ФСБ разработаны два административных регламента по исполнению государственной функции по лицензированию деятельности по техническому обслуживанию (приказ 105) и распространению (приказ 106) шифровальных (криптографических) средств. Оба зарегистрированы в МинЮсте.
В соответствии с утвержденными регламентами государственная функция исполняется Центром по лицензированию, сертификации и защите государственной тайны ФСБ РФ, а также территориальными органами безопасности. Исполнение государственной функции включает в себя, в частности, проверку полноты и достоверности сведений о соискателе лицензии, принятие решения о предоставлении или об отказе в предоставлении лицензии, продление срока действия лицензии, проверку выполнения лицензиатом лицензионных требований и условий, предоставление выписки из реестра лицензий. В приложении к Регламенту приведен перечень лицензирующих органов, а также образцы необходимых документов.
Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Pages - Menu
▼
Страницы
▼
29.4.09
Касперский получил Госпремию
Касперский стал лауреатом Государственной премии в области науки и технологий (lenta.ru или Коммерсант).
Он стал лауреатом наряду с астрофизиком Дмитрием Варшаловичем и вирусологом Иосифом Атабековым (получает Госпремию второй раз). В голосовании за кандидатов, которых было представлено 16, приняли участие 33 члена Совета по науке. Меньше других в тройке победителей голосов (29) набрал Евгений Касперский, чьи заслуги в области программирования и антивирусной индустрии не всеми членами совета были признаны классически научными. Однако сам факт получения им государственной премии вызывает уважение - в среде безопасности это, по моему, единственный случай в современной истории.
Он стал лауреатом наряду с астрофизиком Дмитрием Варшаловичем и вирусологом Иосифом Атабековым (получает Госпремию второй раз). В голосовании за кандидатов, которых было представлено 16, приняли участие 33 члена Совета по науке. Меньше других в тройке победителей голосов (29) набрал Евгений Касперский, чьи заслуги в области программирования и антивирусной индустрии не всеми членами совета были признаны классически научными. Однако сам факт получения им государственной премии вызывает уважение - в среде безопасности это, по моему, единственный случай в современной истории.
28.4.09
ФСБ приглашает к сотрудничеству в части разработки требований по защите персональных данных
Представители ФСБ России и редакция журнала "Information Security/Информационная безопасность" приглашают специалистов по информационной безопасности принять участие в работе по усовершенствованию нормативных требований по защите персональных данных.
27.4.09
Чем же все-таки занимается StoneSoft?
Вот читаю последний номер гротековского "Information Security" и натыкаюсь на рекламу фирмы, предлагающей услуги консалтинга в области безопасности - аудит ИБ, проектирование, incident management и "решение проблем с оборудованием безопасности" (не знаю, что это такое, но мне понравилось ;-). Потом смотрю название фирмы... Stonesoft и перестаю что-то понимать.
Stonesoft - это финская компания, которая предлагает свои UTM-устройства. Никакими сервисами безопасности она в жизни не занималась, кроме поддержки и обучения. Специально зашел на их корпоративный сайт и лишний раз убедился, что память мне пока не изменяет - никакого консалтинга.
Что же тогда предлагает российский офис? И насколько это соотносится с политикой компании? В первый рах сталкиваюсь с тем, что локальный офис предлагает что-то, идущее вразрез с предложением головной компании... Международным компаниям такая самодеятельность несвойственна. Ведь за неудачи локального офиса будет страдать репутация компании во всем мире ;-(
Stonesoft - это финская компания, которая предлагает свои UTM-устройства. Никакими сервисами безопасности она в жизни не занималась, кроме поддержки и обучения. Специально зашел на их корпоративный сайт и лишний раз убедился, что память мне пока не изменяет - никакого консалтинга.
Что же тогда предлагает российский офис? И насколько это соотносится с политикой компании? В первый рах сталкиваюсь с тем, что локальный офис предлагает что-то, идущее вразрез с предложением головной компании... Международным компаниям такая самодеятельность несвойственна. Ведь за неудачи локального офиса будет страдать репутация компании во всем мире ;-(
24.4.09
Миф о 1-м января 2010 года
Вот решил пройтись по этому мифу, потому что как-то уж часто все ссылаются на эту дату, не до конца понимая, что она значит на самом деле. Итак, 1-е января 2010 года, с которого якобы все должны соответствовать требованиям.
На самом деле, многие должны соответствовать с 29 января 2007 года, когда вступил в силу ФЗ-152. Ведь в ФЗ написано, что с 01.01.2010 должны соответствовать ИСПДн, созданные ДО вступления ФЗ-152 в силу. Но ФЗ ни слова не говорит о ИСПДн, созданных ПОСЛЕ. Следовательно ИСПДн, созданные после 29 января 2007-го года, должны уже сейчас соответствовать требованиям законодательства.
Возникает вопрос "что значит созданы". Согласно ГОСТ 34.003-90 "Автоматизированные системы. Термины и определения" (он единственный говорит о создании АС, но, кстати, не ИС) процесс создания АС завершается приемкой в промышленную эксплуатацию, которая подтверждается соответствующим актом приемки. Соответственно надо смотреть, какая дата стоит в этом акте.
