"Почему сисадмин не может отвечать за информационную безопасность предприятия".
Трагедия в двух больших и двух малых актах, с прологом, эпилогом и постскриптумом.
Пролог:
Жила-была контора, не большая, не маленькая. И бизнес у нее был соответствующий, так... средненький: купить целиком там, продать по частям здесь, где-то какие-то услуги оказать... в общем — все как обычно. И был у этой конторы директор, в ИТ продвинутый, который с первых же дней ее существования нанял компьютерного гения местного, на должность сисадмина великого. Дабы способствовал тот внедрению высочайших ИТ-технологий на предприятии, и всячески их там же и поддерживал. Долгие месяцы директор нарадоваться не мог на работу своей ИТехнологичной правой руки, до того тот аккуратно и c душой свою работу делал.
Но однажды случилось непредвиденное: на горизонте бизнес-просторов показались западные инвесторы, которых не в последнюю очередь волновало — а как обстоят в этой конторе дела с защитой конфиденциальной информации и информации, составляющей коммерческую тайну? Можно ли доверять информации, полученной из этой конторы (финансовые отчеты и пр.), можно ли вообще получить эту информацию в любой, удобный для инвесторов момент? Так и ушли инвесторы ни с чем, и не вложили деньги в бизнес этой компании, ибо на все вопросы ответы были "нет", "не было" и "а что это вообще за нах такой?".
Призадумался тут директор — а ведь дело говорят, инфу-то и вправду защищать надо, сохранности бизнеса ради, ну и для привлечения столь ценного инвесторского внимания. А кто в конторе способен защитить информацию лучше чем тот, кто системами обработки/хранения/передачи этой информации управляет? Ну в самом деле, не брать же на эту плевую формальную задачу отдельного человека? Глупости какие... Сисадмин ведь — ого-го каких пядей во лбу, справится, никуда не денется.
И позвал директор админа, и поведал ему, что отныне его оклад удваивается, а в обязанности ему вменяется охрана всея циркулирующей информации от всяческих конфузов и невзгод. Так и ушел новоиспеченный админ-безопасник, с одной стороны — весьма озадаченный ("че делать-то надо?"), с другой — не менее весьма обрадованный (оклад удвоили, фигли). Покопавшись в столь любимой им википедии, да мануалах редхатовских/микрософтовских, на предмет ответа на вопрос "что делать", админ понял, что делать-то уже ничего и не надо. Все чек-листы секьюрные он еще при развертывании систем прокрыжил, файрвол — "от" и "до" сконфигурил — ничего лишнего не оставил, за логами следит, антивирусы на рабочих местах обновляет. А вся эта бодяга организационно-бюрократическая, о которой столько всего в той же википедии написано — это не для него, да и вообще... для такой конторки как их — только баластом будет, никакой пользы от нее не предвидится, да и не понятно нихрена. А следовательно — админу оклад повысили за что, что он уже и так делал с момента своего появления здесь! С этой радостной мыслью, админ отправляется спать, а автор — понимает, что с прологом пора бы уже и завязывать и переходить к непосредственно (прости господи) актам...
Акт первый, большой: "Взлом" или "Первый раз — не п$%^#@т".
Была у директора конторы одна слабость: то ли волею судеб, то ли силою природы, но тяготел он всем телом и душой к любви мужской, страстной. Педиком был короче. Слабость эту он, разумеется — всячески скрывал от партнеров и подчиненных, дабы минимизировать влияние его личной жинзи на его же жизнь деловую. И вот однажды, прийдя на работу и запустив броузер на своем ноутбуке, он с ужасом увидел, как вместо главной страницы их корпоративного сайта красуется его фотография, натурально — в обнаженном виде, да еще и с бойфрендом в обнимку. Ну и надпись сопроводительная, не оставляющая ни малейшего сомнения относительно его ориентации. Он тут же админа к себе на ковер: "Как так? Я ж тебе, гаденышу деньги такие — за что платил? О каком обеспечении ИБ на предприятии можно говорить, если любой желающий наш сайт разломать может и мою репутацию вот так вот очернить?". Долго директор еще журил админа за произошедшее, и закончил
свою пламенную речь словами: "ты имей ввиду: то, что сейчас про меня на сайте написано — правда. Поэтому завтра с утра явишься ко мне, либо с подробным докладом о произошедшем и о принятых тобой мерах, либо с баночкой вазелина, дабы в дальнейшем неповадно было свои обязанности не выполнять!". Админ, ясное дело, не на шутку испугался, ибо ориентацию директорскую никоим образом не разделял. Засел за изучение логов веб-сервера и обнаружил, что взлом осуществлялся прямо из офиса их конкурентов. Вот же — их айпишник, вот POST-запрос с SQL-инъекцией, вот попытки получить доступ к файловой системе сервера.... Админ аккуратненько все куски логов на флешку слил, закрыл уязвимость на сайте, вернул нормальную стартовую страницу и лег спать.
