100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материалаДокументы

Содержание


Миф №42 "В комплект поставки моего компьютера входит антивирус и поэтому мне нечего опасаться"01.06.2009 15:55
Миф №43 "Федеральный закон «О персональных данных» самый главный закон в России по данной теме"08.06.2009 15:30
Подобный материал:
1   ...   28   29   30   31   32   33   34   35   ...   69

Миф №42 "В комплект поставки моего компьютера входит антивирус и поэтому мне нечего опасаться"01.06.2009 15:55


Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems

Так часто говорят пользователи, купившие компьютер и наслушавшиеся страшилок о вирусах, червях и иных вредоносных программах. Но это некорректное высказывание, основанное на непонимании и сути работы антивируса и современном состоянии компьютерных угроз. Но даже если не рассматривать весь спектр угроз, например, утечки информации или атаки «отказ в обслуживании», сконцентрировавшись только на вредоносных программах, то наличие в поставки компьютера антивируса вызывает у большинства пользователей только чувство ложной защищенности.

Антивирус, который вы получаете вместе с компьютером, далеко не всегда является полнофункциональным. Иногда вы покупаете только дистрибутив с антивирусной базой, актуальной на момент сборки компьютера или отгрузки программного обеспечения со склада производителя. Иногда вы покупаете антивирус с лицензией на 3 месяца (как, например, для ссылка скрыта с антивирусом ссылка скрыта). Иногда вы покупаете дистрибутив с 6-тимесячной лицензией (как, например, у ссылка скрыта.Web), по истечении которой вам надо платить за ее продление. Иногда вы покупаете и годовую лицензию, позволяющую 365 дней, но это происходит гораздо реже и зависит не только от производителя, но в первую очередь от продавца компьютера. Необновляемый антивирус становится бесполезной игрушкой всего через пару недель.

Прежде чем поддаваться на рекламу защищенного от угроз покупаемого компьютера, уточните у продавца, что надо сделать, чтобы антивирус действительно заработал на полную мощь. В противном случае ситуация может быть такой, как в реальном случае, о котором мне рассказали в службе ссылка скрыта одного московского банка. На вопрос бухгалтера одного из клиентов о том, как защитить себя от вирусов, ей ответили: «ссылка скрыта». Вполне логичная и недорогая ссылка скрыта. Через месяц дама звонить вновь и чуть не ли крича, обвиняет службу ссылка скрыта в том, что их совет не сработал. На вопрос, поставила ли она антивирус, она ответила просто: «Да, купила и поставила. Вон он на мониторе стоит»! Не имея достаточной квалификации, она буквально выполнила рекомендацию и поставила коробку с купленным антивирусом на монитор, как икону.

Миф №43 "Федеральный закон «О персональных данных» самый главный закон в России по данной теме"08.06.2009 15:30


Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems

Сейчас практически 100% специалистов по информационной безопасности воспринимают Федеральный Закон «О персональных данных» как главенствующий нормативный акт в этой области в России. Этой же точки зрения придерживаются и наши регуляторы, которым отчасти выгодно такое положение дел. На одной из последних встреч представители Роскомнадзора сами признали, что выполнить все требования ФЗ-152 физически невозможно и что некоторые представители этого регулятора не всегда при проверках отличаются чистотой своих помыслов, пользуясь жесткостью наших законов. Такое отношение к ФЗ-152 очень сильно мешает его реальному выполнению. Вместо того, чтобы действительно защищать права субъектов персональных данных, все стремятся обойти положения закона или оптимизировать свои усилия в этой области. Кстати, за 3 года с его принятия доказанных случаев нанесения реального ущерба субъекту ПДн было зафиксировано меньше десятка.

Однако на самом деле, ФЗ-152 не является основным программным законом в деле защиты персональных данных. Пункт 4 статьи 4 данного ФЗ гласит «если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора». Иными словами приоритет отдан международным договорам, которые приняты в России. И такой нормативный акт есть - это «Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», ратифицированная Россией Федеральным Законом от 19 декабря 2005 года №160-ФЗ.

Ограничений 160-й Федеральный Закон вводит всего 3:

· Конвенция не распространяется на область государственной тайны

· Конвенция не распространяется на обработку персональных данных для личных и семейных нужд

· Могут быть установлены дополнительные ограничения прав субъектов ПДн на доступ к данным о себе в целях защиты безопасности государства и общественного порядка.

Иными словами, все остальные положения Конвенции ЕС действуют на территории России и имеют бОльшую юридическую силу, чем положения ФЗ-152. Что нам дает это знание? А то, что, например, согласно Конвенции мы не обязаны уведомлять субъекта ПДн об обработке его данных не только при наличии договора, но и в момент преддоговорной работы. Это делает законным работу:

· бюро кредитных историй, передающих кредитные истории банкам

· страховых компаний, запрашивающих страховую историю клиентов

· банков, рассматривающих заявки на получение кредита

· и т.п.

Также Конвенция разрешает нам использовать системы видеонаблюдения, «черные списки» и т.д. А средства защиты должны быть адекватны угрозе, стоимости ущерба и используемым технологиям обработки персональных данных.

Из всего вышесказанного есть только один неприятный момент - Роскомнадзор, как основной федеральный орган исполнительной власти, проверяющий реализацию прав субъектов персональных данных, прекрасно понимая роль и юридическую силу Конвенции, на практике контролирует выполнение требований именно Федерального Закона, а не Конвенции. А т.к. некоторые положения ФЗ явно противоречат Конвенции, то, несмотря на процитированную выше 4-ю статью ФЗ-152, нарушения будут найдены и по ним будут выданы предписания об устранении. Если же вы не согласны с решением надзорного органа, то единственный вариант разрешения конфликта - суд, чье решение может быть не таким однозначным, как я описал. Особенно, если вы будете судиться не с субъектом персональных данных, который посчитал свои права попранными, а с Роскомнадзором, т.е. федеральным органом исполнительной власти. Вероятность проигрыша в данном сценарии достаточно высока, т.к. отечественные суды не очень любят выносить решения не в пользу власти.