Конфиденциальность

Здравствуйте! Подскажите, кто как у себя прописал обеспечение конфиденциальности в лаборатории? по ГОСТ 17025-2017

Таня писал(а): ↑07 ноя 2019 05:48 Подскажите, кто как у себя прописал обеспечение конфиденциальности в лаборатории? по ГОСТ 17025-2017

Пока в набросках для Раздела РК так:
7.1 Полученная в процессе проведения работ по испытанию продукции информация должна использоваться строго конфиденциально (без нарушения прав собственности заявителя на изделие, включая его авторское право и право на защиту коммерческой тайны).
7.2 С целью сохранения конфиденциальности относительно конкретной продукции, информация не должна раскрываться третьей стороне без письменного согласования с Заказчиком, за исключением случаев, предусмотренных в рамках исполнения ИЛ своих обязательств как аккредитованного лица. Если в соответствии с законом требуется доведение информации до сведения третьей стороны, то Заказчик должен быть поставлен об этом в известность. Данное положение регламентировано в договоре на проведение испытаний продукции.
7.3 Все сотрудники, имеющие доступ к конфиденциальной информации, в том числе и не входящие в состав ИЛ, прежде чем приступить к выполнению своих обязанностей, подписывают трудовой договор, заявление о конфиденциальности, должностную инструкцию.
7.4 Сотрудник ИЛ инструктируется заведующим ИЛ о запрете разглашения соответствующей информации и об ответственности за ее разглашение. Сотрудник, не соблюдающий данное правило, подвергается административному наказанию вплоть до увольнения в соответствии с принятыми внутренними правилами. Данное положение регламентировано в должностных инструкциях сотрудников ИЛ в разделе «Ответственность».
7.5 В случае отказа Заказчика от оплаты проведенных работ по испытанию продукции, документация становится собственностью ИЛ.
7.6 В ИЛ созданы условия хранения дел по испытанию продукции, которые исключают доступ к ним посторонних лиц.
7.7 Конфиденциальность информации в ИЛ обеспечивается определением требований конфиденциальности в должностных инструкциях персонала, в заключаемых договорах на проведение работ, соглашении о конфиденциальности.
7.8 В целях исключения утечки конфиденциальной информации запрещено присутствие в ИЛ посторонних лиц без ведома и сопровождения руководителя ИЛ или МК.
7.9 Информация относительно конкретной продукции или Заказчика, полученная в ходе деятельности по проведению испытаний, не должна раскрываться третьей стороне без письменного согласования с Заказчиком, за исключением случаев, предусмотренных законом.
7.10 Информация, полученная не от самого заказчика (например, лица, направившего жалобу, регулирующих органов), является конфиденциальной между заказчиком и ИЛ. Сведения о поставщике (источнике) этой информации так же являются конфиденциальными и подлежат передачи только с разрешения источника данной информации.

Добавить в шаблон договора п.6:
6. Особые условия
6.1. Сведения любого характера (производственные, технические, экономические, организационные и другие), полученные СТОРОНАМИ при исполнении настоящего Договора, являются конфиденциальной информацией, не подлежащей разглашению третьим лицам, кроме:
- испытательных лабораторий, в которых могут быть проведены работы по настоящему Договору, с согласия ЗАКАЗЧИКА.
- сведений, которые необходимо предоставлять в Федеральную службу по аккредитации, регламентированные Приказом Минэкономразвития России от 30.05.2014 N 329.
6.2. Если в соответствии с законодательством или договорными отношениями ИСПОЛНИТЕЛЬ должен раскрыть конфиденциальную информацию, он должен письменно уведомить в течении 1 (Одного) рабочего дня, в том числе и электронным письмом, ЗАКАЗЧИКА или иное заинтересованное лицо о раскрытой информации, в случае если это не запрещено законодательством.

Ну и в заявление о конфиденциальности что все подписывают, добавила пункт 7.10 из РК

Сведения о безопасности продукции и объектов окружающей среды не могут быть конфиденциальными

Evgenia писал(а): ↑08 ноя 2019 14:06 7.5 В случае отказа Заказчика от оплаты проведенных работ по испытанию продукции, документация становится собственностью ИЛ.

Что то мне этот пункт не нравится, мне кажется тогда это должно быть указано в договоре.
Касательно конфиденциальности (4.2)

cordek писал(а): ↑08 ноя 2019 19:53 Сведения о безопасности продукции и объектов окружающей среды не могут быть конфиденциальными

Имеется ввиду если продукция может нанести вред окружающей среде или здоровью, (например загрязнение окружающей среды), то вы должны сообщить в соответствующие органы, в последствии позвонить заказчику и проинформировать его какие данные и кому Вы передали.

Выдержки от любимых айтишников
Информационная безопасность — сохранение конфиденциальности, целостности и возможности применения (доступности) информации.
Нередко относят к информационной безопасности обеспечение других свойств, таких как подлинности, контролируемости, неопровержимости авторства и надежности.
ISO/IEC 27000:2014

Авторизованное лицо должно иметь доступ только к той информации, которая ему необходима для исполнения своих должностных обязанностей.

