Перейти к содержанию

Аттестация объекта ИТ для обработки КТ

Оценить эту тему:


Рекомендуемые сообщения

насчет первого случая молодй человек мог заявить что работодатель не обеспечил ему возможность, обезопасить информацию ставшую известной ему по долгу службы, (в том случае если его рабочее место не было оборудованно сертефицированными средствами защиты от НСД), просто надо грамотно составлять претензии со ссылками на соответствующие статьи, прежде чем вводить режим коммерческой тайны работодатель должен создать условия для обработки,хранения и передачи по каналам связи информации составляющей коммерческую тайну, ад для физических носителей создать условия для хранения. а то что его отправили кого то искать это комикс, ему надо было просто найти приличного адвоката и его прошлая контора оказалась бы виновата, и вот тут то  я и повторю свой вопрос если я обеспечу защиту информации у себя в конторе но не проведу аатестацию смогу ли я такого парня засудить, одно дело когда ему предоставлены условия для работы и по его халатности ушла информация, неважно он ее отправил или нет, а совсем другое дело когда когда организация не обеспечила его всем необходимым для работы с коммерческой тайной.

16876[/snapback]

Одного заявления недостаточно.

 

Работнику в этом случае необходимо доказать, что произошла утечка, а не разглашение. И, что эта утечка произошла по причине непринятия работодателем мер по защите охраняемой информации, а не умышленного действия или бездействия работника. В отличии от уголовного суда по факту разглашения информции, где действует "презумпция невиновности", в гражданском суде (по обжалованию статьи увольнения) действует принцип состязательности - кто более аргументированно (и "аргументов" у компании в этом случае гораздо больше, как и возможности "для маневра") убедит суд в своей позиции.

 

Работник, подписывая обязательство (которое должно являться неотемлемой частью трудового договора) или трудовой договор (с соответствующими пунктами), возлагает на себя обязательства по сохранению в тайне доверенных ему сведений. О невозможности обеспечить выполнение договорных обязательств работник должен письменно (или доказать, что произвел уведомление другим способом) уведомить работодателя. Если работником данное не сделано - сам виноват.

 

Потому для суда достаточно выполнения Закона.

 

Ну, а причин "заявить" очень много - даже если будет проведена аттестация. Кстати: тем же СТР-К (а к этому следует добавить ГОСТы, РД, профили защиты и прочие подзаконные акты) предусмотренно не только проведение аттестации объекта ТСПИ, но еще много других затратных/организационных/технических мероприятий.

Я могу заявить, что АС аттестованная по классу 1Г не обеспечивает необходимый уровень защиты и требуется для защиты данной информации АС аттестованная по классу 1А - и чтож, на этом основании можно считать принятые меры недостаточными?!?

Изменено пользователем Toparenko
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 47
  • Создана
  • Последний ответ

Топ авторов темы

Топ авторов темы

Работнику как раз ненадо ничегошеньки доказывать, это работодатель обязан доказать что именно этот работник слил информацию, или в результате его халатных действий произошла утечка(в случае когда ему были созданы условия для работы с КТ, причем достаточные с точки зрения закона), даже если с него взяли подписку о неразглашении в которой он соглашается с достаточностью мер по защите, грамотный адвокат выставит это так что человека ввели в заблуждение известив его о достаточности мер, а по факту ничего не было сделано, проведут экспертизу и как вы думаете что скажут эксперты о принятых мерах если они не будут удовлетворять соответствующин нормативным документам, и это будет бумага. А на то что человек эту бумагу подписал адвркат скажет что он не является специалистом в области защиты информации и не мжет оценивать степень защищенности, да и не должен.

 

Плюс достаточно показать несколько человек имеющих доступ к его пк не оборудованному средствами защиты информации(если этот ПК оборудован техническими средствами защиты, то необходимо соблюдение всех требований вышеперечисленных руководящих документов, плюс нужна бумаг с подписью и печатью того кто имеет право на закооных основаниях утверждать о достаточности принятых мер-это для того чтобы меры были признаны в суде) и если нет свидетелй которые видели что именно он отправлял именно в этот адрес именно эту информацию, или других прямых доказательст обвинение этого человека в сливе информации граничит с клеветой.

Изменено пользователем korwin76
Ссылка на сообщение
Поделиться на другие сайты
Я могу заявить, что АС аттестованная по классу 1Г не обеспечивает необходимый уровень защиты и требуется для защиты данной информации АС аттестованная по классу 1А - и чтож, на этом основании можно считать принятые меры недостаточными?!?

