Rambler's Top100
Статьи ИКС № 08-09 2013
Михаил ЕМЕЛЬЯННИКОВ  Петр ДИДЕНКО  Рустэм ХАЙРЕТДИНОВ  Леонид РОГОЗИН  Евгений ЦАРЕВ   Дмитрий МАРТЫНОВ  03 сентября 2013

Блог, еще раз блог!

Блогерная площадка IKSMEDIA – еще одно доказательство тому, что отсутствие летней жары компенсировалось градусом деловой активности.

Рустэм ХАЙРЕТДИНОВРустэм ХАЙРЕТДИНОВ

Как проектировать и писать безопасные программы?

>>>> К сожалению, в ИТ и ИБ сейчас преобладает продуктовый подход. То есть ответственный сотрудник, скорее всего, примет решение купить (арендовать) какой-нибудь мегасканер и «натравить» его на уже написанный код. В результате он получит детальный отчет, в котором будут подробно указаны недостатки кода. Таких недостатков наберется несколько тысяч, а то и десятков тысяч – разного уровня критичности. Ничего, кроме беспокойства, такая информация не несет – пользу из нее извлечь будет невозможно. Сотрудник, пользующийся сканером, скорее всего, не будет входить в группу разработки, а значит, ему предстоит из этого отчета сделать руководство к действию для разработчиков: завести дефекты, создать задание на исправление и т.д.

Вполне возможно, что такое руководство не будет иметь обязательной силы для разработчиков. Тем более, никто не кинется исправлять тысячи ошибок в заказной системе, которая давно и относительно успешно работает. Бросать все силы на исправление текущей версии вместо того, чтобы писать новую, нужную бизнесу «еще вчера», никто не решится. Тогда зачем все это? Чтобы начать плохо спать от осознания уязвимости ключевого приложения и невозможности его исправить?

Тем не менее отчет о сканировании действующего приложения – важный шаг в понимании того, какие проблемы вас ждут в новом приложении или в новой версии текущего. Конечно, особо критичные уязвимости, которые с большой вероятностью могут угрожать стабильности приложения или конфиденциальности обрабатываемых данных, должны быть исправлены, но вряд ли их будет много. Остальные уязвимости (после отсева ложных срабатываний) должны лечь в основу требований к  н о в ы м разработкам.

Евгений ЦАРЕВ

Евгений ЦАРЕВ

О защите при переводе денег

>>>> Есть целый ряд «косметических» правок положения Банка России о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств...

Появилось требование регистрации и хранения в течение пяти лет информации о действиях клиентов в автоматизированных системах, в том числе:

  • дата (день, месяц, год) и время (часы, минуты, секунды) осуществления действия клиента;
  • набор символов, присвоенный клиенту и позволяющий идентифицировать его в автоматизированной системе, программном обеспечении;
  • код, соответствующий выполняемому действию;
  • идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления переводов денежных средств, которой в зависимости от технической возможности является IP-адрес, MAC-адрес, номер SIM-карты, номер телефона и (или) иной идентификатор устройства.

Исчезло явно невыполнимое требование использовать в платежном процессе только сертифицированные СКЗИ.

Появились требования к отчетам с результатами оценки соответствия.

Появилось требование провести первую оценку соответствия по 382-П в течение шести месяцев со дня получения статуса участника платежной системы.

В результате те, кто ждали 1 июля 2014 г. как крайнего срока проведения оценки соответствия, теперь должны пересмотреть свои планы и закончить первую оценку до конца текущего года. Или за первый день после новогодних праздников 2014-го.


Леонид РОГОЗИНЛеонид РОГОЗИН

Очередной этап экспертизы законопроекта

>>>> Начался очередной этап экспертизы законопроекта Минкомсвязи «О внесении изменений в отдельные законодательные акты Российской Федерации». Под этим витиеватым и малоговорящим названием готовятся поправки в действующий закон о связи. Актуальный текст проекта можно скачать на портале regulation.gov.ru.

Призываю людей неравнодушных и заинтересованных в устранении множества административных барьеров прочитать законопроект и направить свои замечания авторам. По процедуре все наши замечания должны попасть на рассмотрение в Правительство и Думу. Пусть товарищи ознакомятся с альтернативными точками зрения. Это далеко не бесполезно.


