ФСБ разработаны два административных регламента по исполнению государственной функции по лицензированию деятельности по техническому обслуживанию (приказ 105) и распространению (приказ 106) шифровальных (криптографических) средств. Оба зарегистрированы в МинЮсте.В соответствии с утвержденными регламентами государственная функция исполняется Центром по лицензированию, сертификации и защите государственной тайны ФСБ РФ, а также территориальными органами безопасности. Исполнение государственной функции включает в себя, в частности, проверку полноты...
29.4.09
Касперский получил Госпремию
Касперский стал лауреатом Государственной премии в области науки и технологий (lenta.ru или Коммерсант).Он стал лауреатом наряду с астрофизиком Дмитрием Варшаловичем и вирусологом Иосифом Атабековым (получает Госпремию второй раз). В голосовании за кандидатов, которых было представлено 16, приняли участие 33 члена Совета по науке. Меньше других в тройке победителей голосов (29) набрал Евгений Касперский, чьи заслуги в области программирования и антивирусной индустрии не всеми членами совета были признаны классически научными. Однако сам факт получения...
28.4.09
ФСБ приглашает к сотрудничеству в части разработки требований по защите персональных данных
Представители ФСБ России и редакция журнала "Information Security/Информационная безопасность" приглашают специалистов по информационной безопасности принять участие в работе по усовершенствованию нормативных требований по защите персональных данн...
27.4.09
Чем же все-таки занимается StoneSoft?
Вот читаю последний номер гротековского "Information Security" и натыкаюсь на рекламу фирмы, предлагающей услуги консалтинга в области безопасности - аудит ИБ, проектирование, incident management и "решение проблем с оборудованием безопасности" (не знаю, что это такое, но мне понравилось ;-). Потом смотрю название фирмы... Stonesoft и перестаю что-то понимать.Stonesoft - это финская компания, которая предлагает свои UTM-устройства. Никакими сервисами безопасности она в жизни не занималась, кроме поддержки и обучения. Специально зашел на их корпоративный...
24.4.09
Миф о 1-м января 2010 года
Вот решил пройтись по этому мифу, потому что как-то уж часто все ссылаются на эту дату, не до конца понимая, что она значит на самом деле. Итак, 1-е января 2010 года, с которого якобы все должны соответствовать требованиям.На самом деле, многие должны соответствовать с 29 января 2007 года, когда вступил в силу ФЗ-152. Ведь в ФЗ написано, что с 01.01.2010 должны соответствовать ИСПДн, созданные ДО вступления ФЗ-152 в силу. Но ФЗ ни слова не говорит...
23.4.09
Я - это я или сотрудник моего работодателя?!
Еще пару лет назад наткнувшись на disclaimer на форуме Elashkin Research, я подумал, а не вставить ли и мне на блоге такой же. Но почему-то я тогда подумал, что в принципе и так всем понятно, что раз я веду блог на blogspot.com, а не на cisco.com, то он отражает мою личную позицию. То же касалось и моих выступлений на многих конференциях. Есть те, на которые меня приглашают, как сотрудника Cisco, а есть те, где я выступаю, как независимый эксперт. И видимо не все могут понять и принять, что я - это я и могу высказывать свою личную точку зрения...
22.4.09
Семинар RISSPA по персданным
23-го (т.е. завтра) RISSPA проводит онлайн-семинар по персональным данным.Программа:1. Приветственное слово организаторов2. "Обзор законодательства в области ПД, обязательно ли его выполнять? Тонкие моменты". Алексей Лукацкий, Cisco3. "Я наших тайн люблю громадье". Михаил Емельянников, Информзащита. "Государственное регулирование теперь касается не только вопросов защиты государственной тайны, но и информации ограниченного доступа. В чем разница между правовыми режимами охраны различных категорий тайн, какие требования определяются государством,...
Сколько же заработал ESET на самом деле?
Вот смотрю новость про выручку ESET в России и странах СНГ в 2008-м году. 45 миллионов долларов! Если не вникать в детали, то такая цифра выводит ESET не просто в лидеры российского рынка антивирусов, но и вообще в одного из лидеров российского рынка ИБ. Такой выручкой могут похвастаться далеко не все игроки, которые работают не первый год. А тут новичок и такие показатели...Правда у данной новости есть и второе дно. Во-первых, это цифры в ценах конечного пользователя. Учитывая, что это ПО, а не железо, то с учетом существующих скидок и агрессивной...
21.4.09
Мифы 31-33
Новая порция мифов:Принтеры не надо защищатьРоскомнадзор имеет право проводить плановые проверки по теме персданныхВирусы опасны, потому что их десятки ты...
20.4.09
Disclaimer в электронной почте
Прислали на днях письмо с забавным disclaimer: "Данное электронное письмо является конфиденциальным и может содержать информацию, не подлежащую разглашению. Если Вы не являетесь адресатом данного электронного письма, а получили его по ошибке, Вы не имеете права читать, печатать, сохранять, редактировать или перенаправлять это электронное письмо или прикрепленные к нему файлы. Если Вы получили данное электронное письмо по ошибке, пожалуйста, немедленно проинформируйте об этом отправителя данного электронного письма и уничтожьте это электронное письмо,...