На следующее утро, прибегает радостный к директору, все как есть, на одном дыхании рассказывает и отдает флешку с добытыми доказательствами. Директор — сияет, еще бы — такая возможность устранить конкурента. Все чин по чину, оформляют заявление в местное ОВД, дают показания и т.п. Через несколько дней — отказ в возбуждении уголовного дела. "Как так? На каком основании?" — только и спросили директор с админом. "Да на том самом основании, что доказать наличие состава преступления не представляется возможным. Любая экспертиза покажет, что после взлома вы на своих серверах ковырялись. Чем докажете, что эти логи на флешке, настоящие, а не вами сфальцифицированные? С каких это пор вообще — доказательную базу собирает сам потерпевший?" — отвечал им следователь. Так и остался взлом безнаказанным для хакерюг. А админа — директор простил, на этот раз. Ведь и ежу понятно, что не мог он всех этих юридических тонкостей знать. Админ же — сделал для себя из этой истории два важных вывода: во-первых, неплохо бы изучить юридическую составляющую проведения расследований инцидентов ИБ, а во-вторых, что неплохо было бы провести аудит всех, хотя бы смотрящих наружу информационных систем, потому что второго такого шанса спасти свою задницу у него уже не будет. Посему, решил бедный админ получать второе высшее — юридическое, а заодно и за сканеры безопасности засел, в попытках сломать системы которые сам же конфигурировал, и понял, что сие — гиблое дело, так у него на эти системы — глаз совсем "замылился" с одной стороны, да и навыков взлома любых систем у него вообще нет — с другой.
Акт второй, большой: "Инсайд" или "Второй раз, уже отнюдь — не первый"
К чести админа надо сказать, что навыки взлома систем, используемых в конторе он таки-получил. Целый месяц ушел у него на штудирование необходимой литературы и мануалов, даже курс специальный прошел за счет конторы. Правда на свои прямые обязанности — забил совсем. Но спустя еще месяц, выдал на гора директору результаты его "комплексных тестов на проникновение", с перечнем выявленных (и уже устраненных им же) уявзимостей. Посему, наказания за несиполнение прямых обязанностей на этот раз избежал. И только собрался, с гордо поднятой головой из кабинета директора выходить, как тот его остановил и поведал, что есть у него инфа кулуарная, о том, что один из сотрудников инфу секретную налево сливает. То закупочные прайсы конкурентам продаст, то критерии проведения тендеров их участникам за отдельную плату озвучит. И что надо бы этого супостата изловить, да по всей строгости закона наказать. Только не как в прошлый раз, а то тесты на проникновение будут проведены над самим админом, в самой извращенной форме.
Понял админ, что проколов быть просто не должно. Обложился юридическими справочниками, рекомендациями ФБР по расследованию инцидентов ИБ и прочей беллетристикой. Расследование вел грамотно — определил перечень лиц, имеющих доступ к сливаемой информации (в него попали почти все сотрудники, т.к. эта инфа лежала на общедоступной сетевой шаре), установил аудит событий файловой системы, фиксировал все попытки доступа к этим файлам, мониторил интернет-трафик сотрудников на предмет передачи этой информации налево. Прошло несколько дней и алилуйа, супостат был найден! Им оказался один шустрый паренек из отдела маркетинга и рекламы, не так давно принятый на работу, но уже не раз замеченный в посещении порно-сайтов гейской тематики и заигрывании с коллегами мужского пола по аське. Незамедлительно админ сообщил об этом директору (я разве еще не сказал, что админом еще в первом акте был разработан детальный план реагирования на инциденты ИБ?), директор в свою очередь сообщил в компетентные органы. В тот же день, в офис явился следователь с парой оперативников, которые, по-быстрому найдя понятых, приступили к выемке вещдоков с рабочей станции сотрудника и файлового сервера. Следователь тем временем, брал показания у директора и админа. И по ходу дачи показаний, выяснилось, что мало того, что сотрудник никогда не обязывался не разглашать подобную инфу, так и инфа сама по себе не является коммерческой тайной, ибо она таковой объявлена не была, меры по ее сохранности не предпринимались, сотрудники были вообще не в курсе — какая инфа является закрытой, а какая нет. И снова — отказ в возбуждении уголовного дела.
