21 Мая, 2014

О "проблеме уборщиц": ответ на пост Михаила Емельянникова

СёрчИнформ
Не могу себе позволить пройти мимо поста уважаемого Михаила Емельянникова от 13 мая:
 
http://www.securitylab.ru/blog/personal/emeliyannikov/39838.php

Почему не могу? Потому что вспомнился один случай про "проблему уборщиц". Есть такая байка: надо физически проникнуть в компанию. На первый взгляд всё хорошо, т.к. даже у директора нет всех ключей от всех кабинетов. Что делают "пентестеры"? Договариваются с уборщицей, у которой все ключи имеются.

Случай в банке г. Зеленограда, напомнил мне эту байку. Учитывая, что уборщица могла быть и не работницей банка, а представителем аутсорса, есть вопрос. Как соблюсти Ст.19 152-ФЗ: «Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных»?

Пункт 15 постановления: «При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором».

Обязать сотрудников не оставлять в конце рабочего дня бумажек на столе (и под столом) и сносить их в закрываемое помещение? Но ведь и в этом помещении должен кто-то убирать?..
comments powered by Disqus