22 апреля 2014 г.

Риск подмены субъекта персональных данных при взаимодействии через Интернет: РЕШЕНИЕ

В целом проблему можно обозначить так: риск подмены субъекта ПДн при удалённом взаимодействии.
Собственно здравого смысла никто не отменял, однако прогресс неминуем, а стереотипы наши инертны.
Потому многие организации, стремясь не отстать от времени и от лидеров, создают сайты с обратной связью, с возможностью подать обращение несколькими способами, регистрироваться и взаимодействовать с клиентами.

Органы власти и муниципального самоуправления получают тысячи и десятки тысяч запросов в год и обязаны их обрабатывать в соответствии с 59-ФЗ.

Однако формулировка о возможности получения обращений в форме "электронного документа" настолько сегодня расплывчата и не разъяснена, что многие восприняли под этими двумя словами "в т.ч. и через Интернет", забыв при этом об идентификации личности!

7 апреля 2014 г.

Вопрос в Windows XP или в том, как подходить к делу?

Завтра 8 апреля 2014 прекращается выпуск обновлений для Windows XP. Имея в виду, что данная ОС была выпущена в 2002, нетрудно вычислить общий срок технической поддержки, предоставлявшейся Microsoft - 12 лет!

Случай сам по себе уникальный среди большинства операционных систем. Однако и сейчас приходится слышать упрёки с горечью со стороны ИТ-специалистов, мол "не рановато ли, потому что мы не успеем перевести парк?", "мы не будем соответствовать 152-ФЗ!?" или "Microsoft - буржуи!!!" и т.п.? 

Но 12 лет - это много или мало? 

Возьмите, к примеру, анонсированную году в 2008 в нашей стране программу перехода на свободное ПО. И где оно разнообразие продуктов? Я вот что-то не вижу. Многие из них попросту уже забыты, не поддерживаются, а многие выпущены, но за них заломлен такой ценник, что их стоимость соответствует сертифицированной XP, а с техподдержкой она будет в два раза превосходить стоимость этой самой XP уже через три года! Посмотрел бы я на них года через три... Будут ли своевременно обнаруживаться уязвимости, будут ли обновления, будет ли совместимость версий и т.п. И это без услуг специалистов, коих еще надо поискать.

Вообще у меня всегда складывалось впечатление, что многие ИТ-специалисты, защищая бесплатность и доступность продуктов СПО, не понимают одного: дело не в том, во сколько Вам это обошлось, а в том, как долго и как успешно Вы будете вместе работать! 

То есть, попросту - это вопрос отношения к общему для клиента и производителя делу и видят ли они друг друга вместе в долгосрочной перспективе. Подчеркну - именно клиента, а не ИТ-специалиста, т.к. клиент платит ИТ-шнику всегда. А опыт показывает, что эти отношения всегда стоят определённых затрат.

Собственно из этого отношения и складывается цена общего дела. Состоять она может как из цены "входного билета", так и цены "ежегодного подтверждения", то есть признания важности совместной работы и совместного развития. Оба варианта ценообразования отражают не что иное, как договор - оценку обеими сторонами интеллектуальных затрат производителя, его ответственности и ожидаемого профессионального роста.

При этом заслуживание доверия к продукту - это дело производителя и в случае с Microsoft мы видим, что компания не поскупилась и предприняла все усилия в этом направлении. И поэтому продукты Microsoft успешно используются на большинстве ПК как в бизнесе, так и в государственных организациях. И, собственно, 12 лет совместной работы и желание ИТ-специалистов продолжать использовать именно эту ОС - характеристика сложившемуся уровню доверия сильному глобальному игроку.

Однако жизненный цикл продукта не вечен и чем дальше, тем стоимость участия в общем деле одной из сторон - производителя - становится несоизмеримо высокой. И это следует понимать второй стороне, т.к. это общее дело. 

С уважением.

4 апреля 2014 г.

ПДн руководителя государственного учреждения

Много работаем с госучреждениями и обнаруживается вопрос правомерности обработки персональных данных руководителя организации, его заместителей и возможно еще некоторых категорий.

Анализируя законодательство об устройстве системы власти как федерального уровня, так и регионального, а также документы об избрании и назначении руководителей государственных учреждений и органов власти, обнаруживаем, что законодательство правовых оснований на обработку ПДн данных категорий субъектов ПДн часто не устанавливает.

Как правило, руководитель, его заместители действуют на основании трудового договора с руководителем вышестоящей организации. Однако есть и такие, у кого трудового договора вообще нет, так как нет вышестоящего руководителя.

Поднимаем в этом случае положение об организации, которая обрабатывает его персональные данные, в котором определены полномочия и функции в части кадрового обеспечения и государственной службы, и обнаруживаем что либо в функции организации не входит обязанность обрабатывать данные обсуждаемых категорий, либо обязанность есть, но документ принят при предыдущем руководителе (согласия текущего нет) и т.п. Варианты тут разные. Анализировать нужно различные случаи индивидуально в зависимости от уровня организации и структуры управления.