Клиент должен быть в письменной форме уведомлен, если лаборатория намерена разместить те или иные данные в открытых источниках. Данное уведомление должно быть предоставлено до начала проведения лабораторных исследований, и поэтому их следует включать в извещение / контракт или другой аналогичный документ, используемый лабораторией. Общепринятой практикой является то, что информация о данных клиентов остается конфиденциальной.
Сотрудники лаборатории, поставщики услуг, внешний персонал и т. д. также должны подписывать декларацию о сохранении конфиденциальности.

Выдержки из статей:
ГК РФ Статья 771. Конфиденциальность сведений, составляющих предмет договора
1. Если иное не предусмотрено договорами на выполнение научно-исследовательских работ, опытно-конструкторских и технологических работ, стороны обязаны обеспечить конфиденциальность сведений, касающихся предмета договора, хода его исполнения и полученных результатов. Объем сведений, признаваемых конфиденциальными, определяется в договоре.
2. Каждая из сторон обязуется публиковать полученные при выполнении работы сведения, признанные конфиденциальными, только с согласия другой стороны.

Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 18.04.2018) "О коммерческой тайне"
Статья 10. Охрана конфиденциальности информации
1. Меры по охране конфиденциальности информации, принимаемые её обладателем, должны включать в себя:

1) определение перечня информации, составляющей коммерческую тайну;
2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
3) учёт лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации (для юридических лиц — полное наименование и место нахождения, для индивидуальных предпринимателей — фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

2. Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 настоящей статьи.

3. Индивидуальный предприниматель, являющийся обладателем информации, составляющей коммерческую тайну, и не имеющий работников, с которыми заключены трудовые договоры, принимает меры по охране конфиденциальности информации, указанные в части 1 настоящей статьи, за исключением пунктов 1 и 2, а также положений пункта 4, касающихся регулирования трудовых отношений.

4. Наряду с мерами, указанными в части 1 настоящей статьи, обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству Российской Федерации меры.

5. Меры по охране конфиденциальности информации признаются разумно достаточными, если:

1) исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия её обладателя;
2) обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи её контрагентам без нарушения режима коммерческой тайны.

6. Режим коммерческой тайны не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Статья 11. Охрана конфиденциальности информации, составляющей коммерческую тайну, в рамках трудовых отношений
1. В целях охраны конфиденциальности информации, составляющей коммерческую тайну, работодатель обязан:

1) ознакомить под расписку работника, доступ которого к этой информации, обладателями которой являются работодатель и его контрагенты, необходим для исполнения данным работником своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну;
2) ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
3) создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.

2. Доступ работника к информации, составляющей коммерческую тайну, осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями.

3. В целях охраны конфиденциальности информации, составляющей коммерческую тайну, работник обязан:

1) выполнять установленный работодателем режим коммерческой тайны;
2) не разглашать эту информацию, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях в течение всего срока действия режима коммерческой тайны, в том числе после прекращения действия трудового договора;
3) возместить причиненные работодателю убытки, если работник виновен в разглашении информации, составляющей коммерческую тайну и ставшей ему известной в связи с исполнением им трудовых обязанностей;
4) передать работодателю при прекращении или расторжении трудового договора материальные носители информации, имеющиеся в пользовании работника и содержащие информацию, составляющую коммерческую тайну.

4. Работодатель вправе потребовать возмещения убытков, причинённых ему разглашением информации, составляющей коммерческую тайну, от лица, получившего доступ к этой информации в связи с исполнением трудовых обязанностей, но прекратившего трудовые отношения с работодателем, если эта информация разглашена в течение срока действия режима коммерческой тайны.

5. Причиненные работником или прекратившим трудовые отношения с работодателем лицом убытки не возмещаются, если разглашение информации, составляющей коммерческую тайну, произошло вследствие несоблюдения работодателем мер по обеспечению режима коммерческой тайны, действий третьих лиц или непреодолимой силы.

6. Трудовым договором с руководителем организации должны предусматриваться его обязанности по обеспечению охраны конфиденциальности составляющей коммерческую тайну информации, обладателем которой являются организация и её контрагенты, и ответственность за обеспечение охраны конфиденциальности этой информации.

7. Руководитель организации возмещает организации убытки, причиненные его виновными действиями в связи с нарушением законодательства Российской Федерации о коммерческой тайне. При этом убытки определяются в соответствии с гражданским законодательством.

8. Работник имеет право обжаловать в судебном порядке незаконное установление режима коммерческой тайны в отношении информации, к которой он получил доступ в связи с исполнением трудовых обязанностей.

cordek писал(а): ↑08 ноя 2019 19:53 не могут быть конфиденциальными

Уточню - не могут быть отнесены к коммерческой тайне.
ФЗ 98.
Статья 5. Сведения, которые не могут составлять коммерческую тайну
Режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих сведений:

1) содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;
2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;
4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;
6) о задолженности работодателей по выплате заработной платы и социальным выплатам;
(Пункт в редакции, введенной в действие с 29 апреля 2018 года Федеральным законом от 18 апреля 2018 года N 86-ФЗ. - См. предыдущую редакцию)
7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;
8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;
9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.

