четверг, 28 августа 2014 г.

Флай-леди для безопасника

Ваш рабочий день наполнен однотипными операциями, а времени на крупные проекты катастрофически не хватает? Кажется, что развернуть полноценную систему информационной безопасности на Вашем предприятии не получится никогда? Давайте учиться у домохозяек, как рационально организовать свой труд!:) Нет, не у тех, которые фанатично натирают полы и переживают из-за каждой пылинки. Мы с Вами поговорим о домохозяйках, экономящих свое время и силы и достигающих при этом хороших результатов.

Хотела поделиться с Вами своими размышлениями, а получилось какое-то рекламное вступление:) Выглядит забавно, поэтому оставила. Ну-да ладно, поехали. Есть такая система flylady, придуманная Марлой Силли. Она посвящена тайм-менеджменту домашних дел. Однако основные правила настолько простые, что их легко можно распространить на любую сферу жизни. Мы с Вами попробуем применить систему к информационной безопасности.
Я выделила для себя 9 основополагающих принципов:
  • зоны;
  • рутины;
  • контрольный журнал;
  • таймер;
  • чистая раковина;
  • туфли вместо тапочек;
  • размусоривание;
  • горячие точки;
  • постепенные результаты.
Начнем с понятия "зоны". Если у домохозяек зоны - это кухня, ванная, коридор, гостиная, то в нашей работе к зонам я бы отнесла направления работы: аудит, удостоверяющий центр, персональные данные, коммерческая тайна и т.д. Для чего нужно выделять зоны? Все очень просто, автор системы предлагает разбирать накопившиеся завалы поочередно, уделяя каждой зоне неделю. Предлагаю следующий план действий: обозначить все необходимые мероприятия, затем структурировать дела по направлениям работ и приступить к их выполнению. Допустим, первую неделю посвятить правке залежавшегося положения о персональных данных и разработке частной модели угроз персональных данных. А на следующей неделе заняться документацией к удостоверяющему центру. Естественно, речь идет о делах, отложенных в долгий ящик. Горящие вопросы решаются сразу, вряд ли начальство, поручившее срочно разработать положение о коммерческой тайне, будет удовлетворено ответом: "Сейчас у меня неделя ПДн, извините".

Итак, зоны мы свои определили, но приступить к работе мешает текучка. Текучка - это рутины, их нужно тщательно планировать. Определять себе четкий порядок ежедневных дел обязательно. Пусть очередность будет меняться (срочные дела никто не отменял), но вы должны четко знать, что нужно сделать обязательно. План дня может выглядеть, например, так:
1. Проведение аудита сетевых ресурсов;
2. Разработка документов;
3. Изучение законодательства;
4. Изготовление ключей электронной подписи;
5. Написание отчетов.

Планирование рутинов, которое было показано выше, осуществляется в контрольном журнале. Контрольный журнал содержит планы, напоминания, полезную информацию, телефоны, все что может ускорить рабочий процесс, если будет собрано в одном месте. Не переусердствуйте - контрольный журнал с паролями лучше не создавать :)

Мы подошли к моему любимому элементу системы - использованию таймера. Принцип прост - ставьте таймер на 15 минут, когда занимаетесь делом, которое вам выполнять совсем не хочется, и очень интенсивно работайте в этот период. По завершении 15 минут можно заняться чем-то другим, ну а если втянулись, и дело пошло, отсчитывайте новые 15.

Правило чистой раковины (посуда должны быть вымыта сразу после приготовления и/или приема пищи) можно переименовать в правило чистого рабочего стола, чистой тумбочки и т.д. Видели бы Вы рабочий стол моего ноутбука - не знаю даже, какие у меня обои, не берите с меня пример :)

Туфли вместо тапочек. Домохозяйкам советуют красиво одеваться дома и носить нарядную обувь. Я считаю, что работе безопасника дресс-код не помешает. Строгий костюм настраивает на рабочий лад и держит в тонусе. Да это вы и сами знаете.