Михаил ЕМЕЛЬЯННИКОВ

Михаил Емельянников

В частную жизнь нельзя вмешиваться. Но некоторые меняют ее на скидку

>>>> Факт ведения видеосъемки в общественных местах – на улицах, в магазинах, метро, банках или на территории предприятий – давно никаких отрицательных эмоций не вызывает. В этом отношении примечательна много раз обсуждавшаяся ст. 152.1 ГК РФ: «Обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи…) допускаются только с согласия этого гражданина. Такое согласие не требуется в случаях, когда… изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения». Никаких ограничений на использование результатов видеосъемки без их обнародования здесь не просматривается.

Но речь в данном случае не об этом. Возмущение сходит на нет, если только что резко осуждавшееся «вмешательство в частную жизнь» сопровождается выдачей «печеньки». Некая дама заявила, что «она была бы счастлива, если бы на ее телефон сразу приходил соответствующий скидочный купон». То есть задержался у витрины, вскинул брови – и тут же скидка. Тем более что технологии слежения развиваются быстро, и куда-то же их применять все равно надо.

А вот и результат подобных выводов. В ближайшие недели крупнейший американский оператор связи AT&T планирует изменить политику приватности: компания начнет направлять пользователям рекламу, основываясь не только на том, какие приложения они используют, но и где, согласно данным GPS, они находятся.

Но я не думаю, что желающих отказаться или пожаловаться будет много. Особенно, если вместе с сообщением о ближайшем кинотеатре придет и скидочка процентов на 10 на билет. В таких условиях очень важно оставить пользователю возможность быстро и просто отказаться от подобного рода сервисов.


Петр ДИДЕНКОПетр ДИДЕНКО

Электронные документы: обязаловка против эффективности

>>>> Все думаю о разнице в европейском и бразильском подходах к повсеместному переходу на электронный документооборот в сегменте B2B. В Европе царит модель equal treatment – кто хочет, использует бумагу, а кто хочет – электронные документы. В Бразилии жесткая «принудиловка» – от бумаги срочно уходим, пользуемся только электронной «первичкой», без оформления электронных документов товары двигать и услуги оказывать права не имеют.

По какому пути нужно идти России? По какому пути она пойдет с большей вероятностью? Разница между Бразилией и Европой в том, что в Бразилии весь этот фашизм выдумали, чтобы бизнес не воровал налоги, – ежовые рукавицы такой вот «обязаловки» дают свои немедленные плоды.

В Европе у правительств другая мотивация – помочь своему бизнесу стать эффективнее путем предоставления ему дополнительной возможности экономить с помощью легальной инфраструктуры для замены бумажных документов на электронные. А налоги там и так воруют мало.

Так вот, какой из этих мотивов больше подходит России? Посмотрите сами, чего хочет государство? Оно имеет огромную долю в российском бизнесе, и если у нас и воруют, то государство – один из главных участников воровства. Возникает вопрос, зачем ему делать обязательной электронизацию любых транзакций в бизнесе? Это сделает прозрачным многое из того, что огромное количество чиновников наверняка хотело бы сохранить в тайне!


Дмитрий МАРТЫНОВ

Дмитрий МАРТЫНОВ

О мотивации персонала

>>>> Нашел категорию людей, заинтересованных в глобальном потеплении. Это продавцы кондиционеров. Погода их дезориентирует. Это значит, что бывают ситуации, когда продавец теряет заинтересованность в выполнении своих задач. Допустим, продавцу надо совершенствовать каталог, обзванивать потенциальных покупателей. Работа трудная и скучная, а звонить – так и вообще неблагодарная, так как посылают его везде по-разному. Чтобы продать больше – надо это делать. Продавец заглядывает в прогноз погоды и видит, что можно расслабиться и ничего не делать, поскольку обещают жару и продажи попрут сами. Постепенно он привыкает к тому, что от его усилий мало что зависит, а почти все зависит от погоды. Теперь он делает только самые эффективные (простые и необходимые) вещи, а остальное не делает, бездельничает в офисе. Пропадает мотивация к совершенствованию своих навыков и возможностей торговой точки. Как это исправить? Проще простого! Надо зарплату нормировать от погоды, например, от среднемесячной температуры. Надеюсь, вам такая формула не кажется слишком сложной. Если эффективность нельзя получить, не погружаясь в сложность, значит стоит туда погрузиться.

Разговор пойдет про сложные, но универсальные формулы для мотивации персонала, которые рассчитывать будет, конечно, ERP-система.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!