Безопасность при работе с компьютером: Правила Безопасности При Работе с Компьютером (минимум)
Содержание
Техника безопасности при работе с компьютером
Вероятность негативных последствий от использования персонального компьютера такая же, как и при эксплуатации другой бытовой техники. Ведь общеизвестно, что важно соблюдать меры безопасности с микроволновой печью, утюгом или электрочайником.
Пренебрежение элементарными рекомендациями имеет серьезные последствия для их владельцев. Компьютер – это такой же потенциальный источник угроз для здоровья, имущества и даже жизни пользователя.
Непрямой вред, который незаметен сразу, это ущерб здоровью:
- уже ни у кого не вызывает сомнений в существовании огромной негативной нагрузки на зрение, которое становится причиной его необратимого ухудшения, покраснений и синдрома «сухого глаза»;
- неправильная поза при работе за компьютером вызывает многочисленные заболевания суставов, грудной клетки и регулярные боли различного характера;
- бомба замедленного действия – чрезмерная нагрузка на психику пользователя.
Необходимость постоянно концентрировать свое внимание на многочисленных деталях и смене картинок на мониторе становятся причиной переутомления
Необходимость постоянно концентрировать свое внимание на многочисленных деталях и смене картинок на мониторе становятся причиной переутомленияОпасность ПК как электроприбора заключается в возникновении сбоев в электрическом питании и воспламенении всей системы.
Содержание
Общие правила безопасности
Техника безопасности при работе с компьютером на предприятии предусматривает наличие общедоступной инструкции, в которой указаны обязательные требования к обустройству рабочего места и процессу использования техники. Эти правила едины для всех организаций, их выполнение контролируется руководящими органами.
Основные правила организации пространства вокруг рабочего места:
- при длительном и интенсивном использовании, на поверхности модулей ПК (системный блок, монитор, мышка и т.д.) возникают небольшие разряды тока. Эти частицы активизируются во время прикосновений к ним и приводят к выходу техники из строя. Нужно регулярно использовать нейтрализаторы, увлажнители воздуха, антистатики;
- вокруг стола не должно быть свисающих проводов, пользователь не должен контактировать с ними;
- важна целостность корпуса розетки и штепсельной вилки;
- отсутствие заземления предэкранного фильтра проверяется с помощью измерительных приборов;
- желательно во время строительных работ в офисе использовать минимальное количество легко воспламеняемых материалов (дерева, пенопласта), а также горючего пластика в изоляции. Рекомендуется отдавать предпочтение кирпичу, стеклу, металлу и т.д.;
- помещение должно хорошо вентилироваться и охлаждаться в жаркую пору года. Важен своевременный отвод избыточного тепла от техники.
Нужно регулярно использовать нейтрализаторы, увлажнители воздуха, антистатики;Требования безопасности
Для работников офиса должен быть проведен устный базовый инструктаж, в дальнейшем его печатный текст должен предоставляться для подробного изучения. Организация в обязательном порядке размещает информационный лист на видном месте.
Инструктаж охватывает полный цикл контакта человека с компьютером. Он начинается с установки оборудования сервисной службой и заканчивается утилизацией непригодного устройства.
Перед началом работы
Даже если речь идет о рабочем месте, которое используется каждый день и регулярно проверяется специалистами (как, например, в офисе или учебном заведении), нельзя терять бдительность.
Перед тем, как включить компьютер, необходимо уделить пару минут следующим действиям:
При выполнении работы
Поскольку персональный компьютер обладает всеми свойствами электрического прибора, то на него распространяются основные правила безопасности при взаимодействии с проводниками тока:
Как было сказано выше, неправильная работа с персональным компьютером таит в себе множество угроз для здоровья человека.
Что бы минимизировать это влияние даже при длительном нахождении за монитором, стоит навсегда запомнить следующие постулаты:
- расстояние между глазами пользователя и экраном составляет не менее полуметра. Но пользователь должен быть в состоянии дотянуться кончиками пальцев до верхнего края монитора;
- клавиатура размещается за 20-30 сантиметров от края стола;
- стул стоит таким образом, что бы спина лишь немного упиралась в его спинку. Высота сидения позволяет держать ровную осанку;
- локти согнуты под прямым углом, а в кистях рук, лежащих на столе, не чувствуется напряжения;
- локти не висят в воздухе, а комфортно располагаются на подлокотниках кресла или столешнице. Их позиция существенно не меняется при передвижении мышки;
- ноги упираются в твердую поверхность, распрямлены вперед, а не подогнуты под себя;
- если пользователь носит очки, то нужно убедиться в том, что он может свободно регулировать угол наклона экрана.
