С наступающим Новым Годом и Рождеством!!!

Уважаемые коллеги, друзья, соратники! Близятся праздники... Многие уже ушли в отпуска или сделают это уже завтра. Поэтому что тянуть и оттягивать поздравление с наступающими Новым Годом и Рождеством сейчас. Собственно и поздравляю ;-) Желаю всем благополучия внешнего и внутреннего, здоровья духовного и семейного, роста карьерного и зарплатного... Пусть все мечты сбываются. Пусть регуляторы не злоствуют, а интеграторы не жлобствуют. Пусть заказчики будут мудры, а законодатели разумны. Пусть в семьях будет мир, а дети растут на радость родителям! И...

Подробнее…

Что готовит нам 2010-й год с точки зрения ИБ?

Некие размышления о том, что нас ждет в России с точки зрения ...

Подробнее…

ActivIdentity покупает CoreStreet

14 декабря компания ActivIdentity объявила о покупке компании CoreStreet, специализирующейся на распределенной проверке идентификационных параметров. Стоимость сделки - около 20 миллионов доллар...

Подробнее…

Новости с заседания Совета Федерации

Новостей по сути две. Во-первых, Совет Федерации одобрил законопроект о переносе сроков. Это приятно. Остается надеяться, что Президент РФ подпишет этот закон в ближайшие дни. Вторая новость тоже может иметь приятные последствия. Понимая, что технические регламенты у нас принимаются с большим скрипом, Советом Федерации было принято решение предоставить возможность принимать технические регламенты на ведомственном уровне, а именно - нормативным правовым актом федерального органа исполнительной власти по техническому регулированию. Это позволит...

Подробнее…

Как выбрать консультанта по ПДн?

Очень часто мне задают вопрос "Как выбрать консультанта/интегратора по приведению себя в соответствие с требованиями ФЗ-152?". Вопрос не простой, но есть простое решение, которое позволит отсечь явно некомпетентные компании. Первое. с чего стоит начать, проверить наличие кандидата на оказание вам услуг в реестре операторов ПДн. Учитывая, что все интеграторы заявляют, что уведомление в РКН посылать надо, то простое обращение к реестру РКН станет отличной проверкой того, интегратор действительно знает, что говорит или он просто вас запугивает, планируя...

Подробнее…

Годовой отчет Cnews по ИБ в России

Cnews опубликовала годовой отчет по российскому рынку ИБ "Средства защиты информации и бизнеса 2009". Несмотря на число 2009, отчет, выпущенный в декабре, посвящен 2008-му году. Не только увеличился срок выхода отчета (раньше он выходил летом или в начале осени), но и количество материалов сильно изменилось в меньшею сторону по сравнению с прошлогодней версией (19 против 47, не считая интервью). Видимо кризис коснулся не только рынка ИБ, но и писателей о нем ;-( Из сколь-нибудь интересных материалов можно отметить следующие: способы занижения...

Подробнее…

InfoSecurity или ИнфоБезопасность: кому достался погибающий бренд?

Начну с предыстории: компания Reed Exhibitions владела и владеет правом на бренд InfoSecurity по всему миру. В лучшие свои годы она проводила 11 одноименных выставок в разных странах мира. 6 лет назад добралась она и до России. Совместно с компанией РЭСТЕК Reed и проводил InfoSecurity Russia в Москве. И вот в конце ноября ситуация кардинально поменялась. Reed решил "уйти" от РЭСТЕК и отдал право организовывать выставку (а также StorageExpo и Documation, которые держались только за счет проведения одновременно с InfoSecurity) известному издательству...

Подробнее…

Список мероприятий по ИБ на 2010 год

Составил предварительный список крупных отечественных мероприятий по ИБ на 2010 год. Может кому пригодится. Крупные мероприятия по информационной безопасности на 2010 год ...

Подробнее…

Среда лактозо-хелато-цитратно-желточная для хранения спермы жеребцов

Правительство РФ приняло новое постановление от 1 декабря 2009 г. N 982 "Об утверждении единого перечня продукции, подлежащей обязательной сертификации, и единого перечня продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии". Согласно этому ПП-982 теперь существует единый перечень всех товаров, которые подлежат обязательной сертификации... исключая продукцию, требования к которой устанавливаются в соответствии со статьей 5 Федерального закона "О техническом регулировании", т.е. средства защиты...