Косо поглядывая на задницу админа, директор решает разобраться с "крысой" по-своему, уволив его и разослав соответствующие "рекомендации" по местным компаниям и кадровым агенствам. Вызвав его к себе на ковер, он ставит вопрос ребром: "сам уйдешь, или по статье уволить да еще и во всеуслышанье рассказать о твоих сексуальных предпочтениях и прочих подвигах здесь?". На что паренек отвечает "увольняйте по статье" и спокойно уходит. Через неделю — на имя директора и админа приходят повестки в суд по факту нарушения конституционных прав паренька, а именно — право на тайну личной жизни. "Да как же так, он же эти свои тайны через наши системы гнал, по принадлежащим нам каналам, о какой тайне, тем более личной тут идет речь?". Так-то оно так, но как оказалось, сотрудника не предупредили о том, что компания оставляет за собой право просматривать эту информацию, и кому бы ни принадлежали системы и каналы, информация которую сотрудник передавал по ним — самая что ни на есть личная, охраняемая Конституцией, посему, правонарушение налицо. Ну в общем кое-как от этого хлопца контора откупилась (т.е. еще и приплатила ему за то, что он воровал у них инфу), и забыла его как страшный сон. А вот "комплексные тесты на проникновение" в кабинете директора — админ еще долго забыть не мог, ибо прав он был насчет того, что второго шанса у его задницы не будет.
Отойдя от пережитого шока, админ сделал еще несколько выводов:
— каждый из сотрудников должен иметь доступ только к той информации, которая необходима для выполнения служебных обязанностей
— политика категорирования информационных ресурсов и порядок обращения с конф. инфой и инфой, содержащей ком. тайну — должны иметь место быть, причем сотрудники должны ознакомится с ними под роспись, обязавшись их всячески выполнять.
— на уровне трудового договора должно быть четко прописано, что компания оставляет за собой право проведения проверок, в ходе которых возможен доступ к любой информации, передаваемой сотрудников с использованием технических средств, принадлежащих компании.
— все эти бумажки (либо ссылки на них) необходимо собрать в одном большом документе "политика информационной безопасности компании", и ознакомить с ним весь персонал.
— за соблюдением сотрудников политики ИБ необходимо как-то следить
— тесты на проникновение нужно проводить не только для систем, смотрящих наружу, т.к. существуют еще и внутренние угрозы
— с учетом сказанного выше, времени на администрирование систем попросту не остается.
Акт третий, малый: "Персональные данные" или "Второй раз — возвращается".
Униженный и подавленный админ кое-как вел свои дела, подумывая то об увольнении, то о самоубийстве. И тут новая напасть — недавно принятый закон о персональных данных, предписывающий всем организациям известить "Россвязьохранкультуру" о своем намерении обрабатывать и хранить персональные данные, обеспечить использование сертифицированных соответствующими надзорными органами используемых для этого технических средств, и наличие в штате организации n-человек с образованием, дающим допуск к защите этих долбанных персональных данных. В связи с чем, админ в срочном порядке:
1. Совместно с юристом (у него же еще нет юридического образования) составил письмо в "...охранкультуру"
2. В срочном порядке поменял опенсорсные ERP и CRM на коммерческие, но сертифицированные по самые уши аналоги, вогнав контору в бешенные затраты
3. Прошел курсы повышения квалификации по специальности "защита информации", т.к. его физфаковский диплом это совсем не то, о чем говорится в данном законе.
В сухом остатке — куча убитого времени, пришедшая в упадок ИТ-инфраструктура и ставшая уже традиционной, встреча с директором в его кабинете и за затраты и за упадок и just for директорский fun.
Акт четвертый, малый: "Вирусная атака" или "А админ-то где?"