- чрезвычайно важна периодическая зарядка. Каждый час нужно вставать с кресла, разминать мышцы и суставы. Ведь, несмотря на неподвижность, они испытывают огромную нагрузку, пребывая в неестественном положении. Обязательно нужно делать разминку для глаз: круговые и линейные движения открытыми глазами, моргание и расфокусирование.
Но пользователь должен быть в состоянии дотянуться кончиками пальцев до верхнего края монитора;
Обязательно нужно делать разминку для глаз: круговые и линейные движения открытыми глазами, моргание и расфокусирование.В аварийных ситуациях
Своевременная бдительность поможет избежать опасных ситуаций для жизни и сохранить целостность техники.
Действия в аварийных ситуациях:
- при неполадках любого рода в электроснабжении устройства необходимо сразу отключить компьютер от сети;
- если обнаружен оголенный провод, то необходимо оперативно оповестить всех работников офиса, не допуская чьего-либо контакта с ним;
- в каждом учреждении должны находиться огнетушители ОУБ-3 или ОУ-2, а также ведра и полотна в необходимом количестве. Персонал обязан знать о том, где находятся средства для гашения пламени и куда нужно звонить в случае пожара;
- при поражении человека электрическим током, прежде всего, оказывается первая помощь: искусственное дыхание и внешний интенсивный массаж сердца. В первые же мгновения после удара током, вызывается скорая помощь.
По окончании работы
Перед завершением нужно правильно закрыть все программы и окна. Нельзя оставлять активные носители информации (диски и флэшки). Стоит отметить, что порядок выключения составляющих частей ПК отличается от порядка их включения ровно наоборот. Запуск компьютера происходит по цепочке: общее питание – периферия – системный блок. Выключение, соответственно, начинается с системного блока.
Вытягивать штепсельную вилку необходимо крепко держась за её корпус. Нельзя совершать резких рывков и тем более тянуть за провод.
После завершения работы, желательно устранять лишнее статическое напряжение с поверхности электроприборов и проводить влажную уборку рабочего места.
Видео: Как правильно сидеть за компьютером
Правила размещения монитора
- монитор находится на расстоянии равной длине руки пользователя. Если диагональ экрана более двадцати дюймов, то дистанция больше;
- глаза находятся на уровне линии, которая на 5 сантиметров ниже верхнего края экрана. Для этого регулируется высота стула и монитора;
- экран находится по центру для того, что бы не нужно было задерживать шею в неестественном положении;
- окна в помещении не должны создавать блики на экране. Свет от окна не ярче, чем свет от ПК;
- чрезмерная контрастность и яркость изображения утомляют зрение, необходимо настраивать эти показатели;
- в офисах, где компьютеры расположены в два ряда, нужно устанавливать защитный промежуточный экран для устранения избыточного облучения.
Если диагональ экрана более двадцати дюймов, то дистанция больше;Если подобная защита отсутствует, то минимальное расстояние от ближайшего экрана – не менее двух метров.
Требования к рабочему месту
Минимальная площадь рабочего места для одного человека – 6 м2. Свет должен исходить от искусственных и естественных источников. Лампы не отсвечиваются от экрана, а избыток солнечных лучей необходимо сдерживать тканевыми шторами.
Нежелательно освещать помещение исключительно с помощью потолочного верхнего света.
Недопустимо размещать компьютерные провода рядом с отопительной системой, их изоляция должна быть целостной. Системный блок не должен стоять в нише стола или другом замкнутом пространстве, где нарушена нормальная вентиляция
Для исключения всевозможных рисков, нужно ответственно относиться ко всем этапам использования компьютера. Пользователь может и должен контролировать весь цикл взаимодействия с техникой. Процесс соблюдения всех этих несложных правил должен быть непрерывным и комплексным.
