Вот казалось бы, что может быть проще - записаться на курсы... Ан нет, все не так просто.
Маленькая предыстория.
В связи с принятием гениального 152-го федерального закона "О персональных данных" в далеком 2006 году, жизнь операторов персональных данных стала прекрасной и удивительной. Во-первых, операторами персональных данных являются абсолютно все организации - ОАО, ЗАО, ИП, ПБОЮЛ, вообще все, у кого есть сотрудники, либо контрагенты - физические лица. Во-вторых, денег, для приведения информационной системы персональных данных, в соответствие этому чудесному закону, требуется чуть больше чем до хрена, а сложность администрирования получившиейся системы возрастает если не на порядки, то в разы уж точно. Ну, это небольшое отвлечение от темы. В общем, есть закон, который мы обязаны соблюдать.
По воле рока так случилось, что отвественным за исполнение этого закона был назначен я. Естественно, я не единолично решаю как будет защищаться предприятие - в этом принимает участие весь отдел. Но если придет проверка и вскроется, что мы не защищены, то штраф, по словам юристов, наложат на меня и, если я в какие-то сроки, не приму меры, мне даже могут запретить занимать должности связанные с защитой информации (и, видит Бог, я не буду переживать по этому поводу). Но я опять отвлекся.
В общем, поскольку нас хотят защищать аж 4 фирмы, но у каждой из этих фирм своя точка зрения на защиту ПДн, выбрать очень тяжело. Хотя бы потому, что я (и никто из отдела, в общем-то) вообще нихрена не понимаю как в итоге должна выглядеть защищенная система. И было принято волевое решение отправить меня на курсы.
Сказано-сделано. Нашли курсы в Омске. В ОмГТУ. Программа вроде нормальная, но по телефону не смогли сразу назвать фамилию того кто их ведет. Ладно, хрен с ним, по крайней мере хоть кому-то можно будет задать вопрос, может быть даже с кем-то пообщаться на тему - как это сделано у них и что они обо всем этом думают. Обменяться опытом, так сказать.
Итак, созваниваюсь и говорю, что хочу пройти курс "Защита персональных данных". "Отлично!", говорят мне. "Как раз 28-го ноября начинается такой курс. Народу правда мало, но он точно будет". В тот же день, мне высылают проект договора, мы подписываем его и мы договариваемся, что 28-го числа я приношу подписанный нами договор к началу занятий.
Договор я принес, но, блядь, когда начались занятия, оказалось, что это ДРУГОЙ курс.
Другой, блядь. Вот как это вообще возможно? Курс не по защите персональных данных, а по криптографической защите информационных систем.
Криптография мне не уперлась вообще никуда, курс по защите персональных данных есть, но он занятия там начались неделю назад. Договор заключался на прохождение мной курса по защите персональных данных. И ведет оба курса давний знакомый, бывший сотрудник одной из фирм-лицензиатов ФСТЭК. Мужик, конечно, умный, но точки зрения наши во многом не совпадали.
В общем, завтра буду звонить в полутех и ругаться-ругаться-ругаться.
Завтра же будет подтверждена, либо опровергнута бритва Хэнлона: "Не стоит искать злого умысла в том, что может быть объяснено человеческой глупостью". Может быть действительно, тетушка на телефоне не видит разницы между этими двумя курсами?! Не понимаю...
upd
Ну вот и завершение этой глупой истории.
Поскольку на курс по защите персональных данных записалось 3 человека и на курс по криптографической защите информационных систем записалось столько же человек - в чью-то, без сомнения гениальную, голову пришла идея эти курсы совместить.
Что интересно. Программа курса для всех будет одна, но корочки все получат разные. Трое, как и планировали - по защите ПДн, другие трое - по криптографической защите ИС.
Немного удивила позиция преподователя: "Если он такой умный, то зачем записался на курсы?", высказанная в личном разговоре между ним и моим начальником.
Я, блядь, не считаю себя "таким" умным, но хочу разобраться как и что надо делать, а не сидеть с вылупленными глазками и внимать бреду льющемуся из его рта.
Ни один, ни один человек не смог доказать мне, что
1) нашу ИСПДн надо аттестовывать;
2) при защите ИСПДн надо руководствоваться, в том числе, СТР-К.
В общем, я несколько растроен, был лучшего мнения об этом человеке и думал, что он так же хочет и может разобраться в хитросплетениях 152 ФЗ.