Подробнее…

Новая версия курса по персональным данным

Новая версия курса по персональным данным пополнилась следующими темами: рекомендации СоДИТ и 4CIO нормативные документы по ПДн Рособрнауки и Минсоцздрава регламент проверок ФСБ сводный план проверок / приказ Генпрокуратуры об исполнении ФЗ-294 типичные "ошибки" интеграторов при разработке документов по ПДн для своих заказчиков новый вариант классификации ИСПДн практические рекомендации работы с ПДн при директ-маркетинге и оформлении платежных поручений в банке и аналогичных организациях типичные нарушения, обнаруживаемые в процессе проверок Роскомнадзора...

Подробнее…

Изменения в закон о техническом регулировании

Президент России Дмитрий Медведев на основании пункта "г" ст.84 Конституции Российской Федерации внес в Государственную думу проект федерального закона "О внесении изменений в федеральный закон "О техническом регулировании". Законопроектом предусматриваются законодательное закрепление возможности признания и заимствования лучших мировых стандартов в целях их применения в Российской Федерации. Также предполагается введение двух применяемых по выбору заявителя режимов технического регулирования, один из которых основан на требованиях российских...

Подробнее…

Законопроект о переносе принят

ГосДума приняла законопроект о переносе сроков в третьем чтен...

Подробнее…

Второе и третье чтения законопроекта о переносе сроков ФЗ-152

Итак, 11-го декабря законопроект Резника о переносе сроков и исключении пункта об обязательности криптографии был принят во втором чтении. 16-го декабря намечено третье чтен...

Подробнее…

Не про безопасность, но в предверии Нового Года

В последнее время все мы гонимся куда-то зачем-то... выполнить ФЗ-152, внедрить решения по борьбе с утечками, купить сертифицированные решения по ИБ, классифицировать свою информацию... И у нас не остается времени остановиться и посмотреть вокруг... ЗЫ. Навеяло...

Подробнее…

Опубликован ежегодный отчет Cisco по информационной безопасности

8 декабря 2009 года Cisco опубликовала свой ежегодный отчет об информационной безопасности. В этом документе подчеркивается влияние социальных медиасистем (в частности, социальных сетей) на сетевую безопасность и говорится о том, что наиболее привлекательные возможности для киберпреступников создают люди, а не технологии. В отчете также названы победители конкурса Cisco® Cybercrime Showcase за 2009 год и комментируются тенденции в области облачных вычислений, спама и общей активности киберпреступников на мировой арене, с которыми продолжают сталкиваться...

Подробнее…

Мифы 58-60

Продолжаю публикацию мифов: Число сигнатур определяет эффективность системы обнаружения атак Внешние фирмы нельзя пускать к своей безопасности Наша система корреляции позволяет подключать любые системы защиты...

Подробнее…

Мифы 54-57

После длительного перерыва, вызванного активным участием в деятельности по ФЗ-152, продолжаю публикацию мифов: IP-телефония не защищает от подмены телефонов и серверов управления IP-телефония подвержена заражению червями вирусами и троянцами В IP-телефонии легко совершить мошенничество Злоумышленник с административными правами может легко нарушить функционирование инфраструктуры IP-телефонии...

Подробнее…

Четвертая редакция стандарта Банка России

Исходные данные следующие: 1. Есть шестикнижие по ПДн от ФСТЭК и ФСБ. 2. Есть собственные методики проверки у ФСТЭК и ФСБ. 3. Есть СТО БР ИББС. 4. Есть собственная методика оценки соответствия СТО БР ИББС. Задача: Как совместить все эти 4 исходных элемента в непротиворечивом документе? Ответ: Новая редакция стандарта СТО БР ИББС-1.0, которая и должна включать в себя новый блок требований/рекомендаций, связанных с защитой персональных данных. Проект этого стандарта будет рассматриваться в 7-го декабря на ПК 3 Технического Комитета 3...

Подробнее…

IBM покупает Guardium

Компания IBM анонсирует покупку Guardium, - компании, специализирующейся на защите баз данных. Детали сделки не разглашают...

