100 Мифы и заблуждения информационной безопасности Лукацкий
Вид материала | Документы |
- Аннотация, 418.67kb.
- Е. А. Свирский Рассматриваются вопросы работы курсов повышения квалификации по информационной, 67.93kb.
- Система менеджмента информационной безопасности, 205.89kb.
- Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
- Содержание курса. Урок, 902.96kb.
- Обеспечение информационной безопасности организации как метод антикризисного управления, 54.18kb.
- Мифы Древней Греции Мифы Древней Индии Мифы древних славян Мифы североамериканских, 33.93kb.
- «Комплексные системы информационной безопасности», 260.23kb.
- Вопросы по информационной безопасности, 268.68kb.
- Рекомендации по обеспечению информационной безопасности Заключение, 358.69kb.
Миф №42 "В комплект поставки моего компьютера входит антивирус и поэтому мне нечего опасаться"01.06.2009 15:55
Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems
Так часто говорят пользователи, купившие компьютер и наслушавшиеся страшилок о вирусах, червях и иных вредоносных программах. Но это некорректное высказывание, основанное на непонимании и сути работы антивируса и современном состоянии компьютерных угроз. Но даже если не рассматривать весь спектр угроз, например, утечки информации или атаки «отказ в обслуживании», сконцентрировавшись только на вредоносных программах, то наличие в поставки компьютера антивируса вызывает у большинства пользователей только чувство ложной защищенности.
Антивирус, который вы получаете вместе с компьютером, далеко не всегда является полнофункциональным. Иногда вы покупаете только дистрибутив с антивирусной базой, актуальной на момент сборки компьютера или отгрузки программного обеспечения со склада производителя. Иногда вы покупаете антивирус с лицензией на 3 месяца (как, например, для ссылка скрыта с антивирусом ссылка скрыта). Иногда вы покупаете дистрибутив с 6-тимесячной лицензией (как, например, у ссылка скрыта.Web), по истечении которой вам надо платить за ее продление. Иногда вы покупаете и годовую лицензию, позволяющую 365 дней, но это происходит гораздо реже и зависит не только от производителя, но в первую очередь от продавца компьютера. Необновляемый антивирус становится бесполезной игрушкой всего через пару недель.
Прежде чем поддаваться на рекламу защищенного от угроз покупаемого компьютера, уточните у продавца, что надо сделать, чтобы антивирус действительно заработал на полную мощь. В противном случае ситуация может быть такой, как в реальном случае, о котором мне рассказали в службе ссылка скрыта одного московского банка. На вопрос бухгалтера одного из клиентов о том, как защитить себя от вирусов, ей ответили: «ссылка скрыта». Вполне логичная и недорогая ссылка скрыта. Через месяц дама звонить вновь и чуть не ли крича, обвиняет службу ссылка скрыта в том, что их совет не сработал. На вопрос, поставила ли она антивирус, она ответила просто: «Да, купила и поставила. Вон он на мониторе стоит»! Не имея достаточной квалификации, она буквально выполнила рекомендацию и поставила коробку с купленным антивирусом на монитор, как икону.
Миф №43 "Федеральный закон «О персональных данных» самый главный закон в России по данной теме"08.06.2009 15:30
Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems
Сейчас практически 100% специалистов по информационной безопасности воспринимают Федеральный Закон «О персональных данных» как главенствующий нормативный акт в этой области в России. Этой же точки зрения придерживаются и наши регуляторы, которым отчасти выгодно такое положение дел. На одной из последних встреч представители Роскомнадзора сами признали, что выполнить все требования ФЗ-152 физически невозможно и что некоторые представители этого регулятора не всегда при проверках отличаются чистотой своих помыслов, пользуясь жесткостью наших законов. Такое отношение к ФЗ-152 очень сильно мешает его реальному выполнению. Вместо того, чтобы действительно защищать права субъектов персональных данных, все стремятся обойти положения закона или оптимизировать свои усилия в этой области. Кстати, за 3 года с его принятия доказанных случаев нанесения реального ущерба субъекту ПДн было зафиксировано меньше десятка.
Однако на самом деле, ФЗ-152 не является основным программным законом в деле защиты персональных данных. Пункт 4 статьи 4 данного ФЗ гласит «если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора». Иными словами приоритет отдан международным договорам, которые приняты в России. И такой нормативный акт есть - это «Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», ратифицированная Россией Федеральным Законом от 19 декабря 2005 года №160-ФЗ.
Ограничений 160-й Федеральный Закон вводит всего 3:
· Конвенция не распространяется на область государственной тайны
· Конвенция не распространяется на обработку персональных данных для личных и семейных нужд
· Могут быть установлены дополнительные ограничения прав субъектов ПДн на доступ к данным о себе в целях защиты безопасности государства и общественного порядка.
Иными словами, все остальные положения Конвенции ЕС действуют на территории России и имеют бОльшую юридическую силу, чем положения ФЗ-152. Что нам дает это знание? А то, что, например, согласно Конвенции мы не обязаны уведомлять субъекта ПДн об обработке его данных не только при наличии договора, но и в момент преддоговорной работы. Это делает законным работу:
· бюро кредитных историй, передающих кредитные истории банкам
· страховых компаний, запрашивающих страховую историю клиентов
· банков, рассматривающих заявки на получение кредита
· и т.п.
Также Конвенция разрешает нам использовать системы видеонаблюдения, «черные списки» и т.д. А средства защиты должны быть адекватны угрозе, стоимости ущерба и используемым технологиям обработки персональных данных.
Из всего вышесказанного есть только один неприятный момент - Роскомнадзор, как основной федеральный орган исполнительной власти, проверяющий реализацию прав субъектов персональных данных, прекрасно понимая роль и юридическую силу Конвенции, на практике контролирует выполнение требований именно Федерального Закона, а не Конвенции. А т.к. некоторые положения ФЗ явно противоречат Конвенции, то, несмотря на процитированную выше 4-ю статью ФЗ-152, нарушения будут найдены и по ним будут выданы предписания об устранении. Если же вы не согласны с решением надзорного органа, то единственный вариант разрешения конфликта - суд, чье решение может быть не таким однозначным, как я описал. Особенно, если вы будете судиться не с субъектом персональных данных, который посчитал свои права попранными, а с Роскомнадзором, т.е. федеральным органом исполнительной власти. Вероятность проигрыша в данном сценарии достаточно высока, т.к. отечественные суды не очень любят выносить решения не в пользу власти.