О праве ребенка на частную жизнь

Недавно интересовался вопросом о правомерности применения такого рода штуковин: http://www.mipko.ru/personal-monitor/ (шпион за активностью пользователя, позиционируется как продукт для родителей, которые хотят контролировать своего ребенка).

Если родители решают использовать такую программу, то о частной жизни ребенка (а он у нас до 18 лет ребенок) можно забыть. Если в реальном мире, ребенок имеет право на свои секреты и его реализует (в школе, на улице, еще где-то, он всё-таки общается без участия родителей), то за компьютером - полный контроль.

Право на тайну переписки и неприкосновенность частной жизни гарантировано и детям нашей же Конституцией и международными договорами (декларацией о правах ребенка). Право на частную жизнь выражается в свободе общения между людьми.

В то же время, родители обязаны и имеют право оберегать ребенка от "недружелюбного" общения и контента.

Фактически право на неприкосновенность частной жизни и тайну корреспонденции ограничивается со стороны родителей или опекунов (попечителей). Первостепенное значение в данном случае имеют интересы детей, которые также во многом определяются родителями или лицами, их заменяющими. Представляется, что степень вмешательства определить в законодательном порядке невозможно

(из пособия МВД РФ "Личные тайны ребенка: особенности правовой защиты").

Т.е. в этом вопросе всё решается индивидуально и всецело зависит от родителей, которые могут использовать любой инструмент контроля как достаточно корректно по отношению к ребенку, так и совершенно перегибая палку.

И еще:

Если ребенок, находясь в ранней стадии социализации, не в состоянии самостоятельно определить круг сведений, входящих в частную жизнь и не в состоянии самостоятельно принять меры к их сохранности, то содержание частной жизни ребенка практически совпадает с семейной тайной. 

Научная библиотека диссертаций и авторефератов disserCat

Так что, если ребенок еще не в состоянии охранять свои секреты, а родитель не уверен, что они не вредят ему, то пока это семейная, а не частная жизнь ребенка.

О должностях по ИБ

Точнее не ИБ, а ЗИ, т.к. в "Едином квалификационном справочнике должностей руководителей, специалистов и служащих, раздел "Квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации" (утв. Приказом Минздравсоцразвития РФ от 22.04.2009 N 205) про ИБ не слова.

Спасибо данному справочнику, он хотя бы определяет ряд характеристик и должностей, которые у нас существуют по направлению технической защиты информации.

Так, например, за выявление и регистрацию инцидентов ответственен Администратор по обеспечению безопасности информации.

Разработка организационно-распорядительных документов, моделирование угроз безопасности информации и выявление технических каналов утечки информации лежит на Специалисте по технической защите информации.

Руководят всеми этими работами:

• Главный специалист по технической защите информации: "Содействует распространению в организации передового опыта и внедрению современных организационно-технических мер, средств и способов технической защиты информации. Организует мероприятия по предотвращению утечки информации ограниченного доступа должностными лицами организаций..."
• Начальник отдела (лаборатории(!), сектора) по технической защите информации, который собственно и выполняет текущую работу по защите информации.

От себя добавлю, что здесь также нужен Аналитик, без него никуда:
"Организует аналитическое и методическое обеспечение проведения исследовательских работ. Проводит аналитическую и научно-исследовательскую работу с целью сбора, оценки и анализа получаемой информации, а также выработки практических рекомендаций." Иначе, кто будет оценивать требования законодательства и проводить аналитическую работу?

Названия конечно у должностей кондовые и привязаны к технике. Всё остальное, как видимо подразумевается, делается в других отделах: отделах управления рисками, юридических отделах и т.п. Правда до ИБ такие отделы совсем мало где доросли.

+ у Алексея Лукацкого в блоге также обсуждались вопросы квалификации: http://lukatsky.blogspot.ru/2012/03/blog-post_12.html

CISM

Вчера ходил на экзамен CISM.

Написано про него уже много везде. Всё хорошо, только вот навигация совсем неудобная.
Адрес места проведения экзамена приходит на электронную почту - это ок. Там же есть инструкция: "...пожалуйста, изучите маршрут...".