Не совсем понятно, что делать, когда акта никакого нет ;-( Информационной системы как бы и нет вовсе ;-) А это очередной простор для деятельности юристов ;-)
На самом деле, многие должны соответствовать с 29 января 2007 года, когда вступил в силу ФЗ-152. Ведь в ФЗ написано, что с 01.01.2010 должны соответствовать ИСПДн, созданные ДО вступления ФЗ-152 в силу. Но ФЗ ни слова не говорит о ИСПДн, созданных ПОСЛЕ. Следовательно ИСПДн, созданные после 29 января 2007-го года, должны уже сейчас соответствовать требованиям законодательства.
Возникает вопрос "что значит созданы". Согласно ГОСТ 34.003-90 "Автоматизированные системы. Термины и определения" (он единственный говорит о создании АС, но, кстати, не ИС) процесс создания АС завершается приемкой в промышленную эксплуатацию, которая подтверждается соответствующим актом приемки. Соответственно надо смотреть, какая дата стоит в этом акте.
Не совсем понятно, что делать, когда акта никакого нет ;-( Информационной системы как бы и нет вовсе ;-) А это очередной простор для деятельности юристов ;-)
23.4.09
Я - это я или сотрудник моего работодателя?!
Еще пару лет назад наткнувшись на disclaimer на форуме Elashkin Research, я подумал, а не вставить ли и мне на блоге такой же. Но почему-то я тогда подумал, что в принципе и так всем понятно, что раз я веду блог на blogspot.com, а не на cisco.com, то он отражает мою личную позицию. То же касалось и моих выступлений на многих конференциях. Есть те, на которые меня приглашают, как сотрудника Cisco, а есть те, где я выступаю, как независимый эксперт. И видимо не все могут понять и принять, что я - это я и могу высказывать свою личную точку зрения на многие вопросы; даже если она вступает в определенное противоречие с общепринятой на рынке ИБ точкой зрения или даже точкой зрения моего работодателя. Но видимо пришло время расставить все точки над i.
Этот блог - место для высказывания мной моего ЛИЧНОГО мнения, не связанного с моим работодателем. Он может отражать, а может и не отражать точку зрения моего работодателя на рассматриваемый вопрос. Тоже самое касается и моих публикаций и выступлений. Если в подписи к ним стоит место моей работы, то не торопитесь писать гневные письма моему работодателю. Возможно что те, кто вставлял эту подпись, решили сделать это в маркетинговых целях, чтобы привлечь внимание к мероприятию или изданию. Такое бывает и не редко. Они считают, что я, являясь сотрудником Cisco, всегда высказываю мнение работодателя. А все потому что далеко не все привыкли иметь свое мнение, отличное от мнения кормящей их компании. А еще такое помещение моей должности и места работы иногда происходит по ошибке - я, например, в рукописи их не указывал, а в финальном варианте они появляются. Так что прежде чем звонить с наездом моему руководству или писать ему гневные письма, поинтересуйтесь лично у меня - это мое мнение или работодателя. Без моего комментария такие звонки и письма будут выглядеть как сведение счетов через работодателя.
ЗЫ. Чтобы не писать в каждом сообщении "это мое личное мнение", я вставил соответствующий disclaimer на главной странице.
Этот блог - место для высказывания мной моего ЛИЧНОГО мнения, не связанного с моим работодателем. Он может отражать, а может и не отражать точку зрения моего работодателя на рассматриваемый вопрос. Тоже самое касается и моих публикаций и выступлений. Если в подписи к ним стоит место моей работы, то не торопитесь писать гневные письма моему работодателю. Возможно что те, кто вставлял эту подпись, решили сделать это в маркетинговых целях, чтобы привлечь внимание к мероприятию или изданию. Такое бывает и не редко. Они считают, что я, являясь сотрудником Cisco, всегда высказываю мнение работодателя. А все потому что далеко не все привыкли иметь свое мнение, отличное от мнения кормящей их компании. А еще такое помещение моей должности и места работы иногда происходит по ошибке - я, например, в рукописи их не указывал, а в финальном варианте они появляются. Так что прежде чем звонить с наездом моему руководству или писать ему гневные письма, поинтересуйтесь лично у меня - это мое мнение или работодателя. Без моего комментария такие звонки и письма будут выглядеть как сведение счетов через работодателя.
ЗЫ. Чтобы не писать в каждом сообщении "это мое личное мнение", я вставил соответствующий disclaimer на главной странице.
22.4.09
Семинар RISSPA по персданным
23-го (т.е. завтра) RISSPA проводит онлайн-семинар по персональным данным.
Программа:
1. Приветственное слово организаторов
2. "Обзор законодательства в области ПД, обязательно ли его выполнять? Тонкие моменты". Алексей Лукацкий, Cisco
3. "Я наших тайн люблю громадье". Михаил Емельянников, Информзащита. "Государственное регулирование теперь касается не только вопросов защиты государственной тайны, но и информации ограниченного доступа. В чем разница между правовыми режимами охраны различных категорий тайн, какие требования определяются государством, а какие - собственником и/или обладателем? Сколько режимов устанавливается на предприятии? Каковы правовые последствия в случае отказа от установления ограничительного режима доступа? Об этом - в предлагаемой презентации"
4. "Практика обеспечения соответствия ФЗ-152". Сергей Голяк, ММК
5. "Проверки защиты персональных данных". Дмитрий Левиев, НПО Эшелон.
Семинар бесплатный для всех участников.
Зарегистрироваться можно на сайте.
