21 мая 2014

О "проблеме уборщиц": ответ на пост Михаила Емельянникова

Не могу себе позволить пройти мимо поста уважаемого Михаила Емельянникова от 13 мая: http://www.securitylab.ru/blog/personal/emeliyannikov/39838.php
Почему не могу? Потому что вспомнился один случай про "проблему уборщиц". Есть такая байка: надо физически проникнуть в компанию. На первый взгляд всё хорошо, т.к. даже у директора нет всех ключей от всех кабинетов. Что делают "пентестеры"? Договариваются с уборщицей, у которой все ключи имеются.
Случай в банке г. Зеленограда, напомнил мне эту байку. Учитывая, что уборщица могла быть и не работницей банка, а представителем аутсорса, есть вопрос. Как соблюсти Ст.19 152-ФЗ: «Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных»?
Пункт 15 постановления: «При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором».
Обязать сотрудников не оставлять в конце рабочего дня бумажек на столе (и под столом) и сносить их в закрываемое помещение? Но ведь и в этом помещении должен кто-то убирать?..

Комментариев нет:

Отправить комментарий