Соответственно не получится относить их и к конфиденциальной информации.

Хотелось бы развести коммерческую тайну и конфиденциальную информацию, чтобы в дальнейшем не было путаницы. Коммерческая тайна отрегулирована законодательно. Если она введена на предприятии - то обладатель не имеет права передавать ее кому-либо, без соглашения о неразглашении (non disclosure agreement), а получатель обязан предпринять ВСЕ меры по ее защите, а не просто "прокукарекать" в договоре обязательство не разглашать. Т.е. если у Вас, например нет антивирусной защиты и в результате действия вирусов КТ утечет куда-либо - Вы понесете ответственность, не зависимо от того, что специально никто ничего не разглашал... Более того, разглашение КТ - это уголовное преступление и заниматься им будет полиция. А ответственность прописана в УК. Кстати, при наличии КТ в Лаборатории - экспертам придется очень постараться, чтобы выполнить требования по защите КТ при проверке Лаборатории. И уж точно никак не получиться приехать в ИЛ со своим личным ноутбуком :)
Если же коммерческой тайны нет на предприятиях, то они могут договориться о том, что какую-то информацию они будут считать конфиденциальной. В данном случае, все зависит только от от того, что написано в договоре и какие санкции предусмотрены за нарушение.
Фактически никого ни к чему особенно не обязывает, ибо доказать что-либо, за исключением совершенно явных случаев (например разместили информацию на сайте, или какой-нибудь ролик на YouTube :) практически будет крайне сложно.

texadmin писал(а): ↑08 ноя 2019 21:59 Что то мне этот пункт не нравится, мне кажется тогда это должно быть указано в договоре.

Спасибо, согласна, тем более этот пункт уже не актуален.

Отправлено спустя 27 минут:
Понятное дело что недостаточно "кукарекать". Договор является юридически значимым документом. И если вы написали там что выполните какую-то работу, то ее надо выполнить, иначе понесете ответственность согласно законам РФ.

Лучше тогда любое упоминание о КТ убрать из РК и написать общо, что то типа:
"Заказчик может включить особые требования к конфиденциальности в договор, по согласованию с ИЛ, до начала ведения работ."

Кстати, документ, содержащий КТ должен быть обязательно промаркирован. Если штампика КТ нет - ни о какой коммерческой тайне речь идти не может.
Я бы вообще про КТ в нашем случае забыл, а к конфиденциальной информации отнес только ту информацию, которую Заказчик явно укажет как конфиденциальную. Вот ее ИЛ и обязуется не разглашать.

Отправлено спустя 3 минуты:
После введения поправок в законодательство, ужесточающих ответственность за разглашение КТ я лично предпочел бы никакого отношения у КТ не иметь и ничего не знать :)

Itanium писал(а): ↑11 ноя 2019 10:44 После введения поправок в законодательство, ужесточающих ответственность за разглашение КТ я лично предпочел бы никакого отношения у КТ не иметь и ничего не знать :)

Соглашусь, была парочка заказчиков. Просили провести исследования по их методикам, которые они по электронной почте прислать не могут из-за КТ. Привести лично тоже не могут, потому что им надо знать точно можем ли мы провести эти исследования. А мы не можем дать точного ответа, потому что не видим методик. Какая-то бессмысленная трата времени оказалась.

Да, КТ инструмент достаточно жесткий, но в то же время может быть полезен. Если ввести КТ в ИЛ - то это может стать некоторым подспорьем при общении с ФСА. Нужно только уметь с ним работать и вводить по-умному :)
Правда чтобы ввести КТ нужно хорошенько попотеть и инфраструктура должна быть на хорошем уровне и документов нужно не мало написать. На мой взгляд обычной лаборатории это не по силам...

Было бы ради чего стараться. Если есть заказчик готовый обеспечить достаточный объем работ и достойную оплату, то можно и попотеть. А ради разовой работы, конечно, смысла нет

Вот опять :)
Методические рекомендации по формированию программы выездной оценки ... от 3 ноября 2019г
Анкета самообследования, п.2, читаем - "вся иная информация считается представляющей коммерческую тайну"!!!

КАК МОЖНО СЧИТАТЬ ЧТО-ЛИБО КОММЕРЧЕСКОЙ ТАЙНОЙ, ЕСЛИ ВЛАДЕЛЕЦ САМ ЕЕ ТАКОВОЙ НЕ СЧИТАЕТ?
ПРЯМОЕ ПРОТИВОРЕЧИЕ С ЗАКОНОМ О КОММЕРЧЕСКОЙ ТАЙНЕ.

Я так понимаю конфиденциальность - не болтать лишнего, (не разглашать), ввести соответствующие требования, что можно говорить, а что нет.
Коммерческая тайна — режим конфиденциальности информации, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов. -и в отношении которых обладателем таких сведений введен режим коммерческой тайны;

Это уже преднамеренное использование информации которую заранее отнесли к коммерческой тайне.