Подробнее…

Презентация с семинара RISSPA

Во вторник прошел очередной семинар RISSPA, где я прочитал коротенькую презу "Что стоит на повестке дня CISO в 2010-м году". Как всегда, выкладываю ее здесь. CISO 2010 View more documents from Alexey Lukatsky. Все остальные презентации можно посмотреть либо на сайте RISSPA, либо прослушать запись всего семинара через Cisco Web...

Подробнее…

Утверждены рекомендации Парламентских слушаний

Рекомендации не раз упомянутых парламентских слушаний были утверждены и начали реализовываться в Государственной Думе. Про сдвиг сроков уже все знают. Остальные, очень здравые рекомендации указаны в документе, выложенном на сайте Госду...

Подробнее…

Перенос сроков по ФЗ-152: второе и третье чтения

Я уже писал, что законопроект о переносе сроков принят в первом чтении. На следующей неделе (в среду и пятницу) планируются второе и третье чтения по переносу сроков ФЗ-152. ЗЫ. Также несколько дней назад в ФЗ-152 были внесены изменения (закон опубликован 27.11.2009) в части реадмисс...

Подробнее…

Как склонить представителя ФСТЭК на совершение коррупционных действий?

На сайте ФСТЭК появился проект приказа "Об утверждении Порядка уведомления представителя нанимателя о фактах обращения в целях склонения государственного гражданского служащего Федеральной службы по техническому и экспортному контролю к совершению коррупционных правонарушений". Он продолжает работу ФСТЭК в части антикоррупционной борьбы и выявления условий для проявления "коррупции, утвержденной Правительство...

Подробнее…

Интересный вариант классификации ИСПДн

Лежит у меня перед глазами акт классификации одной ИСПДн, подготовленный крупным ИТ/ИБ-интегратором для одного своего заказчика. На каких исходных данных строился данный акт? Категория ПДн - 3, значение ПДн - 1. Какой итоговой класс должен быть у ИСПДн? Если следовать п.15 "Приказа трех", то класс будет К2. Ан нет... Интегратор, являющийся лицензиатом ФСТЭК и называющий себя одним из лидеров рынка защиты ПДн в России, классифицировал систему не по п.15, а по п.14, т.е. опирался на ущерб субъектам ПДн. Он здраво посчитал, что ущерб субъектам будет...

Подробнее…

Так нужна ли лицензия ФСБ на защиту ПДн

Интересная коллизия. Был я 26-го числа на заседании Координационно-методического совета лицензиатов ФСТЭК и ФСБ Уральского федерально округа. Представитель ФСБ рассказывал про защиту ПДн в части требования ФСБ и в какой-то момент заявил, что для защиты ПДн с помощью СКЗИ нужна лицензия ФСБ на техобслуживание. Я задаю встречный вопрос, мол, А.П. Баранов (первый зам. начальника 8 Центра ФСБ) на конференции АРБ, а также другой представитель ФСБ на Парламентских слушаниях заявил, что лицензия ФСБ на защиту ПДн для собственных нужд не требуется. Представитель...

Подробнее…

Новый семинар RISSPA

1 декабря RISSPA проводит семинар "Актуальное состояние и новые тенденции отрасли ИБ", который будет проходить как физически (в офисе Ernst & Young), так и виртуально (с помощью технологий Cisco WebEx). Среди докладов: "Результаты 12-го ежегодного исследования Ernst&Young в области информационной безопасности", Максим Малежин, Ernst & Young "Основные векторы развития систем защиты от вредоносного ПО: облачные вычисления и их современные реализации", Кирилл Керценбаум, Symantec "Эволюция угроз Интернет-банкинга и онлайн-порталов. Новые...

Подробнее…

Онлайн-конференция на bankir.ru

25-го числа я поучаствовал в онлайн-конференции на портале bankir.ru "Где же все-таки у него кнопка?", посвященная различным вопросам использования Интернет-банкинга, в т.ч. и безопаснос...

Подробнее…

ФСТЭК выложила оставшиеся документы по ПДн

ФСТЭК на своем сайте выложила оставшиеся два документа "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (Документ MS Word) "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (выписка) По методике - документ полный. По базовой модели - выписка (без ПЭМИ...

Подробнее…

Новые ролики Cisco по безопасности

Мы опять замутили несколько прикольных роликов по безопасности: ...

