24.7.08

О мышлении безопасников и их кругозоре

Комментарии к моей статье по легитимности контроля электронной почты выявили интересную (но неприятную) закономерность. Безопасники в массей своей не считают целесообразным соблюдать действующее законодательство, мотивируя это, как правило, двумя основными тезисами:
- я занимаюсь ИБ и все, что я делаю на благо работодателя, законно по определению, а на права рядовых сотрудников мне "с высокой колокольни"
- для скользких тем отсутствует правоприменительная практика и жесткость законов компенсируется необязательностью их исполнения.

Я с этим столкнулся еще несколько лет назад, когда преподаватели ряда ВУЗов, учащие студентов вопросам ИБ и защите интеллектуальной собственности, занимались кражей этой самой собственности и плагиатом! И ведь они не считали себя виноватыми!

Другой интересный вывод касается кругозора большинства безопасников (я сам, когда писал статью, понял, что в этой части мало подкован) в юридической плоскости. Очень многие знают профильные законы - трехглавый, "О персональных данных", "О коммерческой тайне" и т.п., но за рамки этих нормативных актов они не выходят и не думают выходить. А ведь эти законы не висят в воздухе - они опираются на Конституцию РФ, Кодексы, другие законы, в т.ч. и на европейское законодательство. И занимаясь ИБ, мы не должны забывать, что все наши действия не могут нарушать действующее законодательство.

И ситуация не движется с места... Такое я замечал много лет назад, такой подход остался и сейчас. А ведь еще Эйнштейн как-то сказал: "Невозможно решить проблему на том же уровне, на котором она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень". Это касается и безопасности, которую надо решать, привлекая знания и умения из разных областей...

14 коммент.:

arkanoid комментирует...

Кажется, стандартной практикой является подписание каждым работником бумаги, где он официально соглашается, что почта в его компьютере не является частной перепиской?

Алексей Лукацкий комментирует...

Почитай мою статью ;-) Такая подписка незаконна

arkanoid комментирует...

А! Вторую часть я еще не видел. Но - собственно, в запрете использовать рабочий email для частной переписки по-моему нет ничего необычного. Как раз так оно, как правило, и формулируется.

arkanoid комментирует...

Комменты жгут, как всегда. Но аналогия с бумажным документооборотом через канцелярию - вполне оправдана.

Алексей Лукацкий комментирует...

Запретить можешь, а вот выполнить запрет - нет. Для того чтобы убедиться, что я исполняю запрет, ИБ должна прочитать переписку, тием самым нарушив закон.

arkanoid комментирует...

Почему же? Электронная почта просто приравнивается к переписке через канцелярию, вот и все. Этак и записывать разговоры операторов на коллцентре нельзя оказывается ;-)

Алексей Лукацкий комментирует...

Ты не понял ;-) Записывать можно, прослушивать нельзя. Аналогия с канцелярией верна и по идее ее можно реализовать, только вот на практике это не работает. Никто не станет из почту этот анахронизм делать.

arkanoid комментирует...

Ну, я не считаю просто, что это должно вносить какие-то изменения в процедуру отправки почты с точки зрения пользователя. Вот например, рассмотрим три случая:

1) электронная почта "просто работает"
2) электронная почта реализуется через девочку-оператора, которая берет документы из внутреннего документооборота по поручению отправителя и шлет адресату, переправляет ответы
3) вместо девочки "сидит робот"

Технологически могут быть идентичны 1 и 3. Юридически 2 и 3. Парадокс? Так что единственное что мы можем признать - это полную эквивалентность всех трех вариантов, если она закреплена документально и пользователь с этой ситуацией ознакомлен.

Expectation of privacy, кажется, это зовется, отсутствует, если бумага подписана, как оно применяется в российской практике - не могу представить. По-моему, у нас закон, что дышло.

Алексей Лукацкий комментирует...

Вот именно, дышло ;-) Об это все и разбивается ;-(

Анонимный комментирует...

давайте проведем еще одну аналогию насчет основной идеи автора(как мне показалось): "Запретить можешь, а вот выполнить запрет - нет. Для того чтобы убедиться, что я исполняю запрет, ИБ должна прочитать переписку, тием самым нарушив закон."

вот такая аналогия.
в офисе сидит сотрудник и печатает на компе сообщения какогото информативного характера. эти сообщения (неважно как напрямую или через почту) попадают на огромный экран в центре площади г.Москва.
и вот этот сотрудник по какой то причине (напутал, ошибся или специально) вместо положенного рекламного текста про сосиски пишет письмо любимой или еще что то например криминальное и тд и тп.

тут 2 варианта
1 - сотрудник балбес и сам виноват что личное свое что то написал
2 - зловредный сотрудник. должен ли он отвечать за содеянное если он использовал свое право свободы совести.

Анонимный комментирует...

Не разбивается, а дает нормально работать и защищать конфиденциальную информацию. В России прайвеси - миф, ну нету никакой прайвеси и не предвидется, какие бы законы это нам не гарантируюся.

Иначе получается, что самый простой способ украсть любую инфу, хоть гостайну - это поместить ее внутрь частного письма с заголовком типа "Выходи за меня замуж" и спокойно послать его по открытой почте - ни один безопасник не решится его открыть, даже если сработает програмный детектор.

Алексей Лукацкий комментирует...

А гостайна - у нас вообще отдельная песня ;-) Ее контроль совершенно иначе регламентируется.

toparenko комментирует...

Алексей!

Рассматривая вопрос Вы почему-то решили, что тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений заключается только в содержании...

Т.ч. повторю, то, что сказал: А, если мои оппоненты правы, и, учитывая отсутствие лицензии у Cisco Systems на производство и продажу СТС, имеем: соучастие менеджера по развитию бизнеса Cisco Systems Алексея Лукацкого в действиях, подпадающих под п.3 ст.138 УК РФ - незаконное производство, сбыт специальных технических средств, предназначенных для негласного получения информации LOL

Алексей Лукацкий комментирует...

Почитайте статью внимательней... раздел "Что такое тайна переписки". Там про "только" содержание все сказано.

ЗЫ. Перестаньте докапываться по мелочам. Своей манерой поведения вы придете к тому, что все ваши сообщения останутся без ответа.