Ну и ГОСТ упоминает конфиденциальность, а вырезки из закона привёл для большего понимания. Так Фалкин на странице выкладывал что необходимо папки подписывать конфиденциально (если у Вас начнут требовать это эксперты, то понятно на что они опираются).

Мне кажется хорошо конфиденциальность прописать, и на этом успокоится, а "коммерческая тайна" не упоминать, на нет и суда нет.

ГОСТ Р ИСО/МЭК 27000-2012
2.9 конфиденциальность (confidentiality): Свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов (2.31).

Т.е. если двое договорились о чем-то всего лишь не болтать - эта информация не становится конфиденциальной.
И это называется соглашение о неразглашении, т.е. может гарантировать только что оба не сообщат эту информацию третьим лицам, а не то, что она не станет никому известна другим способом.
Требования же к защите КТ совершенно иные, и охватывают все остальные каналы утечки, через которые информация может стать доступной третьим лицам.

Вот такая разница.

Просто так взять и считать какую-то информацию КТ, это все равно как я буду считать себя президентом российской федерации (потому, что ни для кого никаких последствий это не будет иметь, и никто более так считать не будет :).

Если уж придираться так может ГОСТ Р 54296-2010, а то сущности, и неавторизованных, лиц сложно в лаборатории найти, да и авторизованных не везде встретишь.
Яж по русский написал: "ввести соответствующие требования, что можно говорить, а что нет."

texadmin писал(а): ↑11 ноя 2019 14:19 а то сущности, и неавторизованных, лиц сложно в лаборатории найти

Я встречал компы, на которых "сущности" в количестве 200 видов хороводы водят :)
А неавторизованному лицу вовсе не нужно заходить в Вашу лабораторию, чтобы получить контроль над Вашей инфраструктурой, и информацией, которая в ней крутится. Это лицо может находиться в любой точке земного шара :)

Можете понимать под конфиденциальностью что хотите, мне все-равно, а что это есть на самом деле - это как раз в серии ГОСТ'ов 2700х написано.

Термин коммерческая тайна появился в переводе ГОСТ 17025-2017 от ФАУ НИА, хотя в оригинале такого термина НЕТ. Потом вышел и был принят белорусский вариант перевода, там этот термин перевели корректно и тоже упоминания о коммерческой тайне нет.
Я так понимаю в Методические рекомендации по формированию программы выездной оценки ... (сегодня получил по новостной рассылке ФСА) этот термин попал еще из старого, не актуального ныне перевода по чьему-то недосмотру.

Itanium писал(а): ↑11 ноя 2019 14:45 Можете понимать под конфиденциальностью что хотите, мне все-равно, а что это есть на самом деле - это как раз в серии ГОСТ'ов 2700х написано.

Покажите в своем руководстве про сущности.

1. Вся иная информация считается представляющей коммерческую тайну и должна рассматриваться в качестве конфиденциальной.
2. Любая информация поступившая от заказчика считается конфиденциальной.
Вот и весь вывод.

texadmin писал(а): ↑11 ноя 2019 14:54 Покажите в соём руководстве про сущьности.

В РК это неуместно :) есть другие документы, они относятся к компании, а не к Лаборатории.

Хотя бы такой наборчик:
«Политика информационной безопасности. Основные положения»
«Положение об организации автоматизированных рабочих мест сотрудников. Оборудование и программное обеспечение»
«Положение о системе резервного копирования»
«Положение об использовании Электронной Подписи в электронном документообороте»
«Положение о парольной защите»
«Положение об антивирусной защите»
«Положение по управлению инцидентами информационной безопасности»
«Положение об обеспечении непрерывности бизнеса»
«Инструкция по поддержке пользователей ИТ-услуг»
«Положение по использованию ИТ-ресурсов в ООО «Компания»
«Инструкция по оказанию технической поддержки ERP»
«Инструкция по управлению изменениями на межсетевом экране»
«Положение о порядке обработки и защиты персональных данных работников»
«Положение о коммерческой тайне»
«Перечень информации, составляющей коммерческую тайну предприятия»
«Перечень лиц, допущенных к коммерческой тайне предприятия»
«Положение о пропускном и объектовом режиме на предприятии»

Там есть про все - и про сущности, и про неавторизованных лиц, и про коммерческую тайну и еще много про что...
Показать не покажу, только меняюсь :) баш на баш...

Ещё раз о конфиденциальности. Входят ли менеджеры (принимающие, работающие с заявками), в состав ИЛ, или как в этом случае Вы решаете вопрос конфиденциальности?
Ограничиваете ли в ДП Вы своих сотрудников к информации той с которой он не работает, например сотрудник X получает работу, сотрудник Y никакими способами не может получить информацию с которой работает сотрудник X.

texadmin писал(а): ↑12 дек 2019 21:09 Входят ли менеджеры (принимающие, работающие с заявками), в состав ИЛ

Конечно входят... И даже если бы не входили, то это принципиально ничего бы не изменило. ИТ инфраструктура у компании все-равно одна.

