Новая порция мифов:Банк в состоянии самостоятельно защититься от DDoS-атакПриведение себя в соответствие с требованиями ФЗ-152 не требует никаких затратСнижение класса защищенности ИСПДн приведет к снижению затрат на защиту персональных данных80% всех нарушителей находятся внутри организац...
29.6.09
Информационная безопасность по Дарвину
2 с лишним года назад я написал статью "Звериный оскал информационной безопасности". И совсем недавно с удивлением обнаружил, что идея, лежащая на поверхности, пришла не только мне. На сайте "Дарвиновская безопасность" можно найти ссылки на различные книги, публикации и материалы, которые показывают как такие дисциплины, как экология, биология, психология, палеонтология, палеология, вирусология и т.п. находят свое применение в борьбе против различных угроз - от терроризма до природных катастроф. Может применяться данный подход и к информационной...
26.6.09
Уехал в Китай... Скоро вернусь...
В Китае набирают 10000 Интернет-цензоров для контроля "плохих" сайтов. И это логичный шаг для страны с населением свыше миллиарда человек. Вместо того, чтобы использовать технические решения, гораздо дешевле нанять нужное количество людей. Этот факт лишний раз доказывает, что вопросы безопасности можно решать не только и не столько техническими мерами.Поеду, съезжу. Может возьмут. Тогда вернусь таким...
25.6.09
Новый портал по теме PCI DSS
Digital Security открыла портал "PCI DSS", который должен стать площадкой для аккумулирования и обсуждения информации о стандарте, которая была бы интересна и полезна как тем, кто только начинает разбираться в его тонкостях, так и специалистам, имеющим большой опыт работы с PCI DSS. Портал включает в себя непосредственно информацию о стандарте, различные обзоры, статьи и иные материалы, подготовленные профессионалами в области PCI DSS, и, естественно, обсуждение всевозможных вопросов, касающихся стандарта, в блоге и на форуме.ЗЫ. Чуть меньше месяца...
24.6.09
Об уровне коррупциогенности документов по персданным
Вступив в должность, В.В. Путин достаточно много стал говорить о борьбе с коррупцией. И слова так бы и остались словами, если бы премьер-министр Постановлением Правительства от 5 марта 2009 г. №196 "Об утверждении методики проведения экспертизы проектов нормативных правовых актов и иных документов в целях выявления в них положений, способствующих созданию условий для проявления коррупции" не утвердил упомянутую в названии методику.В тот же день были утверждены "Правила проведения экспертизы проектов нормативных правовых актов и иных документов...
23.6.09
О целях и сроках хранения ПДн
Занимаюсь персданными часто возникает вопрос о том, как правильно определить цели и, что не менее важно, сроки хранения персональных данных? Если это не сделать, субъект ПДн, пришедший в организацию, может затем послать ей запрос с просьбой представить доказательства, что после его ухода его ПДн уничтожены. Какой смысл тогда фиксировать эти данные?Как решить этот конфликт? Для этого у нас есть два решения Росархива (помимо сроков прописанных в ТК, НК и ряде других федеральных законов):"Перечень типовых управленческих документов, образующихся в...
21.6.09
Еще один Интернет-ресурс по ПДн
Янаткнулся на новый Интернет-ресурс по тематике персональных данных, запущенный НПО Эшелон. Ничего сверхинтересного, исключая, пожалуй, список средств защиты, соответствующих требованиям ФСТЭК. Вы указываете нужный вам класс ИСПДн и получаете список подходящих средств защиты. Главное, чтобы список регулярно актуализировался - в противном случае грош ему цена. Сразу хочу отметить, что пробежав наскоро этот список, я понял что он неполный ;-( Поэтому ориентироваться на него не стоит.Из забавного на этом портале - это форум. Вопросов и ответов там...