Техника безопасности при работе на компьютере
Привет, мальчики и девочки. Меня зовут профессор Знатоков.
Наш мир так интересен и разнообразен! Поэтому мне очень нравится
познавать его, узнавать что-то новое. Последнее моё увлечение – наука, которая
занимается изучением всех способов сбора, обработки, хранения, передачи и
использования информации. Думаю, вы все поняли, что это за наука! Да, это информатика!
А главный помощник информатики – компьютер.
Но каждый ученик должен знать, что к работе за компьютером допускаются
лишь те, кто знаком с техникой безопасности. Некоторые ребята с ней
ещё не знакомы. А это совсем нехорошо.
Но вы ведь не такие? Правила поведения в
компьютерном классе знаете? Те, кто эти правила уже знает, ещё раз их повторят.
Ведь недаром говорят, что повторение – мать учения. Ну а если вы кое-что подзабыли,
тем более, надо повторить и проверить, как вы их усвоили. Итак, приступим.
— Входить в компьютерный класс можно только с разрешения учителя. Спокойно, не толкаясь.
— Нельзя перемещаться по классу без разрешения учителя. Ни
в коем случае нельзя бегать.
А почему?
Вы представляете, сколько стоит оборудование и
мебель в компьютерном классе? Если бегать по классу, то можно случайно что-нибудь уронить, а ещё
и самому зацепиться за стул или стол и упасть.
— Нельзя приходить в класс в верхней одежде, головном уборе и грязной
обуви. Ведь грязь, которую приносят на обуви, превращается в пыль и
поднимается в воздух; а затем притягивается к экрану монитора.
А когда за
компьютер садится человек, поток пыли меняет направление, летит на человека. В
результате могут возникнуть аллергические, кожные, глазные и даже бронхо-лёгочные заболевания. Ой, какие страшные названия.
— Приходить во влажной одежде и с мокрыми руками тоже нельзя;
— как и работать за компьютером грязными руками;
— конечно, нельзя жевать жвачку, приносить в
класс еду и напитки;
— В компьютерный класс нельзя приносить посторонние предметы;
— садиться можно только за тот компьютер, который указан учителем;
— включать и выключать компьютер можно только с разрешения учителя;
— нельзя держать лишние предметы на компьютерном столе, класть книги, тетради на клавиатуру и системный блок. А некоторые ребята иногда умудряются класть на системный блок
даже свои рюкзаки! Ужас! Запомните, ребята. Это недопустимо.
— никогда, ни в коем случае не трогайте провода и
соединительные разъёмы, а также розетки!
— Приглядывайтесь! Прислушивайтесь! Принюхивайтесь! Обо всех необычных звуках и
запахах, а также неисправностях, которые вы увидели, необходимо сообщить учителю.
Наблюдайте за работой компьютера!
— с техникой надо обращаться бережно – нельзя трогать руками
монитор и стучать по клавиатуре;
— И конечно, сидеть за компьютером нужно правильно. Спина должна опираться на спинку стула, руки (предплечья) – лежать на поверхность стола.
Смотреть на монитор надо чуть свысока, то есть монитор должен
располагаться либо на уровне глаз, либо чуть ниже уровня глаз. Голову надо
держать прямо. К монитору не наклоняться и не опрокидывать голову назад.
Необходимо, чтобы расстояние до
экрана было от 50 до 60 сантиметров, можно чуууууууть больше, но не менее пятидесяти сантиметров между экраном и глазами. Так рекомендуют врачи. Ведь вы же не хотите, чтобы ваше зрение
испортилось? А если вы уже плохо видите — работайте в
очках. Ноги также должны стоять прямо.
Ребята, очень важно сидеть правильно за компьютерным столом. Ведь
при неправильном положении на позвоночник идёт очень большая нагрузка. От
здоровья позвоночника будет зависеть и общее состояние организма.
Ну и конечно,
рабочий стол должен быть выбран правильный, например, как на рисунке слева.
При работе за компьютером обязательно делайте
перерывы! Каждые 5 минут отрывайте взгляд от экрана и смотрите на что-нибудь,
находящееся вдали.
Такие маленькие перерывы очень важны для глаз. Некоторые, казалось
бы, обычные упражнения помогут снизить риск ухудшения зрения.