15 мая 2008 года, полным ходом идет атака на пользователей соц. сети "вконтакте". Оба антивирусника (на прокси и на рабочих местах) — пока откровенно сосут и у дроппера и у самого трояна, сажаемого по ходу атаки на машину пользователя. Админ, понимая, что у него нет другого выхода кроме как, либо забить на эту атаку, либо попытаться выяснить — с каких машин прошли по вредоносной ссылке и попытаться полечить их вручную, начинает дергаться и до него доходит, что свои профессиональные навыки, в попытках стать мега-безопасником, он утратил окончательно и безповоротно, т.к. он уже больше юрист и менеджер, нежели технический специалист. В итоге — атака проходит успешно (для атакующих), куча пользовательских машин оказывается в составе бот-сети, трафик, внесение айпишников конторы в блэк-листы и т.п. Ну и традиционная встреча с директором в его кабинете, конечно же.
Пролог:
Устав от постоянно переживаемых стрессов и нехватки времени, от регулярных домогательств директора, от коллег, видящих теперь в нем врага, который может уволить в любой момент за несоблюдение политики ИБ, от того, что из классного технического спеца он превратился в непонятно кого, без всяких перспектив на рынке труда, админ закупил за счет конторы бухту витой пары пятой категории (для расширения СКС) и одну масленку первоклассного машинного масла (для смазки серверных кулеров). На следующее утро, его обнаружили повесившимся на этой самой витой паре, смазанной этим самым маслом. В своей предсмертной записке, админ объяснял, почему считает подобное совмещение должностей крупнейшей ошибкой директора как топ-менеджера, того самого педика, доведшего его своим самодурством до самоубийства. Директора посадили по этой самой статье...
P.S: Я понимаю, что на месте сисадмина, гораздо логичнее было бы просто уволиться нах, и подать на директора заявление в ОВД после первого же акта. Но так хотелось трагичной развязки со смертью главного героя...
Хорошая история. Админ сглупил только в одном. Став специалистом по безопасности, весьма востребованным на рынке труда, ему следовало немедленно переходить в другую организацию и забывать свое админство как страшный сон.
Vamp однажды (14 июля 2008 18:20) писал в rsdn.flame.comp:
> Хорошая история. Админ сглупил только в одном. Став специалистом по безопасности, весьма востребованным на рынке труда, ему следовало немедленно переходить в другую организацию и > забывать свое админство как страшный сон.
Значит хороший человек, раз совесть подобное не позволяет.
>> Хорошая история. Админ сглупил только в одном. Став специалистом по безопасности, весьма востребованным на рынке труда, ему следовало немедленно переходить в другую организацию и >> забывать свое админство как страшный сон. S>Значит хороший человек, раз совесть подобное не позволяет.
Скорее всего далеко не совесть:
А вот "комплексные тесты на проникновение" в кабинете директора — админ еще долго забыть не мог, ибо прав он был насчет того, что второго шанса у его задницы не будет.
Есть у некоторых людей склонность к неоправданному мазохизму
Что ты вообще хочешь сказать нижеследующим?
KV>"Почему сисадмин не может отвечать за информационную безопасность предприятия".
Тема не раскрыта.
KV>Акт первый, большой: "Взлом"
Согласен, админу бывает сложно увидеть систему так, как ее видит ксакеп снаружи. И что?
KV>Акт второй, большой: "Инсайд"
От этого защититься невозможно, и всё.
KV>Акт третий, малый: "Персональные данные" или "Второй раз — возвращается".
KV>И тут новая напасть — недавно принятый закон о персональных данных, предписывающий всем организациям известить "Россвязьохранкультуру" о своем намерении обрабатывать и хранить персональные данные, обеспечить использование сертифицированных соответствующими надзорными органами используемых для этого технических средств, и наличие в штате организации n-человек с образованием, дающим допуск к защите этих долбанных персональных данных. В связи с чем, админ в срочном порядке:
Так а что за закон-то? Он что, требует, чтобы использовалось определенное ПО, которое, чего доброго, работает только на определенных ОС? И его даже попатчить нельзя?
KV>Акт четвертый, малый: "Вирусная атака" или "А админ-то где?"
KV>15 мая 2008 года, полным ходом идет атака на пользователей соц. сети "вконтакте". Оба антивирусника (на прокси и на рабочих местах) — пока откровенно не справляются с угрозой и у дроппера и у самого трояна, сажаемого по ходу атаки на машину пользователя.
Странно, что Шеридан до сих пор не разъяснил тебе, какой программный продукт поможет ото всех вирусов :-)
Здравствуйте, Roman Odaisky, Вы писали:
RO>Здравствуйте, kochetkov.vladimir, Вы писали:
RO>Что ты вообще хочешь сказать нижеследующим?