Программа:
1. Приветственное слово организаторов
2. "Обзор законодательства в области ПД, обязательно ли его выполнять? Тонкие моменты". Алексей Лукацкий, Cisco
3. "Я наших тайн люблю громадье". Михаил Емельянников, Информзащита. "Государственное регулирование теперь касается не только вопросов защиты государственной тайны, но и информации ограниченного доступа. В чем разница между правовыми режимами охраны различных категорий тайн, какие требования определяются государством, а какие - собственником и/или обладателем? Сколько режимов устанавливается на предприятии? Каковы правовые последствия в случае отказа от установления ограничительного режима доступа? Об этом - в предлагаемой презентации"
4. "Практика обеспечения соответствия ФЗ-152". Сергей Голяк, ММК
5. "Проверки защиты персональных данных". Дмитрий Левиев, НПО Эшелон.
Семинар бесплатный для всех участников.
Зарегистрироваться можно на сайте.
Сколько же заработал ESET на самом деле?
Вот смотрю новость про выручку ESET в России и странах СНГ в 2008-м году. 45 миллионов долларов! Если не вникать в детали, то такая цифра выводит ESET не просто в лидеры российского рынка антивирусов, но и вообще в одного из лидеров российского рынка ИБ. Такой выручкой могут похвастаться далеко не все игроки, которые работают не первый год. А тут новичок и такие показатели...
Правда у данной новости есть и второе дно. Во-первых, это цифры в ценах конечного пользователя. Учитывая, что это ПО, а не железо, то с учетом существующих скидок и агрессивной политики продвижения, реальный заработок производителя будет раза в 2 (а то и 3) ниже. А во-вторых, сомнение у меня эти цифры вызывают еще и потому, что всего пару лет назад, в 2006-м году, выручка ВСЕЙ ESET (в мировом масштабе) составляла всего 33,8 миллиона долларов. Даже учитывая 100%-ый ежегодный рост, получается, что российское представительство обеспечивает треть всей выручки компании... При том, что компания работает в 160 странах? Причин тому может быть две. Либо российский менеджмент представляет собой феномен с точки зрения бизнеса и обладает уникальными способностями в области продаж. Либо исходная новость - это просто маркетинг ;-) и реальные цифры заработка на порядок скромнее.
Правда у данной новости есть и второе дно. Во-первых, это цифры в ценах конечного пользователя. Учитывая, что это ПО, а не железо, то с учетом существующих скидок и агрессивной политики продвижения, реальный заработок производителя будет раза в 2 (а то и 3) ниже. А во-вторых, сомнение у меня эти цифры вызывают еще и потому, что всего пару лет назад, в 2006-м году, выручка ВСЕЙ ESET (в мировом масштабе) составляла всего 33,8 миллиона долларов. Даже учитывая 100%-ый ежегодный рост, получается, что российское представительство обеспечивает треть всей выручки компании... При том, что компания работает в 160 странах? Причин тому может быть две. Либо российский менеджмент представляет собой феномен с точки зрения бизнеса и обладает уникальными способностями в области продаж. Либо исходная новость - это просто маркетинг ;-) и реальные цифры заработка на порядок скромнее.
21.4.09
20.4.09
Disclaimer в электронной почте
Прислали на днях письмо с забавным disclaimer: "Данное электронное письмо является конфиденциальным и может содержать информацию, не подлежащую разглашению. Если Вы не являетесь адресатом данного электронного письма, а получили его по ошибке, Вы не имеете права читать, печатать, сохранять, редактировать или перенаправлять это электронное письмо или прикрепленные к нему файлы. Если Вы получили данное электронное письмо по ошибке, пожалуйста, немедленно проинформируйте об этом отправителя данного электронного письма и уничтожьте это электронное письмо, все его копии и прикрепленные к нему файлы. Спасибо!"
Учитывая, что этот disclaimer стоит в конце письма, то логично предположить, что я текст выше, как минимум, прочел. А вот прав его читать у меня могло и не быть и что мне тогда сделать? Чистить память? Посыпать голову пеплом? ;-)
Учитывая, что этот disclaimer стоит в конце письма, то логично предположить, что я текст выше, как минимум, прочел. А вот прав его читать у меня могло и не быть и что мне тогда сделать? Чистить память? Посыпать голову пеплом? ;-)
Примерная форма Положения об обработке персоналоьных данных в организации
Как справедливо заметил Toparenko на форуме bankir.ru на сайте Ставропольского Роскомнадзора опубликована Примерная форма Положения об обработке персоналоьных данных в организации.
Радует номер приложения - 47-й! Т.е. реально документов, которые требуются при проверках может быть больше списка, который я приводил.
Радует номер приложения - 47-й! Т.е. реально документов, которые требуются при проверках может быть больше списка, который я приводил.
17.4.09
Старший консультант по ИБ Ernst&Young на LiveJournal
Ну и в качестве субботнего... живое общение со старшим консультантом Ernst&Young по безопасности... Забавное чтиво... Что-то напоминает ;-)
О реагировании на инциденты со стороны рядовых пользователей
Прошел я на днях курс "Красного креста" по оказанию первой медицинской помощи и понял, как надо выстраивать программу повышения осведомленности для рядовых сотрудников в части реагирования на компьютерные инциденты.
Собственно исходные предпосылки очевидны:
1. Вы не специалист и не обладаете глубокими познаниями в ИБ
2. У вас нет под рукой инструментов ИБ - руководствоваться надо подручными средствами
3. Вам не надо самому бороться с нарушителями. Главное, дождаться приезда специалистов
4. Когда вы будете звонить в "скорую", т.е. в Service Desk или SOC, то надо понимать, что там может сидеть еще менее квалифицированный человек-оператор, задача которого собрать исходные данные и все. Т.е. информацию нужно давать только самую важную и давать ее четко.