Вот пример таких упражнений:
плотно закройте глаза и с силой зажмурьтесь на несколько секунд.
Откройте глаза и не моргайте 5–10 секунд. А потом поморгайте.
Далее поводите глазами в стороны: слева направо, справа налево. А
затем вверх-вниз, вверх-вниз.
Ещё одно очень полезное упражнение зрительной гимнастики –
это круговые движения глазами. По часовой стрелке и против часовой.
И последнее упражнение: движение по диагонали. Затем вправо-вниз,
потом влево-вверх. Посмотрите вправо-вверх, потом влево-вниз.
Все эти упражнения повторяйте несколько раз.
Очень часто в компьютерных классах можно увидеть плакат вот с
такой схемой.
Это тренажёр «гимнастика для глаз».
Он предназначен для тренировки глаз не только тех, кто работает за
компьютером, но и тех, кто много читает.
Посмотрите, тренажёр сам подсказывает, какие движения глазам нужно
делать.
Ребята, если их не соблюдать, то через
несколько лет тем, у кого
сейчас хорошее зрение, придётся носить очки. А если зрение уже плохое, то придётся покупать бинокль. Ваши спины согнутся, вы приобретёте множество болезней, а выглядеть будете вот так.
Ну и как вам это? Нравится?
Нет? Тогда всегда сидите за компьютером
правильно, не забывайте про перерывы и гимнастику для глаз, и, конечно,
соблюдайте правила поведения в компьютерном классе.
Если в процессе работы вы заметили какую-то неисправность, ни в
коем случае не пытайтесь самостоятельно её устранять. Необходимо немедленно прекратить работу и сообщить об этом учителю.
И далее строго следовать его указаниям.
ЗАПОМНИТЕ! К каждому рабочему месту подведены провода, находящиеся под опасным для жизни напряжением. Не забывайте
это.
А сейчас, ребята, чтобы закрепить ваши знания, давайте проведём небольшую
викторину. «Узнай правило по картинке». Посмотрев на картинку, надо назвать
правило техники безопасности в кабинете информатики.
Соблюдайте чистоту!
Не приносите с собой еду!
Мойте руки перед работой за компьютером.
Не трогайте руками монитор.
Соблюдайте дисциплину.
Не включайте компьютер без разрешения учителя.
Не трогайте провода компьютера.
Не стучите по клавишам.
ЗАПОМНИТЕ! Если не соблюдать
технику безопасности, то работа за компьютером может
оказаться вредной для здоровья.
А чтобы не навредить своему
здоровью, необходимо просто соблюдать эти несложные правила.
Небольшое изменение приводит к большим результатам для компьютерной безопасности
Ученые-компьютерщики впервые обнаружили, что популярный процессор Intel уже имеет ключевую функцию безопасности, которая защищает от атак, включая Spectre
Контакт для СМИ:
Кэти Э.
Исмаэль
ИсмаэльДата публикации
Контакт для СМИ:
Кэти Э. Исмаэль
Share This:
Содержание статьи
Исследователи из Калифорнийского университета в Сан-Диего и Университета Пердью обнаружили скрытую функцию процессоров Intel, которую можно использовать для значительного повышения безопасности, включая отключение целого класса атак Spectre, которые могут дать злоумышленнику секретную информацию, такую как пароли или ключи шифрования.
В представленном сегодня документе IEEE Security and Privacy 2023 года «Half&Half: демистификация предсказателей направленных переходов Intel для быстрого и безопасного секционированного выполнения» исследователи впервые полностью реконструировали предсказатель условных переходов для всех процессоров Intel. флагманские процессоры, созданные более десяти лет назад.
Среди авторов новой статьи «Half&Half» (слева направо): Хосейн Яварзаде, первый автор и аспирант CSE; Казем Тарам, выпускник программы CSE, ныне работающий в Университете Пердью; Шраван Нараян, выпускник CSE и научный сотрудник; и профессора CSE Деян Стефан и Дин Таллсен.
