Спонсор: Microsoft
Опубликован: 25.06.2010 | Доступ: свободный | Студентов: 1537 / 238 | Оценка: 4.32 / 4.18 | Длительность: 25:57:00
Лекция 21:

Семинары

Ключевые слова: персональные данные, trustworthy, bank, Личность, конфиденциальная информация, mail, информационная безопасность, угроза, человеческий фактор, защита информации, Windows Vista, подразделения, информационные технологии, идентификация, анализ рисков, 'border-right', ИТ-инфраструктура, директива, Директория, кража, потеря конфиденциальности, мобильное устройство, уязвимость, ОС Windows, развертывание, агент, windows xp, client, spyware, professional, защита данных, BitLocker, drive, encryption, политика безопасности, централизованное управление, информационные системы, информационных систем, контроль доступа, SMS, конфликт, адекватность, shock, резюме, вредоносная программа, атака, онлайн, Хакер, emergency, e-marketing, глобальная сеть, сделка, злоумышленник, Безопасность информации, инсайдер, macro, corporate, корпорация, Глобализация, информатизация, бизнес-процессы, приватность, шифрование данных, чувствительность данных, U-кадры, шифр, ущерб, мониторинг, аудит, контроль качества, средства защиты информации, аутсорсинг, тип нарушения

Семинар 1. Кейс-стади: Банк судится с почтовой службой из-за ошибки сотрудника

Цель занятия

  • Поэтапно разобрать поведение компании в описанной ситуации и оценить правильность каждого из шагов
  • Подумать о том, как должна была действовать компания, чтобы предотвратить возникновение описанной проблемы
  • Предложить варианты поведения компании, которые позволили бы ей вернуть репутацию и удержать существующих/не отпугнуть новых клиентов
  • Представить, что эта история произошла не за океаном, а у нас, и проанализировать возможные пути развития ситуации с учетом российских реалий (в т.ч. в связи с вступлением в силу с 1 января 2010 ФЗ "О персональных данных")

Текст кейса

Trustworthy Bank подал в суд на почтовую службу StoreYourMail , требуя раскрыть личность одного из пользователей, после того как по его электронному адресу было ошибочно отправлено письмо с конфиденциальной информацией.

Согласно представленным документам, в августе этого года сотрудник Trustworthy Bank по запросу одного из клиентов отправил его представителю определённые отчёты по займу посредством электронной почты, но ошибся в адресе получателя.

Более того, он ещё и приложил к этому письму файл, который не следовало вообще посылать. В файле содержались конфиденциальные сведения о 1325 клиентах - как физических, так и юридических лицах, - включая их имена, адреса, номера социального страхования или же налоговые коды, а также данные по займам.

Заметив свою ошибку, служащий попытался отозвать письмо, но было поздно. Тогда неправильному адресату было отправлено ещё одно письмо с требованием удалить предыдущее письмо со всеми вложениями не читая и с просьбой выйти на связь для обсуждения дальнейших действий.

Но адресат не ответил. Тогда банк потребовал от StoreYourMail раскрыть личность этого человека, чтобы разрешить проблему в офлайне.

Представители StoreYourMail в свою очередь заявили, что не выдадут своего клиента без соответствующего распоряжения суда. И, даже получив такое распоряжение, в соответствии с политикой StoreYourMail , они сначала осуществят попытку связаться с владельцем учётной записи, чтобы дать ему шанс опротестовать решение суда.

Суд пока не вынес вердикта по данному делу. Однако информация о нём частично просочилась, после того как банк попытался закрыть дело от общественности до принятия судьями решения. В банке беспокоились, что если клиенты узнают об утечке, это вызовет панику.

Судья это ходатайство отклонил. Впрочем, прежде чем предать иск гласности, он потребовал от банка убрать из него все упоминания того самого почтового адреса, чтобы дать его владельцу законную возможность опротестовать публикацию своего e-mail.

Краткие итоги

Участники семинара систематизировали знания о мерах по обеспечению информационной безопасности, а именно:

  • На конкретном примере оценили риски и угрозы, связанные с человеческим фактором в информационной безопасности;
  • Овладели навыками оценки соотношения ценности информации к ценности системы защиты, определение целесообразной и рациональной системы защиты информации в конкретных условиях;
  • Развили навыки поиска решений проблем информационной безопасности, сопряженных с человеческим фактором ;
  • Приобрели опыт профилактической и предупреждающей деятельности по отношению к информационным угрозам
Мария Архипова
Мария Архипова
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Сергей Мясников
Сергей Мясников
Россия
Владимир Гнинюк
Владимир Гнинюк
Украина, Киев