Как доехать до места проведения - это всё понятно, а вот как внутри международного университета что-то найти - непонятно. Заходим с главного входа, далее охранник направляет на регистрацию, но никаких указателей, стрелок и сообщений, что здесь проводятся экзамены CISA/CISM/CGEIT/CRISC нет. У меня была аудитория на третьем этаже, пришлось немного побродить, чтобы найти ее.

Без указателей было неудобно, хотя я никуда и не опаздывал, а вот для тех, кто мог бы подъехать в последний момент, было бы совсем непонятно куда идти.

Так и хочется сказать: ISACA, так много пишущая о governance, процессах и awareness, а сами хорошую навигацию не обеспечили!

Конвертование квитанций по квартплате

Не так давно разбирал кейс, связанный с доставкой квитанций до собственников жилья. Вопрос интересный в связи с тем, что существует наш любимый 152-ФЗ, статья 7 которого требует соблюдения конфиденциальности персональных данных.

А соблюдается ли конфиденциальность при доставке квитанций по квартплате?

Возможны два варианта:

1. Используются конверты (обычно подготавливаемые с помощью конвертовального оборудования).
2. Конверты не используются.

В первом случае почти всё понятно. Но. Кто осуществляет конвертование? А кто осуществляет распечатку квитанций? Этими вопросами нужно обязательно задаться. Если это другие организации, то как минимум нужно выполнять требования ч. 3 ст. 6 152-ФЗ. Кроме того - получение дополнительного согласия с собственников жилья на передачу их данных для подготовки квитанций.

Второй вариант: квитанции доставляются без конвертов. Тогда нам интересно:

• Кто доставляет квитанции?
• Как доставляют квитанции?

Почему эти два вопроса: первый ответит нам опять о необходимости ч. 3 ст. 6 152-ФЗ в договоре с подрядной организацией и нужности сбора согласия с жильцов для такой доставки; а второй - о мерах по обеспечению той самой конфиденциальности, потому что такие вот вещи совсем не редкость:

И напоследок, вопрос: а если не конвертовать платежные квитанции и доставлять силами самой УК, да еще и опускать платежки целиком в почтовые ящики - светит ли в этом случае что-то управляющей компании от Роскомнадзора?
Ответ: нет.
Потому что:

• УК имеет доступ к персональным данным на основании договора с собственником жилого помещения - поэтому конверты в момент доставки не требуются;
• УК может справедливо считать, что то, что опущено в почтовый ящик доступно только его владельцу. Если и на это нужно обоснование, то:
  • ст. 2 176-ФЗ «О почтовой связи»: абонентский почтовый шкаф - специальный шкаф с запирающимися ячейками, устанавливаемый в жилых домах <...>;
  • ст. 31 176-ФЗ «О почтовой связи»: абонентские почтовые шкафы устанавливаются <...> на первых этажах многоэтажных жилых домов. <...> Обслуживание, ремонт и замена абонентских почтовых шкафов возлагаются на собственников жилых домов или жилищно-эксплуатационные организации <...> и осуществляются за счет собственников жилых домов.

Что собственно и подтверждается Решением Арбитражного суда Тульской области №А68-12417/2013 от 12 мая 2014 г.

Форма Т-2 не является обязательной

Всем известная форма личной карточки работника Т-2, утвержденная постановлением Госкомстата РФ от 05.01.2004 №1, с 01.01.2013 оказалась не обязательной. Если специалисты по персоналу об этом в курсе, то вот консультанты по персональным данным - не все.

Обязательность снята ч. 4 ст. 9 ФЗ "О бухгалтерском учете" №402-ФЗ. Согласно ч. 4 сама организация определяет формы первичных учетных документов. Для разработки своих форм документов, например, КонсультантПлюс рекомендует использовать ГОСТ Р 6.30-2003 "Организационно-распорядительная документация. Требования к оформлению документов".