Я пока только сочиняю и тестирую отдельные элементы это системы... Задумка примерно такая:
Основа и начало всей цепочки - Заявка. Это будет файлик в формате Excel (в принципе его можно распечатывать, подписывать и отдавать Заказчику на руки). Файлик может формироваться как вручную, набором на ПК (вместе в Заказчиком например, прямо в Лаборатории), так и через сайт Лаборатории - заказчик на Веб-сайте в Интеренте вводит в форму необходимую информацию, ставит галки на необходимых испытаниях и в ИЛ "сваливается заявка" (кому нужно - получают уведомления по электронке). Поскольку всех-провсех испытаний больше сотни и заказчик может не знать какие нужно - можно предусмотреть вариант "на получение такого-то сертификата", а программка сама расставит нужные галочки. После ручной (пока) проверки из этого файлика заявки формируется сводное задание на все испытания (а их 5 видов) - тоже файлик Excel. В этом сводном задании есть кнопка, связанная с программкой на VBA которая генерирует отдельные задания для каждого специалиста, куда включает только нужную для них информацию и итоговую табличку с результатами по данному виду. Таким образом исполнитель почти автоматически получает файл-задание на испытания, где есть только предназначенная для него информация.

Как эти файлы будут гулять по инфраструктуре Лаборатории пока думаю. Вообще, совсем правильно (я считаю) будет сделать все на облачных технологиях, например Гугл-диск. Но там все нужно переписывать на Java. Кстати, с конфиденциальностью аккаунтов в Гугле на порядок лучше, чем в средней фирме с приходящим админом.

Теперь по поводу возможности сотрудника получить не предназначенную для него информацию...
Создать некий общий ресурс с ограниченным доступом в общем не сложно. А вот сделать так, чтобы сотрудник при определенных усилиях не смог получить несанкционированный доступ к ресурсам, к которым он не допущен - совсем не просто. Мало настроить политики на оборудовании и ПК, нужно еще мониторить активность пользователей - ошибочные вводы пароля, появление в сети неизвестных устройств, сканеры сети, логи безопасности на ПК и серверах и много чего еще.
А для тех, кто допущен - нужно еще отследить какая информация и куда уходит от этого человека. Для этого ставят системы, которые мониторят всю выходящую информацию - мессенджеры, Скайп, соцсети, почта ... чтобы конфиденциальная информация не ушла туда, куда она не предназначена. А это фактически вторжение в личную жизнь. И мониторящему может стать известна очень интимная информация о сотрудниках. Я это сам знаю, потому что тестировал одну такую систему - Мониториум, около 900 человек отслеживала. Ставишь "ключевые слова", как только из компании выходит сообщение, содержащее эти ключевые слова - аларм в системе и сообщение администратору.
И самое главное, за 15 лет в ИТ я понял совершенно точно, что "главная опасность и уязвимость" в компании - это системный администратор, оставленный без присмотра и контроля :)

Вот, надеюсь скоро таки закончим эту затянувшуюся аккредитацию - и займусь автоматизацией Лаборатории. Это уже давно моя любимая тема. Намного интереснее, чем проводить рутинные испытания :)

Немного опыта. (скажу сразу для экспертов не показатель)
Одну резервную копию ИЛ, я храню на хранилище MEGA 50 Гб бесплатно. Папку с документами лаборатории синхронизировал (это нельзя назвать резервной копией в полной мере)
В СМК хранилище не фигурирует, чисто для себя, например на случай пожара.
Файлы шифруются на вашем компе, и зашифрованные передаются в хранилище. (т.е кроме Вас их никто не увидит).
Выбрал чисто из за доступного бесплатного объёма.

Плюсы
Файлы зашифрованы
Можно ограничить скорость передачи (поставил минимум) 500 кб/сек, одно параллельное соединение
Есть вроде корзина
На компе одновременно может стоять яндекс диск.

Минусы.
Не для пользователей ПК начального уровня
Сильно притормаживает когда первый раз будете синхронизировать (мне пофиг, сервер запустил и через месяц проверил).
Не шустрый, видимо из за работы шифратора
Немного непривычное меню. (но на яндекс диск похоже)
На бесплатных аккаунтах существует лимит на передачу данных для одного IP-адреса: до 4 ГБ каждые 6 часов.
Нет WebDAV для тех кто в курсе.

Немного опыта 2. (скажу сразу для экспертов не показатель)

Если Вам необходимо передать файл, ну прям очень секретный.

Шифруете winrar как на рисунке, отправляйте как хотите, пароль передавайте по телефону.

texadmin писал(а): ↑18 июн 2020 23:44 для экспертов не показатель

кстати да. Лучшее - враг хорошего. А это старое-доброе хорошее, настолько старое, что даже не подумал об этом, когда писал руководство по качеству. Мне так с банка документы приходят - так почему, если это до сих пор устраивает банк (уж кого постоянно по судам треплют, как не кредитную организацию?), не должно устраивать лабораторию/экспертов??

