текущего нет) и т.п. Варианты тут разные. Анализировать нужно различные случаи индивидуально в зависимости от уровня организации и структуры управления.

Решения могут быть такими:
1. В случае если трудового договора нет, то, следовательно, необходимо согласие. Но в отношении такого руководителя, имеющего все полномочия, термин согласие выглядит не уместно. Поэтому необходимо распоряжение текущего руководителя, по сути являющееся и согласием и наделением функциями.
2. В случае наличия трудового договора с руководителем вышестоящей организации  основание должно быть отражено либо в трудовом договоре и функции организации должны быть отражены в положении о ней, либо в правовом акте руководителя этой организации.

Но всегда следует анализировать по ситуации.
Вот такие мысли по этому вопросу. Буду рад услышать реплики.

Точка зрения: биометрические персональные данные

В нашем законодательстве вообще очень мало говорится об идентификации. Практически ничего законодатель нам не сообщает.
Поэтому в условиях вакуума многие эксперты стремятся приложить руку к определению сущности биометрических персональных данных. Ссылки см. в конце.

Поэтому и я изложу свою точку зрения.
Начну с того, что "точка зрения" - это то, что порой мешает нам делать работу и правильно понимать происходящее.
Точку зрения формирует её массовость, распространенность, поддержка, продвижение через систему массовых коммуникаций и образования, а часто копание в себе...
Однако иногда или часто бывает легче, если посмотреть по другому.
Как говорил Блез Паскаль "Случайные открытия делают только подготовленные умы".

Поэтому не пропахав вдоль и поперек сферу применения, иной точки зрения не заимеешь.
Будешь довольствоваться и находиться в границах веры в существующий вариант.

Так вот, что касается биометрии.
Есть формулировка: "которые используются оператором для установления личности субъекта персональных данных".
Для большинства операторов за этими словами нет фона (опыта). Многие комментаторы останавливаются на этом, не разъясняя цели этого.
Теперь посмотрим, а что это такое. Поможет нам процессный подход.

Итак, эта фраза в составе трёх условий, поставленная в внутрь конкретного бизнес-процесса, говорит нам, что после каждого факта применения БПДн должно происходить нечто крайне важное для системы безопасности, для "обеспечения безопасности".
Определите все процессы в вашей организации и найдите в них такие процессы.
ПОСЛЕ "установления личности" субъекту должны быть даны ПРАВА, ДОПУСК В СИСТЕМУ, В ПОМЕЩЕНИЯ, НА ОБЪЕКТ. АВТОРИЗАЦИЯ, наконец.
Одиножды это делается при поступлении на работу предъявлением паспорта. По закону экземпляр его - ОДИН. Доверие ему ОДНОМУ.

А если вы используете эти данные, чтобы просто общаться, улучшать качество коммуникации, продаж, маркетинга, обучения, подтверждать выполненную процедуру (ксерокопия паспорта в деле клиента банка - для банка это важно) но при этом никого никуда не допускаете, то это совсем другое. ЭТО НЕ БИОМЕТРИЯ. Уровень доверия данным другой совершенно.

И видимо об этом же и хотят нам сказать законодатель и комментаторы.

Вообще тема "идентификации личности" нуждается в исчерпывающем правовом комментарии. В ФЗ-152 её почти нет, кроме БПДн.  

Комментарий РКН здесь:
http://www.rsoc.ru/news/rsoc/news21529.htm
Комментарии:
http://lukatsky.blogspot.ru/2013/09/blog-post_3.html
http://emeliyannikov.blogspot.co.uk/2013/09/blog-post.html
http://rusrim.blogspot.co.uk/2013/09/blog-post_4099.html

С уважением.

Обязанности довести компетентность

Часто приходится спорить с кадровиками по вопросу обеспечения компетентности.
Их можно понять, т.к. кому хочется делать больше работы, а тем более заставлять руководителей заниматься своей работой?
Есть два момента, которые всплывают перед любым человеком, ставшим ответственным за организацию обработки персональных данных (ну или ответственным за всё что угодно другое в области установления и контроля требований):

1. Довести обязанности.
2. Обеспечить компетентность.

Я специально эти два пункта разделил и всегда делю, а многие так не делают и смешивают это во ВСЁ ОДНО - инструктаж, подпись в журнале и тд и тп.
И всегда объясняю коллегам, что это абсолютно разные вещи и инструментарий разный.
В первом случае: трудовой договор, приказ, должностной регламент. За это человек ставит подпись. Это вещи нечастые. Редкие.
НО! Ставить подпись под знакомством с каждой инструкцией и изменениями в ней, после наставлений, семинаров и т.п. - это никуда не годится или кто-то просто не видит иной работы.
При этом, а куда девается второй пункт - компетентность?
О нём то как раз забывают, соблюдая процедуру.
В пункте 1 главный вопрос - довести ответственность, чтоб человек просто и непротиворечиво её знал. Это в области ПДн - пара абзацев.
В пункте 2 - главное, чтобы работа, каждая операция делалась качественно. Это серьезный пласт работы ВСЕХ руководителей.

