Рубрикатор |
Статьи | ИКС № 09-10 2016 |
Алексей ШАЛАГИНОВ  Алексей ЛУКАЦКИЙ  Михаил ЕМЕЛЬЯННИКОВ  Евгений ЦАРЕВ   Андрей ПРОЗОРОВ  | 08 ноября 2016 |
Блог, еще раз блог!
Наши блогеры рассуждают о безопасности.
Михаил ЕМЕЛЬЯННИКОВ
Информационная безопасность в трудовом договоре
>>>> 1 января 2017 г. вступают в силу изменения Трудового кодекса, касающиеся регулирования трудовых отношений в микропредприятиях. Суть их в том, что на микропредприятии трудовой договор может полностью или частично заменить локальные нормативные акты, содержащие нормы трудового права, такие как правила внутреннего трудового распорядка, положение об оплате труда, положение о премировании, график сменности и пр.
Для реализации этой новой нормы закона Правительство приняло постановление от 27.08.2016 № 858, устанавливающее типовую форму трудового договора, заключаемого между работником и работодателем-микропредприятием.
Непонятно, зачем указывать в трудовом договоре обязанность работодателя обеспечивать обработку и защиту персональных данных работника в соответствии с законодательством РФ, так как она уже вменена ему в обязанность законодательством.
А вот про создание работнику условий, обеспечивающих конфиденциальность обрабатываемых персональных данных, что может сделать только работодатель, в типовом договоре ничего нет. Как и про периодичность ознакомления работника с обрабатываемыми данными о нем, право работника требовать их уточнения, если они неактуальны, или уничтожения, если они не соответствуют целям, установленным ст. 86 Трудового кодекса, и про иные важные вопросы взаимных обязательств.
Ни слова нет и про коммерческую тайну и секреты производства, правах работодателя и работника на результаты интеллектуальной деятельности, полученные в ходе трудовой деятельности.
Зато типовой договор предусматривает осуществление работы путем обмена электронными документами с использованием усиленной квалифицированной электронной цифровой подписи или без нее. Разработчики документа, видимо, не знали, что термин «электронная цифровая подпись» не используется с момента вступления в силу Федерального закона № 63-ФЗ. Не очень понятно, почему допускается дистанционная работа без использования электронной подписи, в то время как ст. 312.1 Трудового кодекса предписывает взаимодействие дистанционного работника и работодателя путем обмена электронными документами с использованием усиленной квалифицированной электронной подписи.
В целом документ показался, безусловно, полезным, однако вопросов он оставляет много. Начало типовым договорам положено, что уже хорошо…
Алексей ЛУКАЦКИЙ
Моя личная модель нарушителя
>>>> В США разгорается истерия по поводу «русских хакеров в погонах», а в России – по поводу «угрозы АНБ».
Есть ли вероятность, что АНБ может меня взломать? Да, безусловно. Такая вероятность есть. Будет ли АНБ меня ломать? А зачем? Существует куча иных способов получения доступа к моим данным, 95% которых и так публичны. При пересечении мною границы США в рамках действующего американского законодательства у меня могут спокойно изъять ноутбук и потребовать от меня предоставить к нему доступ. Получить доступ к моей учетной записи в Apple, Google и других американских ИТ-сервисах АНБ в рамках действующего американского законодательства может беспрепятственно. И прослушивать они меня могут без особых проблем – направленные микрофоны еще никто не отменял и никакие скремблеры или шифраторы от них не спасут. У АНБ, если предположить, что они будут мной интересоваться, существует огромное количество достаточно простых способов незаметно взять меня «на контроль».
Криминалитет представляет для меня гораздо большую опасность, так как я активно пользую различные финансовые инструменты в интернете и не хотел бы, чтобы мои деньги украли через непатченную уязвимость в Flash-плагине браузера или через дыру в моем интернет-банке. И разработчик ПО для моего фитнес-трекера, не знавший про SDLC, и поэтому все данные о моем здоровье и перемещениях могут быть слиты в интернет, – это тоже нарушитель, который мне актуален. И сосед по лестничной клетке, который может подцепиться к моей точке доступа и за мой счет ходить в интернет или прослушивать мой трафик; он тоже включен в мою модель нарушителя (хотя и не с самым высоким приоритетом). И посторонний человек, который может заглядывать ко мне в экран ноутбука, когда я сижу в аэропорту, тоже представляет для меня угрозу. И пассажир метро, создавший «левую» точку доступа с SSID московского метро, к которой смартфон может подключиться автоматически. В конце концов, взломщик этого блога или моего Твиттера для меня тоже более актуален, чем АНБ.
