воскресенье, 30 октября 2011 г.

Какие тайны есть в России на основании наших законов?

Случайно наткнулся на документ "Перечень нормативных актов, относящих сведения к категорииограниченного доступа" от Консультанта-Плюс.
Я подозревал, что у нас много работы, но что бы на столько...

UPD 8.11.11: Алексей Лукацкий насчитал 65. Рекомендовано к прочтению и пониманию, что у нас нет единого подхода.

Персональные данные и Архивное дело.


В середине октября суд Архангельска начал рассмотрение дела М.Супруна. Опуская эмоциональную окраску связанную с тем что дело связанно с репрессированными людьми, можно сказать, что два гражданина РФ, один профессор, заведующий кафедрой отечественной истории Поморского государственного университета, другой начальник информационного центра при УВД по Архангельской области на, как говорят юристы, возмездной основе, а по простому говоря, продали информацию о более чем 5000 человек иностранной организации с правом распространения полученной информации ряду учреждений ФРГ. Очевидно, что сами люди и их законные представители небыли уведомлены об этом.

вторник, 25 октября 2011 г.

Командостроение или стоит ли копировать западные процедуры


Взято с сайта "Деловой квартал":


Сергей Якушин: Построй команду – разрушь бизнес! 
Автор: Сергей Якушин, основатель «Сибирской ярмарки» и Новосибирского крематория
Новосибирск

У городского лета есть характернейшая деталь: каждый выходной все более-менее приличные пансионаты и санатории заполняют корпоративные клиенты— персонал, собранный на выработку командного духа. «Командостроителей» даже на пригородных шоссе узнать легко— по «пионерлагерным» автобусам, где вместо детей— радостно галдящие взрослые.

Казалось бы, гляди и радуйся— люди укрепляют коллегиальные связи. Но у меня эта летняя примета вызывает скепсис и оторопь. Потому что тимбилдинг— это бессмысленная и вредная игрушка. Игрушка яркая, импортная, шумная, любимая отечественными стаф-менеджерами. И обладающая совершенно феерической разрушительной силой. Техники, призванные сплачивать команду ради успеха общего дела,— отличное средство это дело уничтожить.

воскресенье, 23 октября 2011 г.

Роскомнадзор хочет новых полномочий.


С момента моего первого знакомства с Роскомнадзором, как с регулятором в области защиты персональных данных, у меня, да и не только у меня, вызывал своей деятельностью положительные эмоции как адекватный и профессиональный новый игрок в области безопасности. Иногда, конечно вспоминалась история с генераторами шума, в основном коснувшаяся Москвы…

И вот РИА НОВОСТИ в пятницу сообщает, что РКН обратился в Думу с предложением передать ему от прокуратуры полномочия по возбуждению дел в области нарушений закона о защите персональных данных и вроде как уже подготовил документы об ужесточении наказаний.

С одной стороны понятно, при  стоимости средств защиты информации и матожидании штрафа в размере 2000 руб, некоторым предприятиям дешевле «покупать годовой абонемент», и увеличение штрафов безусловно изменит ситуацию.

С другой стороны, насколько я понимаю эволюцию Законодательства в последний год, увеличение штрафов приведет к принципиальной невозможности адекватного регулирования защиты персональных данных и окажет негативное влияние на ЗИ в коммерческом секторе, например КТ.

пятница, 21 октября 2011 г.

Так ли конфиденциальны некоторые персональные данные?


В связи с широким внедрением в жизнь требований 152-ФЗ и вдалбливанием в неокрепшие головы российского малого бизнеса, что персональные данные это есть секрет, за разглашение которого может теоретически наступить уголовная ответственность, меня все чаще посещает вопрос: «А в каких случаях претензия субъекта персональных данных будет морально обоснована?».

В новой редакции Закона заложена идея оценки вреда человеку. Но если человек сам, без посторонней помощи, публикует свои ПД, а потом выявив ошибку защите ИСПДН оператора идет жаловаться в РКН?

О каком вреде может быть речь в этом случае? Наиболее часто это касается отношений «работник-работодатель» и касается случаев, когда работник требует охраны его ПД, которые лежат в виде резюме на всех серверах по поиску работы.

Здесь на ум приходит норма закона о защите коммерческой тайны (статья 3 п.2):
"информация, составляющая коммерческую тайну (секрет производства), - сведения любого характера … которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны".

четверг, 20 октября 2011 г.

Программисты и защита информации или нужен ли команде программистов юрист.


Во времена моей бытности разработчиком АСУ (было и такое) старшие и умудренные опытом товарищи вбивали мне в голову одну не хитрую мысль: до начала разработки ТЗ, не говоря уже о кодировании надо уточнить следующие вопросы:
  • Цели работы программы.
  • Перечень пользователей программы.
  • Нормативная (правовая, справочная) база, на которую опираются процессы, алгоритмизируемые в программе.
  • Возможность и необходимость дальнейшего развития программы.
  • Контактное лицо, уполномоченное решать все вопросы от лица заказчика.
  • Наличие материалов, которые есть или заказчик планирует подготовить для использования в программе.
И если цель программы выясняется довольно часто, то до перечня пользователей на этапе «до ТЗ» доходит в лучшем случае 1 из 3, а до нормативной базы, такое впечатление, не доходит никто.
И появляются различного рода «электронные дневники», СКУД для школы, что бы любой кто представится родителем, мог зайдя на сайт узнать в школе ли ребёнок и когда он покидает школу (расписание уроков), не говоря уже о таких «прозаических» вещах, как попытка составления полного досье в HRM системах или при регистрации на некоторых сайтах…

IMHO, пришло время включать в команду разработчиков ПО юриста. Иначе потом заказчику/пользователю приходится платить за исправление ошибок несоответствию местному законодательству и иногда существенно большие суммы, чем стоимость самого ПО…

О безопасности банковских карточек Visa/MasterCard

Вспоминая почти месячной давности историю  с очередной эпидемией краж денежных средств с банковских карт, обнаружил еще один возможный канал, который может помочь мошенникам получить реквизиты карточки, хорошо хоть не клон карты.

воскресенье, 9 октября 2011 г.

Безопасность начинается с вахтера.


Если театр начинается с вешалки, то безопасность начинается с вахтера. И первое, на что я обращаю внимание при аудите – как работает охрана/вахта. Своего рода индикатор того как относится компания к безопасности.
В одном из ВУЗов, где я читаю лекции, меня неизменно радует служба безопасности. За последний год я предъявлял пропуск не более десяти раз. За это время я придумал несколько способов, как проходить без пропуска. Есть просто классическая иллюстрация к социальной инженерии. Если на входе вместо предъявления пропуска попросить ключ от аудитории, то пропускают с ключом и без пропуска. Думаю, у каждого есть не одна история о "эффективности" вахтеров.
Невозможно требовать исполнения требований инструкций по безопасности от пользователей, которым на входе демонстрируется полное пренебрежение инструкциями и обязанностями. Теория разбитых окон в данном случае работает против нас.