18.6.09
Новая версия курса по персданным
Я уже как-то писал, что я читаю курс по персданным в Институте банковского дела АРБ. Ближайший курс - 21-го июля. Учитывая появление новых сведений по данной тематике, я обновил программу курса и добавил в нее следующие темы:расширен список примеров претензий со стороны регуляторов для разных отраслей (банки, операторы связи, ЖКХ, страховые компании и т.д.)примеры реального нанесения ущерба по направлению ПДндоменные имена и IP-адреса как персональные данныесроки хранения различных типовы персональных данных в соответствие с российским законодательством...
17.6.09
IP-адрес - это персданные
Продолжая размышлять о персональных данных пришел к интересному, но опасному выводу о том, что доменное имя - это ведь тоже персональные данные, т.к. по нему можно идентифицировать владельца домена (если он физическое лицо). А чтобы сделать эти персданные общедоступными, необходимо получать письменное согласие субъекта ПДн. Развивая эту тему, статус персданных замечательно ложится и на статические IP-адреса, которые нередко закрепляются за отдельными гражданами, желающими иметь таковые адреса при доступе в Интернет или оказания каких-либо услуг....
16.6.09
Мифы 40-43
Новая порция мифов:Хакерам недоступны объекты космической отраслиВину хакера легко доказатьВ комплект поставки моего компьютера входит антивирус и поэтому мне нечего опасатьсяФЗ "О персональных данных" - самый главный закон по данной теме в Рос...
15.6.09
12.6.09
Будущее PCI DSS под вопросом?
На портале PCI Security за последнюю неделю было опубликовано пару интересных новостей, которые хорошо отражают процессы, происходящие на Западе по отношению к стандарту PCI DSS.Ситуация очень похожа на то, что у нас происходит с персданными. Есть закон, есть технические требования, есть наказания. Но, во-первых, инцидентов с нанесением реального ущерба субъектам ПДн практически нет (раз-два и обчелся), а во-вторых, сокращения числа утечек ПДн пока не заметно. Базы (а именно это было толчком к созданию ФЗ-152) как продавали так и продают. К PCI...
11.6.09
Business Impact Analysis и информационная безопасность
Вчера на конференции Business Continuity Russia выступал в секции по ИБ. Сделал доклад на тему "Business Impact Analysis и информационная безопасность", коий сюда и выкладываю. Разумеется, я рассматривал не всю названную тему, а только ее отдельные моменты. Моя задача была показать, что танцевать надо от бизнес-требований, а для этого без BIA не обойтись. Все остальное (управление инцидентами, мониторинг, выбор средств защиты, оценка рисков) уже вытекает из BIA.Security for Business Impact AnalysisView more Microsoft Word documents from lukats...
Сайт по безопасности взломан
В Москве недавно проходило мероприятие PCI Moscow. Оно входило в серию семинаров, посвященных стандарту PCI DSS, организованных некоей западной компанией AKJ Associates Ltd. Организованные в Киеве, Каире, Таллине, Амстердаме, Мадриде, Йоханесбурге и других городах мира мероприятия, должны были показать всю важность стандарта PCI DSS для защиты информации о владельцах платежных карт. К слову сказать материалы московской конференции выложены на сайте организаторов.Парадокс в том, что это сайт взламывают уже второй раз за прошедший месяц. Первый раз...
10.6.09
2 новых портала по информационной безопасности
Сегодня маркетинговая активность многих ИБ-компаний плавно перетекает в Интернет - это практичнее, дешевле и выглядит инновационнее. Стало модно запускать порталы по тем или иным темам информационной безопасности.И вот "Лаборатория Касперского" запустила новый портал - securelist.ru, ставший логичным продолжением и развитием порталов viruslist.ru и spamtest.ru. На сайте представлены такие разделы, как аналитические публикации, веблог, энциклопедия информационной безопасности, описания детектируемых объектов, а также глоссарий.При этом портал планирует...