16881[/snapback]

 

 

Это задача работодателя определить по какому классу производить аттестацию, а задача организации провоизводящей аттестацию объекта, в первую очередь проверить и в случае если определенного работодателем класса недостаточно известить об этом. (при определении класса при гос тайне это вообще косяк-если неправильно определить класс АС)

Ссылка на сообщение
Поделиться на другие сайты
Работнику как раз ненадо ничегошеньки доказывать, это работодатель обязан доказать что именно этот работник слил информацию, или в результате его халатных действий произошла утечка(в случае когда ему были созданы условия для работы с КТ, причем достаточные с точки зрения закона), даже если с него взяли подписку о неразглашении в которой он соглашается с достаточностью мер по защите, грамотный адвокат выставит это так что человека ввели в заблуждение известив его о достаточности мер, а по факту ничего не было сделано, проведут экспертизу и как вы думаете что скажут эксперты о принятых мерах если они не будут удовлетворять соответствующин нормативным документам, и это будет бумага. А на то что человек эту бумагу подписал адвркат скажет что он не является специалистом в области защиты информации и не мжет оценивать степень защищенности, да и не должен.

16919[/snapback]

 

Уважаемый korwin76, это ваши домыслы или Вы это с точки зрения состоявшейся практики говорите?

 

В обязательстве о неразглашеннии обязательно есть строки - "Все положения данного соглашения мне разъяснены и понятны"

Под документом стоит подпись сотрудника.

Что то не понятно, в чем то сомневаешься не подписывай. Тогда и доступа иметь не будешь, что кстати может являться основанием для расторжения трудового договора или отказа при приеме на работу.

 

Изменено пользователем Che
Ссылка на сообщение
Поделиться на другие сайты
В обязательстве о неразглашеннии обязательно есть строки - "Все положения данного соглашения мне разъяснены и понятны"

Под документом стоит подпись сотрудника.

Что то не понятно, в чем то сомневаешься не подписывай. Тогда и доступа иметь не будешь, что кстати может являться основанием для расторжения трудового договора или отказа при приеме на работу.

16936[/snapback]

 

 

"Все положения данного соглашения мне разъяснены и понятны"

выше про эти строки я уже сказал как их можно выставить.....

 

Адвокат скажет примерно следующее:

- моему подзащитному было сказано, что меры по защите обеспечены и у него не было оснований не доверять своему будущему работодателю, однако как выяснилось организация не заключила договр о проведении мероприятий по защите КТ на предприятии с организацией имеющей лицензию на право проведения таких работ, а сама организация не имеет лицензии на проведение работ по технической защите информации, поэтому утверждение что именно мой подзащитный отправил письмо с информацией содержащей КТ абсолютно безосновательно, так как мой подзащитный былл введен в заблуждение о фактическом состоянии дел по защите КТ на предприятии.

 

 

 

 

 

Изменено пользователем korwin76
Ссылка на сообщение
Поделиться на другие сайты

Доказывать действительно придется работодателю, ведь это он выдвинул обвинения, а значит и бремя доказывания точки зрения в этом неуголовном процессе лежит на нем, поскольку каждая сторона сама должна доказать свою точку зрения.

 

Адвокат работника скорее займет позицию, что работник находился под давлением (конкретно - под страхом потрерять или не получить работу), потому и подписывал все, что скажут. Хотя тот факт, сможет работник прикинуться "ботаником" или нет, зависит очень от того, что он из себя представляет на самом деле и как это закреплено. Если он за время работы написал сто грамотных документов по теме и прошел десять учебных курсов по теме, сдав на "отлично" экзамены, он вряд ли сможет отпереться от того, что тему знает, а если ни разу, кроме подписания документа, с темой не пересекался, то это будет смотреться по-другому.

 

Из практики известно, что суды в спорах работника и фирмы дают некоторое (и немалое) преимущество работнику, исходя из того, что физлицо не имеет такого штата юристов и управляемых подчиненных, как работодатель. Остальное зависит от ловкости адвоката и настроя судьи. Настрой судьи - тоже величина, регулируемая иногда в определенных пределах.

 

Это:

Адвокат скажет примерно следующее:

- моему подзащитному было сказано, что меры по защите обеспечены и у него не было оснований не доверять своему будущему работодателю, однако как выяснилось организация не заключила договр о проведении мероприятий по защите КТ на предприятии с организацией имеющей лицензию на право проведения таких работ, а сама организация не имеет лицензии на проведение работ по технической защите информации, поэтому утверждение что именно мой подзащитный отправил письмо с информацией содержащей КТ абсолютно безосновательно, так как мой подзащитный былл введен в заблуждение о фактическом состоянии дел по защите КТ на предприятии.

16939[/snapback]

вполне вероятный сценарий. Адвокат будет искать косяки в работе самой организации, а поскольку соблюсти весь официоз удается не всегда, то вполне возможно и найдет.

Как бы нам не было обидно, но это так.

Изменено пользователем CI-KP
Ссылка на сообщение
Поделиться на другие сайты
Работнику как раз ненадо ничегошеньки доказывать, это работодатель обязан доказать что именно этот работник слил информацию, или в результате его халатных действий произошла утечка(в случае когда ему были созданы условия для работы с КТ, причем достаточные с точки зрения закона), даже если с него взяли подписку о неразглашении в которой он соглашается с достаточностью мер по защите, грамотный адвокат выставит это так что человека ввели в заблуждение известив его о достаточности мер, а по факту ничего не было сделано, проведут экспертизу и как вы думаете что скажут эксперты о принятых мерах если они не будут удовлетворять соответствующин нормативным документам, и это будет бумага. А на то что человек эту бумагу подписал адвркат скажет что он не является специалистом в области защиты информации и не мжет оценивать степень защищенности, да и не должен.

