Данный семинар предназначен для организаций и их сотрудников\_ц.
### Первая фаза: какая информация является общей для каждого отдела/ программы / команды организации? Исходя из конфигурации и структуры организации, попросите каждый отдел или команду привести пример чего-то общего для них - внутри организации или за ее пределами. - Вот примеры для стимулирования ответов: - Для отделов коммуникаций - какие сводки вы публикуете? - Для исследовательских команд - какие исследования вы проводите, о чем отчитываетесь? - Для администраторов и финансистов - кто может ознакомиться с платежными ведомостями вашей организации? Как насчет финансовых отчетов? - Для отделов кадров - как насчет оценки персонала?**Примечание по фасилитации:** на этот вопрос гораздо легче отвечать командам, у которых есть цели, ориентированные на внешний мир, например, отделу по коммуникациям, или программе, которая публикует отчеты и исследования. В отношении более ориентированных на внутренний мир отделов, таких как финансово-административный или отдел кадров, тренеру\_ке-фасилитатору\_ке, возможно, придется потратить время на примеры того, какой информацией они обмениваются.
Цель этого этапа - заставить различные команды признать, что все они обмениваются информацией, как внутри организации, так и за ее пределами. Это важно, поскольку каждая команда должна быть в состоянии определить один или два вида информации, которыми они обмениваются при оценке риска в своей практике управления данными. ### Вторая фаза: презентация жизненного цикла данных и соображений по безопасности Цель презентации - напомнить участникам\_цам о цикле управления данными. Ключевые моменты презентации можно найти здесь [Презентация\_Жизненный Цикл Данных](https://en.ftx.apc.org/attachments/103) ### Третья фаза: групповая работа В рамках команд попросите каждую группу определить один-два вида информации, которой они делятся/которую публикуют. Чтобы расставить приоритеты, предложите командам подумать о том, какую информацию они больше всего хотят обезопасить, или о том, какая информация, которой они делятся, является конфиденциальной. Затем, для каждого вида совместно используемой или публикуемой информации, попросите команды вернуться назад и отследить его жизненный цикл данных. Используйте приведенную ниже презентацию, чтобы задать ключевые вопросы о практике управления данными для каждого фрагмента опубликованных или совместно используемых данных. В конце этого процесса каждая команда должна быть в состоянии поделиться с остальными результатами своих обсуждений. В целом групповая работа займет около часа. Четвертая фаза: презентации групп и рефлексия по поводу безопасности В зависимости от размера организации и проделанной каждым отделом работы, дайте им время представить результаты обсуждения своим коллегам. Поощряйте каждую группу подумать о креативной презентации и ключевых моментах своих обсуждений. Им не обязательно делиться всем. Призовите слушателей делать записи о том, что им рассказывают, поскольку после каждой презентации будет дано время для обмена комментариями и обратной связи. В реалистичных условиях этот процесс займет около 10 минут на группу. Роль тренера\_ки-фасилитатора\_ки здесь, помимо учета времени и управления обратной связью, заключается также в предоставлении обратной связи по каждой презентации. Сейчас самое время надеть шляпу практикующего специалиста по безопасности. Некоторые области, о которых следует спросить: - Если процесс сбора данных должен быть конфиденциальным, не лучше ли использовать более безопасные средства связи? - Кто имеет доступ к устройству хранения данных в теории и в реальности? Если речь идет о физическом устройстве хранения данных, то где оно находится в офисе? - Кто имеет доступ к исходным данным? Как тренер\_ка-фасилитатор\_ка, вы также можете использовать эту возможность, чтобы поделиться некоторыми рекомендациями и предложениями по повышению безопасности практики управления данными в организации.**Примечание для фасилитатора\_ки: **существует ресурс под названием [Alternative Tools in Networking andCommunications](https://ftxreboot.wiki.apc.org/index.php/Alternative-Tools-for-Networking-and-Communications "https://ftxreboot.wiki.apc.org/index.php/Alternative-Tools-for-Networking-and-Communications") («Альтернативные инструменты для нетворкинга и коммуникаций») в «FTX: перезагрузка безопасности», с которым вы можете ознакомиться для проведения данного упражнения.
### Пятая фаза: возвращение к группам: улучшение безопасности После того, как все команды представили свои презентации, они возвращаются в свои группы для дальнейшего обсуждения и рефлексии по поводу того, как они могут лучше защитить свой процесс управления данными и собственно данные. Цель каждой группы - спланировать методы повышения безопасности на всех этапах жизненного цикла данных. К концу обсуждения каждая группа должна иметь некоторые планы по повышению безопасности своей работы с данными.**Примечание: **предполагается, что для этого группа прошла базовый тренинг по безопасности. Как вариант, тренер\_ка-фасилитатор\_ка может использовать четвертую фазу как возможность предоставить некоторые рекомендации по более безопасным альтернативным инструментам, опциям и процессам для практики управления данными группы.
*Методические вопросы для обсуждения в группе* - Какие из данных, которыми вы управляете, являются общедоступными (о них может знать каждый), частными (о них может знать только организация), конфиденциальными (о них может знать только команда и определенные группы внутри организации) - и как ваша команда может гарантировать, что эти различные типы данных могут оставаться частными и конфиденциальными? - Как ваша команда может обеспечить контроль над тем, кто имеет доступ к вашим данным? - Какова политика содержания и удаления данных на платформах, которые вы используете для хранения и обработки данных в интернете? - Как команда может практиковать более безопасные коммуникации, особенно в отношении частных и конфиденциальных данных и информации? - Какие практики и процессы должна иметь команда, чтобы сохранить конфиденциальность и секретность данных? - Что следует изменить в вашей практике управления данными, чтобы сделать ее более безопасной? Посмотрите на результаты предыдущей групповой работы и определите, что можно улучшить. - Какие роли должны быть у каждого члена команды, чтобы управлять этими изменениями? ### Шестая фаза: финальная презентация планов На этом этапе каждой команде будет предоставлено время для представления способов, которыми они будут обеспечивать безопасность своей практики управления данными. Это возможность для всей организации поделиться стратегиями и тактиками и поучиться друг у друга. ### Подведение итогов упражнения После завершения групповых презентаций и обмена мнениями тренер\_ка-фасилитатор\_ка может подвести итог упражнения: - Указать на ключевые моменты - Спросить участников\_ц об основных выводах, сделанных в ходе упражнения - Согласовать дальнейшие шаги по практической реализации планов. ## Презентация Существует еще один способ понять риски по возрастанию — это взглянуть на практику работы с данными в организации. Каждая организация имеет дело с данными, и каждое отделение внутри организации тоже. Ниже приведены некоторые аспекты безопасности и защиты для каждого этапа жизненного цикла данных. ### Создание / получение / сбор данных - Какого рода данные собираются? - Кто создает/получает/собирает данные? - Подвергнет ли это людей риску? Кто подвергнется риску в случае обнародования этих данных? - Насколько публичным / частным / конфиденциальным является процесс сбора данных? - Какие инструменты вы используете для обеспечения безопасности процесса сбора данных? ### Хранение данных - Где хранятся данные? - Кто имеет доступ к хранилищу данных? - Какие методы / процессы / инструменты вы используете для обеспечения безопасности устройства хранения данных? - Облачное хранилище в противовес физическому хранилищу или хранилищу на устройстве. ### Обработка данных - Кто обрабатывает данные? - Будет ли анализ данных подвергать риску отдельных лиц или группы лиц? - Какие инструменты используются для анализа данных? - Кто имеет доступ к процессу/системе анализа данных? - При переработке данных сохраняются ли вторичные копии данных в других местах? ### Публикация/обмен информацией из обработанных данных - Где публикуется информация / знания? - Будет ли публикация информации подвергать людей риску? - Кто является целевой аудиторией публикуемой информации? - Есть ли у вас контроль над тем, как публикуется информация? ### Архивирование - Где архивируются данные и обработанная информация? - Архивируются ли исходные данные или только обработанная информация? - Кто имеет доступ к архиву? - Каковы условия доступа к архиву? ### Удаление - Когда происходит уничтожение данных? - Условия удаления? - Как мы можем убедиться, что все копии удалены? #### Примечание для фасилитатора\_ки Это упражнение - хороший способ узнать и оценить контекст цифровой безопасности, практику и процессы участников\_ц. Хорошо бы сосредоточиться на этом аспекте, а не ожидать от этого упражнения выработки стратегий и тактик для повышения их цифровой безопасности. В рамках организационного семинара вы, возможно, захотите обратить внимание на кадровые и административные команды / отделы. Во-первых, во многих организациях, как правило, именно у этих сотрудников\_ц не было опыта участия в семинарах по цифровой безопасности, поэтому многие темы и вопросы могут быть для них новыми. Во-вторых, поскольку большая часть их работы является внутренней, они могут не воспринимать свои подразделения как ¨публикующие¨ что-либо. Однако во многих организациях эти подразделения хранят и обрабатывают большое количество конфиденциальных данных (информация о персонале, зарплаты сотрудников, записи заседаний совета директоров, банковские реквизиты организации и т. д.) – поэтому важно указать на это в ходе семинара. Обратите внимание и на физические устройства хранения данных. Если есть картотеки, где хранятся печатные копии документов, спросите, где они расположены, и кто имеет к ним физический доступ. Иногда существует тенденция слишком сильно концентрироваться на практике онлайн-хранилищ, упуская при этом возможность сделать более безопасной тактику физического хранения. ## Дополнительное чтение (по желанию) - FTX: перезагрузка безопасности: альтернативные инструменты для нетворкинга и коммуникаций - [FTX Safety Reboot: Alternative Tools in Networking and Communications. ](https://en.ftx.apc.org/link/561#bkmrk-page-title "Alternative Tools for Networking and Communications [Tactical Activity]") - FTX: перезагрузка безопасности, [модуль мобильной безопасности](https://en.ftx.apc.org/books/russian-ftx/chapter/mobilnaya-bezopasnost "модуль мобильной безопасности") - [Electronic Frontier Foundation's Surveillance Self-Defense](https://ssd.eff.org/en) – Хотя это руководство в основном рассчитано на американскую аудиторию, в нем есть полезные разделы, объясняющие концепции наблюдения и инструменты, используемые для их обхода. - [Front Line Defenders' Guide to Secure Group Chat and Conferencing Tools](https://www.frontlinedefenders.org/en/resource-publication/guide-secure-group-chat-and-conferencing-tools) – полезное руководство по различным безопасным чат- и конференц-сервисам и инструментам, которые соответствуют критериям Frontline Defender о том, что делает приложение или сервис безопасным. - [Mozilla Foundation's Privacy Not Included website](https://foundation.mozilla.org/privacynotincluded/) – в котором рассматриваются различные политики и практики конфиденциальности и безопасности различных сервисов, платформ и устройств на предмет их соответствия [Mozilla´s Minimum Security Standards](https://foundation.mozilla.org/en/privacynotincluded/about/meets-minimum-security-standards "https://foundation.mozilla.org/en/privacynotincluded/about/meets-minimum-security-standards") (минимальным стандартам безопасности Mozilla), которые включают шифрование, обновления безопасности и политики конфиденциальности. #####