среда, 26 декабря 2012 г.

Я не люблю DLP? Почему?!


В канун Нового года, когда все мы, изрядно подустав от отчетов и остаточной беготни, пытаемся вышибить рабочий клин предпраздничными хлопотами и желаем заряжаться позитивом, автор этого блога заканчивает серию постов про DLP, тоже на позитивной ноте. Ну не могу я испортить читателям хорошее настроение - и так наговорил много нелестного о неплохой, в общем-то, идее: настало время похвалить ее "хромую" реализацию. Кроме того, надо поздравить Вас с праздниками - а как поздравлять, когда тут такое... Но избранный для публикации жанр требует - поэтому, чтобы все было "по уму", снова начну "за упокой", а вот закончу - "за здравие".

вторник, 18 декабря 2012 г.

Предложения по совершенствованию SOISO


В соответствие с ранее намеченным мной планом, оформил и отправил во ФСТЭК РФ свою скромную лепту по совершенствованию "Состава и содержания...". Текст - под "катом".

воскресенье, 16 декабря 2012 г.

Конструктив продолжается


В сентябре этого года нам с коллегами - Алексеем Лукацким, Михаилом Емельянниковым и Александром Токаренко - поступило предложение, от которого грех было отказываться: поработать совместно со специалистами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) над разъяснениями вопросов практического применения операторами законодательства в области персональных данных. К сожалению, время на подготовку первого разъяснения заняло у нас несколько большее время по разным причинам но, тем не менее, это случилось: 14 декабря Роскомнадзор опубликовал разъяснения по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве. Не смотря на то, что компромисс иногда давался нелегко - работа велась конструктивно, и это еще один хороший знак изменения позиции органа государственной власти с "истины в последней инстанции" на "конструктивную обратную связь ради общего дела". Я очень надеюсь на то, что эта практика будет продолжена, и одним разъяснением мы не ограничимся. Под "катом" - копия "разъяснения".

среда, 12 декабря 2012 г.

О проекте документа ФСТЭК для DLP-Expert


Давал сегодня письменное интервью для ресурса DLP-Expert по поводу "Состава и содержания..." (в простонародии уже окрещенного SOISO). Полную версию "интервью", со ссылками, привожу ниже (то, что не опубликовано, выделено жирным шрифтом).

пятница, 7 декабря 2012 г.

Две недели на работу


Под вечер пятницы, слегка просрочив обещанную дату, ФСТЭК таки сдержала слово и выложила проект приказа "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных» (первая редакция).
Нам, как "заинтересованным специалистам", предлагается рассмотреть подготовленный проект ни направить предложения по его совершенствованию на адрес электронной почты otd22@fstec.ru до 21 декабря 2012 г. Таким образом, мы с вами, дорогие друзья, имеем 2 недели на то, чтобы:
  1. Ознакомиться с их содержанием;
  2. Отыскать спорные вопросы;
  3. Свести их в вот такую таблицу (и в дальнейшем работать с ней);
  4. Ссылаясь на нормы НПА или здравый смысл обосновать, в чем проблема;
  5. Написать свой вариант "спорного" текста;
  6. Отправить заполненную табличку на указанный адрес;
  7. Где-нибудь ее (табличку) опубликовать.
Почему важен шаг №8 - я уже писал, и практика показывает, что не все вопросы учитываются и доходят до рассмотрения: счастливчик Ригель с 9 очками из 10 пока единственный, кто остался полностью доволен.

Я уже сделал шаг №1 - остальные на досуге отработаю. Да, и те, кто желает - не тяните со временем: лучше все сделать числа до 17-го.

понедельник, 3 декабря 2012 г.

Почему я не люблю DLP: причина третья.


В ожидании обещанного ФСТЭК нормативного документа, продолжаю серию постов  (известных также под псевдонимами "страшилки", "помойка", "записки КЭПа" и некоторыми другими эпитетами) про DLP с неблагозвучным для представителей причастных к этим системам профессий названием. В предыдущей части мы с вами, дорогие читатели, от сугубо технических нюансов перешли к проблемам организационным и сделали вывод о том, что для эксплуатации технических средств такого рода и безопасность в общем, и "безопасник" в частности должны иметь определенный уровень зрелости, особенно моральной, что бывает далеко не всегда.

Оппоненты, после публикации первой части настойчиво утверждавшие, что средство - это лишь часть системы и все зависит от организационной составляющей, на этот раз радикально изменили тактику и набросились с криками "а техника-то здесь при чем?", чем изрядно меня повеселили. Ну хорошо - техника здесь действительно не при чем, и я, пожалуй, верну отобранный у "дылды" балл: пусть вместо "-2" будет "-1". А за то, что она хоть в чем-то помогает существовать "безопасникам" - устрою аттракцион неслыханной щедрости и добавлю еще один "плюс". В результате, DLP никому ничего не должна, в копилку вновь вернулся "ноль" с которого мы с вами, собственно, снова и начнем.

В отличие от двух предыдущих частей, в этот раз баек про "дружбанов" я травить не буду (с ними, кстати, все в порядке - работают и по сей день, отделавшись легким испугом). Ведь речь пойдет о вещах куда более серьезных: о данных, фактах и цифрах - тех, которыми оперирует бизнес, владелец усердно защищаемого "безопасниками" актива.