Маленькая предыстория.
В связи с принятием гениального 152-го федерального закона "О персональных данных" в далеком 2006 году, жизнь операторов персональных данных стала прекрасной и удивительной. Во-первых, операторами персональных данных являются абсолютно все организации - ОАО, ЗАО, ИП, ПБОЮЛ, вообще все, у кого есть сотрудники, либо контрагенты - физические лица. Во-вторых, денег, для приведения информационной системы персональных данных, в соответствие этому чудесному закону, требуется чуть больше чем до хрена, а сложность администрирования получившиейся системы возрастает если не на порядки, то в разы уж точно. Ну, это небольшое отвлечение от темы. В общем, есть закон, который мы обязаны соблюдать.
По воле рока так случилось, что отвественным за исполнение этого закона был назначен я. Естественно, я не единолично решаю как будет защищаться предприятие - в этом принимает участие весь отдел. Но если придет проверка и вскроется, что мы не защищены, то штраф, по словам юристов, наложат на меня и, если я в какие-то сроки, не приму меры, мне даже могут запретить занимать должности связанные с защитой информации (и, видит Бог, я не буду переживать по этому поводу). Но я опять отвлекся.
В общем, поскольку нас хотят защищать аж 4 фирмы, но у каждой из этих фирм своя точка зрения на защиту ПДн, выбрать очень тяжело. Хотя бы потому, что я (и никто из отдела, в общем-то) вообще нихрена не понимаю как в итоге должна выглядеть защищенная система. И было принято волевое решение отправить меня на курсы.
Сказано-сделано. Нашли курсы в Омске. В ОмГТУ. Программа вроде нормальная, но по телефону не смогли сразу назвать фамилию того кто их ведет. Ладно, хрен с ним, по крайней мере хоть кому-то можно будет задать вопрос, может быть даже с кем-то пообщаться на тему - как это сделано у них и что они обо всем этом думают. Обменяться опытом, так сказать.
Итак, созваниваюсь и говорю, что хочу пройти курс "Защита персональных данных". "Отлично!", говорят мне. "Как раз 28-го ноября начинается такой курс. Народу правда мало, но он точно будет". В тот же день, мне высылают проект договора, мы подписываем его и мы договариваемся, что 28-го числа я приношу подписанный нами договор к началу занятий.
Договор я принес, но, блядь, когда начались занятия, оказалось, что это ДРУГОЙ курс.
Другой, блядь. Вот как это вообще возможно? Курс не по защите персональных данных, а по криптографической защите информационных систем.
Криптография мне не уперлась вообще никуда, курс по защите персональных данных есть, но он занятия там начались неделю назад. Договор заключался на прохождение мной курса по защите персональных данных. И ведет оба курса давний знакомый, бывший сотрудник одной из фирм-лицензиатов ФСТЭК. Мужик, конечно, умный, но точки зрения наши во многом не совпадали.
В общем, завтра буду звонить в полутех и ругаться-ругаться-ругаться.
Завтра же будет подтверждена, либо опровергнута бритва Хэнлона: "Не стоит искать злого умысла в том, что может быть объяснено человеческой глупостью". Может быть действительно, тетушка на телефоне не видит разницы между этими двумя курсами?! Не понимаю...
upd
Ну вот и завершение этой глупой истории.
Поскольку на курс по защите персональных данных записалось 3 человека и на курс по криптографической защите информационных систем записалось столько же человек - в чью-то, без сомнения гениальную, голову пришла идея эти курсы совместить.
Что интересно. Программа курса для всех будет одна, но корочки все получат разные. Трое, как и планировали - по защите ПДн, другие трое - по криптографической защите ИС.
Немного удивила позиция преподователя: "Если он такой умный, то зачем записался на курсы?", высказанная в личном разговоре между ним и моим начальником.
Я, блядь, не считаю себя "таким" умным, но хочу разобраться как и что надо делать, а не сидеть с вылупленными глазками и внимать бреду льющемуся из его рта.
Ни один, ни один человек не смог доказать мне, что
1) нашу ИСПДн надо аттестовывать;
2) при защите ИСПДн надо руководствоваться, в том числе, СТР-К.
В общем, я несколько растроен, был лучшего мнения об этом человеке и думал, что он так же хочет и может разобраться в хитросплетениях 152 ФЗ.
Комментариев нет:
Отправить комментарий