21 Мая, 2014

О "проблеме уборщиц": ответ на пост Михаила Емельянникова

Роман Идов
Не могу себе позволить пройти мимо поста уважаемого Михаила Емельянникова от 13 мая:
 
http://www.securitylab.ru/blog/personal/emeliyannikov/39838.php

Почему не могу? Потому что вспомнился один случай про "проблему уборщиц". Есть такая байка: надо физически проникнуть в компанию. На первый взгляд всё хорошо, т.к. даже у директора нет всех ключей от всех кабинетов. Что делают "пентестеры"? Договариваются с уборщицей, у которой все ключи имеются.

Случай в банке г. Зеленограда, напомнил мне эту байку. Учитывая, что уборщица могла быть и не работницей банка, а представителем аутсорса, есть вопрос. Как соблюсти Ст.19 152-ФЗ: «Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных»?

Пункт 15 постановления: «При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором».

Обязать сотрудников не оставлять в конце рабочего дня бумажек на столе (и под столом) и сносить их в закрываемое помещение? Но ведь и в этом помещении должен кто-то убирать?..
или введите имя

CAPTCHA
22 Мая, 2014
Не смешите людей...
не должен в нем никто убирать, раз в месяц - под присмотром сотрудников СЭБ, да и ключей от кабинетов не давать уборщицам - пусть ждут тех у кого есть ключи
0 |
  • Поделиться
  • Ссылка
22 Мая, 2014
Если раз в месяц убирать - захрюкать можно. Физические носители убирать в запираемые шкафы, не нужные - уничтожать шредером. Незачем мудрить.
0 |
Нет такой проблемы
Алексей, а в чем проблема? Обязать убирать носители ПДн в запираемые хранилища? Обеспечить уборку только в присутствии ответственного лица из числа работников банка? Поддерживать самый элементарный порядок? Я еще когда служил, лет так тридцать пять назад, каждый день на службу в каждом отделе приходил ответственный в 6 часов утра, чтобы проследить за уборкой. И не было никаких проблем.
0 |
  • Поделиться
  • Ссылка
что может быть проще, чем пускать уборщицу в архив только в пристутсвии архивариуса? Не вижу проблем. А обязательно обязывать сотрудников сносить в конце дня бумажки в закрываемое помещение? Наверное проще купить шкаф для документов с замочком и запирать документы в шкаф. тут и эстетический вид может быть приятен...и уборщица тряпочкой шкафчик протрет, а до бумажек не доберется...и волки сыты, и овцы целы.
0 |
  • Поделиться
  • Ссылка
Про хранилища
"Запираемое хранилище" - это в том числе запираемый ящик стола, шкаф или что угодно подобное. А вовсе не специальное помещение.
0 |
Про хранилища2
Михаил, я полностью с Вами согласен. Именно мысль про запираемые шкафы и тумбы и столы я пытался донести. Словосочетание "закрываемое помещение" я взял из оригинала поста. А про спец.помещение я вообще не писал.
0 |
  • Поделиться
  • Ссылка
Значит, мы друг друга поняли
0 |