Все это — онлайн, с заботой о вас и по отличным ценам.
Вопросы: 1 требуется ли специальные лицензии на оказание таких услуг?
Компания-интегратор в области информационной безопасности оказывает услугу заказчику по анализу защищённости корпоративных систем. Одним из этапов оказания услуг является сбор информации их сети Интернет о сотрудниках компании, проведение тестовых почтовых рассылок и телефонных звонков с целью получения от сотрудников конфиденциальных или служебных данных заказчика (в т.ч. получение учётной записи сотрудника в корпоративной системе). Вопросы: 1) требуется ли специальные лицензии на оказание таких услуг? 2) требуется ли соглашения об обработке персональных данных от всех физ.лиц, задействуемых в сборе конфиденциальных/персональных данных (в целях оценки защищённости корпоративных систем заказчика)?
Александр, добрый день.
Вопросы: 1) требуется ли специальные лицензии на оказание таких услуг?Александр
В данном случае Ваша деятельность формально имеет признаки частной детективной деятельности.
В силу ст. 3 Закона РФ от 11.03.1992 N 2487-1 «О частной детективной и охранной деятельности в Российской Федерации»
В целях сыска разрешается предоставление следующих видов услуг:
2) изучение рынка, сбор информации для деловых переговоров, выявление некредитоспособных или ненадежных деловых партнеров;
3) установление обстоятельств неправомерного использования в предпринимательской деятельности фирменных знаков и наименований, недобросовестной конкуренции, а также разглашения сведений, составляющих коммерческую тайну;
4) выяснение биографических и других характеризующих личность данных об отдельных гражданах (с их письменного согласия) при заключении ими трудовых и иных контрактов;
А в этом случае предполагается получение лицензии на ее осуществление.
Основным критерием, позволяющим отнести Вашу деятельность именно к детективной является
Одним из этапов оказания услуг является сбор информации их сети Интернет о сотрудниках компании, проведение тестовых почтовых рассылок и телефонных звонков с целью получения от сотрудников конфиденциальных или служебных данных заказчика (в т.ч. получение учётной записи сотрудника в корпоративной системе).Александр
Как раз данный пункт и относится к установлению обстоятельств связанных с разглашением сведений составляющих коммерческую тайну.
В случае, если предполагаемый контроль касается информации не составляющей коммерческую тайну (тут нужно смотреть отнесена ли служебная информация заказчика к таковой или нет) — то лицензирование не требуется.
2) требуется ли соглашения об обработке персональных данных от всех физ.лиц, задействуемых в сборе конфиденциальных/персональных данных (в целях оценки защищённости корпоративных систем заказчика)?Александр
Вы работаете с данной информацией?
Она Вам кем передается заказчиком?
Получаемая информация о сотрудниках на стадии сбора нужна для разработки сценария атаки на сотрудников с использованием методов социальной инженерии (рассылка писем, телефонные звонки с целью выяснения како-либо информации у сотрудников — так проверяется соблюдение сотрудниками политик ИБ заказчика).
Получаемые персональные данные (телефоны, ФИО, адреса корпоративной почты, пр.) используется только для подготовки сценария атаки потенциального внешнего злоумышленника (хакера) — после достижения целей проекта по анализу защищённости, данные о сотрудниках удаляются и у сторон договора остаётся только обезличенная статистика тестирования в виде отчёта о результатах работ.
Служебная или конфиденциальная информация заказчика может быть получена в ходе выполнения работ по имитации действий злоумышленника (хакера/инсайдера/тд) — она также удаляется по результатам работ и приводится в отчёте в сокращённом обезличенном виде (только как свидетельство, что был получен доступ к какой-то информации и у заказчика есть те или иные недостатки в системе безопасности).
То есть вся эта информация не передаётся заказчиком, она получается исполнителем по сути в форме аудита, то есть при непосредственном сборе или исследовании компьютерных систем в ЛВС заказчика, общедоступных источников в сети Интернет.
В этом случае потребуется лицензия, поскольку речь идет именно о детективной деятельности.
Кроме того, Вам потребуется получение согласие работников на обработку их персональных данных.