Конечно вскользь, коллега :) По аттестации можно отдельную статью писать если эту тему раскрывать и получится она значительно больше. Там в 2 словах же не объяснишь.
Нельзя формировать «составы данных» из специальных категорий персональных данных (здоровье, расовая принадлежность и т. д.) — это прямо запрещает ч. 1 ст. 13.1 Закона 152-ФЗ. Исключение сделано лишь для сведений, перечисленных в ч. 2.1 ст. 10 (обезличенные медданные, обрабатываемые для гос-/муниципального управления или в экспериментальных правовых режимах ИИ).
Если Минцифры потребует передать персональные данные специальной категории, оператор не вправе включать их в обезличённый набор (кроме тех, что подпадают под ч. 2.1 ст. 10). Требование, противоречащее ч. 1 ст. 13.1, не подлежит исполнению: оператор должен уведомить Минцифры о невозможности предоставить такие данные или согласовать передачу только допустимой части.
Да, в случае аутсорсинга бухгалтерии или кадровика без согласия никак не обойтись. Придется либо вести самостоятельно, что неудобно для ИП, либо договариваться с сотрудником, так как принудить его нельзя.
Спасибо за ваш всесторонний комментарий. Тема очень обширная и раскрыть все нюансы сложно не раздув текст. Сами видите, как много уже получилось. Попробую ответить на вопросы в комментарии. 1. Обычное согласие достаточно для «обычных» персональных данных (ФИО, контакты); его можно оформить одной подписью или «галочкой». Явное (письменное) согласие требуется для специальных категорий и биометрии . Рекомендуется оформлять такое согласие отдельным документом. 2. Согласие на внутренний справочник. Я так полагаю это про электронные справочники или адресные книги в корпоративной системе? - Включите пункт о размещении минимальных данных (ФИО, должность, рабочий e‑mail/телефон) во внутреннем справочнике в общее согласие при приёме на работу либо оформите отдельный бланк. Локальным актом закрепите, что доступ к справочнику имеют только сотрудники компании и лишь в рабочих целях. Создание рабочих аккаунтов (почта, мессенджеры, CRM) допускается как часть исполнения трудового договора. 3. Сотрудник вправе знать, какие его данные обрабатываются, получать их копии, требовать исправления, удаления или ограничения обработки и отзывать ранее данное согласие. Работодатель обязан ответить на запрос, внести изменения или мотивированно отказать, иначе сотрудник может пожаловаться в Роскомнадзор или обратиться в суд.
По поводу того, как можем зафиксировать утечку, есть много вариантов. Вот например несколько: 1. Сработали свои средства обнаружения, если таковые есть. Например DLP. 2. Данные всплыли в DarkNet. 3. Просигналили внешние сервисы типа НКЦКИ и др. 4. Прямое уведомление или жалобы от пострадавших.
Логично сводить риск утечки к минимуму, что бы она не случилась или случилась с наименьшей вероятностью. Не сообщить может оказаться намного дороже чем сообщить и правильно согласно закона провзаимодействовать с РКН.
Если СМИ соврут, идти в суд. Доказательства отсутствия утечки можно собрать собственным расследованием. Штраф же дело не моментальное. Если утечка произошла не у вас, а у какого-то вашего подрядчика, то нужно иметь с ним договор-поручение на обработку ПДн, что бы не отвечать за его ошибки (в этом посте у себя писал подробнее про договор-поручение https://t.me/pro152fz/16). Сейчас уже наблюдаю такой момент, что большое количество заказчиков начали требовать не только договор по ПДн, но и подтверждение того, что подрядчик выполняет все требования 152-ФЗ.
Да, по сути все, что не разобралось до этого, не превратилось в заметки, документы для работы и т.д. а просто лежит на рабочем столе до "Разобрать попозже" и превращается в цифровой шум для меня, который создаёт визуальный, а в следствии и ментальный бардак. Поэтому убираю все в папку безжалостно пару раз в год.
Согласен с тем, что пентест, как и управление уязвимости должно быть регулярным. Но в данном случае он тоже применим, как вы и написали, больше для вау-эффекта, что бы можно было показать начальству, что вот мы деньги потратили с толком. Пентест можно заменить аудитом. Главное, что бы кто-то со стороны посмотрел на инфраструктуру непредвзято. Ну и те, кто озадачиваются такими вопросам, как управление инцидентами и мониторинг уязвимостей, уже вряд ли будут интересоваться темой этой статьи :) Она больше для новичков в ИТ.
Может. Но нужно найти компромисс между точностью датасета и уровнем его обезличенности.
1C, Битрикс
Конечно вскользь, коллега :) По аттестации можно отдельную статью писать если эту тему раскрывать и получится она значительно больше. Там в 2 словах же не объяснишь.
