Главное моё открытие сегодняшнего дня - ИП - это не юридическое лицо, соответственно, его ИНН, адрес, телефон и т.д. - это ПДн. Я почему-то был уверен, что ИП - это юридические лица. Нужно разобраться, ведь часть данных ИП делают общедоступными - на каждой торговой точке, по крайней мере, ИП-ик должен разместить свой ИНН. Возможно, с адресом та же история.
Поигрались ещё немного с SecretNet, с контролем целостности. Сегодня всё получилось нормально. Выбрали файлы для отслеживания и действие при нарушении целостности. Действия зависят от того как именно эта целостность контроллируется - либо с помощью хэш-функции, либо с помощью сравнения содержимого (т.е. SecretNet может в качестве эталона запомнить всё содержимое нужного файла). Если используется хэш-функция - SecretNet может либо проигнорировать это нарушение, либо заблокировать компьютер, либо заменить эталонное значение на изменённое. Т.е. при первом варианте, в журнале SecretNet'a появится запись о нарушении целостности, во втором тоже самое плюс заблокируется компьютер, в третьем - запись в журнале и замена эталонного значения. При этом, вернуться к эталону будет невозможно! Т.е. мы узнаем, что файл отличается от эталона, но что там был за эталон мы никогда не узнаем. Если же мы, например, будем проверять целостность операционной системы и вирус изменит содержимое какого-то файла, то, при неправильной настройке, "испорченный" файл может стать эталонным...
Для того, чтобы появилась возможность "вернуться" SecretNet в качестве эталона может использовать всё содержимое исходного файла. В этом случае, можно просто заменить контролируемый изменённый файл из сохранённого значения. То же самое произойдёт при удалении файла.
Спросил про то как правильно организовать "поздравлялку" с днями рождения. У нас используется программа birthday - она выводит "сегодняшних" и "завтрашних" юбиляров. Вопрос - какое основание использовать при сборе этих данных?
Предлагается два варианта - первый, в трудовой договор вписывать пункт о поздравлениях. В этом случае не нужно будет брать согласие, а в качестве основания обработки в перечне ПДн можно указать: "исполнение трудового договора". Хотя, конечно, вариант сомнительный.
Другой вариант - в какой-нибудь "кодекс корпоративной этики" добавить "поздравлялочный" пункт, а в согласии и перечне ссылаться на этот кодекс. Тут есть одно большое НО - когда я составлял перечень ПДн на заводе, находил информацию о том, что в качестве основания нельзя использовать локальные акты - только законы и НПА, либо Устав. Само-собой, в Устав никто ничего подобного вписывать не будет, поэтому, насколько законным будет вариант с локальным актом непонятно.
Видимо, будем искать третий вариант.
Немного узнал про Microsoft NAP. Должно быть удобная штука для тех организаций, в которые могут подключаться, например, домашние ноутбуки. Принцип примерно такой - в сети хранятся "эталонные" настройки - антивирусная программа, минимальный набор установленных обновлений, ОС, сетевые настройки и, при включении домашнего ноутбука в сеть, настройки ноута сверяются с эталонными. При совпадении ноутбук попадает в сеть, при несовпадении, настройки ноутбука "догоняются" до минимально необходимых и проверка повторяется.
Тоже стоит подумать о применимости. Может быть, если мы-таки доживём до подключения к сети из дома, эта штука и пригодится.
Ну и напоследок, нам дали рекомендации по тому как себя вести в случае проверки:
1. Сразу же после получения программы проверки - собрать всю документацию и, при возможности, дописать недостающее.
2. Оповестить всех сотрудников о предстоящей проверке. Заставить всех "освежить память", чтобы они помнили на основании каких инструкций они получают доступ к ПДн.
3. Документы должны содержать актуальную информацию на дату проверки.
4. Уделить особое внимание:
1) организации пропускного режима;
2) отделу кадров;
3) бухгалтерии;
4) содержимому сайта - тому что общедоступно, возможно, туда могли попасть ПДн не являющиеся общедоступными.