Подробнее…

Всегда быть в курсе ситуации с ИБ (для пользователей iPhone)

Несколько лет назад, когда я был счастливым обладателем смартфона на базе Windows Mobile, я установил на него чей-то информер, который регулярно оповещал меня о новых Интернет-угрозах и т.п. информации. И вот на днях мы (т.е. Cisco) выпустили аналогичный и бесплатный инструментарий Cisco SIO to Go iPhone для того, всегда быть в курсе новых угроз, патчей, обновлений безопасности, сигнатур атак, бюллетеней безопасности, репутационного рейтинга сайтов и отправителей электронной почты. Также с помощью этого приложения можно взаимодействовать с коллегами...

Подробнее…

Насколько реальна экспертная оценка в ИБ

Экспертная оценка в наших нормативных документах по ИБ заявлена как основной (а зачастую и единственный) метод определения угроз информационным системам. Да и в других процессах ИБ он играет непоследнюю роль. Но у данного метода помимо единственного преимущества (простота реализации) есть и множество существенных недостатков: возможность влияния на экспертное мнение заинтересованными лицами при оценке случайных событий принцип "здравого смысла" неприменим отсутствие...

Подробнее…

Сдвиг сроков принят в первом чтении

20-го ноября Госдума приняла в первом чтении (313 депутатов за) один из двух законопроектов Резника. Законопроект посвящен исключению требования об обязательном использовании криптографических средств для защиты персональных данных и продления срока, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом "О персональных данных" (на один го...

Подробнее…

Новая версия BSIMM v1.5

BSIMM (The Building Security In Maturity Model) - это документ, помогающий понять и спланировать инициативы по безопасности разрабатываемого ПО. На прошлой неделе была анонсирована новая редакция модели зрелости BSIMM v1.5, которую можно свободно скачать с сайта автор...

Подробнее…

Документы ФСТЭК по ПДн - новый статус

Наверное для многих это уже не новость, но все-таки: 12-го (или 11-го) ноября ФСТЭК сняла гриф ДСП с двух своих документов по персданным. Сами документы тоже обновились, но очень незначительно. Скачать их можно с сайта ФСТЭК: "Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных...

Подробнее…

Новая инициатива депутатов по изменению ФЗ-152

Позавчера я писал, что депутат Резник отрицательно отозвался о законопроекте депатута Морозова, но при этом внес свой вариант. Он своеобразен, надо признать. Например, там есть такое определение "трансграничная передача персональных данных – передача персональных данных через Государственную границу Российской Федерации". А если посмотреть на ФЗ-4730-1 "О государственной границе", то понятие "государственная граница" определено как "линия и проходящая по этой линии вертикальная поверхность, определяющие пределы государственной территории...

Подробнее…

Заседание в Правительстве по поводу персданных

В прошлую пятницу состоялось совещание в Аппарате Правительства по поводу 152-ФЗ, где было принято решение о переносе срока по ст.25 на 1 год, исключении требований по криптографии из ст.19 и о подготовке развернутых поправок под эгидой Минкомсвязи до 1 февраля 20...

Подробнее…

Законопроект Морозова о переносе сроков ФЗ-152 отвергнут

Многие наверное слышали, что депутат Госдумы А.А.Морозов внес законопроект №262191-5 "О внесении изменения в статью 25 Федерального закона "О персональных данных". Суть его проста - перенести срок реализации ст.25.3 на 2 года. И вот на днях руководитель комитета по финансовым рынка г-н Резник вынес заключение по данному законопроекту. Суть его может быть описана одним словом: "Отказать". Если же развить тему, то в заключении дословно написано следующее: "Комитет отмечает, что Федеральный закон не устанавливает требований к информационным системам...

Подробнее…

О проверках в 2010 году

Спор о проверках так ни к чему и не привел. Подолью я еще масла в огонь. На сайте Генпрокураторы вывешен приказ 02.10.2009 №319 "О порядке формирования ежегодного сводного плана проведения органами государственного контроля (надзора), муниципального контроля плановых проверок в отношении юридических лиц и индивидуальных предпринимателей". Данный порядок разработан во исполнение положений Федерального закона от 26.12.2008 № 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора)...

