Кадровый Клуб Oracle

Кадровый Клуб Оракл СНГ снова в строю!

Ведет Клуб Юлия Григорьева, которая знает про управление персоналом очень и очень многое. Был период, когда Юлия была HR-директором Oracle CIS, а сейчас является главным экспертом по HCM (Human Capital Management).

От себя могу добавить, что мероприятия, которые она организует, всегда проходят в очень теплой, непринужденной и дружественной обстановке. В заседаниях Клуба принимают участие представители подразделений HR компаний, названия которых у всех на слуху.

hr

——————————————————

HR Club Oracle возобновляет свою работу!

Это интересно нам, потому что мы хотим знать ваши потребности в вопросах автоматизации кадрового менеджмента, хотим знать, насколько наши возможности соотносятся с вашими потребностями, хотим поделиться с вами опытом использования решений Oracle Управление персоналом в России и за рубежом.

Это может быть интересно вам, потому что на заседаниях Клуба вы узнаете, что реально может наша система, как именно она может решить задачи вашей организации, какие сложности и какие положительные перспективы вас ждут.

Главное в работе нашего Клуба – мы в среде единомышленников сможем обменяться опытом, открыто высказать свои соображения, установить деловые контакты!

К работе Клуба приглашаются руководители департаментов персонала, руководители проектов, HR-директора, CIO, заместители CIO.

Для получения дополнительной информации просьба обращаться к Юлии Григорьевой
julia.grigorieva (at) oracle.com

Защита персональных данных в приложениях Oracle

ora_secВопрос о защите персональных данных сейчас актуален и задается регулярно. Относительно бизнес-приложений, хотелось бы дать некоторые комментарии и разъяснения.

Корпорация Oracle предлагает на рынке великое множество приложений в которых могут обрабатываться конфиденциальные данные, в том числе и набившие оскомину в последние два года, ПДн (персональные данные).

Так или иначе задается один и тот-же вопрос. Сертифицировано то или иное приложение или нет. Для России ответ на сегодняшний день — НЕТ. При этом необходимо дать некоторые комментарии относительно сказанного НЕТ. Если обратиться к нашему законодательству в данной области, можно почерпнуть для себя, что для защиты персональных данных следует использовать СЗИ (средства защиты информации), а для данных определенных классов — СКЗИ (средства криптозащиты информации). Исходя из данных требований, Oracle в РФ приняло решение сертифицировать некоторые из своих продуктов как средства защиты информации. С учетом, что большинство бизнес-приложений Oracle использует в качестве хранилища данных СУБД Oracle, последняя и была сертифицирована в ФСТЭК как средство защиты информации, обеспечивающее защиту персональных данных до 2-ого класса включительно (Сертификат соответствия №1849 от 25.05.2009 — действителен до 25.05.2012). Таким образом, используя СУБД Oracle 11G в работе своих бизнес-приложений, можно выполнить все требования по защите персональных данных в информационных системах до 2-ого класса включительно.

Резонный вопрос, а что делать с 1-ым классом персональных данных? До последнего времени рекомендовалось использовать сторонние средства защиты информации, прошедшие соответствующую сертификацию. Некоторые из таких средств уже хорошо зарекомендовали себя при работе (например с E-Business Suite) и успешно эксплуатируются. Основное — архитектура большинства бизнес-приложений Oracle позволяет осуществлять встраивание сторонних СЗИ и СКЗИ, тем самым предоставляя свободу выбора владельцам информационных систем в вопросе, чем и как защищать свою информацию.

Возвращаясь к защите ПДн 1-ой категории, хочу привести ссылку на статью, размещенную в блоге экспертов по безопасности Oracle о сертификации Oracle Identity & Access Management Suite 11g. Данный программный продукт теперь может быть использован как средство защиты от НСД в автоматизированных системах класса 1Г и ПДн до 1 класса!!!

Подводя некоторый итог. На сегодняшний день обеспечить защиту персональных данных любых классов в бизнес-приложениях Oracle, можно как средствами защиты информации корпорации Oracle (СУБД Oracle для защиты ПДн до 2-ого класса и/или Oracle Identity & Access Management Suite для 1-ого класса), так и применяя СЗИ и СКЗИ сторонних производителей.


2238_IAMS_11g

opensource движуха

В чем разница, между коммерческим софтом и свободно-распространяемым? Коммерческий софт подразумевает хоть какую-то ответственность и защиту интересов своих клиентов. А свободный софт — он для свободных людей.

