пятница, 31 августа 2012 г.

Моя почетная грамота

Всех работников нефтегазовой отрасли с праздником! Это наш день! Успехов Вам, благополучия, карьерного роста и неисчерпаемых природных ресурсов ;)
Раз уж это персональный блог - похвастаюсь :) Мне сегодня торжественно вручили грамоту за добросовестный труд на благо предприятия, это очень-очень приятно. Два года в газовой промышленности меня многому научили, спасибо за все, коллектив ОАО "Красноярсккрайгаз", работать с Вами было очень приятно!



среда, 29 августа 2012 г.

Managing the human factor in information security


Для сдачи кандидатского минимума по английскому я выбрала книгу David Lacey 'Managing the Human Factor in Information Security: How to win over staff and influence business managers' и не пожалела об этом. В книге множество интересных мыслей, привожу свой вольный перевод некоторых из них. 
...
Я спросил одного генерального директора, на что это похоже, быть сегодня во главе большой современной организации.
Он ответил:
‘Это похоже на вождение большого автобуса, за исключением того, что колеса не связаны с рулем.’
Если вы работаете на крупном предприятии, вы уже заметили это явление. Становится все труднее оказывать влияние на ваших коллег руководителей и сотрудников. Конечно, это никогда не было легко.
Но сегодня это еще сложнее. И ситуация на местах гораздо хуже, чем вы думаете. Вы были бы потрясены, если бы Вы провели мониторинг на предмет того, сколько сотрудников компании фактически понимает корпоративную политику и следует ей.
Я знаю это, потому что недавно провел такое исследование, в десятках организаций. Результаты были довольно мрачными. Фактически, многие корпоративные политики не поняты, не доведены до персонала, не осуществлены или не воплощены в жизнь. Однако политика является основой информационной безопасности. Следовательно, или мы не донесли ее смысл, или по некоторым причинам, она игнорируется повсеместно.
Но это происходит не только от нашей некомпетентности. В действительности данное явление характерно для современного сетевого общества.
 ...
В сегодняшнем быстро меняющемся информационно-насыщенном мире, на людей воздействует множество отвлекающих факторов. Неустанный поток электронных писем - только верхушка айсберга. Типичный офисный работник проверяет свою электронную почту по крайней мере 50 раз в день. Но он также просматривает аналогичное количество веб-сайтов. А еще более губительным является растущий поток мгновенных или текстовых сообщений в режиме реального времени.
Потерянная производительность от таких отвлечений, как оценивается, стоит многих сотен миллиардов долларов в год, хотя никто, кажется, не измерил соответствующее увеличение эффективности, которое приносит эта технология. Мнение экспертов поэтому все еще балансирует между выгодами и издержками, представленными новыми сетевыми технологиями.
Но новая технология необходима, чтобы привлечь молодых выпускников. И это является одним из важнейших факторов в растущей конкуренции за привлечение новых талантов.
Не удивительно, поэтому, обнаружить, что лучшие компании, которые стремятся привлекать лучший штат, такие как Голдман Сакс, на настоящий момент относятся к числу наиболее передовых компаний во внедрении новейших сетевых технологий.
...
У современных менеджеров мало времени для спокойного размышления о гипотетических рисках безопасности и их последствиях. И все чаще они предпочитают обращаться к коллегам в сети или на общедоступные веб-сайты для справок по возникающим вопросам, а не просить ответа у официальных консультантов.
Также трудно узнать все тонкости по сложным вопросам. И практически невозможно успешно связать долгосрочные политики и технологические процессы. Когда, например, в последний раз вы читали инструкцию? Тем не менее, это то, что менеджеры информационной безопасности ожидают от сотрудников компании. И даже если вы найдете время, чтобы прочитать ее, надолго вы это запомните? И что заставит вас применить ее?
На самом деле, традиционные подходы к обеспечению информационной безопасности, такие как публикация объемного  руководства по политикам и стандартам, больше не работают. Они могут быть хороши для того, чтобы показать, что вы и ваше руководство соответствуете занимаемым должностям и продемонстрировать как вы выполняете служебные обязанности. Но длительные указания неэффективны как средство воздействия на персонал. Они должны быть отправлены в корпоративную помойку.
Мы должны пересмотреть и модифицировать то, как мы общаемся и исполняем наши политики безопасности. И это не тривиальная задача, потому, что их содержание становится все длиннее, и все более и более сложным.
...
Это становится огромной проблемой – связать комплексную политику безопасности и изменчивую организацию, которая постоянно перестраивается.
...
В частности, нам необходимо перейти от внедрения системы безопасности не столько для галочки, как оборонительной политики, а в большей степени основываться на том, как люди сейчас думают и ведут себя.
Нам нужно принять, понять и использовать социальные сети, которые все чаще используются нашими коллегами и сотрудниками. Электронные сети, на самом деле, не только источник проблемы, но и ключ к ее решению.
 Социальные сети расширяют возможности руководителей, сотрудников и клиентов. Они не работают по той же схеме, как традиционные организационные структуры. Они сопротивляются доминированию, и они разрушают традиционные, иерархические основы власти в организации. Социальные сети ограничивают возможности головных офисов и корпоративных центров, ослабляя влияние корпоративной политики безопасности в организации.
Характер принятия решений меняется, решительно и навсегда. Теперь они более направлены снизу вверх, а ни сверху вниз. Наше лидерство больше не находится исключительно в руках привилегированной группы и их консультантов, которые задают главенствующую политику. Лидерство там, в равноправных сетях и работает через инфраструктуру нашего предприятия. Власть идет к людям.
Форестер Ресерч, компания независимых технологий и маркетинговых исследований, отслеживала эту тенденцию в течение нескольких лет. Среди прочего, они отметили, что доверие к институтам постепенно ослабевает, и что социальные сети подрывают традиционные бизнес-модели.
...
Перспективные компании все чаще обращаются к обзорам мнений широкой общественности о своей деятельности.
.. 
Все менеджеры по связям следят за "блогосферой". Это развивающаяся сеть, которая связывает огромное количество личных веб-журналов, что позволяет им соединиться, взаимодействовать и усиливать мысли популярных личностей.
...
Блоги сильно отличаются от журналистики. Они носят более разговорный характер и больший акцент на личных взглядах, чем на объективной информации. И, в отличие от газет, блоги связаны друг с другом, в результате мощного эффекта агрегации сети.

Не претендую на звание переводчика, но, надеюсь основной смысл идей Дэвида я смогла передать. Рекомендую эту книгу к прочтению!

пятница, 10 августа 2012 г.

Электронная подпись для госзакупок

Местное управление Казначейства провело совещание, в рамках которого было объяснено, что для размещения информации на сайте госзакупок по 94 ФЗ "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд" подходит электронная цифровая подпись, выданная Казначейством. Однако для работы по 223 ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц" подписи ими не выдаются. Для этих целей можно использовать электронные подписи, выданные любой   аккредитованной организацией.

среда, 8 августа 2012 г.

Новый сайт ФСТЭК

Сайт пока в тестовом режиме, но выглядит многообещающе - ссылка.

Роскомнадзор про цензуру в Интернете


...
Для применения положений закона на практике требуется определить в подзаконных актах:
• Порядок проведения экспертизы информационной продукции;
• Порядок создания, формирования и ведения Единого реестра доменных имен, указателей страниц сайтов и сетевых адресов, позволяющих идентифицировать в сети «Интернет» сайты, содержащие информацию, распространение которой в Российской Федерации запрещено;
• Порядок и критерии привлечения организаций, зарегистрированных на территории Российской Федерации, для ведения соответствующего реестра
...

пятница, 3 августа 2012 г.

Ода специалистам по ЗИ

Для пятничного настроения и гордости за профессию. Очень оптимистично о том, кто такие специалисты по защите информации можно прочитать вот в этой брошюрке. Системный подход и анализ - это да, этого у нас не отнять:)

четверг, 2 августа 2012 г.

Судебная практика по информационной безопасности

Статья в августовском номере "Директор по безопасности" (в закрытом доступе).
Судебная практика может служить хорошим обоснованием необходимости проведения мероприятий по защите информации. Хороший специалист должен уметь использовать судебные решения как инструмент воздействия на мнение руководства. Когда нужно срочно принять защитные меры, важность которых неочевидна, и основная причина, почему это нужно сделать – возможное наказание (к сожалению, в нашем законодательстве есть такие ситуации), необходимо показать, что статья рабочая и прецеденты по ней есть. В случае персональных данных на сегодняшний момент основные наказания назначаются по ст. 13.11 КоАП и предусматривают штраф до 10 000 руб. Это не выглядит впечатляющим для руководства. Однако если добавить, что рассматривается вопрос внесения поправок в статью об увеличении штрафа до 1 000 000 руб., а также введении наказания в виде дисквалификации должностного лица, то актуальность защиты персональных данных возрастает в разы.


http://www.s-director.ru/magazine/archive/viewdoc/2012/8/605.html


Осуществление контроля в области информационной безопасности на предприятии

Статья в августовском номере "Директор по безопасности" (в закрытом доступе).

Система информационной безопасности в организации – большой и сложный механизм. Создать такой механизм трудно, но и это только полдела. Очень важно разработать и запустить действенные инструменты контроля –только тогда система информационной безопасности будет работать эффективно