Вместе с тем, остается обязательным указание в документах первичного учета следующей информации (ч. 2 ст. 9 402-ФЗ):

1. наименование документа
2. дата составления документа
3. наименование экономического субъекта, составившего документ
4. содержание факта хозяйственной жизни
5. величина натурального и (или) денежного измерения факта хозяйственной жизни с указанием единиц измерения
6. наименование должности лица (лиц), совершившего (совершивших) сделку, операцию и ответственного (ответственных) за ее оформление, либо наименование должности лица (лиц), ответственного (ответственных) за оформление свершившегося события
7. подписи лиц с указанием их фамилий и инициалов либо иных реквизитов, необходимых для идентификации этих лиц

Возвращаясь к форме Т-2, опубликовано письмо Роструда от 09.01.2013 N 2-ТЗ, где указано, что форма действительно не обязательна к применению.

Однако, принимая во внимание возможные сложности при прохождении проверок и при предоставлении документов в государственные органы, целесообразнее использовать привычную форму Т-2, тем более, что она всё еще требуется Положением о воинском учете (п. 27). Хотя может быть тогда Т-2 использовать только для военнообязанных? ;)

RSA Archer

Всё-таки стоит посвятить данной GRC системе несколько записей, поскольку с ней сам сталкивался и работал. Возможно, данная информация будет полезна.

Система Archer разработана подразделением RSA компании EMC, занимающимся, как известно, решениями в области ИБ. Относится к классу GRC-систем (т.е. governance, risk and compliance), позволяющих автоматизировать процессы управления, в том числе менеджмента рисков, контроля соответствия и т.п.
Сейчас тема GRC видимо немного "перезрела", в то время как совсем недавно ей пестрили многие обзоры, статьи. На западе она уже набила оскомину в том числе и потому, что достаточно большой класс систем может быть охвачен аббревиатурой GRC, куда можно подогнать практически всё, что угодно. Так, Gartner недавно решила уйти от рассмотрения GRC-платформ в сторону решений, предлагающих конкретный функционал (http://blogs.gartner.com/french_caldwell/2014/02/04/a-revolution-in-grc-affairs-at-gartner/).

Собственно о системе: состоит из модулей, каждый из которых берет на себя автоматизацию определенного процесса. RSA Archer предоставляет достаточно большой их набор:

• Policy Management (далее для простоты - Mgmt) - управление корпоративными политиками, целями и источниками требований
• Compliance Mgmt - управление соответствием, контролями и проведение оценки соответствия
• Risk Mgmt - управление рисками (операционными)
• Enterprise Mgmt - управление активами
• Incident Mgmt
• Vendor Mgmt - управление поставщиками
• Threat Mgmt - угрозы и уязвимости
• Audit Mgmt - автоматизация проведения аудита
• Business Continuity Mgmt
• Vulnerability Scan Mgmt - управления уязвимостями и процессом сканирования
• и некоторые другие

В рамках модулей также могут быть выделены отдельные решения (solutions), нацеленные на выполнение конкретной задачи. Так, например, в модуле Compliance Management присутствует решение для контроля соответствия требованиям PCI DSS. Также выделено решение Issue Mgmt, присутствующее сразу в нескольких модулях, позволяющее управлять проблемами и несоответствиями и планировать действия по их устранению.

Модули тесно интегрированы между собой. Основным модулем является Enterprise Mgmt, он содержит информацию об активах компании, которые задействованы в автоматизируемых процессах управления. Все остальные модули используют эту информацию для привязки тех или иных данных о процессах к активам/подразделениям компании.
Подробнее о функционале чуть позже.

О применении RSA Archer:
необходимость внедрения такой системы и дальнейшая эффективность ее использования определяется наличием в компании уже выстроенных процессов обеспечения ИБ в достаточной зрелости (3-4 уровень CobiT), чтобы было что автоматизировать. В ином случае не получится задействовать весь функционал системы и в итоге пользы от нее будет минимум.

Стратегия развития отрасли информационных технологий во Владимирской области

Напишу немного о проекте стратегии развития отрасли ИКТ Владимирской области.
В нем приведена статистика по затратам организаций отрасли на услуги и продукцию ИКТ в млн руб.:

Интересно, что затраты на технику снижаются и идет существенный рост затрат на связь. ПО видимому, организации уже достаточно обеспечены техникой. По графику виден стабильный рост в ИТ-услугах. В то же время присутствует скачок в затратах на обучение в 2011 году, но в стратегии не указано, с чем это связано, возможно реализовывалась какая-то программа по обучению госслужащих или в государственных/муниципальных организациях.

