Get best of the week

Traitement à distance des données personnelles: risques et conséquences possibles

image

Il s'agit des mêmes recommandations des dirigeants du pays sur le transfert des employés des entreprises (étatiques et non étatiques) vers le mode distant en cas de pandémie.

Est-il possible d'organiser le processus de travail avec les données personnelles (PD) à la maison et que nous dictent les lois et les exigences techniques?

Nous allons essayer de répondre à toutes ces questions dans cet article.
 
Ainsi, selon les recommandations, l'employeur devrait fournir à l'employé tout l'équipement nécessaire pour la période d'isolement pour la mise en œuvre efficace des tâches. Que faut-il pour travailler avec PD?

Un poste de travail automatisé, une connexion sécurisée à haute vitesse sans interruption (sur le niveau de protection un peu plus tard), un support clé (token) et un accès à la base de données d'entreprise (DB). Mais est-ce si simple à première vue?

11 2014 . :

«.3


.3:

— .
— :

1) ,
;
2)
,  
();
3)
.1;
4) .


-
.

.3:

1) (
, ),
;
2)
,
,
;
3) ,  
;
4)  
 
».

Imaginez qu'un employé d'une institution n'ait pas la possibilité d'exercer ses activités professionnelles à distance sur un ordinateur personnel (ou qu'il n'existe pas du tout). Dans ce cas, l'employeur peut fournir le poste de travail sous sa propre responsabilité.
 
De cet extrait, il s'ensuit que la suppression de l'INM de l'institution est légalement autorisée et que les règles de contrôle des mouvements sont établies, des exigences concernant le statut de la personne effectuant le mouvement sont établies, et l'ensemble du processus est déterminé par la présence de tâches spécifiques.

Cependant, la mise en œuvre du point sur le contrôle périodique de la présence de PID pour un salarié en mode d'auto-isolement en période de pandémie conduit à certaines réflexions. Une question complètement différente est de savoir comment les régulateurs traiteront cela dans le domaine du traitement des données personnelles et de la protection des informations.
 
La prochaine exigence pour garantir le processus de travail avec PD est d'assurer un téléchargement fiable de l'équipement informatique.
№21 18 2013.:

«.17
 
() () .

:

— () ;
— ;
— .

( -, ).

- .

.17:

 1) - ;
 2) - , - ;
 3) ;..»

Il doit être entendu que l'utilisation d'outils de démarrage fiables sur les ordinateurs domestiques, bien que techniquement faisable, n'est bien sûr pas prévue. De plus, l'utilisation de SDZ est fournie sur les «machines» auxquelles vous devez vous connecter à distance. Cela soulève des questions assez naturelles: qui doit donner le feu vert pour lancer en mode distant et que dois-je faire si une panne se produit et qu'un redémarrage est nécessaire?

Dans de tels cas, il n'y a qu'une seule option: la «machine-station» principale est mise en mode démarrage (ce qui en soi est une violation des règles crée certains risques, que nous analyserons un peu plus tard).

La protection contre la modification des fichiers système est assurée par la fonction de contrôle d'intégrité du système, dont la qualité FSTEC impose également certaines exigences dans l'arrêté n ° 27 du 15 février 2017.

Techniquement, toutes ces exigences peuvent être mises en œuvre dans le cadre de la transition en cours vers le «site distant». Mais tous ces problèmes d'organisation technique s'effacent à l'arrière-plan lorsque nous commençons à chercher la réponse à la question: comment minimiser (ou mieux ne pas autoriser) la fuite d'informations traitées, y compris la DP dans de telles conditions.

Malgré les mesures prises dans le domaine de la protection de l'information, les risques de fuite ont toujours été, sont et seront. Les documents d'orientation dans le domaine de la ZI décrivent assez clairement la liste des mesures organisationnelles et techniques pour les minimiser et les prévenir.

Comme vous le savez, à la maison et l'ambiance est chaleureuse ... Et cela fonctionne facilement, et les murs aident. Le travail à domicile avec la MP n'est probablement plus facile que pour les célibataires.
 
Prenons un exemple simple: un

père, un employé du centre de certification du département financier fédéral qui traite les données personnelles, a amené son ordinateur du travail. Le fils vantard a accidentellement espionné une analyse du passeport du ministre, du procureur d'une entité constitutive de la Fédération de Russie ou du gouverneur. Eh bien, j'ai pris des photos pour montrer à mes amis. Et maintenant un autre exemple: imaginez un téléchargement groupé de données personnelles à des fins de marketing, etc.

Le côté objectif du crime considéré dans les parties 1 et 2 de l'art. 137 du Code pénal, est décrit alternativement par les actions suivantes par rapport aux informations pertinentes:

  1. Collection.
  2. Propagé.
  3. Distribution d'une manière spéciale: dans les médias, dans un ouvrage public ou dans un discours.

Pour être tenus responsables, ces actions doivent être menées:

  • illégalement (avec toute violation de la procédure établie par la loi);
  • sans le consentement du sujet de PD.

En règle générale, la distribution illégale de PD est précédée de leur collecte. L'interprétation de la notion de «distribution» en droit pénal est plus large que dans la loi n ° 152-FZ. Ainsi, selon le paragraphe 5 de l'art. 3 de la loi n ° 152-FZ, la distribution de PD est leur divulgation à un nombre indéfini de personnes. Pour traduire en justice la divulgation de PD en vertu de l'art. 137 du Code pénal, il suffit d'en informer au moins une personne.

Ainsi, la farce ordinaire et l'indiscrétion peuvent entraîner des conséquences assez tristes, à la fois criminelles et de réputation, et ainsi de suite, tant pour l'employé que pour l'employeur.

Pour résumer ce qui précède, il faut dire que le mode à distance, bien sûr, encourage les employés et leur environnement à commettre des délits, ce qui peut entraîner des conséquences d'une autre ampleur.

En outre, la situation actuelle est un signal pour l'État d'étudier et de créer une assistance législative pour réglementer le travail avec PD en mode distant.

More articles:


All Articles