Понимаешь тут какое дело... В жизни каждого человека, случаются моменты, когда состояние дел, в какой-либо из ее областей описывается словом "жопа". Когда таких областей несколько, то к этому слову еще добавляют "полная". Когда такие моменты наступают у меня, мне требуется отдушина, чтобы дать выход накопившемуся негативу. Ибо скотина я достаточно ранимая и эмоциональная. Кто-то пьет, кто-то курит траву, кто-то срывается на близких, кто-то уезжает куда-нибудь подальше отдохнуть и т.п. А мне вот, помимо прочего (типа рисования и разработки) нравится в такие моменты писать на rsdn всякую фигню. Когда Antikrot спросил о различиях между админом и безопасником, он попал как раз на "полную жопу" у меня на работе, а рисовать меня в этот момент как-то не тянуло, равно как и что-либо кодить. Вот поэтому и решил пойти по пути написания всякой фигни.
Надеюсь, тему возникновения данного текста я тебе раскрыл полностью?
KV>>"Почему сисадмин не может отвечать за информационную безопасность предприятия".
RO>Тема не раскрыта.
Ну извини. У меня видимо не настолько "полная жопа", чтобы тут целые романы писать
KV>>Акт первый, большой: "Взлом"
RO>Согласен, админу бывает сложно увидеть систему так, как ее видит ксакеп снаружи. И что?
Ок, отвлечемся. Скажи, по-твоему логично, если проверять код на наличие всяких недоразумений типа переполнения буфера будет лишь тот, кто этот самый код написал?
KV>>Акт второй, большой: "Инсайд"
RO>От этого защититься невозможно, и всё.
Можно:
а) существенно снизить вероятность возникновения инсайда
б) свести к нулю возможные убытки в случае, если он все-таки произойдет
На вопрос "как?" — извини, только за существенное вознаграждение. Результат гарантирую
KV>>Акт третий, малый: "Персональные данные" или "Второй раз — возвращается".
KV>>И тут новая напасть — недавно принятый закон о персональных данных, предписывающий всем организациям известить "Россвязьохранкультуру" о своем намерении обрабатывать и хранить персональные данные, обеспечить использование сертифицированных соответствующими надзорными органами используемых для этого технических средств, и наличие в штате организации n-человек с образованием, дающим допуск к защите этих долбанных персональных данных. В связи с чем, админ в срочном порядке:
RO>Так а что за закон-то? Он что, требует, чтобы использовалось определенное ПО, которое, чего доброго, работает только на определенных ОС? И его даже попатчить нельзя?
Ром, ну я же именно тебе давал ссылки на этот закон. Причем не так давно, и по-моему как раз здесь, в КСВ. Там все доступно написано. Только дело не конкретно в этом законе, а в том, что подобных юридических тонкостей, относящихся так или иначе к ИТ — масса. Правда считаешь, что админ должен быть юристом?
KV>>Акт четвертый, малый: "Вирусная атака" или "А админ-то где?"
KV>>15 мая 2008 года, полным ходом идет атака на пользователей соц. сети "вконтакте". Оба антивирусника (на прокси и на рабочих местах) — пока откровенно не справляются с угрозой и у дроппера и у самого трояна, сажаемого по ходу атаки на машину пользователя.
RO>Странно, что Шеридан до сих пор не разъяснил тебе, какой программный продукт поможет ото всех вирусов
Видимо потому что Шеридан все же не оторван от реальности, и понимает, что на корпоративных десктопах данный продукт пока... не прижился, скажем так
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>Акт второй, большой: "Инсайд"
RO>>От этого защититься невозможно, и всё.
KV>Можно: KV>а) существенно снизить вероятность возникновения инсайда KV>б) свести к нулю возможные убытки в случае, если он все-таки произойдет KV>На вопрос "как?" — извини, только за существенное вознаграждение. Результат гарантирую ;)
Только одно — сделать так, чтобы у сотрудников не возникало такого желания. А захотят — любую информацию вытащат наружу.
KV>>>Акт третий, малый: "Персональные данные" или "Второй раз — возвращается".
KV>Ром, ну я же именно тебе давал ссылки на этот закон. Причем не так давно, и по-моему как раз здесь, в КСВ. Там все доступно написано.
Там доступно написано: «Ваш броузер не Microsoft Internet Explorer, идите лесом».
KV>>>Акт четвертый, малый: "Вирусная атака" или "А админ-то где?"