5. Регулярные тренинги для вбивания навыков на уровень подсознания.
Ну и т.д.
ЗЫ. Да и вообще рекомендую пройти такой курс - очень полезно и развенчивает многие мифы относительно того, как оказывать первую помощь.
Собственно исходные предпосылки очевидны:
1. Вы не специалист и не обладаете глубокими познаниями в ИБ
2. У вас нет под рукой инструментов ИБ - руководствоваться надо подручными средствами
3. Вам не надо самому бороться с нарушителями. Главное, дождаться приезда специалистов
4. Когда вы будете звонить в "скорую", т.е. в Service Desk или SOC, то надо понимать, что там может сидеть еще менее квалифицированный человек-оператор, задача которого собрать исходные данные и все. Т.е. информацию нужно давать только самую важную и давать ее четко.
5. Регулярные тренинги для вбивания навыков на уровень подсознания.
Ну и т.д.
ЗЫ. Да и вообще рекомендую пройти такой курс - очень полезно и развенчивает многие мифы относительно того, как оказывать первую помощь.
16.4.09
Какие документы проверяет Роскомнадзор?
В рамках работ по курсу в АРБ свел воедино список того, что проверяет Роскомнадзор во время проверок. Источники для этого списка разные - и приказы реальных проверок, и проект распоряжения о методике контроля/надзора.
- Положение о защите персональных данных
- Положение о подразделении по защите информации;
- Должностные регламенты лиц, ответственных за защиту ПДн
- План мероприятий по защите ПДн
- План внутренних проверок состояния защиты ПДн
- Приказ о назначении ответственных лиц по ПДн
- Договора с субъектами ПДн, лицензии на виды деятельности, в рамках которых осуществляется обработка ПДн, выписки из ЕГРЮЛ и т.д.
- Журнал по учету мероприятий по контролю
- Журнал учёта обращений субъектов ПДн о выполнении их законных прав
- Копия уведомления РКН с исходящим номером и датой подписания
- Письменные согласия субъекта ПДн на обработку ПДн
- Список лиц, обрабатывающих ПДн, утверждённый оператором или уполномоченным лицом
- Электронный журнал обращений пользователей информационной системы к ПДн
- Журналы (книги) учёта ПДн
- Правила пользования средствами защиты информации
- Наличие заключения экспертизы ФСТЭК и ФСБ об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности ПДн при их обработке
- Эксплуатационная и техническая документация
- Отражение в трудовом договоре (контракте) ответственности работника за разглашение ПДн
- Иные документы
- наименование, адрес оператора
- цель обработки ПДн
- категории ПДн
- категории субъектов, ПДн которых обрабатываются
- правовое основание обработки ПДн
- перечень действий с ПДн, общее описание используемых оператором способов обработки ПДн
- описание мер, которые оператор обязуется осуществлять при обработке ПДн, по обеспечению безопасности ПДн при их обработке
- дата начала обработки ПДн
- срок или условие прекращения обработки ПДн
14.4.09
Об обезличивании персданных
Сегодня многие компании говорят о том, как привести в себя в соответствие с требованиями ФЗ-152, как получать согласие субъекта ПДн, как уведомлять Роскомнадзор, какие средства защиты использовать и т.п. Но мало кто рассматривает вопросы оптимизации своих усилий в области соответствия.
Например, я мало от кого слышал про обезличивание персданных, а ведь это очень полезный механизм, который позволяет уйти от получения согласия субъекта ПДн, уведомления РКН и даже использования криптосредств и иных методов обеспечения конфиденциальности.
Как осуществить обезличивание? Анализ проекта документа NIST SP800-122 и собственные размышления позволил сформировать следующий список действий, приводящих к обезличиванию:
ЗЫ. Мне кажется, что такая доработка ИСПДн обойдется дешевле выполнения перечисленных выше трех требований.
Например, я мало от кого слышал про обезличивание персданных, а ведь это очень полезный механизм, который позволяет уйти от получения согласия субъекта ПДн, уведомления РКН и даже использования криптосредств и иных методов обеспечения конфиденциальности.
Как осуществить обезличивание? Анализ проекта документа NIST SP800-122 и собственные размышления позволил сформировать следующий список действий, приводящих к обезличиванию:
- Абстрагирование ПДн – сделать их менее точными, например, путем группирования общих характеристик
- Скрытие ПДн – удалить всю или часть записи ПДн
- Внесение шума в ПДн – добавить небольшое количество посторонней информации в ПДн
- Замена ПДн – переставить поля одной записи ПДн с теми же самыми полями другой аналогичной записи
- Замена данных средним значением – заменить выбранные данные средним значением для группы ПДн
- Разделение ПДн на части – использование таблиц перекрестных ссылок.
- Маскирование ПДн - замена одним символов в ПДн другими
ЗЫ. Мне кажется, что такая доработка ИСПДн обойдется дешевле выполнения перечисленных выше трех требований.
13.4.09
О курсе по персональным данным
Я уже писал про чтение мной курса по персональным данным в Институте Банковского Дела Ассоциации Российских Банков (ИБД АРБ). Ближайший семинар состоится 17-го апреля и я сформировал перечень вопросов, на которые постараюсь ответить:
1. ФЗ-152 и особенности его исполнения.