Размусоривание. С этого, собственно говоря, и надо было начинать. Выкиньте наконец старинные черновики, заявки на доступ 10-летней давности к ресурсам, которых не существует. Разберите шкаф с документами. Станет легче дышать и пропадет ощущение хаоса вокруг.

Горячие точки не связаны с вооруженными конфликтами :) Это Ваши самые напряженные направления работы. Все мы знаем, где именно у нас чаще всего образуется завал. Например, если документы поступают каждый день, а срок рассмотрения 3 дня - не поленитесь и распределите нагрузку. Часто бывает - отписали важный документ, 5 дней на его исполнение, 4 из них мы ничего не делаем и "осознаем" масштаб проблемы, а на пятый день начинаем носиться как угорелые. Знаем, проходили :)

Самый важный момент - постепенность результатов. Нужно принять, что никакой тайм-менеджмент за день не поможет справиться с многолетними завалами. Процесс привыкания к эффективной организации труда будет все-таки растянут во времени.

Вот в общем-то и все принципы. Надеюсь, вы немножко отдохнули от работы, пока читали этот пост, а может даже почерпнули для себя полезные идеи, тогда вообще здорово! Если Вам понравилась эта статья, рекомендую ознакомиться с другими моими материалами в подобном стиле:

  • Приучение к лотку и защита информации. Ссылка.
  • Доктор, у меня ИБ! Ссылка.
О личной эффективности много интересного можно посмотреть у Андрея Прозорова: ссылка.

Страница моего блога ВК: http://vk.com/kshudrova

Материалы, используемые при написании статьи: 
http://time4woman.livejournal.com/17900.html, http://flylady-ru.livejournal.com/, http://flylady.org.ua/

пятница, 22 августа 2014 г.

Персональные данные станут невыездными?

Добрый день, дорогие читатели! Сегодня мы с вами поговорим о законе "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях" № 242-ФЗ от 21 июля 2014 года. 
Изменения этим законом вносятся в следующие законодательные акты:
1. Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 года № 149-ФЗ.
2. Федеральный закон "О персональных данных" от 27 июля 2006 года № 152-ФЗ.
3. Федеральный закон "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" от 26 декабря 2008 года № 294-ФЗ.

Что изменится?
1. Будет создан "Реестр нарушителей прав субъектов персональных данных", в который включат сайты с контентом, нарушающим законодательство Российской Федерации в области персональных данных. Информация в данный реестр будет вноситься исключительно по судебному акту. Также определен порядок уведомления владельца сайта, его провайдера. В случае непринятия мер по устранению нарушений, ресурс блокируется.
2. Обладатель информации, оператор информационной системы, в случаях, установленных законодательством РФ, обязан обеспечить:
"нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации."
3. Персональные данные должны обрабатываться на серверах, расположенных на территории Российской Федерации (есть исключения).
4. Роскомнадзор обязан ограничивать доступ к информации, обрабатываемой с нарушением законодательства в области персональных данных.

Закон вступает в силу 1 сентября 2016 года.
У нас с вами есть пара лет, чтобы подготовиться. Давайте поподробнее рассмотрим вопрос обработки ПДн на российских серверах. 

Изменения вносятся в статью 18 ФЗ:
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

Исключения следующие (статьи 2, 3, 4 и 8):
1. 2-я статья - обработка персональных данных для целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.
2. 3-я статья - осуществление правосудия.
3. 4-я статья - оказание государственных и муниципальных услуг.
4. 8-я статья - профессиональная деятельность СМИ и журналиста.

С тремя последними случаями все понятно. А вот статья 2-я довольно общая.Закон "О Международных договорах РФ" от 15.07.1995 № 101-ФЗ в статье 2-й определяет понятие "ратификация" как форму выражения согласия Российской Федерации на обязательность для нее международного договора. Евроконвенция по персональным данным ратифицирована, является международным договором, а значит, обработка в рамках ее положений подходит под исключение? Этот вопрос мне совершенно непонятен. А еще непонятно, каким образом будет осуществляться обработка ПДн работников международных компаний, ведь даже обезличенные персональные данные нельзя обрабатывать на иностранных серверах...