KV>>>15 мая 2008 года, полным ходом идет атака на пользователей соц. сети "вконтакте". Оба антивирусника (на прокси и на рабочих местах) — пока откровенно не справляются с угрозой и у дроппера и у самого трояна, сажаемого по ходу атаки на машину пользователя.
RO>>Странно, что Шеридан до сих пор не разъяснил тебе, какой программный продукт поможет ото всех вирусов :-)
KV>Видимо потому что Шеридан все же не оторван от реальности, и понимает, что на корпоративных десктопах данный продукт пока... не прижился, скажем так ;)
Здравствуйте, Roman Odaisky, Вы писали:
RO>Только одно — сделать так, чтобы у сотрудников не возникало такого желания. А захотят — любую информацию вытащат наружу.
Подошел сегодня к рядовому сотруднику нашей финансовой службы. Вытащи говорю, наружу нашу абонентскую базу. Говорит — не сможет, даже если захочет. Более того, даже сводный финансовый отчет с показателями региона, и тот ему вытащить не судьба. Хотя уж в его-то составлении он принимает далеко не последнее участие. Но если бы вдруг и вытащил, то был бы пойман — 90% и либо уволен, либо отдан под суд (это конечно крайний случай, прецедентов по компании — еденицы за последние несколько лет). Видимо все несколько сложнее, чем тебе кажется, а ты сам — чуть-чуть не прав сейчас
KV>>Ром, ну я же именно тебе давал ссылки на этот закон. Причем не так давно, и по-моему как раз здесь, в КСВ. Там все доступно написано.
RO>Там доступно написано: «Ваш броузер не Microsoft Internet Explorer, идите лесом».
У нас отнюдь не админы принимают решения о том, какие системы им эксплуатировать. Как я уже писал, где-то используются unix-решения (solaris), где-то виндовые. Критериев выбора : стоимость владения vs надежность. Выбирали люди, которые умеют считать деньги компании как свои собственные и (слава богу) оторванные от всяческих идеалистических заморочек на тему мирового зла и свободны программного обеспечения, поэтому лично у меня нет поводов считать, что данный выбор не был оптимальным для конкретно взятого бизнеса
Здравствуйте, kochetkov.vladimir, Вы писали:
RO>>Только одно — сделать так, чтобы у сотрудников не возникало такого желания. А захотят — любую информацию вытащат наружу.
KV>Подошел сегодня к рядовому сотруднику нашей финансовой службы. Вытащи говорю, наружу нашу абонентскую базу. Говорит — не сможет, даже если захочет. Более того, даже сводный финансовый отчет с показателями региона, и тот ему вытащить не судьба. Хотя уж в его-то составлении он принимает далеко не последнее участие. Но если бы вдруг и вытащил, то был бы пойман — 90% и либо уволен, либо отдан под суд (это конечно крайний случай, прецедентов по компании — еденицы за последние несколько лет). Видимо все несколько сложнее, чем тебе кажется, а ты сам — чуть-чуть не прав сейчас ;)
Я хотел сказать, что если кому-то доверили доступ к чему-то, то он может это вытащить наружу. Если не доверили, то понятно.
KV>>>Ром, ну я же именно тебе давал ссылки на этот закон. Причем не так давно, и по-моему как раз здесь, в КСВ. Там все доступно написано.
RO>>Там доступно написано: «Ваш броузер не Microsoft Internet Explorer, идите лесом».
KV>http://www.rg.ru/2006/07/29/personaljnye-dannye-dok.html — сам закон. KV>http://www.ippnou.ru/article.php?idarticle=003195 — неплохая обзорная статья по поводу того, что он из себя представляет.
Ага, на основании п. 10.1 пора закрывать «в контакте».
А где написано, что можно использовать только сертифицированное ПО, и список? 19.2, что ли?
Да там много чего закрыть можно. Получилась еще одна дубинка и средство выколачивания денег из коммерческих организаций
RO>А где написано, что можно использовать только сертифицированное ПО, и список? 19.2, что ли?
Угу. Там все не так категорично, но избежать всех спорных вопросов можно только имея сертификаты ФСТЭКа на средства обработки ПД, которые используются в организации.
KV>Можно:
KV>а) существенно снизить вероятность возникновения инсайда KV>б) свести к нулю возможные убытки в случае, если он все-таки произойдет
Ты самое главное забыл (о чем явно упомянуто в твоем рассказе) — создать юридическую базу для того, чтобы ты имел право бить по рукам таких ребят.
Ну и еще "знать, кто же это все-таки сделал".