Решения могут быть такими:
1. В случае если трудового договора нет, то, следовательно, необходимо согласие. Но в отношении такого руководителя, имеющего все полномочия, термин согласие выглядит не уместно. Поэтому необходимо распоряжение текущего руководителя, по сути являющееся и согласием и наделением функциями.
2. В случае наличия трудового договора с руководителем вышестоящей организации  основание должно быть отражено либо в трудовом договоре и функции организации должны быть отражены в положении о ней, либо в правовом акте руководителя этой организации.

Но всегда следует анализировать по ситуации.
Вот такие мысли по этому вопросу. Буду рад услышать реплики.


3 апреля 2014 г.

Точка зрения: биометрические персональные данные

В нашем законодательстве вообще очень мало говорится об идентификации. Практически ничего законодатель нам не сообщает.
Поэтому в условиях вакуума многие эксперты стремятся приложить руку к определению сущности биометрических персональных данных. Ссылки см. в конце.

Поэтому и я изложу свою точку зрения.
Начну с того, что "точка зрения" - это то, что порой мешает нам делать работу и правильно понимать происходящее.
Точку зрения формирует её массовость, распространенность, поддержка, продвижение через систему массовых коммуникаций и образования, а часто копание в себе...
Однако иногда или часто бывает легче, если посмотреть по другому.
Как говорил Блез Паскаль "Случайные открытия делают только подготовленные умы".

Поэтому не пропахав вдоль и поперек сферу применения, иной точки зрения не заимеешь.
Будешь довольствоваться и находиться в границах веры в существующий вариант.

Так вот, что касается биометрии.
Есть формулировка: "которые используются оператором для установления личности субъекта персональных данных".
Для большинства операторов за этими словами нет фона (опыта). Многие комментаторы останавливаются на этом, не разъясняя цели этого.
Теперь посмотрим, а что это такое. Поможет нам процессный подход.

Итак, эта фраза в составе трёх условий, поставленная в внутрь конкретного бизнес-процесса, говорит нам, что после каждого факта применения БПДн должно происходить нечто крайне важное для системы безопасности, для "обеспечения безопасности".
Определите все процессы в вашей организации и найдите в них такие процессы.
ПОСЛЕ "установления личности" субъекту должны быть даны ПРАВА, ДОПУСК В СИСТЕМУ, В ПОМЕЩЕНИЯ, НА ОБЪЕКТ. АВТОРИЗАЦИЯ, наконец.
Одиножды это делается при поступлении на работу предъявлением паспорта. По закону экземпляр его - ОДИН. Доверие ему ОДНОМУ.

А если вы используете эти данные, чтобы просто общаться, улучшать качество коммуникации, продаж, маркетинга, обучения, подтверждать выполненную процедуру (ксерокопия паспорта в деле клиента банка - для банка это важно) но при этом никого никуда не допускаете, то это совсем другое. ЭТО НЕ БИОМЕТРИЯ. Уровень доверия данным другой совершенно.

И видимо об этом же и хотят нам сказать законодатель и комментаторы.

Вообще тема "идентификации личности" нуждается в исчерпывающем правовом комментарии. В ФЗ-152 её почти нет, кроме БПДн.  

Комментарий РКН здесь:
http://www.rsoc.ru/news/rsoc/news21529.htm
Комментарии:
http://lukatsky.blogspot.ru/2013/09/blog-post_3.html
http://emeliyannikov.blogspot.co.uk/2013/09/blog-post.html
http://rusrim.blogspot.co.uk/2013/09/blog-post_4099.html

С уважением.

2 апреля 2014 г.

Обязанности довести компетентность

Часто приходится спорить с кадровиками по вопросу обеспечения компетентности.
Их можно понять, т.к. кому хочется делать больше работы, а тем более заставлять руководителей заниматься своей работой?
Есть два момента, которые всплывают перед любым человеком, ставшим ответственным за организацию обработки персональных данных (ну или ответственным за всё что угодно другое в области установления и контроля требований):
  1. Довести обязанности.
  2. Обеспечить компетентность.
Я специально эти два пункта разделил и всегда делю, а многие так не делают и смешивают это во ВСЁ ОДНО - инструктаж, подпись в журнале и тд и тп.
И всегда объясняю коллегам, что это абсолютно разные вещи и инструментарий разный.
В первом случае: трудовой договор, приказ, должностной регламент. За это человек ставит подпись. Это вещи нечастые. Редкие.
НО! Ставить подпись под знакомством с каждой инструкцией и изменениями в ней, после наставлений, семинаров и т.п. - это никуда не годится или кто-то просто не видит иной работы.
При этом, а куда девается второй пункт - компетентность?
О нём то как раз забывают, соблюдая процедуру.
В пункте 1 главный вопрос - довести ответственность, чтоб человек просто и непротиворечиво её знал. Это в области ПДн - пара абзацев.
В пункте 2 - главное, чтобы работа, каждая операция делалась качественно. Это серьезный пласт работы ВСЕХ руководителей.