Без галочки "заблокировать архив" и название файла (архива) ничего не значащее например: "Прошивка_телефон", я так личные файлы на яндекс диске храню. Текстовые документы можно править прям в этом архиве.

Способ довольно таки неплохой, вскрыть получится только пытками, либо перебором.

texadmin писал(а): ↑18 июн 2020 23:44 Шифруете winrar как на рисунке

Есть специальная программулина - подбирает раровский пароль по словарю или перебором :)
Шифрование почтовой переписки электронным ключем сильно надежнее/

Программы перебора всегда были. Это не мешает использовать пароли. Для ежедневных нужд способ хороший.
Всё зависит от того что шифруем и от кого.
Так между сервером форума и вашим браузером информация проходит в зашифрованном виде, теоретический за пару веков пароль подобрать можно, но необходимо как то подключится к каналу. Максимальная для Вас потеря будет перехват пароля от Вашего аккаунта.
Если что то серьёзнее, есть другие инструменты помимо пароля.

texadmin писал(а): ↑01 июл 2020 15:24 Для ежедневных нужд способ хороший

Вот в этом вся и суть, что форум-то не бытовой, а вполне как бы серьезной тематики а обсуждение требований конфиденциальности, целостности и доступности информации сводится к "наколенным технологиям" :)
Что собственно и понятно. Мне интересно, о чем думал человек, который пропихивал эти требования в ГОСТ 17025, если их реализация по трудозатратам фактически равна разработке и внедрению СМК. Это если делать как положено конечно...

Ну и конечно сайты не через зерегистрированных на сайте пользователей ломают.

Так, на вскидку можно посмотреть уязвимости сайта на https://quttera.com/...

Я про адекватность мер
Например сравните этот форум и сайт сбера здесь https://observatory.mozilla.org/

Но даже у количества принятых усилий есть предел который в итоге даст негативный результат.

Расскажу историю Сам проект "этот форум" если не брать пару групп в ВК, начинался на движке WordPress, там что то типа немного небольших стаей было. Самая первая статья как раз и была посвящена надёжности хранения архивных данных. Безусловным лидером (M-DISC не берите в расчёт), были Неперезаписываемые диски DVD. Записал, отложил. Неизменно, недоступно, от напряжений в сети не ломается, в воде не тонет, можно хранить отдельно (и даже в сейфе), легко уничтожается.
У Nero есть технология SecurDisc, которая позволяет записать DVD с избыточностью данных, например при избыточность 10%, допускается повреждение 10% информации в любом месте, а там хоть до 500% указывай. Можно шифровать, тоже на высочайшем уровне.

На деле объём диска небольшой, медленно, надо диски закупать, как то всё сортировать, где то размещать, в том числе и привод, желательно через кое-то время эти диски проверять на читаемость, и.т.д

Короче все плюсы разобьются при попытки внедрения. Всё раздобыл и попробовал для того что бы архив форума сделать. Попробовал, и в пятый раз разочаровался

В случае лабораторий в какой то момент будет некогда или лень, и это и будет тот момент когда на следующий день всё крякнет

Itanium писал(а): ↑14 июл 2020 20:02 Вот вам задачка, найдите что такое конфиденциальность

Начните с простого - определите какая информация у Вас относится к конфиденциальной.
И что особенно важно - на каком основании! У нас, например, к такой относятся только персональные данные (кроме общедоступных). Они и так таковыми являются, без нашего желания.
И все станет несколько проще.
Поймите простую весч - мало прокукарекать - конфиденциально!!!
Нужноо ещё реально обеспечить конфиденциальность этой информации, а это мало кому под силу.
Если в суде не сможете доказать, что доступ к данным был ограничен правилами и практически - грош цена вашей конфиденциальности.
Ещё один важный момент, если информацию просто объявить конфиденциальной, не коммерческой тайной! - это ничего не значит, нужно ещё определить ответственность за её разглашение и ПОДПИСАТЬ соглашение о неразглашении со ВСЕМИ сотрудниками, иначе все это НИЧЕГО не значит.
Обычной лаборатории с приходящие сисадмином это не по силам. До первого суда...

Itanium писал(а): ↑14 июл 2020 20:27 Начните с простого - определите какая информация у Вас относится к конфиденциальной.

Вас честное слово всё время куда то в сторону тянет. Вы из простого целую поэму делаете.

Даже цитировать не буду, почитайте. ГОСТ 17025 4.2 Конфиденциальность.

Что ту подразумевается под "yandex"? 100500@yandex.ru или можно рабочую почту на сервере yandex использовать?

Itanium писал(а): ↑14 июл 2020 20:27 И что особенно важно - на каком основании!

А протоколы испытаний? Они тоже конфиденциальны?