Компетентность можно обеспечивать многими методами:

• образование
• повышение квалификации
• тренинги
• опыт
• навыки
• приглашение консультанта
• наставничество
• доступность актуальных документов и практик электронно

Эти пункты я, как правило, насильно вставляю во внутреннюю политику по персональным данным, говоря таким образом: "ребята, если вы хотите, чтобы работа делалась эффективно и результативно, то ответственность должно быть равно компетентность и эту совокупность мероприятий нужно осуществлять".
Кадровики конечно просят этот "методический кусок" исключить, чтобы не дай бог не пришлось этого всего делать.
Но видимо их пугает совсем не это, а то, что это ведь обязанности руководителей отделов, ответственного за организацию обработки ПДн, что означает, что этих лиц как-то надо заставлять это делать.
А делать надо что: например, согласно хорошей практике, приведенной в ISO 9001, руководители САМИ должны оценивать компетентность своих подчиненных и организовывать все необходимые меры, чтобы довести компетентность до нужного уровня. Тут разнообразие форм. Одно только наставничество что значит. Заметьте, не сами работники должны предпринимать усилия.
Фактически речь об оценке компетентности самих руководителей в этой области управления, т.к. если посмотреть чуть сверху, то их ведь тоже нужно оценивать вышестоящим руководителям.

Многие кадровики за это переживают и, если заметили его, то просят этот пункт исключить из политики.

С уважением.

Системный анализ способен разрушить всё

На совершенно приземленных вещах, ежедневных делах, связанных с выполнением сотрудниками обязанностей, обнаруживаю, что системный анализ способен разрушить всё что угодно, любую деятельность.

Связано это с простой вещью - стереотипностью мышления 100% людей.

Т.е. типовой Homo Sapiens мыслит стереотипами - способами действий, обычными для окружающих его людей. Цель - минимизация затрачиваемой энергии. Он легко верит соседу и повторяет его действия, даже не думая. Так действуют близко к 100% людей. И они с легкостью могут верить что правы, т.к. все вокруг так делают.

 

Ну к примеру, в задаче, подготовить договор, типовой человек, если его особо не озадачить, посчитает достаточным проскочить заполнением основного, но не разбираться вообще с тем, что такое договор, что такое гражданское право и что такое акцепт, что такое документооборот и делопроизводство и другие глубинные сущности. Т.е. по итогу выполнения работы над множеством однотипных сущностей у него может сформироваться некоторый срез, примерно похожий на "Лес - это то, что я вижу за окном, когда еду по дороге, но не то, что видно, например, с высоты птичьего полета".

 

Ну так вот, приходишь ты к такому типовому человеку, наполненному тучей разнородных стереотипчиков о природе вещей, в большинстве или являющихся разрезом-обобщением отдельных многомерных сущностей или вообще не связанных друг с другом, и начинаешь толкать ему твою по твоему мнению "системную модель".

Что тут ждать, если у человека и до этого не было системной модели. Его стереотип такой, что и у тебя её этой модели нет. И если ты что и объяснишь ему, то это только попытаешься подразогнать его тучу, но через день два она вернется обратно в своё облачно-аморфное состояние.

 

В итоге логический системный подход, как говорят, "у нас не работает"...

И правы и не правы те, кто так говорят. т.к. этот вывод тоже стереотип-разрез-обобщение, вытекший из неправильного взгляда на вопрос.

 

Ну короче, дальше можно закопаться в методику, как системно бороться с этим, делать ли корчевание, брать ли молодую кровь, говорить ли о системе многолетнего воспитания, о роли в этом руководителя, родителя, учителя, воспитателя, об омоложении руководящего состава и тд и тп.

 

Главное, теория теорией, а иметь дело в итоге с человеком. И если не предусмотреть этот фактор в теоретических выкладках, то сотрясания воздуха (или визуально-мозгового канала при чтении) не будут иметь никакого результата, кроме личного удовлетворения отдельных 0,0001% личностей.

Потому, товарищи инженеры, искусство не в том, что ваш личный результат изумителен, а в том, чтобы он пришелся к месту.

С уважением.

Вот в чём дело

Привет всем!

С этого момента я публикую все свои заметки и наблюдения из профессиональной области в этом блоге.

Мою профессиональную сферу интересов составляют: информационная безопасность, персональные данные, ИТ, управленческая и корпоративная культура, консалтинг, управление проектами, экономика.

Все публикуемые здесь посты будут соответствовать указанным направлениям.

Автор этого блога не ищет простых путей, любит копаться в закономерностях, искать и обосновывать альтернативные точки зрения, в сравнении с подходами, являющимися общепринятыми в сообществе специалистов или в народе вообще.

С уважением,
Городилов Сергей
Автор блога "Смотря как смотреть"