1. ФЗ-152 и особенности его исполнения.
- Чьи требования выполнять – ФЗ-152 или Европейской Конвенции?
- Когда ИСПДн должны начать соответствовать ФЗ-152 - 1-е января 2010 года или после его принятия?
- Почему так важно выбрать цель обработки ПДн?
- В каких случаях организация обрабатывает ПДн, но не является оператором ПДн?
- Как уменьшить число случаев, когда надо уведомлять Роскомнадзор?
- Как уменьшить число случаев, когда надо получать согласие субъекта ПДн?
- Что такое обезличивание и как с его помощью можно решить многие проблемы?
- Как оффшор может помочь при обработке персональных данных?
- В чем разница двух постановлений?
- Что такое обработка со средствами автоматизации и без оных?
- Могу ли я «уйти» под ПП-687 и самостоятельно принимать решение о выбираемых защитных мерах?
- Что такое «конфиденциальность персональных данных»?
- Обязан ли я использовать сертифицированные средства защиты?
- Обязан ли я аттестовывать ИСПДн?
- В каких случаях я могу не использовать криптосредства при передача по открытым каналам связи?
- Как оптимально выбрать класс ИСПДн?
- Могут ли меня заставить изменить класс ИСПДн?
- Можно ли проверить правильность выбранного мной класса?
- Существуют ли в природе типовые ИСПДн?
- Как разработать собственную модель угроз?
- Легитимны ли они с точки зрения российского законодательства?
- Ключевые требования «четверокнижия».
- Как разрабатывать модель угроз?
- Какую модель угроз использовать? От ФСТЭК или ФСБ?
- Надо ли мне сертифицировать общесистемное и прикладное ПО по требованиям безопасности?
- Обязан ли я получать лицензию ФСТЭК на техническую защиту конфиденциальной информации?
- Статьи Уголовного Кодекса
- Статьи Кодекса об административных правонарушениях
- Статьи Трудового Кодекса
- В каких случаях может «нагрянуть» проверка?
- Что, как и когда может проверять Роскомнадзор?
- Что, как и когда может проверять ФСТЭК?
- Какова процедура проверки со стороны РКН?
- Должен ли я получать лицензию на защиту персональных данных?
- Во сколько обходится обеспечение защиты персданных по деньгам и по времени?
10.4.09
Безопасность в сослагательном наклонении
Занимался разбором своец библиотеки русскоязычной литературы по ИБ и наткнулся на интересный раритет, изданный тиражом всего 300 экземпляров – "Концепция развития безопасных информационных технологий: обеспечение защиты информации в проектах информатизации России" (далее – Концепция), написанной аж в 1992-м году ведущими специалистами РАН и научно-исследовательских институтов России. Этот документ описывал, какой ДОЛЖНА стать отрасль информационной безопасности в России.
На Компьютерре я описал, что было бы "если бы"... А теперь сравните с тем, что есть сейчас. Грустно...
На Компьютерре я описал, что было бы "если бы"... А теперь сравните с тем, что есть сейчас. Грустно...
9.4.09
Вышла новая версия модели зрелости ISM3
Выпущена очередная версия модели/стандарта зрелости управления ИБ ISM3 - v.2.3. Основные изменения коснулись метрик и того, как оценивать уровень зрелости СУИБ. По мнению авторов стандарта, они первые, кто предложил оценивать это по тому, какие метрики используются. Число типов метрик увеличилось с 4-х до 7-ми. Появилось понятие архитектура безопасности. Появились новые процессы.
Один минус - новая версия стала платной ;-( Свободно можно скачать только версию 2.1
Один минус - новая версия стала платной ;-( Свободно можно скачать только версию 2.1
8.4.09
Малому бизнесу компенсируют затраты на сертификацию по ISO 27001
Иногда смотришь на наше законодательство и диву даешься - вроде бы и правильные вещи написаны... по сути, а на деле - чушь и полный бред. Возьмем к примеру Приказ того еще Минэкономразвития от 5 марта 2007 года №75 "О мерах по реализации в 2007 году мероприятий по государственной поддержке малого предпринимательства". Он конечно старый, но действует.
В приложении 5 этого приказа прописаны общие требования к бизнес-инкубатору и порядку предоставления помещений и оказанию услуг субъектам малого предпринимательства в бизнес-инкубаторе. В нем есть перечень затрат субъекта малого предпринимательства, связанных с оплатой услуг по выполнению обязательных требований законодательства Российской Федерации и (или) законодательства страны-импортера, являющихся необходимыми для экспорта товаров (работ, услуг), для выполнения которых предоставляется субсидия. И вот в этот перечень каким-то образом затесался ISO 27001, затраты на сертификацию по которому готово возмещать государство в размере 50%, но не более 250000 рублей.
Каким образом ISO 27001 попал в разряд обязательных? Зачем фермерскому хозяйству (а именно оно приведено как пример предприятия малого предпринимательства) сертификация по ISO 27001? У меня нет ответов. Но знание экспертами бывшего МЭРТа этого стандарта радует (правда непонимание его области применения - огорчает).