17025 4.2 Конфиденциальность

4.2.1 Лаборатория должна на основе юридически значимых обязательств нести ответственность за управление всей информацией, поступившей извне или полученной в процессе выполнения лабораторной деятельности. Здесь принимаете на себя обязанности, и соглашаетесь с ответственностью. как видно речь идёт в основном об информации поступившей из вне и про (упрощённо) результаты измерений, так же необходимо заострить внимание на слове управление, т.е. описано что, как, кто, куда.

Лаборатория должна заранее информировать заказчика об информации, которую она намерена разместить в свободном доступе. Исключение составляет информация, которая становится общедоступной по решению заказчика либо по согласованию между лабораторией и заказчиком (например, с целью реагирования на жалобы). Вся иная информация считается представляющей коммерческую тайну и должна рассматриваться в качестве конфиденциальной.

4.2.2 Если в соответствии с законодательством или договорными отношениями лаборатория должна раскрыть конфиденциальную информацию, она должна уведомить заказчика или иное заинтересованное лицо о раскрытой информации, в случае если это не запрещено законодательством.
Здесь при объективной необходимости или по другим основаниям почему Вы можете раскрывать информацию, например в случае обнаружения Вами незаконных действий, так же описываете что в случае раскрытия Вы сообщаете заказчику что кому и зачем сообщили.

4.2.3 Информация о заказчике, полученная не от самого заказчика (например, лица, направившего жалобу, регулирующих органов), должна быть конфиденциальной между заказчиком и лабораторией. Сведения о поставщике (источнике) этой информации должны быть конфиденциальными для лаборатории и не должны передаваться ее заказчику, если это не согласовано с источником данной информации.
Тут дословно, узнали что то о заказчике (например от его работников), никому. Если это конфиденциально не выдавайте болтуна.

4.2.4 Персонал, включая любых членов комитетов, подрядчиков, персонал внешних органов или отдельных лиц, действующих от имени лаборатории, должен соблюдать конфиденциальность всей информации, полученной или созданной в ходе выполнения лабораторной деятельности, за исключением случаев, предусмотренных законодательством.
Тут что требуете соблюдения конфиденциальности от всех при работе с информацией из п 4.2.1

Если своим языком что является конфиденциальной а что нет. Всё что есть в открытых источниках, то не конфиденциальная, например название организации. Количество протоколов для заказчика уже конфиденциально (этой информацией могут воспользоваться конкуренты заказчика).

А все правила по конфиденциальности должны исключить риск нарушения её. Например сотрудник ушёл к конкуренту, сотрудник потерял телефон с фотографиями заказчика, сотрудник проболтался заказчику на выезде, (типа: - а у ИП Иванова нет окон).

Sokolov писал(а): ↑15 июл 2020 09:08 Они тоже конфиденциальны?

texadmin писал(а): ↑15 июл 2020 10:10 сообщаете заказчику что кому и зачем сообщили

Расскажу как у нас сделано, может кому пригодится, а может в споре родится истина (на последнюю не претендую):
Раздел договора "конфиденциальность":
1. Стороны обязуются соблюдать конфиденциальность в отношении информации, полученной ими друг от друга или ставшей известной им в ходе оказания услуг по настоящему Договору, не открывать и не разглашать в общем или в частности информацию какой-либо третьей стороне без предварительного письменного согласия другой Стороны настоящего Договора.
2. Требования пункта 1 не распространяются на случаи раскрытия конфиденциальной информации по запросу уполномоченных органов в случаях, предусмотренных законом. Однако даже в этом случае Стороны обязаны информировать друг друга об объеме и характере предоставляемой информации.
3. Убытки, причиненные Стороне несоблюдением требований конфиденциальности настоящего Договора, подлежат полному возмещению виновной Стороной.
Раздел договора "срок действия договора":
Договор вступает в силу с момента заключения договора и действует до <дата> включительно. Раздел Договора о конфиденциальности действует в течение 3 (трех) лет с <даты>. Раздел договора о порядке разрешения споров действует бессрочно.
Раздел договора "заключительные положения":
В обязанности представителя Заказчика (Ф.И.О. представителя указывается в договоре) входит: ... лично, с целью обеспечения конфиденциальности, принимать от представителей лаборатории протоколы измерений.
Раздел технического задания (неотъемлемая часть договора) "требования к конфиденциальности":
Услуги оказываются в соответствии с Федеральным законом от 29.07.2004 № 98-ФЗ «О коммерческой тайне» (с изменениями и дополнениями). Исполнитель не имеет право полностью, либо частично передавать (публиковать, разглашать) информацию, составляющую коммерческую тайну, любым третьим лицам или использовать каким-либо иным способом с участием третьих лиц без предварительного письменного согласия Заказчика. Исполнитель обязуется сохранять информацию, составляющую коммерческую тайну, строго конфиденциальной. Исполнитель защищает от несанкционированного разглашения любую конфиденциальную информацию, ставшую доступной в рамках оказания услуг по радиационному контролю.