Примерная форма Положения об обработке персоналоьных данных в организации
Как справедливо заметил Toparenko на форуме bankir.ru на сайте Ставропольского Роскомнадзора опубликована Примерная форма Положения об обработке персоналоьных данных в организации.Радует номер приложения - 47-й! Т.е. реально документов, которые требуются при проверках может быть больше списка, который я привод...
17.4.09
Старший консультант по ИБ Ernst&Young на LiveJournal
Ну и в качестве субботнего... живое общение со старшим консультантом Ernst&Young по безопасности... Забавное чтиво... Что-то напоминает ...
О реагировании на инциденты со стороны рядовых пользователей
Прошел я на днях курс "Красного креста" по оказанию первой медицинской помощи и понял, как надо выстраивать программу повышения осведомленности для рядовых сотрудников в части реагирования на компьютерные инциденты.Собственно исходные предпосылки очевидны:1. Вы не специалист и не обладаете глубокими познаниями в ИБ2. У вас нет под рукой инструментов ИБ - руководствоваться надо подручными средствами3. Вам не надо самому бороться с нарушителями. Главное,...
16.4.09
Какие документы проверяет Роскомнадзор?
В рамках работ по курсу в АРБ свел воедино список того, что проверяет Роскомнадзор во время проверок. Источники для этого списка разные - и приказы реальных проверок, и проект распоряжения о методике контроля/надзора.Положение о защите персональных данныхПоложение о подразделении по защите информации;Должностные регламенты лиц, ответственных за защиту ПДнПлан мероприятий по защите ПДнПлан внутренних проверок состояния защиты ПДнПриказ о назначении ответственных лиц по ПДнДоговора с субъектами ПДн, лицензии на виды деятельности, в рамках которых...
14.4.09
Об обезличивании персданных
Сегодня многие компании говорят о том, как привести в себя в соответствие с требованиями ФЗ-152, как получать согласие субъекта ПДн, как уведомлять Роскомнадзор, какие средства защиты использовать и т.п. Но мало кто рассматривает вопросы оптимизации своих усилий в области соответствия.Например, я мало от кого слышал про обезличивание персданных, а ведь это очень полезный механизм, который позволяет уйти от получения согласия субъекта ПДн, уведомления РКН и даже использования криптосредств и иных методов обеспечения конфиденциальности.Как осуществить...
13.4.09
О курсе по персональным данным
Я уже писал про чтение мной курса по персональным данным в Институте Банковского Дела Ассоциации Российских Банков (ИБД АРБ). Ближайший семинар состоится 17-го апреля и я сформировал перечень вопросов, на которые постараюсь ответить:1. ФЗ-152 и особенности его исполнения.Чьи требования выполнять – ФЗ-152 или Европейской Конвенции?Когда ИСПДн должны начать соответствовать ФЗ-152 - 1-е января 2010 года или после его принятия?Почему так важно выбрать цель обработки ПДн?В каких случаях организация обрабатывает ПДн, но не является оператором ПДн?Как...
10.4.09
Безопасность в сослагательном наклонении
Занимался разбором своец библиотеки русскоязычной литературы по ИБ и наткнулся на интересный раритет, изданный тиражом всего 300 экземпляров – "Концепция развития безопасных информационных технологий: обеспечение защиты информации в проектах информатизации России" (далее – Концепция), написанной аж в 1992-м году ведущими специалистами РАН и научно-исследовательских институтов России. Этот документ описывал, какой ДОЛЖНА стать отрасль информационной безопасности в России.
На Компьютерре я описал, что было бы "если бы"... А теперь сравните с тем,...
9.4.09
Вышла новая версия модели зрелости ISM3
Выпущена очередная версия модели/стандарта зрелости управления ИБ ISM3 - v.2.3. Основные изменения коснулись метрик и того, как оценивать уровень зрелости СУИБ. По мнению авторов стандарта, они первые, кто предложил оценивать это по тому, какие метрики используются. Число типов метрик увеличилось с 4-х до 7-ми. Появилось понятие архитектура безопасности. Появились новые процессы.Один минус - новая версия стала платной ;-( Свободно можно скачать только версию ...
8.4.09
Малому бизнесу компенсируют затраты на сертификацию по ISO 27001
Иногда смотришь на наше законодательство и диву даешься - вроде бы и правильные вещи написаны... по сути, а на деле - чушь и полный бред. Возьмем к примеру Приказ того еще Минэкономразвития от 5 марта 2007 года №75 "О мерах по реализации в 2007 году мероприятий по государственной поддержке малого предпринимательства". Он конечно старый, но действует.В приложении 5 этого приказа прописаны общие требования к бизнес-инкубатору и порядку предоставления помещений и оказанию услуг субъектам малого предпринимательства в бизнес-инкубаторе. В нем есть перечень...
