09.10.2015

7 коммент.:

Сергей Симак комментирует...

Неудачный цвет для заголовков таблиц (бело-серый)

Алексей Лукацкий комментирует...

Это при конвертации в PDF так получается :-(

Lyubov _ комментирует...

Вопросы возникли такие:

1. В проекте Постановления Правительства "О контроле и надзоре..." исключается надзор за выполнением организационных и технических мер защиты, означает ли это, что при проверке в коммерческой организации по прежнему никто не будет проверять СЗПДн?

2. Почему РКН не считает электронную почту ИСПДн, если в почтовом справочнике содержатся данные (фамилия, имя, подразделение, должность, номера корпоративных и личных телефонов и т.д.), совокупность которых они считают ПДн? Где высказывалось это мнение? Вопрос насущный, т.к. защита электронной почты с удаленным доступом в соответствии с требованиями ФСТЭК и ФСБ - это очень веселая тема.

3. Может ли считаться сбором ПДн (и соответственно, нарушением 242-ФЗ) следующий сценарий: иностранная компания со своего сайта предоставляет работникам своей российской дочки доступ к своей системе и обязывает вносить в неё информацию, которая, в том числе может, содержать ПДн граждан РФ. Причем изначально вся эта информация собирается российской дочкой и хранится в БД на территории РФ?

Алексей Лукацкий комментирует...

1. Да
2. Это мнение РКН, прозвучавшее на одном из совещаний, где РКН был задан этот вопрос. Обоснование они не привели. Более того, они в любой момент могут от него отказаться.
3. На мой взгляд, не может

Alexander Fahrutdinov комментирует...

Алексей Викторович, я был одним из слушателей конференции Код ИБ в Самаре, и, к сожалению, не успел задать вопрос в первой секции, которую вы вели ("тренды и угрозы в сфере ИБ"). На мой скромный взгляд совсем не специалиста по безопасности, в ней был недостаточно освещен вопрос атак на сами средства обеспечения безопасности.
С точки зрения таргетированной атаки на организацию (особенно с помощью инсайдера) использование уязвимости,например, в средстве криптозащиты, выглядит весьма "вкусно", например
- Уязвимость в ESET, открытая специалистами Google: https://www.esetnod32.ru/company/press/center/eset-zakryla-uyazvimost-obnaruzhennuyu-google/
- Уязвимость в TrueCrypt (повышение привилегий и доступ к криптоконтейнеру для любого пользователя) http://habrahabr.ru/company/pt/blog/268087/
- MDM SAP Afaria, которая, судя по всему - одна большая уязвимость ("вшитые" ключи для симметричного шифрования паролей доступа к web-интерфейса, возможность стереть информацию с любого смартфона под контролем MDM, зная только его IMEI) http://habrahabr.ru/company/dsec/blog/267907/

Ситуацию усугубляет то, что современные средства антивирусной- и криптозащиты - это достаточно большой объем кода, работающего в режиме ядра и в пользовательском пространстве с высокими привилегиями. При этом большой объем кода затрудняет его анализ на предмет непреднамеренных ошибок, кроме того, системные привилегии, с которыми работает код систем защиты, делает его "лакомым кусочком" для злоумышленников.

Имеет место и инертность мышления пользователей - считается (но не подтверждено), что системы защиты безупречны с точки зрения собственной безопасности, не содержат уязвимостей и безопасны "по-умолчанию", потому что эти системы создают специалисты по безопасности. Тем не менее - цель существования любой компании, в том числе и создающей средства защиты информации - это получение прибыли, поэтому не исключено, что в некоторых случаях дешевизне разработки уделяется большее внимание, чем ее качеству.

Alexander Fahrutdinov комментирует...

Хочется узнать ваше мнение по этому вопросу.

Алексей Лукацкий комментирует...

Ну я бы не назвал это трендом. Скорее один из векторов атак