Современное компьютерное программное обеспечение активно использует филиалы. Инструкция условного перехода используется каждый раз, когда следующие инструкции, которые вы хотите выполнить, зависят от значения некоторых данных. Обычно от 10 до 20 процентов всех выполняемых инструкций представляют собой условные переходы. Современные процессоры включают предсказатель ветвления в начале конвейера, чтобы предсказать результат этих условных ветвей, позволяя процессору продолжать выполняться на полной скорости без остановок до тех пор, пока результат ветвления не станет известен намного позже в конвейере.
Однако во всех современных процессорах предиктор ветвления используется всеми выполняющимися потоками и процессами, что приводит к критическим уязвимостям в системе безопасности. Злоумышленник может использовать их для наблюдения за результатом любого перехода в целевой программе и для получения информации о данных, управляющих переходом. Хуже того, некоторые атаки Spectre начинаются с того, что злоумышленник вставляет данные в предиктор ветвления, чтобы он мог узнать личную информацию, хранящуюся в его памяти.
Несмотря на то, что ни одна предыдущая работа не расшифровала полностью эти предикторы, даже те, которые были введены более 12 лет назад, исследователи смогли полностью реконструировать структуру, размеры и функции поиска этих предикторов. Предсказатель ветвления Intel состоит из четырех таблиц, а хэш-функции, используемые для поиска прогнозов, составлены из огромного количества данных с использованием информации, полученной из последних (до) 194 взятые ветки. В результате эти функции поиска чрезвычайно сложны, и самым удивительным результатом этого анализа стало открытие, что предиктор ветвления можно разделить на две части, просто изменив один бит адреса ветвления.
«С небольшим изменением в том, как мы генерируем код, мы теперь можем запускать два потока вместе на одном и том же ядре процессора, и становится невозможной утечка данных через предиктор ветвления или создание неправильных прогнозов для запуска атаки Spectre», — сказал Хосейн. Яварзаде, аспирант Калифорнийского университета в Сан-Диего, специализирующийся на компьютерных науках и инженерии (CSE), и ведущий автор статьи.
«Этот результат был на самом деле довольно неожиданным, отчасти потому, что функции индексации для этих таблиц настолько сложны, и казалось астрономически маловероятным, что один бит будет изолирован таким образом, что он не будет объединен с какими-либо другими битами» сказал профессор CSE Дин Таллсен. «Мы были бы рады узнать, что Intel намеренно планирует сделать что-то подобное для будущих процессоров. Было шокирующим узнать, что эта функция уже есть в каждом крупном процессоре Intel, выпущенном более 10 лет назад, и никто об этом не знал, или очень немногие знали, не осознавая последствий для безопасности».
Профессор Университета Пердью и выпускник CSE Казем Тарам сказал, что условный предсказатель ветвления, возможно, является наиболее сложным компонентом предсказателя ветвления для обратного проектирования, и поэтому его детали остаются загадкой как для исследователей безопасности, так и для исследователей производительности. «Благодаря Half&Half у нас теперь есть более четкое представление о функциональности и подробной структуре предсказателей ветвлений, которые десятилетиями держались в секрете», — сказал он.
Постдокторант CSE и выпускник Шраван Нараян, который вскоре станет профессором Техасского университета, и доцент CSE Дейан Стефан также внесли свой вклад в это исследование.
Ранее самые известные программные методы обеспечения условной изоляции ветвей между потоками приводили к снижению производительности на 50-100 процентов. С подходом Half&Half такая же защита от утечки информации через предсказатель ветвления может быть достигнута простым изменением в генерации кода компилятором, что снижает производительность на 2-5 процентов.
Поделись этим:
Вам также может понравиться
Будьте в курсе
Будьте в курсе последних новостей Калифорнийского университета в Сан-Диего. Подписаться
в новостную рассылку сегодня.
Электронная почта
Пожалуйста, укажите действительный адрес электронной почты.
Уведомление о подписке
Спасибо!
Вы успешно подписались на UC San Diego Today
Новостная рассылка.
Криминализация CISO, расплывчатые правила раскрытия информации о кибербезопасности вызывают беспокойство у групп безопасности
Правильное раскрытие инцидентов кибербезопасности может означать разницу между тюрьмой и свободой. Но правила остаются ужасно расплывчатыми.
Директора по информационной безопасности (CISO) и их команды знают, что работа сопряжена с определенным риском. Но недавний приговор бывшему директору по информационным технологиям Uber Джозефу Салливану за его роль в сокрытии утечки данных в компании в 2016 году значительно повысил ставки.