Правила обеспечения конфиденциальности информации.docx: (15.44 КБ) 512 скачиваний

У нас какая-то неразбериха с конфиденциальностью. Вопрос больше к фбузам. В уставе учреждения прописано, что если мы должны раскрыть информацию рпн о заказчике, то мы НЕ сообщаем заказчику об этом. Я правильно понимаю, что уведомление заказчика в договоре о возможном раскрытии информации недостаточно?

Отправлено спустя 1 минуту:
Устав противоречит ГОСТ 17025?

MaryMorrisson писал(а): ↑08 авг 2020 10:54 рпн о заказчике, то мы НЕ сообщаем заказчику об этом

На основании чего Вы не раскрываете, и не сообщаете (кроме устава)?

Гость, юристы ссылаются на нераскрытие только по уставу (инструкцию по конфиденциальности не согласовывают). Если в уставе так, то во всех документах тоже должно быть так. А почему в уставе так, не знаю, возможно, рпновские какие-то факторы

Напишите письмо на имя директора, о невозможности соблюдения пунктов критерий, и пунктов устава одновременно, и что в случае невыполнения пунктов критерий деятельность ИЛ могут приостановить. (копию письма неплохо бы и юристам).
4.2 Конфиденциальность
4.2.1 Лаборатория должна на основе юридически значимых обязательств нести ответственность за управление всей информацией, поступившей извне или полученной в процессе выполнения лабораторной деятельности. Лаборатория должна заранее информировать заказчика об информации, которую она намерена разместить в свободном доступе. Исключение составляет информация, которая становится общедоступной по решению заказчика либо по согласованию между лабораторией и заказчиком (например, с целью реагирования на жалобы). Вся иная информация считается представляющей коммерческую тайну и должна рассматриваться в качестве конфиденциальной.
4.2.2 Если в соответствии с законодательством или договорными отношениями лаборатория должна раскрыть конфиденциальную информацию, она должна уведомить заказчика или иное заинтересованное лицо о раскрытой информации, в случае если это не запрещено законодательством.

Так Вы снимите с себя ответственность.

texadmin, в случае, если это не запрещено законодательством. Поэтому и вопрос к фбузам, может, есть закон, который запрещает раскрытие в случае угрозы санэпид благополучию или что-то такое

Гость писал(а): ↑08 авг 2020 11:52 На основании чего Вы не раскрываете, и не сообщаете (кроме устава)?

Именно о не раскрытии это был бы довольно странный закон. Вам заказчик платит за работу. Это вероятно возможно в случае каких либо следственных действий, и то на время проведения.

Прописать в договоре, что информацию о результатах испытаний передаете в РПН и всё, вы уведомили заказчика.
В бланке заявки тоже можно предусмотреть такую запись.

строчка в договоре о том, что аккредитованы и выполняете работы в соответствии с КА
есть еще раскрытие информации по запросу органов власти (например, прокуратура), при котором не имеете права (по закону) сообщать заказчику, но предоставить должны. это в СМ прописать достаточно

Здравствуйте всем! Вопрос по п. 4.2.3 ГОСТ 17025. Изложен так: "Информация о заказчике, полученная не от самого заказчика (например, лица, направившего жалобу, регулирующих органов), должна быть конфиденциальной между заказчиком и лабораторией. Сведения о поставщике (источнике) этой информации должны быть конфиденциальными для лаборатории и не должны передаваться ее заказчику, если это не согласовано с источником данной информации". Так вот: как это понимать? Я не могу представить себе какую-либо реальную ситуацию. Какую процедуру здесь можно прописать? Как вы излагали? Поделитесь, пожалуйста.

neonm10,
во-первых, отмечу, что перевод в стандарте не очень понятный, вот более корректный вариант:
4.2.3 Информация о заказчике, полученная из иных источников – не от него (например, заявителя претензии, регулирующих органов) – должна оставаться конфиденциальной в рамках отношений заказчика и лаборатории. Источник такой информации должен быть конфиденциальным для лаборатории и не разглашаться заказчику, если иное не согласовано с источником
Речь идет о ситуации, когда лаборатория не обязана раскрывать заказчику источник полученных сведений о нем. Как один из вариантов: допустим в лаборатории есть предварительная проверка благонадежности заказчика (т.н. due diligence) и в этом случае ни сведения о заказчике, ни источник их получения заказчику не раскрываются.
Т.о. Вам надо проанализировать ситуации, когда сведения о заказчике могут быть получены не от него и указать, что в подобных случаях источник этой информации заказчику не раскрывается.
Вот, что пишет Болдырев в своей книге:
Данное требование является новым. Лаборатории следует предусмотреть меры по обеспечению конфиденциальности информации, полученной от третьих лиц, и конфиденциальности сведений о самих третьих лицах. Т.о. лаборатория обязана обеспечить передачу заказчику то и только той информации, которая получена в результате испытаний, проводимых по его заказу.

Андрей Горбунов, а если заказчик только внутренний?

Т.е., я так понимаю, что лаборатория является частью предприятия и работает только на подразделения этого предприятия. В этом случае, возможно (я не знаю, как выстроен обмен информацией), что это требование не применимо.

Андрей Горбунов, понял, спасибо!