четверг, 20 января 2022 г.

Вопросы доступа, неприкосновенности частной жизни и безопасности для архивистов и специалистов по управлению документами

Данная заметка архивиста и консультанта Марго Ноут (Margot Note – на фото) была опубликована 20 декабря 2021 года на сайте компании Lucidea.

В крупных организациях архивисты и специалисты по управлению документами – люди, обладающие специальными знаниями – занимаются вопросами управления доступом, защиты неприкосновенности частной жизни и обеспечения безопасности систем, связанных с документами и делами.

Хотя перекрытие сфер деятельности возможно, однако с теоретической точки зрения требования в отношении мер и средств контроля и управления доступом и зашиты персональных данных должны реализовывать специалисты в области управления информацией и информационной безопасности.

Ожидания в отношении неприкосновенности частной жизни

Первый и более старый аспект неприкосновенности частной жизни - это вопрос о том, чего сотрудники ожидают (если ожидают) в плане обеспечения на работе конфиденциальности своих документов, особенно электронной почты. На рабочем месте нельзя ожидать подобной конфиденциальности, если только работодатель явным образом её не предоставит. Я часто в шуточной форме говорю своим клиентам: «Когда танцуете, танцуйте так, словно никто не смотрит. Когда пишете сообщения электронной почты, пишите их в расчёте на то, что их будут зачитывать в суде», - потому что такое, безусловно, возможно.

Ожидания защиты неприкосновенности частной жизни отсутствует, если сотрудники используют компьютеры и сети компании. Судебная практика о праве собственности на результаты работы, выполняемой сотрудниками на собственных компьютерах, пока ещё складывается. Как работодатели, так и сотрудники должны четко понимать права на информацию на компьютерах, принадлежащих сотрудникам. В то же время данный вопрос будет становиться тем более запутанным, чем больше будет сливаться работа и домашняя жизнь в пост-пандемической, круглосуточной рабочей среде.

Персональные данные

Новые проблемы в сфере защиты неприкосновенности частной жизни вращаются вокруг персональных данных (personally identifiable information, PII). Соединенные Штаты отстают от ряда стран, особенно от Европейского союза, которые заняли гораздо более жёсткую позицию в вопросах защиты неприкосновенности частной жизни людей. Закон США о противодействии террористической деятельности (Patriot Act) предоставляет федеральному правительству довольно широкий доступ к различным типам персональных данных во имя национальной безопасности. Этот закон заставляет обратить внимание на множество мест, где сейчас хранятся персональные данные, и на ту цену, которую люди платят за снижение защиты персональных данных в обмен на многие преимущества электронных услуг.

С точки зрения архивного дела и управления документами, наиболее значительными проблемами являются компрометация данные, дедуктивное раскрытие информации (deductive disclosure), а также вопрос о том, можно ли считать выкладывание в Интернете труднонаходимых общедоступных данных вторжением в частную жизнь. Проблема может возникать в разных вариантах, но есть два распространённых. Одним из примеров является размещение в Интернете имен и адресов лиц, осужденных судом за вождение в нетрезвом виде или за иные преступления. Эти документы являются общедоступными, но до них раньше было трудно добраться, не приходя лично в суд.

Дедуктивное раскрытие

В течение многих лет Департамент управления персоналом (Office of Personnel Management, OPM – независимое агентство правительства США – Н.Х.), который управляет гражданской службой США, раскрывал полный список федеральных служащих и номера их телефонов. Этот список был запрошен газетой «Вашингтон пост» в соответствии с законом о свободе доступа к государственной информации и был ей предоставлен в электронной форме согласно запросу. Газета выложила информацию на своем веб-сайте, чтобы помочь людям связываться с государственными чиновниками, - но в конечном итоге её пришлось убрать его с сайта из-за проблем с дедуктивным (т.е. аналитическим – Н.Х.) раскрытием информации. Например, преступники могут с его помощью идентифицировать федеральных служащих, работающих в Агентстве по борьбе с наркотиками (Drug Enforcement Agency) или в других правоохранительных органах, которые проживают в небольших городах. Дедуктивное раскрытие - это когда люди могут быть идентифицированы, даже если их персональная информация не раскрывается. Например, в общедоступных версиях материалов переписи населения сведения о возрасте, числе детей и доходе приводятся в диапазоне (например, доход свыше 250 тысяч долларов США), чтобы затруднить идентификацию. Эти и аналогичные методы маскировки используются для защиты людей от идентификации.

Утечки данных

В последние годы в новостях часто сообщалось об утечках данных, включая обвинения Национальных Архивов США (NARA) в том, что те допускали утечки находящихся на их ответственном хранении персональных данных: один раз жесткий диск был потерян, а в другом случае данные утекли с жёсткого диска, который был возвращен производителю из-за поломки. Есть множество других примеров, когда данные государственных и частных организаций были потеряны или скомпрометированы в результате взлома. Медицинская и банковская информация - две наиболее чувствительные области. Людей также беспокоит то, что работодатели используют данные о состоянии здоровья для отбора кандидатов на увольнение в связи с прогнозируемыми расходами на их лечение. Архивисты и специалисты по управлению документами должны разработать политики и процедуры и вести мониторинг персональных данных в своих организациях, чтобы минимизировать риски компрометации информации. Часть этих процедур должна реализовывать ограничения на сбор и хранение персональных данных.

Защита целостности и аутентичности

Архивисты и специалисты по управлению документами должны работать в тесном сотрудничестве с персоналом службы безопасности, поскольку и те, и другие заинтересованы в защите аутентичности и целостности документов и информационных активов организации. Контроль над доступом и мониторинг того, какой доступ имеет место, занимают центральное место в работе сотрудников служб компьютерной безопасности. Сфера безопасности частично перекрывается с управлением архивами и документами в том, что обе службы стремятся контролировать доступ к информации с целью обеспечения её целостности, одновременно стараясь обеспечить как можно более широкий законный доступ. Но эти два направления деятельности дополняют друг друга. Служба безопасности сосредотачивает внимание на угрозах целостности информации и на устранении этих угроз. Архивисты, специалисты по управлению документами и представители других информационных профессий концентрируют внимание на самих документах и на поддержании их целостности во времени.

Марго Ноут (Margot Note)

Источник: сайт компании Lucidea
https://lucidea.com/blog/access-privacy-and-security-considerations-for-archivists-and-records-managers/

Комментариев нет:

Отправить комментарий