7.4.09
SMS-спам узаконен в России
Не знаю как относится к такой информации, но выглядит она достаточно правдоподобно. Итак, Верховный арбитражный суд принял решение о том, что рассылка спама по SMS не является нарушением закона "О рекламе" даже при отсутствии согласия абонента ;-(Если бы это была единственная новость, то я бы расценил ее как первоапрельскую шутку, т.к. датирована она именно первым апреля. Но на сайте ВАС также есть сообщение об этом. Они правда сами ссылаются на iToday и непонятно, толи они тупо передирают все ссылки на себя, толи новость имеет место быть.PS. Благодаря...
Что же нас ждет в этом году по линии персданных?
Согласно Распоряжения Правительства от 25.12.2008 № 1996-р был утвержден план подготовки актов по реализации в 2009 - 2010 годах Основных направлений деятельности Правительства Российской Федерации на период до 2012 года. Одним из таких направлений названо "Развитие системы, обеспечивающей защиту прав субъектов персональных данных". Ответственными за данное направление названы Минкомсвязь России, ФСБ России, ФСТЭК России, заинтересованные федеральные органы исполнительной власти.Эти акты должны быть представлены в Правительство и внесены (приняты)...
6.4.09
Презентации с RusCrypto
В прошедшие выходные, на конференции РусКрипто выступал на тему "Архитектура информационной безопасности".Security Architecture.pdfView more presentations from lukatsky.Примечательно, хотя и грустно, что идея "безопасность для бизнеса, а не безопасность для безопасности" для многих была в новинку ;-(Во второй день я вел секцию "Как ИБ-компании обманывают своих клиентов". Доклады получились интересными. Начал рассказ Алексей "Arkanoid" Смирнов (независимый эксперт) с рассказом о том, как вендоры пытаются заработать на вымышленных и преувеличенных...
Теория организации применительно к информационной безопасности
Недавно на bankir.ru в очередной раз всплыл вопрос о том, кому должна подчиняться служба ИБ. Как обычно разгорелся флейм, в результате которого единого рецепта так и родилось. У всех свой опыт и свои рекомендации. О чем это говорит? О том, что универсальных советов в этой области практически нет.Замечали ли вы, что рецепты успешного внедрения ИБ в одной компании, не всегда срабатывают на других предприятиях? Даже лучшие практики не всегда приживаются в той или иной организации. А ведь по логике вещей должны - на то они и лучшие, что собраны со...
3.4.09
ФСТЭК занимается нанотехнологиями
С удивлением для себя обнаружил, что ФСТЭК у нас отвечает за нанотехнологии для систем безопасности. У ФСТЭКа этой темой занимается сразу несколько структур:ФГУП "Центральный научно-исследовательский институт химии и механики" (это головная организация)Научно-исследовательский центр нанотехнологий ФСТЭК России.Объем финансирования - почти 900 миллионов рублей на 3 года, что больше, чем у того же Роскосмо...
Как безопасность влияет на бизнес - реальные цифры - II
Пару недель назад я уже писал про влияние безопасности на бизнес с прослеживанием четкой связи произошедшего инцидента и падением курса акций. Но и тут оказалось не все так просто. Публичность инцидента еще не значит падения курса акций - все зависит от многих параметров - преследования по закону, исков со стороны пострадавших, внимания прессы и т.п.Например, письмо североамериканской компании, управляющей отелями Wyndham, о компрометации кредитных...
2.4.09
Обзор российских блогов по безопасности
Учитывая, что в последнее время стало появляться много российских блогов по безопасности, я решил сделать некоторый их обзор и дать краткие комментарии по ним:блог компании Infowatch, посвященный утечкам информации и всем околосвязанным темам. Подписался на него и читаю регулярно и с удовольствием. Познавательно и часто с неожиданной точки зрения рассматривается тема утечек. Единственный минус - непонятно кто же пишет тут или иную заметку. Авторов там было как минимум двое, но никто не подписывается ;-(блог Сергея Гордейчика из Positive Technologies....
1.4.09
На смену требованиям ФСТЭК по персданным идут требования Минсвязи?
Как-то забыл пройтись по этой мартовской новости. "Министр связи и массовых коммуникаций РФ Игорь Щеголев поручил Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) разработать и ввести новые стандарты в области защиты персональных данных".Как это соотносится с тем, что за разработку требований и стандартов в области ИБ у нас отвечает ФСТЭК, а Роскомнадзор к этому имеет ну очень опосредованное отношение, я пока не понимаю ...
Проявления ИБ на улицах города
Бродя по улицам Москвы, иногда видишь следы информационной безопасности, которая незаметно, но все чаще проникает в нашу жизнь. Кто бы еще пару лет назад мог подумать, что на бензозаправках будет рекламироваться антивирус, по улицам будет ездить "безопасный" авто, а лифты будут запираться на eToken...
Подписаться на:
Сообщения (Atom)
