26 августа прошло (и еще на сайте Минсвязи) заседание Научно-технического совета при Минсвязи, посвященное проблематике ПДн (и еще один комментарий). Итог неутешительны ;-( Все признают, что ФЗ-152 не соответствует Евроконвенции, что его выполнить невозможно, что регуляторы создали очередной коруппциогенный нормативный акт. Но делать ничего не хотят ;-( Сроки переносить не планируют (пока).Мне "понравился" следующий пассаж: "По итогам заседания участники секции решили подготовить предложения по дальнейшему анализу имеющихся противоречий нормативных...
28.8.09
Сколько денег на безопасность достаточно?
Вопрос, которым часто задается топ-менеджмент при финансировании проектов по ИБ? И казалось бы, что универсального ответа на него нет. Оказывается это не так.Одной из первых работ по данной теме явилось исследование Лоуренса Гордона и Мартина Леба (The Economics of Information Security Investment, ACM Transactions on Information and System Security, Vol. 5, No. 4, стр. 438-457), которые в 2002 году опубликовали модель оценки оптимального уровня инвестиций в ИБ исходя из стоимости защищаемой информации. По их мнению, этот уровень должен быть равен...
27.8.09
Безопасность и юзабилити
Вчера я писал про статью о юзабилити в безопасности, а сегодня решил выложить свою старую презентацию по этой теме (от 2007-го года).Security And UsabilityView more documents from lukats...
26.8.09
Комфортность работы и сфера информационной безопасности
Для Connect'а недавно готовил статью про комфортность работы пользователя со средствами защиты и как такое понятие, как "юзабилити", влияет на уровень защищенности компании."Информационная безопасность (ИБ), раньше находившаяся в тени и слывшая «черным ящиком» во многих компаниях, чуть больше года назад вышла на первый план, когда сотрудники столкнулись с тем, что их доступ к «одноклассникам» был закрыт на средствах защиты Интернет-периметра. Отношение рядовых пользователей к информационной безопасности, и без того не самое лучшее, только ухудшилось,...
25.8.09
Экономическая оценка инвестиционной привлекательности проектов по ИБ
По просьбе журнала Connect я подготовил статью про подходы к экономической оценке эффективности системы обеспечения ИБ предприятия. Вот введение к ней:"Сегодня, в условиях нестабильной экономической ситуации, начинают меняться взгляды на информационную безопасность (ИБ). С одной стороны, многие отечественные производители средств защиты в интервью и с большой трибуны заявляют, что кризис на затронул и не затронет рынок ИБ, что заказчики не сокращают данную статью расходов, что требования регуляторов все равно надо выполнять и т.д. Но в кулуарах...
24.8.09
ФАС опять регулирует рынок безопасности
Я уже писал про дело челябинской компании, подавшей жалобу в ФАС на действия Лаборатории Касперского. Последняя отбилась от претензий антимонопольщиков, обосновав законность своей схемы продаж. На сайте ФАС есть и еще одна новость про ЛК. Она, якобы, не до конца раскрыла группу лиц, в которую входит Лаборатория Касперского.И вот снова ФАС в центре событий. Информзащита подала жалобу в ФАС на Dr.Web. С одной стороны суть жалобы похожа на челябинский конфликт ЛК, а с другой Информзащита утверждает, что конфликт возник на совершенно иной почве. Dr.Web...
21.8.09
1-е октября 2009-го года. Апокалипсис безопасности?
Чуть больше месяца осталось до 1-го октября. Что ждет нас в этот день? Оказывается целая куча серьезных мероприятий по ИБ:Конференция "DLP Russia 2009"Конференция InfoSecurity Russia 2009 (последний день)Конференция Гротека "Персональные данные"Конференция "Непрерывность бизнеса – новое требование или объективная необходимость?"Ну и до кучи "ИТ в страховом бизнесе" (не по ИБ, но страховщики-айтишники скорее пойдут на профильную конференцию, чем на общую).ЗЫ. Интересно, как такие накладки вообще были допуще...
20.8.09
Мифы 51-53
Новые мифы:Традиционная телефония более защищена, чем IP-телефонияIP-телефония не защищает от прослушиванияIP-телефонию легко вывести из ст...
19.8.09
Мифы 48-50
Новые мифы:Сертификат ФСТЭК гарантирует защищенностьВ России запрещено использовать несертифицированные средства шифрованияВ нашем шифраторе мы используем ГОСТ 28147-89 и поэтому чисты перед зако...