Подробнее…

Семинар Cisco по информационной безопасности банков

Вчера мы (т.е. Cisco) провели онлайн-семинар для банков по информационной безопасности. Выступал я ;-) С тремя презентациями: Архитектура информационной безопасности банка Стратегия информационной безопасности Cisco и пути ее раззвития Защита персональных данных в кредитном учреждении. Семинар записывался с помощью встроенных в WebEx технологий. Запись выложена тут. Ее длительность 3 часа 5 мин...

Подробнее…

О банковском эгоизме

Вчера прошла конференция АРБ по персданным. Очевидно, что для банков. Как участник рабочей группы по выработке рекомендаций по обработке и защите ПДн для банковского сообщества, я выступал с презентацией первой части этих рекомендаций: Personal Data In Russia And Other Countries View more documents from lukatsky. Конференция была разделена на три части: общее введение в проблему рассказ нескольких банков, как они прошли проверки регуляторов и как они выполняли их требования презентация рекомендаций для банков. В первой части помимо хороших выступлений...

Подробнее…

Что должна включать в себя модель угроз?

Вопрос непраздный и часто возникающий. Чем руководствоваться при создании модели угроз? Есть ли рекомендации ФСТЭК и ФСБ по данному вопросу? Есть ли готовые шаблоны? К сожалению, на последние 2 вопроса ответа со стороны регуляторов нет. Поэтому все руководствуются здравым смыслом и своим пониманием того, как это может быть сделано. Уральцам чуть проще - у них есть методические рекомендации, в которых есть пример шаблона по модели угроз. Он состоит из следующих разделов: общие положения перечень угроз, представляющих потенциальную опасность для...

Подробнее…

Перенос сроков ФЗ-152?!

Вопросов вчерашняя статья в "Газете" о переносе сроков выполнения ст.25.3 ФЗ-152 на 2 года вызвала немало вопросов. При этом мало кто подумал о том, что журналисты не до конца разобравшись с тем, что же говорилось на заседании, выдали "сенсацию". На самом деле все немного не так - Минкомсвязь не имеет права переносить сроки или осовобождать кого-то от обязанности выполнения закона - не в их это компетенции. Минкомсвязь просто озвучил то, о чем ему давно говорили участники рынка - выполнить требования ст.25.3 за оставшееся время невозможно. Поэтому...

Подробнее…

Архитектура ИБ - статья в ДИС

Эту статью постигла непростая судьба. Она была отослана в издательство более полугода назад ;-)  Но ввиду ее размера с ней была произведена операция обрезания и она сократилась примерно втрое (изначально было около 30-ти страниц). Посвящена она архитектуре информационной безопасности - теме нечастно возникающей в прессе и на конференци...

Подробнее…

О сроках обработки ПДн

Одна из проблем, которая часто возникает при реализации проектов по ПДн - правильное определение сроков хранения (обработки ПДн). Зададим малый срок и придется их удалять, несмотря на наличие потребности в их обработке. Зададим большой срок и будем тратить денег больше, чем надо. Как же учесть всевозможные сценарии и цели обработки ПДн и не придумывать срок хранения для каждой пары "ПДн и целт их обработки". Предлагаю следующую формулировку для срока хранения: "В соответствие с приказом Росархива от 06.10.2000 «Перечень типовых управленческих...

Подробнее…

ФСБ опубликовала регламент проведения проверок по ПДн

ФСБ на своем сайте опубликовала типовой регламент проведения проверок по персональным данн...

Подробнее…

Может ли ФСТЭК проверять вас в 2010-м году?

Согласно ст. 9.5 ФЗ-294 надзорный орган (в нашем случае ФСТЭК) обязан разместить у себя на сайте план проведения плановых проверок, который перед этим должен быть отправлен в прокуратуру до 1-го ноября. До 31-го декабря сводный план проверок должен быть вывешен на сайте Генпрокуратуры. Пока план проверок на 2010 год опубликован на сайте только у Роскомнадзора. Если ФСТЭК не отправила свой план в прокуратуру, то возникает вопрос, насколько они правомочны будут осуществлять проверки в будущем го...

Подробнее…

Как АТЭС рекомендует защищать персданные?

