Аттестация объекта ИТ для обработки КТ

[CI-KP]

Доказывать действительно придется работодателю, ведь это он выдвинул обвинения, а значит и бремя доказывания точки зрения в этом неуголовном процессе лежит на нем, поскольку каждая сторона сама должна доказать свою точку зрения.

 

Адвокат работника скорее займет позицию, что работник находился под давлением (конкретно - под страхом потрерять или не получить работу), потому и подписывал все, что скажут. Хотя тот факт, сможет работник прикинуться "ботаником" или нет, зависит очень от того, что он из себя представляет на самом деле и как это закреплено. Если он за время работы написал сто грамотных документов по теме и прошел десять учебных курсов по теме, сдав на "отлично" экзамены, он вряд ли сможет отпереться от того, что тему знает, а если ни разу, кроме подписания документа, с темой не пересекался, то это будет смотреться по-другому.

 

Из практики известно, что суды в спорах работника и фирмы дают некоторое (и немалое) преимущество работнику, исходя из того, что физлицо не имеет такого штата юристов и управляемых подчиненных, как работодатель. Остальное зависит от ловкости адвоката и настроя судьи. Настрой судьи - тоже величина, регулируемая иногда в определенных пределах.

 

Это:

Адвокат скажет примерно следующее:

- моему подзащитному было сказано, что меры по защите обеспечены и у него не было оснований не доверять своему будущему работодателю, однако как выяснилось организация не заключила договр о проведении мероприятий по защите КТ на предприятии с организацией имеющей лицензию на право проведения таких работ, а сама организация не имеет лицензии на проведение работ по технической защите информации, поэтому утверждение что именно мой подзащитный отправил письмо с информацией содержащей КТ абсолютно безосновательно, так как мой подзащитный былл введен в заблуждение о фактическом состоянии дел по защите КТ на предприятии.

16939[/snapback]

вполне вероятный сценарий. Адвокат будет искать косяки в работе самой организации, а поскольку соблюсти весь официоз удается не всегда, то вполне возможно и найдет.

Как бы нам не было обидно, но это так.

[Toparenko]

Работнику как раз ненадо ничегошеньки доказывать, это работодатель обязан доказать что именно этот работник слил информацию, или в результате его халатных действий произошла утечка(в случае когда ему были созданы условия для работы с КТ, причем достаточные с точки зрения закона), даже если с него взяли подписку о неразглашении в которой он соглашается с достаточностью мер по защите, грамотный адвокат выставит это так что человека ввели в заблуждение известив его о достаточности мер, а по факту ничего не было сделано, проведут экспертизу и как вы думаете что скажут эксперты о принятых мерах если они не будут удовлетворять соответствующин нормативным документам, и это будет бумага. А на то что человек эту бумагу подписал адвркат скажет что он не является специалистом в области защиты информации и не мжет оценивать степень защищенности, да и не должен.

Все вышеперечисленное будет только если работодатель обратиться с суд о взыскании нанесенного ущерба и осуждении работника за разглашение по УК.

 

Для увольнения этого не нужно. Вполне достаточно доказательной базы по факту разглашения - при этом не играет никакой роли проведена аттестация или нет.

Плюс достаточно показать несколько человек имеющих доступ к его пк не оборудованному средствами защиты информации(если этот ПК оборудован техническими средствами защиты, то необходимо соблюдение всех требований вышеперечисленных руководящих документов, плюс нужна бумаг с подписью и печатью того кто имеет право на закооных основаниях утверждать о достаточности принятых мер-это для того чтобы меры были признаны в суде) и если нет свидетелй которые видели что именно он отправлял именно в этот адрес именно эту информацию, или других прямых доказательст обвинение этого человека в сливе информации граничит с клеветой.

16919[/snapback]

RTFM

 

При аттестации класс защищенности определяет заказчик, а не аттестующая организация. Ни один класс защиты не обеспечивает 100% защиты (даже для класса защиты 1А вероятность утечки составляет 0,2%).

 

Проведение аттестации не является полностью достаточным мероприятием для защиты информации.

 

Для того, чтоб доказать отправку именно данным работником именно в данных адрес именно данной информации может быть достаточно других средств (да и только средствами, предусмотренными для класса 1Г [что считается достаточным для защиты КТ], не всегда удастся установить данный факт).

 

Ни одна аттестующая организация не возмет на себя "право на законных основаниях утверждать о достаточности принятых мер".

 

Это задача работодателя определить по какому классу производить аттестацию, а задача организации провоизводящей аттестацию объекта, в первую очередь проверить и в случае если определенного работодателем класса недостаточно известить об этом. (при определении класса при гос тайне это вообще косяк-если неправильно определить класс АС)

16935[/snapback]

RTFM

 

В задачи и полномочия аттестующей организации не входит проверка соответствия класса АС.

организация не заключила договр о проведении мероприятий по защите КТ на предприятии с организацией имеющей лицензию на право проведения таких работ, а сама организация не имеет лицензии на проведение работ по технической защите информации,

16939[/snapback]

RTFM

 

Заключение договора на аутсорсинг нигде, ничем не предумотрено. В некоторых случаях это лишний канал утечки информации.

 

Для обеспечения защиты собственной информации лицензия не требуется. Лицензия требуется только для оказания услуг сторонним организациям.

[Toparenko]

Доказывать действительно придется работодателю, ведь это он выдвинул обвинения, а значит и бремя доказывания точки зрения в этом неуголовном процессе лежит на нем, поскольку каждая сторона сама должна доказать свою точку зрения.

16947[/snapback]

Доказывать в неуголовном суде прийдется работнику, а не работодателю. Т.к. для уволнения не нужно обращаться в суд. А вот для доказательства необоснованности увольнения в суд прийдется обращаться работнику...

 

Кстати: участникам дискуссии не приходилось задумываться сколько будет стоить работнику "нормальный адвокат". При этом стоит учесть, что бывший работник уже не имеет постоянного источника собственного дохода и имеет "волчий билет" в виде статьи увольнения.

[korwin76]

Всем спасибо за участие в дискусси она подтолкнула меня в очередной раз перечитать норм доки и для себя я нашел ответ на свой изначальный вопрос....

 

Под КТ аттестацию проводить необязательно.

 

 

но что касается судьбы того молодого человека все что ему надо доказать что кроме него хотябы 1 человек имел возможность без его ведома отправить с его ПК почту и для суда этого достаточно что бы принять решение о неправомочности применения статьи именно на том основание которое было указано работодателем. Само собй если нет прямых доказательств виновности...

[Toparenko]

но что касается судьбы того молодого человека все что ему надо доказать что кроме него хотябы 1 человек имел возможность без его ведома отправить с его ПК почту и для суда этого достаточно что бы принять решение о неправомочности применения статьи именно на том основание которое было указано работодателем. Само собй если нет прямых доказательств виновности...

16968[/snapback]

В любой (в том числе аттестованной) системе эту возможность имеет сисадмин.

 

А доказать надо, что хотя бы 1 человек имел возможность войти в систему под его логином и отправить почту с его почтового ящика - наиболее реальная ситуация, когда пользователь (в нарушение правил) передал свои идентификационные/аутентификационные данные/атрибуты другому пользователю.