Директор по информационным технологиям SolarWinds Тим Браун пережил одно из самых впечатляющих нарушений безопасности в истории в 2020 году в ходе эпической атаки на цепочку поставок и вышел на другую сторону с невредимым бизнесом и своей профессиональной репутацией.
В интервью Dark Reading он объяснил, что директора по информационной безопасности просят внести ясность в правила раскрытия информации. У Федеральной торговой комиссии (FTC) есть правила, и помимо этого существует обширная и постоянно развивающаяся мышеловка правил, положений, исполнительных распоряжений и прецедентного права, определяющих, как и когда должно происходить раскрытие информации, и это до того, как кто-либо рассмотрит влияние инцидент в бизнесе.
«Ответственность — это то, что волнует директоров по информационной безопасности, — говорит Браун. «Это непростое время, которое создает стресс и тревогу для команд. Мы хотим, чтобы нас прикрывали».
Суд признал Салливана из Uber виновным в сокрытии нарушения от следователей FTC, а также в попытке сохранить нарушение в тайне от других руководителей Uber. Браун признает, что, по мнению суда, Салливан совершил ошибку, попытавшись принять решение о раскрытии информации в одностороннем порядке, без юридического руководства, что оставило его открытым для судебного преследования.
Закон Сарбейнса-Оксли для директоров по информационной безопасности?
Чтобы избежать таких ошибок, CIS необходимо что-то вроде Закона Сарбейнса-Оксли 2002 года, в котором подробно изложены правила финансовой отчетности для главных финансовых директоров (CFO), – говорит Браун.
Тим Браун, Директор по информационной безопасности SolarWinds. Источник: Solarwinds
. Точно так же, как Сарбейнс-Оксли предписывает шаги, которые должны предпринять финансовые директора для предотвращения финансового мошенничества, Браун говорит, что он хотел бы видеть новые федеральные правила, в которых излагаются требования CISO по предотвращению киберпреступлений и реагированию на них.
Ставки высоки: в то время как Салливан был приговорен только к трем годам условно за его роль в попытке похоронить утечку данных Uber, судья Уильям Оррик использовал слушание Салливана как возможность послать пугающее предупреждение следующему директору по информационной безопасности, которому не повезло найти себя в его суде.
«Если бы завтра у меня было подобное дело, даже если бы подсудимый имел характер Папы Франциска, они бы отправились в тюрьму», — сказал судья Оррик Салливану. «Когда вы выходите и разговариваете со своими друзьями, со своими директорами по информационной безопасности, вы говорите им, что у вас был перерыв не из-за того, что вы сделали, даже не из-за того, кто вы, а потому, что это был такой необычный разовый случай. »
Лабиринт раскрытия информации
Перечень неясных правил и новых руководств не дает директорам по информационной безопасности и группам по кибербезопасности четкого пути к соблюдению требований, а это означает, что штатные юристы и внешние юрисконсульты стали незаменимыми помощниками организаций, помогающими ориентироваться в лабиринте процесса раскрытия информации.
«Команды корпоративной безопасности не существуют в вакууме, когда речь идет об оценке раскрытия информации об утечках данных и инцидентах безопасности», — говорит Мелисса Бишопинг, директор по исследованиям безопасности конечных точек в Tanium, о текущей ситуации с раскрытием информации.
«Их ответы должны быть согласованы с юридическими и коммуникационными заинтересованными сторонами, чтобы гарантировать, что они соответствуют нормативным и правовым требованиям и предоставляют надлежащий уровень информации нужным потребителям информации».
Бет Уоллер, адвокат и председатель отдела кибербезопасности и конфиденциальности данных в Woods Rogers Vandeventer Black, говорит, что надзорные органы, а также потребители обеспечивают прозрачность инцидентов кибербезопасности и сокращают допустимые окна раскрытия информации.
Уоллер указывает на множество нормативных актов, подталкивающих к раскрытию информации, таких как требование Комиссии по безопасности и биржам о немедленном раскрытии данных об инцидентах для публичных компаний, а также федеральные нормативные акты в таких секторах, как банковское дело, здравоохранение и критическая инфраструктура, требующие раскрытия информации в течение нескольких дней. своего открытия. Она указывает, что подрядчики Министерства обороны должны уведомить Министерство обороны об инциденте в течение 72 часов.