Есть такая международная организация - АТЭС (Азиатско-Тихоокеанское Экономическое Сотрудничество), объединяющая страны и территории, на которые приходится 57% ВВП и 48% объема всей мировой торговли. В это сообщество входит 23 страны, а также Тайвань и Гонконг. Основная цель АТЭС (она же APEC) - обеспечение режима свободной открытой торговли, что невозможно обеспечить без адекватного отношения к защите персональных данных. Именно поэтому данная организация разработала и опубликовала в 2005 году "Структуру обеспечения приватности" (APEC Privacy...

Подробнее…

Нужно ли согласие субъекта ПДн, если у вас есть с ним договор

Вчера мы рассмотрели конклюдентность действий при обработке персданных. Сегодня хочу рассмотреть еще один связанный с этим вопрос, который я также рассматриваю в курсе по персональным данным. Вопрос простой - нужно ли получать согласие субъекта ПДн при наличии договора с ним? Оказывается, многие представители РКН (особенно в регионах) считают, что в договоре с субъектом должно быть явно прописано согласие субъекта на обработку его ПДн. Но в ст.6.2.2 ФЗ-152 явно сказано, что "согласие… не требуется… [когда] обработка персональных данных осуществляется...

Подробнее…

Семинар RISSPA на базе Cisco

В прошлый четверг RISSPA провела семинар "Технический взгляд на актуальные угрозы информационной безопасности". Семинар прошел в офисе Cisco, а также транслировался в Интернет через Cisco WebEx. Все презентации доступны на сайте организаторов, а запись на сайте Web...

Подробнее…

О конклюдентности и персональных данных

Я на своих курсах по персданным всегда начинаю с общей рекомендации привлекать к проектам по персданным юристов, т.к. любая тема, связанная с законодательством, не может обойтись без их помощи. ФЗ-152 не является исключением. Возьмем к примеру вопрос с получением согласия субъекта ПДн. Обычно считается, что согласие может быть либо в письменной, либо в устной форме. Так нам подсказывает здравый смысл. А вот любой юрист подскажет, что есть и третья форма согласия - конклюдентные действия. Конклюдентные действия - это действия лица, выражающие его...

Подробнее…

Автоматизация работы по персданным

Довелось мне тут поглубже ознакомиться с продукцией екатеринбургской компании НТЦ "Сфера" - системой WingDoc ПД. Продукт зачетный, надо сказать прямо. Конечно, у него есть свои недочеты, как с точки зрения удобства пользования, так и с точки зрения некоторых вопросов безопасности. Но если перед организацией встала задача выполнить требования ФСТЭК и ФСБ в части разработки модели угроз (а именно это один из камней преткновения сейчас), то WingDoc ПД отлично справится с этой задачей. Разумеется, если вы готовы потом выполнять ее (читай ФСТЭКовские/ФСБшные)...

Подробнее…

Продажа золота из запасов Гохрана не состоится из-за утечки информации

О как...

Подробнее…

Стандарт ISO 29100

ISO готовит к выпуску стандарт ISO 29100 "Information technology -- Security techniques -- Privacy framework". Мне довелось увидеть его проект и поэтому хочу поделиться впечатлениями. Цель стандарта проста - определить высокоуровневую архитектуру обеспечения privacy, в т.ч. и защиты персональных данных, с точки зрения технических, организационных и процедурных аспектов. Задачи, заложенные в стандарт тоже понятны: помочь операторам ПДн в разработке, внедрении, управлении и поддержке ИСПДн снизить барьеры для электронной коммерции активно использовать...

Подробнее…

ФАС опять на коне

Я уже писал про конфликт ФАС и Лаборатории Касперского. И вот теперь ФАС "наехала" по тому же поводу на Dr.W...

Подробнее…

Cisco покупает ScanSafe

Компания Cisco объявила о покупке SaaS-провайдера в области безопасности Web - компанию ScanSafe. Цена сделки - 183 миллиона долларов. Решения ScanSafe дополнят систему IronPort Web Security Appliance, предлагаемую Cisco своим заказчикам. Защита Web-трафика на уровне периметра и в качестве SaaS позволит выстроить эшелонированную оборону от Web-угроз. Также планируется внедрение технологий ScanSafe в VPN-клиент нового поколения Cisco AnyConnect VPN Clie...