18.8.09
Стоит ли сообщать клиентам об утечках их данных?
В США, в каждом штате существуют законы, обязывающие компании, пострадавшие от утечек данных, сообщать об этом факте пользователям, чьи данные утекли. Правильно это или нет? Стоит ли следовать этой практике и у нас, как об этом часто говорят на разных конференциях? Если отбросить логику и обратиться к цифрам, то ответ опять будет не таким очевидным.Смотрю отчет "Do Data Breach Disclosure Laws Reduce Identity Theft?", в котором эксперты проанализировали, как принятые законы повлияли на число утечек и повлияло ли вообще. И вывод неутешительный. За...
17.8.09
Имеет ли право производитель ИБ устанавливать цены на свои продукты?
Казалось бы парадоксальный вопрос, но отечественная ФАС именно его и задала, возбудив дело против Лаборатории Касперского (а в будущем, может быть, и против Dr.Web). Суть дела проста - компания, не являющаяся партнером ЛК, выиграла в тендере на поставку антивируса Касперского, но не смогла ее осуществить, т.к. ЛК отказалась предоставлять свой продукт не-партнеру. ФАС решила, что отказ ЛК является нарушением конкуренции и ЛК обязана продавать свои продукты любой компании, причем не имеет права устанавливать единую рекомендованную розничную цену.Я...
14.8.09
Когнитивная психология - часть вторая
Что-то потянуло меня на изучение различных исследований в области ИБ ;-)В среду обсуждали тему когнитивной психологии и числа запоминаемых паролей. В качестве решения проблемы было предложено использовать ассоциативные пароли, создаваемые на основе различных фраз и предложений. Например, из всем известной фразы "Мой дядя самых честных правил" можно составить пароль по первым буквам каждого слова фразы - "мдсчп" или "модясачепр" (по первым двум буквам). В прочитанном мной исследовании приводился такой пример - из фразы "Four score and seven years...
13.8.09
Кто/что влияет на инвестиции в ИБ?
Вот сижу и смотрю интересное исследование, посвященное анализу стратегий инвестирования в ИБ. Оно конечно проводилось в США, но его выводы можно транслировать и на Россию. Как всем известно, основным драйвером инвестиций в ИБ внутри компаний является регулирование и законодательство. По данным отчета, этот драйвер оценивается в 30% от общего числа.Второй, уже более интересный аспект касается того, что больше всего влияет на принятие решения об инвестициях в ту или иную технологию и проект ИБ. На первом месте находится мнение квалифицированного...
12.8.09
Когнитивная психология и максимальное число паролей у пользователя
Специалисты по когнитивной психологии утверждают, что среднестатистический человек может одновременной удерживать в памяти 5 вещей, гений - 7, а человек с посредственными умственными возможностями - не более трех.Какой отсюда следует вывод? Учитывая, что почти нет компаний, в которых работают не то, чтобы одни гении, но и просто среднестатистические пользователи, а также то, что рассчитывать всегда надо на самое слабое звено, то число паролей у пользователя ко всем системам должно не быть не более трех. В противном случае, он их перестанет запоминать...
11.8.09
Стоит ли сообщать злоумышленникам об уровне своей защищенности?
Вопрос, вынесенный в заголовок, не праздный. Более того, ответ на него не так прост как кажется. У многих специалистов сложилось впечатление, что, чем меньше злоумышленники знают об их системе защиты, тем выше ее эффективность. Сторонники движения security through obscurity часто ратуют за сохранение в тайне любой информации о том, какие меры и продукты защиты используются в организации. Но есть ли под этим какая-нибудь основа и рациональное зерно? Не миф ли это?Оказывается все не так очевидно, как кажется многим. Более того, все совсем не так,...
Изменение дизайна блога
Поднадоел немного старый дизайн "как у всех". Решил поэкспериментировать и персонализировать блог. Вот, что получилось ;-) Не знаю, пока не привык. "Не пойдет", так опять поменяю ...
10.8.09
Обезличивание персональных данных - практика
Уже не раз поднималась тема обезличивания персональных данных. Что это? Как делать? Как это понимает регулятор? Пока в России идут дискуссии, в США уже предложены алгоритмы обезличивания, защищаются диссертации, разрабатываются специальные инструменты для решения данной задачи. Самой известной является модель, получившая название k-anonymity и предложенная еще в 2002 году Латаньей Суинни.Так что если среди вас есть разработчики, то эту модель можно попробовать реализовать в реальных проектах. Учитывая, что это математическая модель, эффективность...