Компетентность можно обеспечивать многими методами:
  • образование
  • повышение квалификации
  • тренинги
  • опыт
  • навыки
  • приглашение консультанта
  • наставничество
  • доступность актуальных документов и практик электронно
Эти пункты я, как правило, насильно вставляю во внутреннюю политику по персональным данным, говоря таким образом: "ребята, если вы хотите, чтобы работа делалась эффективно и результативно, то ответственность должно быть равно компетентность и эту совокупность мероприятий нужно осуществлять".
Кадровики конечно просят этот "методический кусок" исключить, чтобы не дай бог не пришлось этого всего делать.
Но видимо их пугает совсем не это, а то, что это ведь обязанности руководителей отделов, ответственного за организацию обработки ПДн, что означает, что этих лиц как-то надо заставлять это делать.
А делать надо что: например, согласно хорошей практике, приведенной в ISO 9001, руководители САМИ должны оценивать компетентность своих подчиненных и организовывать все необходимые меры, чтобы довести компетентность до нужного уровня. Тут разнообразие форм. Одно только наставничество что значит. Заметьте, не сами работники должны предпринимать усилия.
Фактически речь об оценке компетентности самих руководителей в этой области управления, т.к. если посмотреть чуть сверху, то их ведь тоже нужно оценивать вышестоящим руководителям.

Многие кадровики за это переживают и, если заметили его, то просят этот пункт исключить из политики.

С уважением.

1 апреля 2014 г.

Системный анализ способен разрушить всё

На совершенно приземленных вещах, ежедневных делах, связанных с выполнением сотрудниками обязанностей, обнаруживаю, что системный анализ способен разрушить всё что угодно, любую деятельность.

Связано это с простой вещью - стереотипностью мышления 100% людей.

Т.е. типовой Homo Sapiens мыслит стереотипами - способами действий, обычными для окружающих его людей. Цель - минимизация затрачиваемой энергии. Он легко верит соседу и повторяет его действия, даже не думая. Так действуют близко к 100% людей. И они с легкостью могут верить что правы, т.к. все вокруг так делают.
 
Ну к примеру, в задаче, подготовить договор, типовой человек, если его особо не озадачить, посчитает достаточным проскочить заполнением основного, но не разбираться вообще с тем, что такое договор, что такое гражданское право и что такое акцепт, что такое документооборот и делопроизводство и другие глубинные сущности. Т.е. по итогу выполнения работы над множеством однотипных сущностей у него может сформироваться некоторый срез, примерно похожий на "Лес - это то, что я вижу за окном, когда еду по дороге, но не то, что видно, например, с высоты птичьего полета".
 
Ну так вот, приходишь ты к такому типовому человеку, наполненному тучей разнородных стереотипчиков о природе вещей, в большинстве или являющихся разрезом-обобщением отдельных многомерных сущностей или вообще не связанных друг с другом, и начинаешь толкать ему твою по твоему мнению "системную модель".
Что тут ждать, если у человека и до этого не было системной модели. Его стереотип такой, что и у тебя её этой модели нет. И если ты что и объяснишь ему, то это только попытаешься подразогнать его тучу, но через день два она вернется обратно в своё облачно-аморфное состояние.
 
В итоге логический системный подход, как говорят, "у нас не работает"...
И правы и не правы те, кто так говорят. т.к. этот вывод тоже стереотип-разрез-обобщение, вытекший из неправильного взгляда на вопрос.
 
Ну короче, дальше можно закопаться в методику, как системно бороться с этим, делать ли корчевание, брать ли молодую кровь, говорить ли о системе многолетнего воспитания, о роли в этом руководителя, родителя, учителя, воспитателя, об омоложении руководящего состава и тд и тп.
 
Главное, теория теорией, а иметь дело в итоге с человеком. И если не предусмотреть этот фактор в теоретических выкладках, то сотрясания воздуха (или визуально-мозгового канала при чтении) не будут иметь никакого результата, кроме личного удовлетворения отдельных 0,0001% личностей.

Потому, товарищи инженеры, искусство не в том, что ваш личный результат изумителен, а в том, чтобы он пришелся к месту.

С уважением.

Вот в чём дело

Привет всем!

С этого момента я публикую все свои заметки и наблюдения из профессиональной области в этом блоге.

Мою профессиональную сферу интересов составляют: информационная безопасность, персональные данные, ИТ, управленческая и корпоративная культура, консалтинг, управление проектами, экономика.

Все публикуемые здесь посты будут соответствовать указанным направлениям.

Автор этого блога не ищет простых путей, любит копаться в закономерностях, искать и обосновывать альтернативные точки зрения, в сравнении с подходами, являющимися общепринятыми в сообществе специалистов или в народе вообще.

С уважением,
Городилов Сергей
Автор блога "Смотря как смотреть"