«Для международных компаний такие правила, как Европейский общий регламент по защите данных (GDPR), имеют схожие временные рамки», — говорит Уоллер. «Все больше и больше компаний, которые хотят сохранить тайну инцидента с данными, не могут сделать это с нормативной или юридической точки зрения».
Опасности раскрытия информации
Поскольку на группы корпоративной кибербезопасности нарастает давление, требующее быстрого раскрытия информации, Дейв Джерри, генеральный директор Bugcrowd, признает значение прозрачности для доверия и потока информации, но объясняет, что он также обеспокоен тем, что быстрое раскрытие может ограбить службы безопасности. бесценного времени, чтобы должным образом реагировать на кибератаки.
«Раскрытие инцидента должно дать организации по безопасности возможность быстро исправлять системы, исправлять уязвимости на уровне кода, изгонять злоумышленников и в целом смягчать их системы до публичного раскрытия подробностей, чтобы гарантировать, что в результате не возникнут дополнительные инциденты безопасности.
раскрытия», — добавляет Джерри. «Выявление основной причины и масштаба инцидента, чтобы избежать дополнительного страха и путаницы в ситуации, требует времени, что является дополнительным соображением».
Определение «обязанности соблюдать осторожность»
Делая ситуацию еще более запутанной, генеральные прокуроры штатов США настаивают на ужесточении правил раскрытия информации об инцидентах кибербезопасности, оставляя каждому штату свой собственный уникальный ландшафт раскрытия информации, пронизанный широкими, плохо определенными требованиями, такими как принятие « разумные» действия по защите данных.
Опытный специалист по информационной безопасности и специалист по киберстратегии VMware Карен Уорстелл отмечает, что Филип Вайзер, Colorado AG, сделал важный шаг к прояснению обязательств по информационной безопасности в январе прошлого года, когда он предложил определение правил «обязанности соблюдать осторожность» в соответствии с Законом штата Колорадо о конфиденциальности, требующим принятия разумных мер для защищать личные данные.
По словам Вайзера, определение было основано на реальных делах, прошедших через его офис, а это означает, что оно отражало то, как прокуратура рассматривала конкретные нарушения данных в рамках своей юрисдикции.
«Во-первых, мы оценим, определила ли компания типы данных, которые она собирает, и создала ли она систему хранения и управления этими данными, включая обеспечение регулярного удаления данных, которые ей больше не нужны», — сказал Вайзер в подготовленных комментариях относительно правила утечки данных. «Во-вторых, мы рассмотрим, есть ли в компании письменная политика информационной безопасности. Для компаний, у которых таких политик нет или есть устаревшие или существуют только в теории, без попытки обучать сотрудников или соблюдать политику, мы рассмотрим больше скептически утверждает, что их поведение разумно».
Уоллер приветствует решение Вейзера разъяснить правила раскрытия информации в его штате. В Колорадо, как и в Вирджинии, генеральный прокурор имеет исключительное право привлекать кого-либо к ответственности за нарушение законов штата о конфиденциальности.
«Комментарии генерального прокурора Колорадо Вайзера дают полезную информацию о соображениях безопасности, которые генеральные прокуроры штата будут учитывать при рассмотрении нарушений этих новых законов о конфиденциальности данных», — говорит Уоллер.
Несмотря на такие успехи, на данный момент правила по-прежнему оставляют достаточно места для корпоративных групп кибербезопасности, чтобы ошибаться.
«Нынешняя какофония новых государственных правил конфиденциальности в сочетании с мешаниной из законов штатов об утечке данных означает, что мы можем надеяться, что федеральный закон о конфиденциальности в конечном итоге удовлетворит потребность в едином руководстве для организаций, столкнувшихся с утечкой данных», — говорит Уоллер. .
«В отсутствие федерального руководства правовая ситуация остается просто сложной», — добавляет Уоллер.
Медленное перемешивание судов, регулирующих и законодательных органов означает, что всем сторонам потребуется время, чтобы прийти к единому мнению.