Все вышеперечисленное будет только если работодатель обратиться с суд о взыскании нанесенного ущерба и осуждении работника за разглашение по УК.

 

Для увольнения этого не нужно. Вполне достаточно доказательной базы по факту разглашения - при этом не играет никакой роли проведена аттестация или нет.

Плюс достаточно показать несколько человек имеющих доступ к его пк не оборудованному средствами защиты информации(если этот ПК оборудован техническими средствами защиты, то необходимо соблюдение всех требований вышеперечисленных руководящих документов, плюс нужна бумаг с подписью и печатью того кто имеет право на закооных основаниях утверждать о достаточности принятых мер-это для того чтобы меры были признаны в суде) и если нет свидетелй которые видели что именно он отправлял именно в этот адрес именно эту информацию, или других прямых доказательст обвинение этого человека в сливе информации граничит с клеветой.

16919[/snapback]

RTFM

 

При аттестации класс защищенности определяет заказчик, а не аттестующая организация. Ни один класс защиты не обеспечивает 100% защиты (даже для класса защиты 1А вероятность утечки составляет 0,2%).

 

Проведение аттестации не является полностью достаточным мероприятием для защиты информации.

 

Для того, чтоб доказать отправку именно данным работником именно в данных адрес именно данной информации может быть достаточно других средств (да и только средствами, предусмотренными для класса 1Г [что считается достаточным для защиты КТ], не всегда удастся установить данный факт).

 

Ни одна аттестующая организация не возмет на себя "право на законных основаниях утверждать о достаточности принятых мер".

 

Это задача работодателя определить по какому классу производить аттестацию, а задача организации провоизводящей аттестацию объекта, в первую очередь проверить и в случае если определенного работодателем класса недостаточно известить об этом. (при определении класса при гос тайне это вообще косяк-если неправильно определить класс АС)

16935[/snapback]

RTFM

 

В задачи и полномочия аттестующей организации не входит проверка соответствия класса АС.

организация не заключила договр о проведении мероприятий по защите КТ на предприятии с организацией имеющей лицензию на право проведения таких работ, а сама организация не имеет лицензии на проведение работ по технической защите информации,

16939[/snapback]

RTFM

 

Заключение договора на аутсорсинг нигде, ничем не предумотрено. В некоторых случаях это лишний канал утечки информации.

 

Для обеспечения защиты собственной информации лицензия не требуется. Лицензия требуется только для оказания услуг сторонним организациям.

Ссылка на сообщение
Поделиться на другие сайты
Доказывать действительно придется работодателю, ведь это он выдвинул обвинения, а значит и бремя доказывания точки зрения в этом неуголовном процессе лежит на нем, поскольку каждая сторона сама должна доказать свою точку зрения.

16947[/snapback]

Доказывать в неуголовном суде прийдется работнику, а не работодателю. Т.к. для уволнения не нужно обращаться в суд. А вот для доказательства необоснованности увольнения в суд прийдется обращаться работнику...

 

Кстати: участникам дискуссии не приходилось задумываться сколько будет стоить работнику "нормальный адвокат". При этом стоит учесть, что бывший работник уже не имеет постоянного источника собственного дохода и имеет "волчий билет" в виде статьи увольнения.

Ссылка на сообщение
Поделиться на другие сайты

Всем спасибо за участие в дискусси она подтолкнула меня в очередной раз перечитать норм доки и для себя я нашел ответ на свой изначальный вопрос....

 

Под КТ аттестацию проводить необязательно.

 

 

но что касается судьбы того молодого человека все что ему надо доказать что кроме него хотябы 1 человек имел возможность без его ведома отправить с его ПК почту и для суда этого достаточно что бы принять решение о неправомочности применения статьи именно на том основание которое было указано работодателем. Само собй если нет прямых доказательств виновности...

Ссылка на сообщение
Поделиться на другие сайты
но что касается судьбы того молодого человека все что ему надо доказать что кроме него хотябы 1 человек имел возможность без его ведома отправить с его ПК почту и для суда этого достаточно что бы принять решение о неправомочности применения статьи именно на том основание которое было указано работодателем. Само собй если нет прямых доказательств виновности...

16968[/snapback]

В любой (в том числе аттестованной) системе эту возможность имеет сисадмин.

 

А доказать надо, что хотя бы 1 человек имел возможность войти в систему под его логином и отправить почту с его почтового ящика - наиболее реальная ситуация, когда пользователь (в нарушение правил) передал свои идентификационные/аутентификационные данные/атрибуты другому пользователю.

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...

×
×
  • Создать...