Нельзя формировать «составы данных» из специальных категорий персональных данных (здоровье, расовая принадлежность и т. д.) — это прямо запрещает ч. 1 ст. 13.1 Закона 152-ФЗ. Исключение сделано лишь для сведений, перечисленных в ч. 2.1 ст. 10 (обезличенные медданные, обрабатываемые для гос-/муниципального управления или в экспериментальных правовых режимах ИИ).
Если Минцифры потребует передать персональные данные специальной категории, оператор не вправе включать их в обезличённый набор (кроме тех, что подпадают под ч. 2.1 ст. 10). Требование, противоречащее ч. 1 ст. 13.1, не подлежит исполнению: оператор должен уведомить Минцифры о невозможности предоставить такие данные или согласовать передачу только допустимой части.
Лучшая реакция на изменение законодательства :)
Да, в случае аутсорсинга бухгалтерии или кадровика без согласия никак не обойтись. Придется либо вести самостоятельно, что неудобно для ИП, либо договариваться с сотрудником, так как принудить его нельзя.
Спасибо за ваш всесторонний комментарий. Тема очень обширная и раскрыть все нюансы сложно не раздув текст. Сами видите, как много уже получилось. Попробую ответить на вопросы в комментарии.
1. Обычное согласие достаточно для «обычных» персональных данных (ФИО, контакты); его можно оформить одной подписью или «галочкой». Явное (письменное) согласие требуется для специальных категорий и биометрии . Рекомендуется оформлять такое согласие отдельным документом.
2. Согласие на внутренний справочник. Я так полагаю это про электронные справочники или адресные книги в корпоративной системе? - Включите пункт о размещении минимальных данных (ФИО, должность, рабочий e‑mail/телефон) во внутреннем справочнике в общее согласие при приёме на работу либо оформите отдельный бланк. Локальным актом закрепите, что доступ к справочнику имеют только сотрудники компании и лишь в рабочих целях. Создание рабочих аккаунтов (почта, мессенджеры, CRM) допускается как часть исполнения трудового договора.
3. Сотрудник вправе знать, какие его данные обрабатываются, получать их копии, требовать исправления, удаления или ограничения обработки и отзывать ранее данное согласие. Работодатель обязан ответить на запрос, внести изменения или мотивированно отказать, иначе сотрудник может пожаловаться в Роскомнадзор или обратиться в суд.
По поводу того, как можем зафиксировать утечку, есть много вариантов. Вот например несколько:
1. Сработали свои средства обнаружения, если таковые есть. Например DLP.
2. Данные всплыли в DarkNet.
3. Просигналили внешние сервисы типа НКЦКИ и др.
4. Прямое уведомление или жалобы от пострадавших.
Логично сводить риск утечки к минимуму, что бы она не случилась или случилась с наименьшей вероятностью. Не сообщить может оказаться намного дороже чем сообщить и правильно согласно закона провзаимодействовать с РКН.
Если СМИ соврут, идти в суд. Доказательства отсутствия утечки можно собрать собственным расследованием. Штраф же дело не моментальное. Если утечка произошла не у вас, а у какого-то вашего подрядчика, то нужно иметь с ним договор-поручение на обработку ПДн, что бы не отвечать за его ошибки (в этом посте у себя писал подробнее про договор-поручение https://t.me/pro152fz/16). Сейчас уже наблюдаю такой момент, что большое количество заказчиков начали требовать не только договор по ПДн, но и подтверждение того, что подрядчик выполняет все требования 152-ФЗ.
Имеете ввиду используете для задач физический канбан?
PARA на мой взгляд все таки для более организованных людей чем я :) В OBS тоже пользуюсь простейшей структурой и мне хватает с лихвой.
Это наверное уже не про борьбу с цифровым шумом.
Хороший метод. Чем-то напомнил мне PARA.
Да, по сути все, что не разобралось до этого, не превратилось в заметки, документы для работы и т.д. а просто лежит на рабочем столе до "Разобрать попозже" и превращается в цифровой шум для меня, который создаёт визуальный, а в следствии и ментальный бардак. Поэтому убираю все в папку безжалостно пару раз в год.
Для многих это мечта :)
Я надеюсь бэкапирование все уже воспринимают, как базовую вещь.
Согласен с тем, что пентест, как и управление уязвимости должно быть регулярным. Но в данном случае он тоже применим, как вы и написали, больше для вау-эффекта, что бы можно было показать начальству, что вот мы деньги потратили с толком. Пентест можно заменить аудитом. Главное, что бы кто-то со стороны посмотрел на инфраструктуру непредвзято. Ну и те, кто озадачиваются такими вопросам, как управление инцидентами и мониторинг уязвимостей, уже вряд ли будут интересоваться темой этой статьи :) Она больше для новичков в ИТ.
Думаю в определённых случаях даже красивее выйдет :)
Только почему-то дофига организаций не делают вообще никакой банальщины для своей ИБ.