- データを会社に転送する際、人口は心配しています。
- 個人データの保護は、「ただ底に入らない」という原則に基づいていません。
- すべての責任と理解を持つ企業は、さまざまな情報セキュリティ対策、従業員のトレーニング、情報セキュリティの脅威とリスクの更新とレビューにお金を費やします。
ロシア国家を取り、まだ反対を行います。 このテーマについては、「私が見たものについて」という記事を書きたいと思います。
はじめに
少なくとも何らかの形で情報を分類する、つまり、それをセクション、章などに分割する、あらゆる資料を読者に提出するのが慣習です。 個人データに関するプロジェクトの実施の結果として発展した意見を読者に伝えたいと思います。 問題の本質は、ロシアでは個人データに関する法律(以下、PDと呼びます)がすべての人にとって、また会社にとっても、従業員やクライアントにとっても負担であるという事実にあります。 会社は、独立して、または有能な組織の助けを借りて、個人データを保護し、従業員に協力してもらい、顧客に保管と処理に転送することに同意する別の紙に署名するように強制する必要があります。 結果として、従わなければならないいくつかの問題とルール。
組織の一部
典型的なPDプロジェクトは、4つのグローバルステージで実行されます。
- 調査
- ARDの開発。
- セキュリティシステムの開発。
- 実装。
これらの手順は、状況をよりよく理解するために、多くの場合、サブ手順に分割されます。 これは主に顧客のために行われます。 このセクションでは、ステージ番号2に触れます。
内部ワーカーの側から。 PDのプロジェクトは、ゼロから行う場合、これらのPDでの作業を規制する大量の紙片を書くことを伴います。 さらに、処理への同意、請負業者との合意などの典型的な形式。 そして、ここでロシアのアプローチはそのマークを残します:紙が印刷され、規制機関が到着してそれらをチェックするまで棚に置かれます。 なぜこれが行われるのですか:
- 従業員は、これらの紙が必要な理由を理解していません。
- 学習するとき、要件の実装を監視する人はいないため、これは1か月後に忘れられます。
- 開示の責任...ばかげています。
- 管理者は「PDが保護されている」ことを確認したため、問題はなく、覚えておく必要もありません。
クライアント側。 圧倒的多数の人々は、PDの保護に関する法律を認識しておらず、サービスを受けるためにPDを他の人に引き継ぐことを考えていません。 ここでは、オンラインショッピング、自宅での食べ物の注文など、多くの例を挙げることができます。 このブームが過ぎて初めて、人口の一部がそれについて考え始めました。 しかし、「私のパスポートがGoogleのメインページにあった」、または「妻が私が別のホテルに出張していることを知った」という瞬間が来ると、その人は考え始めます。 それ以外の場合、次の問題に直面します。
- PDで行われていること、それらが転送される場所を理解することに関心がない。
- 彼らは保護していません。
- 「PD Transfer Agreement」に署名します。 なんで? 何のために?
- 落ち着いて、すべてが落ち着いてパニックになっている間、PDが流れ去ったとき。
その結果、PDを操作するためのルールが記述されたドキュメントの開発セットは、それらのリークを防ぐことができません。 たとえば、同じ会社の情報セキュリティスペシャリストなど、責任者だけが彼らを働かせることができますが、会社(中小組織)にはそのような人は基本的にいないので、すべての責任はコンピュータと最も「通信」する人にかかっています、良い結果は期待できません。
技術部
ここではすべてがより複雑です。 プロジェクトを大企業、中小組織に分割します。
小さな組織
技術的な観点から見ると、すべてがシンプルです。 基本的に、インフラストラクチャ全体はWindows上に構築され、最大1台の1Cサーバーと複数のワークステーションを備えています。 情報セキュリティツール(以下、SZIと呼びます)は、すぐにロールアップされ、構成されます。通常、問題はありません。 つまり、この段階では、技術的な観点から見ると、すべてが順調です。 次は、SZIデータの操作方法を学習するプロセスであり、識別/認証メカニズムを使用しない場合、作業は地獄に変わります。 ほとんどの場合、従業員は、特に技術に関連している場合、仕事の変化を非常に否定的に感じます。 その結果、以下が得られます。
- SZIはインストール、構成されていますが、誰も使用していません。
- 従業員の主な仕事は、SZIでの作業によって複雑になります。
- 誰かがSZIのデータを処理する必要があり、通常そのような人はいません。
結論として、組織的および技術的な対策が実施され、従業員が訓練され、 PDは保護されません 。
中規模の組織
ここではすべてがより複雑です。 IT部門または常勤のシステム管理者を結成。 例外的なケースでは、安全ガードがあります。 インフラストラクチャが構成されました。 これが問題の始まりです。 規制当局の観点から有効なSISの導入は、現在のインフラストラクチャの再構築です。 通常、このような場合、ISPDは個別のセグメントに分割され、会社の全体的なアーキテクチャと調和の取れた作業に影響を与えないように個別に保護されます。 この場合、SPIには管理者がいます。これは紛れもないボーナスです。 繰り返しますが、従業員は自分の仕事に何かが変化していることに熱心ではなく、保護するための組織的な対策の実施が背景に消えつつあります。 実装の監視はIT専門家にかかっています。IT専門家は、より重要なことに忙しくしています。 その結果、以下が得られます。
- SZIがインストール、構成、ほとんどの場合管理されます。
- 従業員の主な仕事は、SZIでの作業によって複雑になります。
- ISPDは現在のインフラストラクチャを破壊しません。
結論として、組織的および技術的な対策が実施され、従業員が訓練され、 PDは保護されません 。
大規模な組織
さらに面白いです。 IT部門、セキュリティ部門、分散情報システム、仮想化、多数の企業サービスなど。 通常、すべては心、暗号化、すべてのルールとベストプラクティスによる保護によって保護されます。 ここでは、すべてが完全に保護されていますが、「認証」という言葉があります。 これはすべてを台無しにします。 ここでは、各プロジェクトについての記事を書くことができますが、1つのテンプレートの下に置くことはできません。 しかし、最終的には、組織的な部分と技術的な部分で、すべてがうまくいきます。 責任ある従業員が仕事をします。 ユーザーは訓練され、プロセスが制御されます。
その結果、以下が得られます。
- SZIのインストール、構成、管理。
- 従業員の主な仕事は、SZIでの作業によって複雑になります。
- ISPDは現在のインフラストラクチャを破壊しません。
- 組織的な措置は、指示と規則に従って実行されます。
結論として、組織的および技術的な対策が実施され、従業員が訓練され、 PDが保護されました 。
おわりに
結論として、私は言いたいです。 個人データを保護することは、適切に行われた場合に適切で必要な仕事です。 しかし、私たちの現実を考慮すると、これは中小企業にとっては何の結果ももたらさず、お金の浪費にすぎません。 繰り返しますが、私は大多数の組織について話していますが、中小企業は見たことがありません。 PDを保護する必要がないと言っているわけではありませんが、アプローチは異なるはずです。