Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Поможет ли вам шифрование не потерять работу?

Патрик Р. Мюллер

Если вы подвергаете угрозе персональные данные ваших клиентов, то ждите беды, особенно если юридически вы обязаны уведомлять их о нарушении конфиденциальности. При этом означает ли условие Encryption Exemption (дословно: “Освобождение от ответственности при условии шифрования”), прописанное в законе об уведомлении при нарушениях конфиденциальности почти всех штатов США, что у вас есть возможность избежать огласки?

Это условие позволяет организациям не выполнять требование об уведомлении в случае нарушения конфиденциальности персональной информации, если на момент несанкционированного доступа последняя была зашифрована. Однако оно пока не проверено в имевших место на сегодняшний день судебных разбирательствах. Мы не знаем, что судьи потребуют в качестве доказательства того, что на момент несанкционированного доступа данные были зашифрованы. Некоторые законы, например, в шт. Нью-Йорк исключают условие Encryption Exemption, если одновременно с персональной информацией были раскрыты и ключи шифрования. Есть штаты, где закон формально не предусматривает это разумное исключение, но суд может посчитать, что оно подразумевается.

Кроме юридических сложностей, корпоративные системы шифрования известны своей высокой ценой и трудностями в реализации. Даже если вы готовы мириться с этим, ваши расходы могут оказаться бесполезными при использовании системы ненадлежащим образом или неиспользовании ее вовсе вашими, допустим, плохо обученными служащими. Когда дело дойдет до судебного разбирательства, противная сторона постарается доказать, что ваш сотрудник зашифровал данные не так, как следовало.

До того, как вы вложите средства в приобретение системы шифрования, выявите подразделения, проекты и людей, которые имеют дело с хранением и использованием персональной информации. Если ваше начальство не является очень уж продвинутым, то вам, скорее всего, придется действовать постепенно — сначала попробуйте выявить тех пользователей персональной информации, которые обращаются к ней наиболее часто и подвергают ее наибольшему риску раскрытия. С этой точки зрения особого внимания требуют те пользователи, которые наделены большими правами и располагают большими ресурсами. После “инвентаризации” персональной информации и ее пользователей разработайте многоуровневую стратегию минимизации вероятности ее раскрытия. И что вас ждет в конце пути? Конечно, шифрование данных.

Но первый и, возможно, еще более важный шаг — это образование и обучение: надо объяснить пользователям персональной информации, каким рискам они подвергают ее и какие меры предосторожности следует предпринимать. Эффективная реализация правил в этой области — необходимая предпосылка к применению технических решений. Кроме того, обучение позволит вам убедить пользователей отказаться от рискованных приемов работы с персональной информацией, а следовательно, предотвратить проблемы, связанные с таким распространенным фактором риска, как утрата ноутбуков сотрудниками в результате кражи (что является наиболее частой причиной утечки данных).

Далее, сведите к минимуму содержание персональной информации при ее первоначальном получении или извлечении из главной базы данных для последующего использования. По каждому элементу персональных данных нужно иметь обоснование в его необходимости. И это обоснование должно перевешивать риск, связанный с возможным раскрытием соответствующего элемента персональной информации. Кроме этого, сведите к минимуму время ее хранения. Хранить персональную информацию, оправдывая это тем, что она может пригодиться в будущем, и тем самым “подводить мину” под заказчиков и клиентов не следует — сохраняться должна только та информация, которая необходима для текущих потребностей. Учреждениям, подпадающим под действие законодательства, могут потребоваться организация обучения и аттестация всех пользователей персональной информации.

В случае пользователей БД с персональной информацией, занимающихся маркетинговыми исследованиями или анализом каких-либо показателей, надо сделать эту информацию анонимной. Например, данные по результатам исследования, полученные вами при работе на ноутбуке во время перелета из Денвера в Лос-Анджелес, всегда можно вновь персонализировать, используя индексацию по возвращении в штаб-квартиру компании. .





  
14 '2006
СОДЕРЖАНИЕ

бизнес

• Конец эпохи тотального ИТ-контроля

• Стратегии выживания системного администратора в малой компании

• Oracle предлагает Linux неуязвимый

инфраструктура

• Модификация процессоров помогает осуществлять виртуализацию

• Горячие проблемы ЦОДов

• Предпроект в строительстве ЦОДа

информационные системы

• Алхимия данных

• Как нам лучше всего назвать call-центр

• Практическая экономика контакт-центров

• XBRL устанавливает стандарт отчетности

• «Инфоком—2006»: от Москвы до Екатеринбурга

кабельные системы

• Аудио- и видеобалуны расширяют применение UTP-проводки

• Анализ событий на рефлектограмме

сети связи

• Выполнение программы «Тетрарус»

• Сетевое видеонаблюдение

защита данных

• Массированное вторжение похитителей персональной информации

• Поможет ли вам шифрование не потерять работу?

• Поставщики решений NAC готовятся к наступлению

• Не следует игнорировать приложения Open-Source

новые продукты

• Новый компактный медиашлюз I-Gate


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх