(Продолжение, предыдущую часть см. http://rusrim.blogspot.com/2025/06/2-1.html )
Защита персональных данных и кибербезопасность как движущие силы
Основными движущими силами расширения сферы охвата управления документами и информацией от одних только документов до всей корпоративной информации является смягчение рисков информационной безопасности / кибербезопасности и рисков для персональных данных. Однако для этого фокус управления документами должен переориентироваться с традиционного для него контейнера (т.е. с таких объектов, как, например, счета-фактуры и кадровые дела), чтобы сосредоточить внимание на элементах данных (таких как дата рождения, точное географическое местоположение и биометрические данные). Нормативно-правовые акты в сфере кибербезопасности и защиты персональных данных, - равно как и злоумышленники, которые усердно трудятся, чтобы получить доступ к Вашей сети, - в первую очередь касаются элементов данных, и им совершенно всё равно, находятся ли эти данные в документе или «не-документе», в окончательной версии или черновике, в официальном экземпляре или в копии для удобства пользования. Ценность представляют сами данные, независимо от статуса контейнера с информацией как «документа» или «не-документа».
Есть две простые вещи, которые Вы можете сделать, чтобы повысить ценность Вашего перечня видов документов с указанием сроков хранения для целей защиты персональных данных и снижения рисков кибербезопасности.
Первый шаг - установить для каждого вида документов в перечне перекрёстные связи с Вашими грифами конфиденциальности данных (например, «общедоступные», «для служебного пользования», «конфиденциальные», «строго конфиденциальные»). Как правило, любой конкретный тип документа попадает только в одну из этих категорий. Вам просто нужно использовать политику конфиденциальности данных Вашей организации и убедиться в согласованности с ней используемых Вами категорий.
Далее Вы можете добавить точку зрения риска для персональных данных, определив, какие категории персональных данных и чувствительных (специальных) персональных данных скорее всего будут присутствовать в документах каждого типа. Как и в случае с грифами конфиденциальности данных, Вам следует использовать политику Вашей организации по вопросам защиты персональных данных, чтобы убедиться в согласованности используемых Вами категорий с теми подходами, которые специалисты по защите персональных данных используют в отношении персональных данных и чувствительных (специальных) персональных данных.
Наконец, вы можете использовать грифы конфиденциальности данных и наличие/отсутствие ПДн (специальных ПДн), чтобы назначить уровень риска каждому типу документов. Например, обычные деловые данные считаются данными для служебного пользования и содержат мало (или совсем не содержат) ПДн, поэтому им будет присвоена низкая степень риска; в то время, как личные дела сотрудников являются строго конфиденциальными и содержат значительное количество ПДн и специальных ПДн, поэтому им будет присвоена высокая степень риска.
Включение в перечень типов документов с указанием сроков их хранения оценки рисков кибербезопасности и для персональных данных и установление степени риска для каждого типа документов даёт ряд существенных преимуществ:
- Это позволяет группе по защите персональных данных проводить сортировку по типу ПДн, чтобы увидеть, в документах каких типов появляется каждый из типов ПДн, каковы наиболее длительные и наиболее короткие сроки хранения, и на основании каких нормативно-правовых актов эти сроки установлены – эта информация будет бесценна для группы по защите персональных данных, если той придётся объяснять свою практику защиты ПДн контролирующим органам, судам или адвокатам противоположной стороны.
Мой комментарий: Специалистам по управлению документами предлагается проделать (бесплатно?) огромную, непрофильную для них работу, отдачу от которой – и, соответственно, материальное вознаграждение, если и получат, то совсем другие люди. Да кто же на такое согласится, в отсутствие гарантированного материального и морального поощрения, а также необходимых дополнительных ресурсов? - Это позволяет группе по кибербезопасности увидеть, какие типы документов имеют конкретные грифы конфиденциальности, а также какие типы ПДн может содержать каждый из них - это поможет им подтвердить, что их грифы соответствуют истинным риска, связанным с данными, к которым грифы применяются (и провести корректировку, в случае необходимости).
Мой комментарий: Опять же, что от этого получат специалисты по управлению документами? - Это упрощает получение от юристов одобрения подхода «больших корзин» (при котором целому ряду родственных типов документов устанавливается единый срок хранения, обычно таким образом, чтобы быть не меньше максимального индивидуального срока хранения для этих типов документов, в том числе с учётом особенностей исчисления условных сроков хранения – Н.Х.) при установлении сроков хранения документов. Типы документов с более низкими оценками риска можно сгруппировать вместе в «большую корзину» и хранить в течение наиболее длительного срока хранения, не подвергая организацию значительному риску, связанному с персональными данными. В отношении типов документов с более высокими оценками риска подход «больших корзин» можно не использовать ввиду риска… или же использовать, но с полным пониманием соотношения риска и возможной полезной отдачи.
Мой комментарий: И ещё раз, что от этого получат специалисты по управлению документами?
Теперь, когда мы обсудили, как сделать Ваш перечень типов документов с указанием сроков хранения более эффективным для управления защитой персональных данных и рисками кибербезопасности Вашей организации, в следующей заметке мы рассмотрим, каким образом заручиться поддержкой высшего руководства; выйти из тупика, вызванного параличом аналитической деятельности; и способствовать прогрессу.
Мой комментарий: Данная рекомендация автора, представляющего по факту интересы юристов, ИТ и службы информационной безопасности, сильно смахивает на мудрость от кота Матроскина насчёт совместного труда :)
(Продолжение следует)
Джо Шепли (Joe Shepley)
Источник: сайт Legalverse Media
https://legalversemedia.com/information-governance-is-diet-and-exercise-part-2/
Комментариев нет:
Отправить комментарий