ЗЫ. Кстати, согласно этому приказу на субсидию можно рассчитывать и в случае иных стандартов и форм обязательной сертификации. Т.е. затраты на выполнения требований ФСТЭК или ФСБ по линии персданных можно попробовать компенсировать. Правда 250000 рублей по нынешним меркам - это копейки ;-(
В приложении 5 этого приказа прописаны общие требования к бизнес-инкубатору и порядку предоставления помещений и оказанию услуг субъектам малого предпринимательства в бизнес-инкубаторе. В нем есть перечень затрат субъекта малого предпринимательства, связанных с оплатой услуг по выполнению обязательных требований законодательства Российской Федерации и (или) законодательства страны-импортера, являющихся необходимыми для экспорта товаров (работ, услуг), для выполнения которых предоставляется субсидия. И вот в этот перечень каким-то образом затесался ISO 27001, затраты на сертификацию по которому готово возмещать государство в размере 50%, но не более 250000 рублей.
Каким образом ISO 27001 попал в разряд обязательных? Зачем фермерскому хозяйству (а именно оно приведено как пример предприятия малого предпринимательства) сертификация по ISO 27001? У меня нет ответов. Но знание экспертами бывшего МЭРТа этого стандарта радует (правда непонимание его области применения - огорчает).
ЗЫ. Кстати, согласно этому приказу на субсидию можно рассчитывать и в случае иных стандартов и форм обязательной сертификации. Т.е. затраты на выполнения требований ФСТЭК или ФСБ по линии персданных можно попробовать компенсировать. Правда 250000 рублей по нынешним меркам - это копейки ;-(
7.4.09
SMS-спам узаконен в России
Не знаю как относится к такой информации, но выглядит она достаточно правдоподобно. Итак, Верховный арбитражный суд принял решение о том, что рассылка спама по SMS не является нарушением закона "О рекламе" даже при отсутствии согласия абонента ;-(
Если бы это была единственная новость, то я бы расценил ее как первоапрельскую шутку, т.к. датирована она именно первым апреля. Но на сайте ВАС также есть сообщение об этом. Они правда сами ссылаются на iToday и непонятно, толи они тупо передирают все ссылки на себя, толи новость имеет место быть.
PS. Благодаря Павлу Гальченко найдено само решение. Т.е. это не первоапрельская шутка.
Если бы это была единственная новость, то я бы расценил ее как первоапрельскую шутку, т.к. датирована она именно первым апреля. Но на сайте ВАС также есть сообщение об этом. Они правда сами ссылаются на iToday и непонятно, толи они тупо передирают все ссылки на себя, толи новость имеет место быть.
PS. Благодаря Павлу Гальченко найдено само решение. Т.е. это не первоапрельская шутка.
Что же нас ждет в этом году по линии персданных?
Согласно Распоряжения Правительства от 25.12.2008 № 1996-р был утвержден план подготовки актов по реализации в 2009 - 2010 годах Основных направлений деятельности Правительства Российской Федерации на период до 2012 года. Одним из таких направлений названо "Развитие системы, обеспечивающей защиту прав субъектов персональных данных". Ответственными за данное направление названы Минкомсвязь России, ФСБ России, ФСТЭК России, заинтересованные федеральные органы исполнительной власти.
Эти акты должны быть представлены в Правительство и внесены (приняты) в Госдуму в этом (!) году. При этом, в первом же пункте распоряжения написано, что руководители федеральных органов исполнительной власти несут персональную ответственность за выполнение указанного плана, утвержденного Путиным.
Отсюда становится понятны поспешные заявления г-на Щеголева о том, что его ведомство будет разрабатывать стандарты по защите персданных. Отсюда становится понятно, почему ФСТЭК выпускает новую версию своих требований. Пока непонятно, что будет делать ФСБ. И также непонятно, как это все попадет в Госдуму и Правительство, которые не работают на уровне технических стандартов и требований. Если отбросить идею с новыми законами, указами и постановления (они уже принят), я вижу пока только один сценарий развития событий (если не считать, что все забьют болт на распоряжение Путина, что маловероятно) - технический регламент. Но о нем пока никаких слухов не было.
ЗЫ. В плане весенней сессии Госдумы никаких нормативных актов по поводу персданных нет.
Эти акты должны быть представлены в Правительство и внесены (приняты) в Госдуму в этом (!) году. При этом, в первом же пункте распоряжения написано, что руководители федеральных органов исполнительной власти несут персональную ответственность за выполнение указанного плана, утвержденного Путиным.
Отсюда становится понятны поспешные заявления г-на Щеголева о том, что его ведомство будет разрабатывать стандарты по защите персданных. Отсюда становится понятно, почему ФСТЭК выпускает новую версию своих требований. Пока непонятно, что будет делать ФСБ. И также непонятно, как это все попадет в Госдуму и Правительство, которые не работают на уровне технических стандартов и требований. Если отбросить идею с новыми законами, указами и постановления (они уже принят), я вижу пока только один сценарий развития событий (если не считать, что все забьют болт на распоряжение Путина, что маловероятно) - технический регламент. Но о нем пока никаких слухов не было.
ЗЫ. В плане весенней сессии Госдумы никаких нормативных актов по поводу персданных нет.
6.4.09
Презентации с RusCrypto
В прошедшие выходные, на конференции РусКрипто выступал на тему "Архитектура информационной безопасности".