8.8.09
Что общего между безопасностью и футболом?
Продолжая тему аналогий, выкладываю презентацию двухлетней давности о том, что общего между безопасностью и футболом ;-)Security and football: what's differenceView more documents from lukats...
7.8.09
McAfee покупает MX Logic
30 июля McAfee анонсировала покупку частной компании MX Logic за 140 миллионов долларов. Последняя мало известна российскому потребителю. На Западе же она предлагает различные аутсорсинговые услуги безопасности или, как это стало модно, security-as-a-service (преимущественно в области электронной почты и Web).Пока непонятно, будет ли предлагаться данная услуга в России? Да и с ее востребованностью тоже вопросы. Не готовы у нас пока потребители отдавать свою безопасность вовне - не доверяют они пока поставщикам таких сервис...
Роскомнадзор: от ворот поворот
В Хабаровском крае опротестована проверка Роскомнадзора по линии персданных. Суть проста - Роскомнадзор без согласования с прокураторой (что требуется по новому ФЗ-294) провел внеплановую выездную проверку небольшой организации. Мотивация РКН была простая - защита прав потребителей. Прокуратора посчитала такой мотив некорректным. Тем самым в действиях Роскомнадзора было выявлено нарушение законодательства.Интересен тот факт, что эта самая небольшая организация, которая обратилась в прокуратуру, действительно нарушила права субъекта ПДн. Вот такой...
6.8.09
Использование генераторов шума требует не только отдельной лицензии, но и оплаты
Наверное многие из вас читали про, как минимум, два факта, когда Роскомнадзор запрещал эксплуатацию генераторов шума (требуются для ИСПДн 1-го и 2-го класса по требованиям ФСТЭК). Позиция Роскомнадзора, который давно уже нелестно отзывался о требованиях ФСТЭК, понятна: генератор шума - это радиочастотное устройство. На его эксплуатацию нужно разрешение Роскомнадзора. Нет разрешения РКН - использовать запрещено.Забавная ситуация складывается - есть не то, чтобы противоречающие друг другу требования. Просто на эксплуатацию генератора шума вам теперь...
5.8.09
Куб МакКамбера
Вот интересно, кто из читателей блога, знает, что такое "куб МакКамбера" (McCumber cube)?Это понятие появилось еще в 91-м году и оно определяет целостную модель для информационной безопасности, описанную Джоном МакКамбером.Суть этой концепции достаточно проста - три измерения куба отображают три ключевых направления ИБ:цель безопасности (классическая триада - конфиденциальность, целостность и доступность)состояние информации (обработка, хранение,...
4.8.09
WatchGuard покупает BorderWare
Компания WatchGuard анонсировала приобретение частной канадской компании BorderWare Technologies, работающей на рынке борьбы с угрозами для Web и E-mail для предприятий среднего размера, а также известной на рынке Managed Security Servic...
Что общего между безопасностью и автомобилем
Читая комментарии к заметке о "кляче, телке и безопасности", вспомнил, что около 3-х лет назад делал презентацию на тему "Что общего между автомобилем и информационной безопасностью?". Вот и решил ее выложить сюда ;-)South Africa.pdfView more documents from lukatsky.PS. Почему презентация называется "South Africa"? Просто я ее читал там ...
3.8.09
IBM покупает Ounce Labs
28-го июля голубой гигант объявил о приобретении компании Ounce Labs, занимающейся анализом защищенности исходного кода приложений. Продукты приобретенной компании войдут в семейство Rational AppScan. Детали сделки не разглашают...
Интеграция ИБ в процесс инвестирования и бюджетирования
Национальный институт стандартизации США выпустил интересный документ (пока проект) - NIST SP 800-65 "Recommendations for Integrating Information Security into the Capital Planning and Investment Control Process". И хотя документ ориентирован на американские госсорганы, обязанные выполнять требования FISMA, он может быть полезен и у нас. Правда, в первую очередь, для средних и крупных компаний, где процессы бюджетирования и инвестирования более-менее формализова...
1.8.09
Безопасность бизнеса: сканун или кляча?
Наткнулся тут на интересную картинку и решил ее транслировать на область ИБ. Получилось прикольно и интересно ...
Подписаться на:
Сообщения (Atom)