Согласно приведенным данным на 2012 год в области трудится 63 организации в сфере ИКТ. Особой динамики изменения их числа с 2009 года не наблюдается.

Жаль, что нет данных по 2013 году.

На 2014-2020 годы основными направлениями развития ИКТ сектора выделены:

• большие данные
• машинное обучение
• человеко-машинное взаимодействие
• робототехника
• квантовые и оптические технологии
• безопасность в информационном обществе

Стратегия для малых и средних предприятий области советует специализироваться на заказной разработке программного обеспечения и аутсорсинге ИТ.

Отмечается малая вероятность участия региональных компаний в ИКТ-проектах в банковском и телекоммуникационном секторе и предлагается сместить акцент в сторону предприятий обрабатывающей промышленности.

Согласно стратегии в большей части в развитии ИКТ в области надежды возлагаются на ВлГУ и образовательные и инновационные центры при нем.

Физическое лицо - оператор ПДн?

Недавно столкнулся с интересным кейсом: физическое лицо как оператор ПДн.
Может физлицо им быть? Может. Об этом прямо говорит ФЗ-152.

Обязательные условия, при наличии которых физлицо может стать оператором ПДн:

1. Обработка по характеру должна соответствовать автоматизированной (т.е. есть систематизация обрабатываемых ПДн, по ним можно осуществлять поиск; например это может, быть папка с анкетами/договорами и т.п.) - ч.1 ст. 1 ФЗ-152
2. Обработка должна осуществляться не в личных или семейных целях - п. 2 ч. 2 ст. 1 ФЗ-152

В том случае, если физическое лицо считать оператором, значит, согласно ФЗ-152, оно само определяет цели обработки ПДн. Одновременно эта обработка ведется не в личных целях.
В каких случаях такое возможно?

Вроде бы возникает коллизия: если физическое лицо систематически обрабатывает ПДн (например, определенных категорий граждан и в определенных целях), то это согласно ГК РФ признается предпринимательской деятельностью. Замечу, что предпринимательская деятельность направлена на извлечение прибыли, но само наличие прибыли не является определяющим критерием, это лишь цель деятельности. Следовательно, такое физлицо должно рассматриваться как ИП. А это уже другая категория субъекта правоотношений.

Так когда физлицо может быть оператором?
Ответ есть: существуют некоторые профессии, представители которых осуществляют деятельность без необходимости образования ИП или юрлица. К ним относятся частные адвокаты, нотариусы - они работают в соответствии со своим законодательством.

А что с другими физлицами?
Им необходимо регистрировать ИП. В другом случае это будет рассматриваться как нарушение закона и карается штрафом от 500 до 2000 руб. (ст. 14.1 КоАП РФ).

И напоследок, хотел бы указать отдельно пограничные случаи, когда физлицо работает по договору подряда (или ГПХ). В случае, если это разовые работы/услуги, то у физлица никаких проблем с законом не возникает. Интересен другой случай: если работы/услуги выполняются продолжительное время и физлицо систематически получает от этого прибыль. Нужно ли ему регистрировать ИП и самое главное - регистрироваться как оператор ПДн?
Договоры ГПХ можно рассматривать как:

• договор поручения - физлицо выполняет работы от имени и за счет юрлица (принципала) (ст. 971 ГК РФ)
• агентский договор - физлицо выполняет работы за счет юрлица, от имени юрлица или от своего имени (ст. 1005 ГК РФ)

Таким образом, если физлицо работает от имени юрлица, физлицо будет являться лишь "обработчиком" ПДн. Если же в работах физлицо действует от своего имени - значит оно занимается предпринимательской деятельностью и является оператором.

< Чуть позднее добавлю схему. >

Реанимируем блог.
Собственно буду писать здесь об информационной безопасности и интересных мне ИТ-вещах