Примечательно, хотя и грустно, что идея "безопасность для бизнеса, а не безопасность для безопасности" для многих была в новинку ;-(
Во второй день я вел секцию "Как ИБ-компании обманывают своих клиентов". Доклады получились интересными. Начал рассказ Алексей "Arkanoid" Смирнов (независимый эксперт) с рассказом о том, как вендоры пытаются заработать на вымышленных и преувеличенных угрозах. Вторым выступал Михаил Хромов (Лукойл-Информ) с рассказом о том, как консультанты по безопасности ведут свой бизнес. Учитывая многолетний опыт Михаила в общении с российскими и западными консультантами, рассказ получился очень интересный и острый. Жаль, что на секции присутствовало очень мало интеграторов, которые активно рекламируют свои услуги по ИБ. Им было бы полезно узнать и учесть советы заказчика в своей работе. Завершал секцию я, продолжив рассказ Алексея о маркетинговых уловках, злом умысле и просто ошибках, которые допускают вендоры продавая свои продукты и услуги по информационной безопасности.
Security Architecture.pdf
View more presentations from lukatsky.
Примечательно, хотя и грустно, что идея "безопасность для бизнеса, а не безопасность для безопасности" для многих была в новинку ;-(
Во второй день я вел секцию "Как ИБ-компании обманывают своих клиентов". Доклады получились интересными. Начал рассказ Алексей "Arkanoid" Смирнов (независимый эксперт) с рассказом о том, как вендоры пытаются заработать на вымышленных и преувеличенных угрозах. Вторым выступал Михаил Хромов (Лукойл-Информ) с рассказом о том, как консультанты по безопасности ведут свой бизнес. Учитывая многолетний опыт Михаила в общении с российскими и западными консультантами, рассказ получился очень интересный и острый. Жаль, что на секции присутствовало очень мало интеграторов, которые активно рекламируют свои услуги по ИБ. Им было бы полезно узнать и учесть советы заказчика в своей работе. Завершал секцию я, продолжив рассказ Алексея о маркетинговых уловках, злом умысле и просто ошибках, которые допускают вендоры продавая свои продукты и услуги по информационной безопасности.
Теория организации применительно к информационной безопасности
Недавно на bankir.ru в очередной раз всплыл вопрос о том, кому должна подчиняться служба ИБ. Как обычно разгорелся флейм, в результате которого единого рецепта так и родилось. У всех свой опыт и свои рекомендации. О чем это говорит? О том, что универсальных советов в этой области практически нет.
Замечали ли вы, что рецепты успешного внедрения ИБ в одной компании, не всегда срабатывают на других предприятиях? Даже лучшие практики не всегда приживаются в той или иной организации. А ведь по логике вещей должны - на то они и лучшие, что собраны со всего мира, с десятков тысяч предприятий. Почему так происходит? Ответ прост. Все компании разные. Даже если они работают в одной отрасли, различий между ними гораздо больше (это кстати одна из причин, почему security benchmarking - во многом вещь бестолковая). Разный уровень зрелости, разные руководители, разная структура компании и разные этапы жизненного цикла организации. Все это прямым образом влияет на информационную безопасность и успех/неудачу принятия или внедрения тех или иных решений и проектов.
Однако как сложен и многообразен не был бы вокруг нас мир, в конечном итоге он подчиняется определенным законам - не случайно на свет родилась теория систем. Тоже относится и к предприятиям различных форм собственности, масштаба, культуры, географической принадлежности. Все они представляют собой комбинации простейших взаимодействующих элементов, понимать принципы действия которых необходимо для успешного существования любого подразделения в компании. И информационная безопасность не исключение.
К чему я, собственно, это написал? Просто близится курс "ИБ и теория организации", который я читаю в ИБД АРБ, и я активно готовлюсь к нему ;-)
ЗЫ. Как обычно, ИБД АРБ проводит 2 варианта курса - очно (7500 руб.) и онлайн (5000 руб).
Замечали ли вы, что рецепты успешного внедрения ИБ в одной компании, не всегда срабатывают на других предприятиях? Даже лучшие практики не всегда приживаются в той или иной организации. А ведь по логике вещей должны - на то они и лучшие, что собраны со всего мира, с десятков тысяч предприятий. Почему так происходит? Ответ прост. Все компании разные. Даже если они работают в одной отрасли, различий между ними гораздо больше (это кстати одна из причин, почему security benchmarking - во многом вещь бестолковая). Разный уровень зрелости, разные руководители, разная структура компании и разные этапы жизненного цикла организации. Все это прямым образом влияет на информационную безопасность и успех/неудачу принятия или внедрения тех или иных решений и проектов.
Однако как сложен и многообразен не был бы вокруг нас мир, в конечном итоге он подчиняется определенным законам - не случайно на свет родилась теория систем. Тоже относится и к предприятиям различных форм собственности, масштаба, культуры, географической принадлежности. Все они представляют собой комбинации простейших взаимодействующих элементов, понимать принципы действия которых необходимо для успешного существования любого подразделения в компании. И информационная безопасность не исключение.
К чему я, собственно, это написал? Просто близится курс "ИБ и теория организации", который я читаю в ИБД АРБ, и я активно готовлюсь к нему ;-)
ЗЫ. Как обычно, ИБД АРБ проводит 2 варианта курса - очно (7500 руб.) и онлайн (5000 руб).
3.4.09
ФСТЭК занимается нанотехнологиями
С удивлением для себя обнаружил, что ФСТЭК у нас отвечает за нанотехнологии для систем безопасности. У ФСТЭКа этой темой занимается сразу несколько структур:
Объем финансирования - почти 900 миллионов рублей на 3 года, что больше, чем у того же Роскосмоса.
- ФГУП "Центральный научно-исследовательский институт химии и механики" (это головная организация)
- Научно-исследовательский центр нанотехнологий ФСТЭК России.
