Get best of the week

Processando dados pessoais remotamente: riscos e possíveis consequências

imagem

Trata-se das mesmas recomendações da liderança do país sobre a transferência de funcionários de empresas (estatais e não estatais) para o modo remoto em uma pandemia.

É possível organizar o processo de trabalho com dados pessoais (DP) em casa e o que as leis e requisitos técnicos nos ditam?

Vamos tentar responder a todas essas perguntas neste artigo.
 
Portanto, de acordo com as recomendações, o empregador deve fornecer ao funcionário todo o equipamento necessário para o período de isolamento para a implementação eficaz das tarefas. O que é necessário ao trabalhar com PD?

Uma estação de trabalho automatizada, uma conexão ininterrupta segura de alta velocidade (sobre o nível de proteção um pouco mais tarde), um meio-chave (token) e acesso ao banco de dados corporativo (DB). Mas é tão simples à primeira vista?

11 2014 . :

«.3


.3:

— .
— :

1) ,
;
2)
,  
();
3)
.1;
4) .


-
.

.3:

1) (
, ),
;
2)
,
,
;
3) ,  
;
4)  
 
».

Imagine que um funcionário de uma instituição não tenha a oportunidade de realizar remotamente suas atividades profissionais em um computador doméstico (ou ele não existe). Nesse caso, o empregador pode fornecer a estação de trabalho por responsabilidade pessoal.
 
Deste trecho, segue-se que a remoção do PIM da instituição é legalmente permitida e são estabelecidas as regras para controlar o movimento, são estabelecidos requisitos para o status da pessoa que executa o movimento e todo o processo é determinado pela presença de tarefas específicas.

No entanto, a implementação do item na verificação periódica da presença de PID para um funcionário que está no modo de auto-isolamento durante um período de pandemia leva a certos pensamentos. Uma questão completamente diferente é como os reguladores tratarão isso no campo do processamento de PD e da proteção de informações.
 
O próximo requisito para garantir o processo de trabalho com o PD é garantir um download confiável de equipamentos de computador.
№21 18 2013.:

«.17
 
() () .

:

— () ;
— ;
— .

( -, ).

- .

.17:

 1) - ;
 2) - , - ;
 3) ;..»

Deve-se entender que o uso de ferramentas de inicialização confiáveis ​​em computadores domésticos, embora tecnicamente viável, não é fornecido. Além disso, o uso do SDZ é fornecido nas “máquinas” às quais você deve se conectar remotamente. Isso levanta questões bastante naturais: quem deve dar o aval para iniciar no modo remoto e o que devo fazer se ocorrer uma falha e uma reinicialização for necessária?

Nesses casos, há apenas uma opção: a principal "estação da máquina" é colocada no modo de inicialização (o que por si só é uma violação das regras cria certos riscos, os quais analisaremos um pouco mais adiante).

A proteção contra a alteração de arquivos do sistema é fornecida pela função de controle de integridade do sistema, cuja qualidade o FSTEC também impõe certos requisitos no pedido nº 27 de 15 de fevereiro de 2017.

Tecnicamente, todos esses requisitos podem ser implementados dentro da estrutura da transição em andamento para o "site remoto". Mas todas essas questões técnicas organizacionais estão desaparecendo quando começamos a procurar a resposta para a pergunta: como minimizar (ou melhor não permitir) o vazamento de informações processadas, incluindo PD em tais condições.

Apesar das medidas tomadas no campo da proteção de informações, os riscos de vazamento sempre foram, são e serão. Os documentos orientadores no campo da ZI descrevem claramente a lista de medidas organizacionais e técnicas para minimizá-las e evitá-las.

Como você sabe, em casa e a atmosfera é caseira ... E funciona facilmente, e as paredes ajudam. Trabalhar em casa com DP é provavelmente mais fácil apenas para pessoas solteiras.
 
Vejamos um exemplo simples: um

pai, funcionário do centro de certificação do departamento financeiro federal que processa dados pessoais, tirou o computador do trabalho. O filho orgulhoso espionou acidentalmente uma varredura do passaporte do ministro, do promotor de uma entidade constituinte da Federação Russa ou do governador. Bem, tirei fotos para mostrar aos meus amigos. E agora outro exemplo: imagine um upload em lote de dados pessoais para fins de marketing etc.

O lado objetivo do crime considerado nas partes 1 e 2 do art. 137 do Código Penal, é descrito alternativamente pelas seguintes ações em relação às informações relevantes:

  1. Coleção.
  2. Propagação.
  3. Distribuição de maneira especial: na mídia, em uma obra pública ou em um discurso.

Para serem responsabilizadas, essas ações devem ser realizadas:

  • ilegalmente (com qualquer violação do procedimento estabelecido por lei);
  • sem o consentimento do sujeito da DP.

Como regra, a distribuição ilegal de DP é precedida por sua coleta. A interpretação do conceito de “distribuição” no direito penal é mais ampla do que na lei nº 152-FZ. Assim, de acordo com o parágrafo 5 do art. 3 da Lei nº 152-FZ, a distribuição da PD é a sua divulgação a um número indefinido de pessoas. Trazer à justiça a divulgação da DP nos termos do art. 137 do Código Penal, basta informar pelo menos uma pessoa.

Assim, brincadeiras comuns e indiscrição podem levar a conseqüências bastante tristes, tanto criminais quanto de reputação e outras, tanto para o empregado quanto para o empregador.

Resumindo o exposto, deve-se dizer que o modo remoto, é claro, incentiva os funcionários e seu ambiente a cometer ofensas, o que pode acarretar consequências de uma escala diferente.

Além disso, a situação atual é um sinal para o estado estudar e criar assistência legislativa para regular o trabalho com DP no modo remoto.

More articles:


All Articles