Доказательная сила логов

[Djalolatdin Rakhimov]

Можно усугубить ситуацию.

Опять же, учитывая (как я понял), что работодатель обеспечивает свое право (через расписки и все такое) на контроль содержимого своей техники.

При реализаии права работодателя на контроль, обнаруживается файл с паролем или шифрован ЭЦП, не выданным от организации. Что делать?

А если это файл с рабочей инфо организации?

[Iskander Koneev]

2 Vladimir Sheyanov

Нет, здесь смысл в другом…

При входе в корпоративную систему (Веб-портал, ERP и т.д.), а иногда даже при загрузке операционной системы либо на домашней странице браузера, но чаще всего там, где набирается логин/пароль висит предупреждение (даже специальный термин есть – warning banner) о том, что запрещается несанкционированное (вариант – незаконное, злоумышленное и т.д.) использование данного ресурса и что нарушитель будет преследоваться по закону.
Кстати, наличие этого предупреждение входит даже в некоторые методики по аудиту ИБ и если оно отсутствует, то ставится минус..

Не скажу точно почему, но, видимо, простого запрета в корпоративных правилах было недостаточно. Возможно тонкости законодательства США.

Я думаю, по той же причине, при установке программы Вам предоставляют весь текст лицензионного соглашения перед тем, как Вы нажмете кнопку “Согласен”, а не отсылают за текстом соглашения, скажем, на сайт производителя…

[Vladimir Sheyanov]

Цитата:

Сообщение от Djalolatdin Rakhimov

...
Является ли это нарушением со стороны сотрудника?
Нарушение ли это со стороны работодателя - доступ к личной инфо неумышленно?
Как поступить работодателю?

При проверке компьютера анализ информации осуществляется комиссионно, т.е. составляется акт, подписываемый всеми участниками комиссии. Во время проверки специалистом, при обнаружении каких-либо неизвестных файлов, об этом делается соответствующая запись в акте, и требуется объяснение работника о природе файла, также с занесением его комментариев в акт. Если сотрудник затрудняется объяснить, с его разрешения в присутствии членов комиссии осуществляется открытие файла для определения его содержания. В завершении анализа все участники мероприятия, включая работника ознакамливаются с содержанием акта и закрепляют его своими подписями.

[Iskander Koneev]

2Djalolatdin Rakhimov

После того, как сотрудник подписал согласие на работу с его персональной информацией, работодатель может чувствовать себя свободно.
Вопрос в том, чтобы правильно сформулировать само Соглашение.
Туда, как минимум, должно войти право работодателя
1. Иметь доступ
2. Производить мониторинг
3. Анализировать (в том числе и с помощью криптоаналитических средств)
4. Распространять
ну и далее по потребности. Последний пункт – распространение – тоже важен, так как в противном случае, работодатель, например, не сможет передавать в вышестоящие или контролирующие учреждения (без санкции прокуратуры) сведения о сотрудниках.

Вообще, вопрос использования персональных данных это отдельное направление ИБ – Privacy, которое тоже начинает постепенное распространение с Запада к нам…

[Vladimir Sheyanov]

2 Iskander Koneev
Действительно, существуют определённое отличие между отечественным и зарубежным законодательством. Оно заключается в том, что мы при принятии различных законодательных актов имеем возможность изучать и анализировать опыт зарубежных законодателей, унифицировать их наработки и принимать своего рода "локализованную" версию. В свою очередь иностранные законодатели шли к этим документам методом проб и ошибок долгое время, изменяя и дополняя их, что в свою очередь приводит к своеобразной путанице. В этом плане мы находимся в более выгодном положении, имея возможность выбрать оптимальный со всех сторон документ и подготовить подобный, но с учётом реалий и имеющегося законодательства нашего государства.
Также, думаю не стоит допускать сотрудника к работе, а на стадии его оформления знакомить его с политикий ИБ. Также этот момент полезен в момент определения лояльности нового работника компании, то есть примит ли он эти положения или не согласиться с ними, намерен ли он честно работать, или же просто хочет использовать предоставляемые работадателем условия для каких-либо своих целей и нужд.

[Iskander Koneev]

2Vladimir Sheyanov

Вы практически дословно повторяете мою мысль… уже не помню, кажется, на том же security.uz или еще где-то я писал тоже самое про возможность использовать чужой передовой опыт…
:-)

Что касается стадии оформления сотрудника, то там необходимо не только знакомство с политикой ИБ, а так называемый background check – то есть проверка его предыдущей истории, в том числе и рабочей.

Когда моя супруга пришла на собеседование в серьезный банк, ей сообщили, что они знают, кто ее муж (я), читали мои статьи и хотели бы тоже взять меня на работу…
:-)))

[Vladimir Sheyanov]

Цитата:

Сообщение от Iskander Koneev

...
Что касается стадии оформления сотрудника, то там необходимо не только знакомство с политикой ИБ, а так называемый background check – то есть проверка его предыдущей истории, в том числе и рабочей.
...

Это конечно, само собой разумеется

[Djalolatdin Rakhimov]

Цитата:

Сообщение от Vladimir Sheyanov

При проверке компьютера анализ информации осуществляется комиссионно, т.е. составляется акт, подписываемый всеми участниками комиссии. Во время проверки специалистом, при обнаружении каких-либо неизвестных файлов, об этом делается соответствующая запись в акте, и требуется объяснение работника о природе файла, также с занесением его комментариев в акт. Если сотрудник затрудняется объяснить, с его разрешения в присутствии членов комиссии осуществляется открытие файла для определения его содержания. В завершении анализа все участники мероприятия, включая работника ознакамливаются с содержанием акта и закрепляют его своими подписями.

А что за критерий такой: изветсный или неизвестный файл? По имени? По местоположениею? По заранее согласованному списку файлов? Априори каждый файл неизвестен до его открытия.

[Djalolatdin Rakhimov]

Цитата:

Сообщение от Iskander Koneev

2Djalolatdin Rakhimov

После того, как сотрудник подписал согласие на работу с его персональной информацией, работодатель может чувствовать себя свободно.
Вопрос в том, чтобы правильно сформулировать само Соглашение.
Туда, как минимум, должно войти право работодателя
1. Иметь доступ
2. Производить мониторинг
3. Анализировать (в том числе и с помощью криптоаналитических средств)
4. Распространять
ну и далее по потребности. Последний пункт – распространение – тоже важен, так как в противном случае, работодатель, например, не сможет передавать в вышестоящие или контролирующие учреждения (без санкции прокуратуры) сведения о сотрудниках.

Ок. Спасибо. Инфо для меня достаточно.

[Djalolatdin Rakhimov]

Цитата:

Сообщение от Iskander Koneev

Когда моя супруга пришла на собеседование в серьезный банк, ей сообщили, что они знают, кто ее муж (я), читали мои статьи и хотели бы тоже взять меня на работу…
:-)))

немного перефразируя "Когда я брал на работу Данияра Атаджанова, я ему сообщил, что знаю про его контакты с Искандером Конеевым и предложил сотрудничество с CERT"