KV>На вопрос "как?" — извини, только за существенное вознаграждение. Результат гарантирую
Ты не в интеграторе работаешь, так что, Роман, лучше к нам
RO>>Так а что за закон-то? Он что, требует, чтобы использовалось определенное ПО, которое, чего доброго, работает только на определенных ОС? И его даже попатчить нельзя?
KV>Ром, ну я же именно тебе давал ссылки на этот закон. Причем не так давно, и по-моему как раз здесь, в КСВ. Там все доступно написано. Только дело не конкретно в этом законе, а в том, что подобных юридических тонкостей, относящихся так или иначе к ИТ — масса. Правда считаешь, что админ должен быть юристом?
Ну прямо можно сказать: вопрос защиты ПД отдали на растерзание ФСБ и ФСТЭКу. ФСТЭК уже родил несколько документов, которые потихоньку обсмеивает в своем блоге Лукацкий — есть, кстати, смысл почитать. ДОкументы (ясен пень) ДСП — так что фиг вам... ФСТЭК даже не смущает то, что категории ДСП в настоящее время нет Но это уже юридические тонкости
KV>Видимо потому что Шеридан все же не оторван от реальности, и понимает, что на корпоративных десктопах данный продукт пока... не прижился, скажем так
Да зачем вообще эти десктопы в нормальной корпорации
Кстати, Novell свой SLED неплохо вроде продает (не в России правда).
Здравствуйте, Roman Odaisky, Вы писали:
RO>Ага, на основании п. 10.1 пора закрывать «в контакте».
Нет не можно. Ты сам размещаешь свои ПД на публичном ресурсе. Т.е. в чистом виде 10.2-2
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные являются общедоступными;
3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
Одно меня коробило на протяжении всего текста.
Коммерческая тайна — сведения конфиденциального характера.
Конфиденциальной информации нет как юридического термина. Согласно трехглавому закону у нас вся информация делится на общедоступную и ограниченного доступа. Категории информации ограниченного доступа устанавливается федеральными законами — есть персональные данные, коммерческая тайна, государственная тайна, банковская тайна, налоговая, врачебная, тайна исповеди и т.п.
Термин конфиденциальная информация есть только в указе президента (Об утверждении перечня...) — но указ президента это не федеральный закон.
Та же фигня с ДСП — это типа служебная тайна, но ФЗ не принят. Есть только постановление правительства (О порядке обработки ... ).
Вот такие пироги — беги за вторым высшим
P.S. У самого нет юридического образования, но жизнь заставила поразбираться... Ну и на курсы сходил, где ксиву дают ФСТЭКовского образца. Собственно ради юридических тонкостей и ходил...
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Можно:
KV>>а) существенно снизить вероятность возникновения инсайда KV>>б) свести к нулю возможные убытки в случае, если он все-таки произойдет
DOO>Ты самое главное забыл (о чем явно упомянуто в твоем рассказе) — создать юридическую базу для того, чтобы ты имел право бить по рукам таких ребят.
Я не забыл, это между строк а) и б) четко прописано
DOO>Ну и еще "знать, кто же это все-таки сделал".
+1
KV>>На вопрос "как?" — извини, только за существенное вознаграждение. Результат гарантирую DOO>Ты не в интеграторе работаешь, так что, Роман, лучше к нам
Фигасе, наезд. Во-первых — есть вариант, что я таки-буду работать интеграторе (я сейчас в "ленивых поисках"), во-вторых, Роман может выбирать как минимум из двух местных интеграторов, через которые он абсолютно официально получит мои услуги :-Р
RO>>>Так а что за закон-то? Он что, требует, чтобы использовалось определенное ПО, которое, чего доброго, работает только на определенных ОС? И его даже попатчить нельзя?
KV>>Ром, ну я же именно тебе давал ссылки на этот закон. Причем не так давно, и по-моему как раз здесь, в КСВ. Там все доступно написано. Только дело не конкретно в этом законе, а в том, что подобных юридических тонкостей, относящихся так или иначе к ИТ — масса. Правда считаешь, что админ должен быть юристом? DOO>Ну прямо можно сказать: вопрос защиты ПД отдали на растерзание ФСБ и ФСТЭКу. ФСТЭК уже родил несколько документов, которые потихоньку обсмеивает в своем блоге Лукацкий — есть, кстати, смысл почитать. ДОкументы (ясен пень) ДСП — так что фиг вам... ФСТЭК даже не смущает то, что категории ДСП в настоящее время нет Но это уже юридические тонкости
Лукацкого читал, на до этого — слушал Собецкого. Это было сильно, должен сказать.