9.6.09
Программа курса "Измерение информационной безопасности"
30 июня в Институте банковского дела АРБ я буду читать свой новый курс "Измерение эффективности информационной безопасности" (очно и онлайн). Конечно сложно будет в отведенное время рассказать все, но я буду придерживаться следующей программы:1. Для чего нужно измерение эффективности ИБ?Можно ли измерять ИБ?Зачем нужно измерять ИБ?Качественное и количественное измерение?Все ли измеряется деньгами или имеют ли право на существование нефинансовые методы измерений?Почему так сложно измерять ИБ?Аудитория для результатов измеренийМифы об измерении ИБ2....
8.6.09
Проект securitypolicy.ru
По адресу: securitypolicy.ru запущен проект по созданию и обсуждению всевозможных политик по информационной безопасности, в котором может принять участие любой желающий. Вы можете выкладывать свои проекты/документы на обсуждение, участвовать в обсуждении уже выложенных документов, вносить правки в них и т.д.Уже сейчас проект насчитывает около сотни русскоязычных документов по широкому спектру тематик:контроль доступанепрерывность бизнесабезопасность персоналауправление рискамиприобретение, разработка и поддержка системуправление коммуникациямифизическая...
6.6.09
Законодательство о персданных в анекдотах
Украли у мужика корову. Приходит он домой и говорит:- У нас корову украл какой-то пи...р. Старший брат: - Если пи...р - значит маленький.Средний брат: - Если маленький - значит из Малиновки.Младший Брат: - Если из Малиновки - значит Васька Косой.Все выдвигаются в Малиновку и там прессуют Ваську Косого.Однако Васька корову не отдает. Его ведут к мировому судье.Мировой судья:- Ну... Логика мне ваша непонятна. Вот у меня коробка, что в ней лежит?Ср брат: - Коробка квадратная, значит внутри что-то круглое.Ст. брат: - Если круглое, то оранжевое.Мл....
5.6.09
Новая методика оценки рисков Банка России
Я уже ссылался на эту методику и вот ее опубликовали на сайте Подкомитета №3 «Защита информации в кредитно-финансовой сфере» выложена методика оценки рисков нарушения информационной безопасности (РС БР ИББС-2.2-200...
Отчет о деятельности Роскомнадзора за 2008 год
На сайте Роскомнадзора опубликован отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2008 год. Внушает ...
4.6.09
Business Continuity Russia 2009
9-10 июня в Москве пройдет конференция "Business Continuity Russia 2009". 10-го июня в рамках конференции будет организована секция, посвященная вопросам ИБ при обеспечении BCP.Темы докладов следующие:Управление инцидентами ИБ как составная часть управления непрерывностью бизнеса – Костина Анна, консультант, Инфосистемы Джет Мониторинг событий информационной безопасности как составная часть процесса обеспечения непрерывности бизнеса – Виктор Сердюк, Генеральный директор, ДиалогНаука Риски и средства контроля корпоративных систем управления предприятием,...
3.6.09
Мнение АРБ о претензиях ФСБ в отношении банков
В 7-м номере "Вестника АРБ" за этот год, опубликовано заключение АРБ по поводу обоснованности применения ст.171 УК РФ (Незаконное предпринимательство) к банкам, нарушившим законодательство на техническое обслуживание, распространение шифровальных (криптографических) средств, предоставление услуг в области шифрования.Не буду переписывать 4 страницы - просто сошлюсь на выводы:СКЗИ в банке - это не отдельный элемент бизнеса, а неотъемлемая часть программно-аппаратного комплекса АБС, осуществляющего технологические процессы, направленные на оказание...
2.6.09
Как научиться говорить с топ-менеджментом на одном языке? Ответ прост - ITEF 2009
Любого профессионала интересуют мировые тенденции выбранной отрасли. Люди, которые выбрали своей сферой деятельности информационные технологии или информационную безопасность, здесь не исключение. Множество российских специалистов получили доступ к знаниям и технологиям международного сообщества, так называемым "лучшим практикам". К сожалению, возможность обучения заграницей или общение с иностранными коллегами доступно далеко не всем. Поэтому Бюро профессиональных услуг 4х4, RISSPA и придумали ИТ Евро Форум (ITEF) как российскую площадку, на которой...
Подписаться на:
Сообщения (Atom)