- Товарищи, у меня проблема! Помогите!!!
- А ты свободный человек и пользуешься свободным софтом?
- Да-да-ДА!
- Ну, тогда СВОБОДЕН!

Очередной камень в движуху opensource — кипеш последних дней о том, как ФБР внедряло свои «бекдоры» в openBSD. Если коротко, то у Большого Брата после внедрения своих «закладок» появилась возможность контролировать защищенные VPN-соединения. Иными словами, безболезненно пасти граждан, использующих систему openBSD. После успешного внедрения своего кода, в проект openBSD прекратились вливания определенных сумм спонсорских денег.

Уже давно считаю opensource проекты палкой о двух концах. С одной стороны вроде как пососать дают, а другой могут и в задницу поиметь. Вот кто контролирует качество и содержание открытого кода? Энтузиасты? Профессионалы? Люди в погонах? Кто что охраняет, тот то и имеет.

Рассуждения наших отечественных красноглазиков о национальной операционной системе уже вызывают не только ухмылку, а скорее гомерический хохот. Бу-Га-Га. Причем изначально заявляется, что мы не будем изобретать велосипед, а возьмем свободно-распространяемый дистрибутив, доточим его до национального и будем использовать везде (в госорганах как минимум). Только где гарантии, что это не сито и не бомба замедленного действия?

Какой выход? Либо делать полностью свое, либо исключать доступ к критически важной информации (или сетям) на физическом уровне. Да, если система дырявая, то засланный казачок сможет ее подоить. Но одно дело заслать подготовленного казачка и совсем другое, удаленно черпать представляющую интерес информацию.

InfoSecurity 2009 Russia Moscow — отчет

infosecurityПубликую ранее обещанный отчет о посещении выставки-конференции InfoSecurity Russia 2009, которая проводилась в Москве, в ЦВК “Экспоцентр” с 29.09.2009 по 01.10.2009 г.

Продолжить чтение

InfoSecurity Moscow 2009

infosecurity С 29 сентября по 1 октября в Экспоцентре (павильон N7) будет проходить ежегодная конференция INFOSECURITY MOSCOW 2009.

 В моем случае вижу интересными день открытия 29 сентября и выступление мэтров, по вопросам защиты персональных данных:

 

10:30 — 12:00 Пленарное заседание: Выполнение требований законодательства по  защите персональных данных
Ведущий: Кузьмин А.С., зам. начальника Управления ФСБ России
Приглашены: Стрельцов А.А., начальник Департамента обеспечения безопасности в области информации и информационных технологий аппарата Совета Безопасности РФ; Курило А.П., зам. начальника Главного управления защиты информации Банка России; Иванов А.В., начальник отделения, Управления «К» БСТМ МВД России; Дрожжинов В.И., Советник руководителя, Росинформтехнологии; Емельянов Г.В., Председатель Совета МОО «Ассоциация защиты информации»; Казакевич О.Ю., Советник Ассоциации Российских банков по вопросам безопасности; Калганов И., зам. директора департамента ИБ, ФК «Открытие»; Левашов М., начальник отдела методологии и аудита, ФК «Открытие»; Вихорев С.В., зам.Генерального директора по развитию ОАО «ЭЛВИС-ПЛЮС

 

А так же последний день конференции 1 октября и следующий круглый стол, на который я имел честь быть приглашенным, но через некоторое время компании Oracle предложили оплатить это участие. Тем не менее, данный круглый стол я планирую посетить в качестве гостя, а после обязуюсь отчитаться на страницах этого блога.

 

10:30 — 12:00 Круглый стол: Основные проблемы безопасности бизнес-приложений и ЕRP-систем
Ведущие: Илья Медведовский, директор, DIGITAL SECURITY, к.т.н., Сергей Солдатов, ТНК-BP
Вопросы к обсуждению:
- Почему бизнес-приложения и ERP-системы небезопасны?
- Проблемы и решения при обеспечении безопасности биллинговых систем (ACP)
- Практические аспекты учета принципов Segregation of Duties в ключевых бизнес – процессах компании «ВымпелКом»
- Проблемы безопасности SAP и Oracle с примерами типовых уязвимостей
- Типовые атаки на SAP-клиентов
Участвуют: Александр Поляков, ведущий аудитор Digital Security, руководитель исследовательского центра Digital Security Research Group; Денис Андреевский, Вымпелком; Дмитрий Костров, Директор проектов, МТС

 

Сайт и программа конференции — infosecuritymoscow.com