Объем финансирования - почти 900 миллионов рублей на 3 года, что больше, чем у того же Роскосмоса.
Как безопасность влияет на бизнес - реальные цифры - II
Пару недель назад я уже писал про влияние безопасности на бизнес с прослеживанием четкой связи произошедшего инцидента и падением курса акций. Но и тут оказалось не все так просто. Публичность инцидента еще не значит падения курса акций - все зависит от многих параметров - преследования по закону, исков со стороны пострадавших, внимания прессы и т.п.
Например, письмо североамериканской компании, управляющей отелями Wyndham, о компрометации кредитных карт постояльцев не привело к падению курса акций.
Но все-таки это редкость. Большинство примеров показывает прямую связь. Например, набивший оскомину инцидент с утечкой 94 миллионов записей из TJX.
"Важно", чтобы инцидент нанес ущерб не только своим сотрудникам, но и клиентам. Тогда влияние будет наибольшим. Если же произошла утечка каких-то внутренних данных, то это бычно не сильно влияет на стоимость акций. Например, кража в мае 2008 года из AT&T лэптопа с именами сотрудников, их зарплатами и ИНН не привело ни к каким видимым последствиям и падение курса акций AT&T связано скорее всего с общим падением на рынке.
Например, письмо североамериканской компании, управляющей отелями Wyndham, о компрометации кредитных карт постояльцев не привело к падению курса акций.
Но все-таки это редкость. Большинство примеров показывает прямую связь. Например, набивший оскомину инцидент с утечкой 94 миллионов записей из TJX.
"Важно", чтобы инцидент нанес ущерб не только своим сотрудникам, но и клиентам. Тогда влияние будет наибольшим. Если же произошла утечка каких-то внутренних данных, то это бычно не сильно влияет на стоимость акций. Например, кража в мае 2008 года из AT&T лэптопа с именами сотрудников, их зарплатами и ИНН не привело ни к каким видимым последствиям и падение курса акций AT&T связано скорее всего с общим падением на рынке.
2.4.09
Обзор российских блогов по безопасности
Учитывая, что в последнее время стало появляться много российских блогов по безопасности, я решил сделать некоторый их обзор и дать краткие комментарии по ним:
Наверняка, есть еще что-то и немало из российских блогов. Поэтому буду благодарен за ссылки на пропущенные блоги.
- блог компании Infowatch, посвященный утечкам информации и всем околосвязанным темам. Подписался на него и читаю регулярно и с удовольствием. Познавательно и часто с неожиданной точки зрения рассматривается тема утечек. Единственный минус - непонятно кто же пишет тут или иную заметку. Авторов там было как минимум двое, но никто не подписывается ;-(
- блог Сергея Гордейчика из Positive Technologies. Учитывая профиль компании и самого Сергея, блог посвящен дырам, пентестам и т.п. тематике.
- блог Александра Дорофеева "Заметки консультанта", посвященный различным аспектам деятельности Александра на поприще консалтинга ИБ. Также Александр публикует в Интернет свою книгу "Информационная безопасность: просто о сложном".
- блог Arkanoid'а, посвященный всему, что волнует этого известного под ником arkanoid человека ;-) Но будьте готовы к ненормативной лексике ;-(
- блог Травкина Ю.В., посвященный правовым вопросам, связанным с персональными данными. К сожалению последнее обновление блога датировано июлем прошлого года.
- блог Евгения Царева, независимого консультанта, занимающегося тоже тематикой персональных данных. Учитывая, что Евгений оказывает услуги по данной тематике, то публикуемая им информация достаточно интересна и полезна.
- блоги на SecurityLab. Их там много - и личных, и от имени компаний. Но у меня как-то не сложилось их адекватной оценки. Либо идет реклама компаний, либо повтор новостей о тех или иных дырах. К тому же многие блоги просто мертвые - авторы поигрались и забыли про них. Но иногда что-то ценное можно выудить.
- Security (b)log, как аггрегатор блогов по безопасности с LiveJournal. Там много всего.
- Свой блог начинала Наталья Касперская, но кроме одной записи, датированной ноябрем, там больше ничего нет. Видимо рождение ребенка не способствует посиделкам в Интернет ;-)
Наверняка, есть еще что-то и немало из российских блогов. Поэтому буду благодарен за ссылки на пропущенные блоги.
1.4.09
На смену требованиям ФСТЭК по персданным идут требования Минсвязи?
Как-то забыл пройтись по этой мартовской новости. "Министр связи и массовых коммуникаций РФ Игорь Щеголев поручил Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) разработать и ввести новые стандарты в области защиты персональных данных".
Как это соотносится с тем, что за разработку требований и стандартов в области ИБ у нас отвечает ФСТЭК, а Роскомнадзор к этому имеет ну очень опосредованное отношение, я пока не понимаю ;-(
Как это соотносится с тем, что за разработку требований и стандартов в области ИБ у нас отвечает ФСТЭК, а Роскомнадзор к этому имеет ну очень опосредованное отношение, я пока не понимаю ;-(
Проявления ИБ на улицах города
Бродя по улицам Москвы, иногда видишь следы информационной безопасности, которая незаметно, но все чаще проникает в нашу жизнь. Кто бы еще пару лет назад мог подумать, что на бензозаправках будет рекламироваться антивирус, по улицам будет ездить "безопасный" авто, а лифты будут запираться на eToken?..