5. Оперативно реагировать на замечания проверяющих. Если исправлять небольшие недочёты по ходу првоерки, возможно, это устроит проверяющих и никаких предписаний выписано не будет.
Поигрались ещё немного с SecretNet, с контролем целостности. Сегодня всё получилось нормально. Выбрали файлы для отслеживания и действие при нарушении целостности. Действия зависят от того как именно эта целостность контроллируется - либо с помощью хэш-функции, либо с помощью сравнения содержимого (т.е. SecretNet может в качестве эталона запомнить всё содержимое нужного файла). Если используется хэш-функция - SecretNet может либо проигнорировать это нарушение, либо заблокировать компьютер, либо заменить эталонное значение на изменённое. Т.е. при первом варианте, в журнале SecretNet'a появится запись о нарушении целостности, во втором тоже самое плюс заблокируется компьютер, в третьем - запись в журнале и замена эталонного значения. При этом, вернуться к эталону будет невозможно! Т.е. мы узнаем, что файл отличается от эталона, но что там был за эталон мы никогда не узнаем. Если же мы, например, будем проверять целостность операционной системы и вирус изменит содержимое какого-то файла, то, при неправильной настройке, "испорченный" файл может стать эталонным...
Для того, чтобы появилась возможность "вернуться" SecretNet в качестве эталона может использовать всё содержимое исходного файла. В этом случае, можно просто заменить контролируемый изменённый файл из сохранённого значения. То же самое произойдёт при удалении файла.
Спросил про то как правильно организовать "поздравлялку" с днями рождения. У нас используется программа birthday - она выводит "сегодняшних" и "завтрашних" юбиляров. Вопрос - какое основание использовать при сборе этих данных?
Предлагается два варианта - первый, в трудовой договор вписывать пункт о поздравлениях. В этом случае не нужно будет брать согласие, а в качестве основания обработки в перечне ПДн можно указать: "исполнение трудового договора". Хотя, конечно, вариант сомнительный.
Другой вариант - в какой-нибудь "кодекс корпоративной этики" добавить "поздравлялочный" пункт, а в согласии и перечне ссылаться на этот кодекс. Тут есть одно большое НО - когда я составлял перечень ПДн на заводе, находил информацию о том, что в качестве основания нельзя использовать локальные акты - только законы и НПА, либо Устав. Само-собой, в Устав никто ничего подобного вписывать не будет, поэтому, насколько законным будет вариант с локальным актом непонятно.
Видимо, будем искать третий вариант.
Немного узнал про Microsoft NAP. Должно быть удобная штука для тех организаций, в которые могут подключаться, например, домашние ноутбуки. Принцип примерно такой - в сети хранятся "эталонные" настройки - антивирусная программа, минимальный набор установленных обновлений, ОС, сетевые настройки и, при включении домашнего ноутбука в сеть, настройки ноута сверяются с эталонными. При совпадении ноутбук попадает в сеть, при несовпадении, настройки ноутбука "догоняются" до минимально необходимых и проверка повторяется.
Тоже стоит подумать о применимости. Может быть, если мы-таки доживём до подключения к сети из дома, эта штука и пригодится.
Ну и напоследок, нам дали рекомендации по тому как себя вести в случае проверки:
1. Сразу же после получения программы проверки - собрать всю документацию и, при возможности, дописать недостающее.
2. Оповестить всех сотрудников о предстоящей проверке. Заставить всех "освежить память", чтобы они помнили на основании каких инструкций они получают доступ к ПДн.
3. Документы должны содержать актуальную информацию на дату проверки.
4. Уделить особое внимание:
1) организации пропускного режима;
2) отделу кадров;
3) бухгалтерии;
4) содержимому сайта - тому что общедоступно, возможно, туда могли попасть ПДн не являющиеся общедоступными.
5. Оперативно реагировать на замечания проверяющих. Если исправлять небольшие недочёты по ходу првоерки, возможно, это устроит проверяющих и никаких предписаний выписано не будет.
Комментариев нет:
Отправить комментарий