Коллеги, что думаете по этому поводу? Можно ли работу в международной компании, а также бронирование отелей и интернет-покупки отнести к исключениям из общего правила, и на что, по вашему мнению, будет распространятся требование обработки ПДн на территории РФ?


Хороших всем выходных!
William Duffield - Still Life with Mixed Fruit & a Rug with Landscape Beyond (источник)
Страница моего блога ВК: http://vk.com/kshudrova.

среда, 13 августа 2014 г.

Кобра

Добрый день, дорогие читатели! Сегодня хочу поделиться с Вами историей из своей жизни, в самом начале моей трудовой деятельности произошла одна забавная ситуация. 

Дело было так. На новом месте работы мне предоставили в полное распоряжение компьютер, заданий дали совсем немного, а ум у студента пытливый. Немного побродив по сетевым папкам, я наткнулась на СЗИ Кобра. Вы слышали о такой программе? Лично я нет :) И, естественно, мне захотелось посмотреть, что это такое и как работает. К счастью, у меня оказались административные права, и я, недолго думая, установила эту Кобру себе на компьютер. После перезагрузки выяснилось, что доступ к машине заблокирован паролем по умолчанию, каким - я не знала. Представьте себе, это был 2-й или 3-й рабочий день, а мне уже удалось заблокировать собственный компьютер - я впала в отчаяние. Изучила все какие только возможно инструкции к этой программе, но пароля в них не было. В интернете ни на одном форуме ни слова. Пришлось просить помощи у системного администратора и во всем сознаваться. Не сразу, но он удалил эту программу и все благополучно решилось. 
А я сделала для себя определенные выводы:
1. Далеко не каждому пользователю нужны админские права. Кажется, это были слова админа :)
2. Установка софта должна быть согласована, а список ПО утвержден. И никаких Кобр! :)
3. Стоит уделять большое внимание ограничению в правах студентов, практикантов и недавних выпускников. Пусть лучше бумажки перекладывают :)
4. Дистрибутивы не должны быть доступны пользователям. Подальше положишь, поближе возьмешь, как говорится:)
Можно сказать с уверенностью, что организационными мерами обойтись не получится: сотрудники могут и ось переустановить (компьютер тормозил!), и игрушки из дома принести (работа уже сделана!), даже не сомневайтесь, своими правами они обязательно воспользуются.

Мы с вами хорошо знаем один из основных принципов информационной безопасности - назначать минимум необходимых привилегий, он с успехом применяется... за некоторым исключением: даже новым сотрудникам отделов ИТ, ИБ и СБ изначально выдают права локального администратора. Стоит ли это делать, решайте сами... :)


Источник картинки
Страница блога вконтакте: http://vk.com/kshudrova.

вторник, 5 августа 2014 г.

Персональные данные: что было, что будет, на чем сердце успокоится…

Добрый вечер, дорогие читатели! Задумывались ли Вы о том, насколько сильно поменялось законодательство в сфере защиты персональных данных? Каковы дальнейшие перспективы развития нормативной базы? Я задумывалась довольно часто :)
За последние пять лет законодательство в этой сфере изменилось до неузнаваемости :) Не все специалисты знают "четверокнижие" и "приказ трех", да и стоит ли тратить время на изучение устаревших документов... Думаю, все-таки стоит!
Спросите у филателиста о марках и он расскажет Вам множество занимательных фактов, в том числе исторических. Художник поведает о великих мастерах прошлого. Ну а мы с Вами занимаемся информационной безопасностью, ее историю и будем изучать :)
Я хочу предложить Вашему вниманию первую статью из цикла статей о прошлом, настоящем и будущем в сфере защиты персональных данных. Статья находится в свободном доступе (ссылка). 

Вторая часть будет посвящена закону "О персональных данных".

Приятного Вам чтения!


Willem Claesz. Heda, Still Life with a Ham and a Roemer. Источник