Подробнее…

История с ESET NOD32 продолжается

В субботу опубликовал я заметку про то как ESET хвалится сертификатом ФСТЭК высшего класса К1 на свой антивирус. Ну думал, пошутили и хватит, ан нет. Ситуация становится еще более интересной. Начались откровенные запугивания со стороны некоторых разработчиков средств защиты и интеграторов в области защиты персданных. Например, на сайте ispdn.ru (владелец - НПО "Эшелон"), который почему-то назван первым сайтом о защите персональных данных (хотя он ни по популярности, ни по времени появления, даже в пятерку не входит), есть такая страшилка: "то...

Подробнее…

И вновь о психологии

Моя новая заметка на Компьютерре - о психологии в ИБ...

Подробнее…

Наказание за неисполнение ФЗ-152

Тут на bankir.ru возник вопрос и я понял, что сформированного ответа на него так и нет. Поэтому я решил выложить сюда кусок своей презентации с курса "Что скрывает законодательство по персональным данным?". Он перечисляет возможные наказания за несоблюдение требований ФЗ-152 и подзаконных актов.Штрафы за несоблюдение ФЗ-152View more documents from lukatsky.ЗЫ. Речь идет о действующих наказаниях. Роскомнадзор внес на рассмотрение Госдумы вопрос о внесении изменений в ст.13.11 с целью появления наказания не только за нарушение требований ФЗ, но и...

Подробнее…

Сертификат ФСТЭК высшего класса К1

Гротек опубликовал опус про получение Eset NOD32 сертификата ФСТЭК "высшего класса К1". Даже и не знаю, кто этот бред писал ;-( Непонимание не только термина "конфиденциальная информация", но и ФЗ "О персональных данных", системы сертификации ФСТЭК и "четверокнижия" ФСТ...

Подробнее…

Как РКН будет пасти своих овец

Роскомнадзор разместил на своем сайте проект Административного регламента проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.Предназначение документа - описать процедуру проверок операторов персданных со стороны Роскомнадзора. Регламент во многом повторяет положения ФЗ-294, но есть ряд очень интересных моментов.Во-первых, РКН решил расширить закрытый перечень оснований для плановой проверки,...

Подробнее…

Результат парламентских слушаний

Вчера я описал парламентские слушания, прошедшие в Госдуме по теме персданных. Сегодня пора осветить предложения, которые могут "выйти в финал". Изначально предложений было с полторы сотни (их видно по вчерашним выложенным файлам). После обработки в ГосДуме осталось гораздо меньше, но, как мне кажется, они ключевые:уточнить понятия и терминысроки хранения и уничтожения ПДн должны определяться договором с субъектом, если иное не установлено законодательствомразрешить...

Подробнее…

О парламентских слушаниях по ПДн

Вчера прошли парламентские слушания по персональным данным. Очень познавательно ;-) Почти все выступления были по делу и все выступали в унисон - клеймя ФСТЭК с их требованиями и описывая проблемы текущего законодательства. А теперь по пунктам.Начал выступление первый заместитель председателя комитета Госдумы по безопасности - Гришанков Михаил Игнатьевич. Основные лейтмотивы его выступления:жесткая критика ФСТЭК и ФСБ в части обязательных и жестких требованийпереносить сроки нельзя, но надо (на один год)необходимы отраслевые стандартынеобходимо...

Подробнее…

Новая версия курса по модели угроз

В новую версию курса "Построение модели угроз" были добавлены следующие разделы/темы:6-й метод определения вероятности угрозыпсихология восприятия риска при моделировании угроз экспертамикак оформлять модель угроз по мнению ФСТЭКмодель угроз Банка Росс...

Подробнее…

Новая версия курса по персональным данным

Новая версия курса "Что скрывает законодательство по персональным данным" пополнилась следующими разделами/темами:Соответствие классов ИСПДн и АСДействие договоров, заключенных до принятия 152-ФЗОтносятся ли СКУД и АБС к ИСПДн?Дополнительные разъяснения про обязательную аттестацию и сертификацию (включая ПП-1013)Дополнительные разъяснения обработки ПДн без средств автоматизацииАнализ «второй» версии четверокнижияДетали различий с ЕвроконвенциейКлючевые планируемые изменения ФЗ-152Пример согласия субъекта ПДн и некоторых документов ФСТЭКАнализ проекта...

Подробнее…