KV>>Видимо потому что Шеридан все же не оторван от реальности, и понимает, что на корпоративных десктопах данный продукт пока... не прижился, скажем так DOO>Да зачем вообще эти десктопы в нормальной корпорации DOO>Кстати, Novell свой SLED неплохо вроде продает (не в России правда).
Насчет SLED — ничего не скажу, но вот последняя OpenSUSE — единственная ОС, наконец-таки распознавшая мой пресловутый EDGE-модем, и заставившая его работать (это вообще из области фантастики)
Здравствуйте, DOOM, Вы писали:
DOO>Согласно трехглавому закону у нас вся информация делится на общедоступную и ограниченного доступа.
В моем тексте, "конфиденциальная информация" используется и как синоним "информация ограниченного доступа" с юридической т.з., так и "доступна не каждому сотруднику компании", т.е. доступ к которой разграничивается внутри корпорации. Согласен, эти два термина надо разделять.
DOO>Вот такие пироги — беги за вторым высшим
Да, в процессе я , главное, чтобы к директору бегать не пришлось
DOO>P.S. У самого нет юридического образования, но жизнь заставила поразбираться... Ну и на курсы сходил, где ксиву дают ФСТЭКовского образца. Собственно ради юридических тонкостей и ходил...
Ксива — о повышении квалификации по одному из ИБшных направлений?
KV>Да, в процессе я , главное, чтобы к директору бегать не пришлось
Во-во...
DOO>>P.S. У самого нет юридического образования, но жизнь заставила поразбираться... Ну и на курсы сходил, где ксиву дают ФСТЭКовского образца. Собственно ради юридических тонкостей и ходил...
KV>Ксива — о повышении квалификации по одному из ИБшных направлений?
Угу. "Документ установленного образца" о прохождении повышения квалификации. Теперь я могу быть официально главным специалистом по ЗИ — моего диплома по специальности компьютерная безопасность для этого было недостаточно, как оказывается...
А вообще на курсах было весело... Для начала там порекламировали учебное пособие, в котором я значусь как один из соавторов
Но вот по юридической части было реально интересно — не так-то просто найти юриста, который "в теме".
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Фигасе, наезд. Во-первых — есть вариант, что я таки-буду работать интеграторе (я сейчас в "ленивых поисках"), во-вторых, Роман может выбирать как минимум из двух местных интеграторов, через которые он абсолютно официально получит мои услуги :-Р
Да ладно наезд...
KV>Насчет SLED — ничего не скажу, но вот последняя OpenSUSE — единственная ОС, наконец-таки распознавшая мой пресловутый EDGE-модем, и заставившая его работать (это вообще из области фантастики)
Честно говоря, весело это читать Все эти GPRS модемы работают по старому доброму протоколу AT... Вот раньше фидошники сами писали все эти ATZ, ATD&D и т.п. и никаких драйверов для внешних модемов и не надо было
Здравствуйте, DOOM, Вы писали:
DOO>Честно говоря, весело это читать Все эти GPRS модемы работают по старому доброму протоколу AT... Вот раньше фидошники сами писали все эти ATZ, ATD&D и т.п. и никаких драйверов для внешних модемов и не надо было
Ага, если бы. Думаешь, я первым делом не а-ля вот это, попробовал? Он на каждую GSM-specific АТ-команду ошибку выдавал, причем говорят, что на старых версиях linux'ов — все работало. Я проверял на ubuntu 5.10 — та же хрень. И под виндой кстати, тоже просто как обычный модем не хочет работать. Но там вместе с дровами ставится виртуальный ethernet-интерфейс, организующий pppoe-edge соединение при активизации этого интерфейса
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Фигасе, наезд. Во-первых — есть вариант, что я таки-буду работать интеграторе (я сейчас в "ленивых поисках"), во-вторых, Роман может выбирать как минимум из двух местных интеграторов, через которые он абсолютно официально получит мои услуги :-Р
У меня создается такое впечатление, что основная прибыль интеграторов происходит от негласных договоренностей с производителями проприетарного ПО, которое они ставят куда ни попадя. Если БД на тысячу-другую записей — то Oracle, если почта — то Kerio, если ОС — то ... :-)
Интеграторы нужны. Сам сейчас занимаюсь чем-то подобным. Но, по-моему, они злоупотребляют доверием и бюджетом.