Это все реально, и с этим я борюсь в меру моих возможностей и знаний. А вот с АНБ я бороться не могу (как и с ФСБ, Моссадом, Ми-6, НОАК и другими спецслужбами). Потому что я примерно представляю уровень их возможностей.
Андрей ПРОЗОРОВ
Конференции по инфобезопасности осени-2016
>>>> И InfoSec, и BIS-Summit уже много лет с нами, и по размаху вполне входят в топ-10 российских мероприятий по информационной безопасности, на которые стоит обратить внимание.
А вот чего мне не хватило, что я бы хотел еще видеть на этих и других мероприятиях по ИБ:
Мобильное приложение. Это удобно, когда под рукой актуальная программа, важная информация, схема залов и прочее.
Активности в соцсетях. Практически никто не ведет трансляции с мероприятий, мало кто выкладывает фотографии, цитаты и комментарии. А это задачи организаторов: вовлекать в обсуждение, поощрять сообщения, заинтересовывать активностью, обеспечить доступ к сети интернет.
Стенды с книгами ИТ/ИБ-тематики. С этим вообще печаль! Привозите хорошие книги на английском и русском языках, я точно куплю!
Большие мастер-классы. 20 минут на хорошую практическую презентацию – это очень мало, я для своих выступлений обычно прошу 40–60 минут. Есть интересные темы и спикеры, которые могут о них хорошо рассказать. Дайте слоты времени, все будут довольны...
Сильные модераторы. Модераторы должны следить за таймингом, контролировать спикеров и осаживать их, если те начинают уходить в «маркетинговую воду», а также управлять вниманием зала, задавать правильные вопросы и, вообще, «качать» секцию. Хороших модераторов мало, а их выбор и привлечение – важная задача организаторов.
Активности в коридорах и залах. Где квадрокоптеры, битвы роботов, уличные фокусники, девушки с бодиартом? Как-то слабо креативили в этот раз организаторы...
Алексей ШАЛАГИНОВ
О конвергенции технологий в эпоху «диджитал»
>>>> Рассматривая три, до поры развивавшиеся независимо друг от друга, технологии: телекоммуникационные, информационные и медийные, нельзя не заметить сходства истории их развития.
Нельзя не заметить также и то, что все три отрасли в последнее время стали использовать единую технологическую основу: ЦОДы, облачные технологии, технологии программно конфигурируемых сетей SDN и виртуализации сетевых функций NFV. Поэтому в последнее время весьма заметна конвергенция информационно-коммуникационных (стоит добавить – и медийных тоже) технологий.
Это приводит к трансформационным сдвигам практически во всех отраслях экономики и появлению так называемой цифровой экономики, когда цифровые технологии не только проникают в высокотехнологичные сектора экономики, но меняют и повседневную жизнь людей. Например, цифровое такси типа Uber не только полностью поменяло модель использования услуги такси, но и привело к значительному снижению цен на поездки. В бизнесе операторов связи также происходят «тектонические сдвиги». Все указывает на то, что основой операторского бизнеса вскоре станет доставка не традиционных услуг связи (голоса и SMS), а видеоконтента. Многие решения для вертикальных отраслей: безопасный город, электронное здравоохранение, анализ «больших данных», бизнес-аналитика, видеонаблюдение и многие другие основаны на единой технологической базе ЦОДов, облачных вычислений, а также на SDN/NFV.
Эти решения для операторов связи жизненно важны, поэтому для их бизнеса первостепенное значение приобретает компетенция в методах «цифровой трансформации», где немаловажную роль играют технологии SDN/NFV.
Евгений ЦАРЕВ
Юристы и безопасность данных
>>>> Уязвимости в безопасности данных юридических фирм представляют беспрецедентную экзистенциальную угрозу, в то время как увеличение корпоративного спроса на правовую экспертизу в области информационной безопасности обеспечивает возможность для роста количества преступлений. Об этом сообщается в отчете компании ALM Intelligence.
Более 70% фирм сообщают, что их клиенты оказывали на них давление в целях повышения внутренней безопасности данных.
Юридические фирмы как никогда ранее уверены в своей способности противостоять кибератакам.
Многие фирмы не смогли построить партнерские отношения и создать протоколы, которые обеспечивали бы надежную защиту и своевременный ответ на угрозы.
Хуже того, более 50% фирм не проводят регулярных тренингов оценки эффективности своих планов.
Более 85% фирм описали себя как имеющих практику, посвященную вопросам конфиденциальности и безопасности данных.
Более 40% фирм с практикой в сфере кибербезопасности ожидают увеличения численности персонала в следующем году.