Вчера на InfoSecurity выступил и со второй темой - "Стандарты безопасности АСУ ТП". К сожалению, несмотря на трехкратное напоминание, организаторы так и не поставили эту тему в программу, поэтому аудитория была не готова к моему выступлению - вопросов почти не было ;-(
Но зато мне удалось систематизировать собственные знания в области международных и российских (есть и такие) стандартов безопасности АСУ ТП. Получилось, на мой взгляд неплохо. Есть о чем подумать и тем, кто работает с АСУ ТП, и тем кто защищает, и тем кто разрабатывает свои локальные...
30.9.09
29.9.09
Как в пылу борьбы за R и C не забыть про G?
Сегодня у меня два выступления на InfoSecurity Russia 2009. Первое из них посвящено тематике Security Governance. Очень сложно за 10-15 минут осветить эту непростую тему. Поэтому я сконцентрировался на ключевых концепциях.Как в пылу борьбы за C и R, не забыть про GView more documents from lukatsky.PS. На прошлогодней InfoSecurity Russia 2008 я уже выступал с похожей темой, но решил вновь к ней обратиться, т.к. сдвигов пока не вид...
28.9.09
Об активности и пассивности операторов ПДн
Участвуя в последнее время в различных публичных и не очень мероприятиях по тематике персданных обратил внимание на интересный момент - абсолютная пассивность операторов персданных ;-(Задавая вопрос регуляторам мало кто называет свою организацию, опасаясь, что придут и проверят (хотя это малореализуемо на практике). Спорные вопросы федерального закона и постановлений правительства тоже никто не спрашивает официальным путем. А ведь, отвечая на вопросы на публичных мероприятиях, представитель регулятора в общем-то не озвучивает никакой официальной...
26.9.09
Дворники занялись персданными
Интересная ссылка найдена на блоге по ПДн. Суть проста - инженер завода решил стать предпринимателем и в качестве бизнеса задумался податься в тему персданных. По его мнению тема денежная, спрос большой, порог вхождения нулевой, предложение отсутствует. И он почти прав ;-) Если уж обычный заводской инженер "не в теме" увидел это, то что ж говорить о регуляторах и интеграторах безопасности ;-)Хороша концовка - "Да, в теме персональных данных и пр. - я не профи, разбираюсь пока поверхностно (буквально, как только заинтересовался - начал изучать ФЗ,...
25.9.09
Типовой акт классификации ИСПДн
Для курса по персданным сваял типовой акт классификации ИСПДн. Это некоторая компиляция из разбросанных по Интернет примеров акта классификации.Типовой акт классификации специальной ИСПДн ...
24.9.09
Новая версия курса по персданным
Предыдущую версию курса по персданным я обновлял в июне и вот пришло время для новых изменений. Отчитатанную 22-23-го числа версию пополнили следующие моменты:ГОСТ Р ИСО/МЭК 19794 по биометрическим ПДн (10 частей)Ссылки на российские ресурсы по ПДнДействие договоров, заключенных до принятия ФЗ-152Примеры иска в суд и обращений субъектов ПДн к операторамРезультаты проверок ФСТЭКМотивированное непредоставление данных на запрос субъекта ПДн согласно ст.14 ФЗ-152Принцип добросовестности при обработке ПДн через ИнтернетВыгодоприобретатели с точки зрения...
23.9.09
Я на InfoSecurity Russia
Очень долгая дискуссия по поводу моего участия в InfoSecurity наконец-то разрешилась в пользу участия ;-) Правда из заявленных мной еще в июне докладов место осталось не для всех ;-(Заявлял я следующие темы:В круглый стол: "GRC: что это такое?" – «Как в пылу борьбы за C и R не забыть, что такое G»В секцию "Вопросы реализации требований законодательства о персональных данных" - "Как читать ФЗ-152 так, чтобы оптимизировать свои затраты на защиту прав субъектов персональных данных и самих этих данных" или "Разработка частной модели угроз своими силами".В...
22.9.09
Как защищают ПДн в Латвии?
Вчера я вкратце описал, как защищают ПДн в Литве. А что в Латвии? Одноименная государственная инспекция по защите персональных данных не только отвечает за защиту прав субъектов - она же вырабатывает и требования по защите ПДн. Да, они являются обязательными, но... ничего сверхествественного в них я не заметил. Все логично, доступно и понятно. Никаких генераторов шума, навесных и обязательно сертифицированных средств защиты, никакой сертификации на НДВ, никаких обманных систем... Все предельно просто:использование паролей (и нет требования по их...
21.9.09
Почему Роскомнадзор ничего не делает для защиты прав субъектов?
Риторический вопрос в заголовке заметки, я задаю себе в последнее время все чаще. занявшись вплотную темой защиты персональных данных в Европе и США, прихожу к выводу, что наши и "их" регуляторы - это "небо и земля". В Европе и США цель координирующего органа по защите прав субъекта одна - соблюсти баланс интересов субъектов и операторов ПДн. При этом, они делают все, чтобы операторы понимали все требования законодательства, не собирали лишних персональных данных и т.п. В США даже советуют как обезличивать ПДн, чтобы по минимуму подпадать под требования...
18.9.09
Что такое адекватная защита ПДн?
Как гласит 12-я статья 152-ФЗ, для передачи ПДн в иностранные государства необходимо убедиться, что они обеспечивают адекватную защиту прав субъектов ПДн. Что это такое и как убедиться, что страна, с которой вы собираетесь общаться, входит в список "разрешенных" стран? ФЗ на этот вопрос не отвечает, как и любой другой российский нормативный акт.Единственное, где можно встретить разъяснение этого момента, - отчет о деятельности Роскомнадзор по защите прав субъектов ПДн в 2008 году. На 21-й странице этого отчета сказано, что "адекватную защиту персональных...
17.9.09
ФСТЭК проверил 80 тысяч ИСПДн
Вот читаю на портале ИСПДН.ру обзор сочинской конференции по ИБ в разрезе темы персданных. Ну про отказ от переноса сроков, обязательность требования закона особенно для банков, добрую волю регуляторов "на совершенствование методической базы и всяческой поддержки операторов персональных данных" мы слышали неоднократно. А вот резюме доклада представителя ФСТЭК вызывает определенный интерес.Как и, главное, когда ФСТЭК успела проверить 80 тысяч ИСПДн в части соответствия четверокнижию, я не понимаю ;-( Но интересен перечень обнаруженных недостатков....
16.9.09
Новая версия документов ФСБ по ПДн
Вчера, 15-го сентября наступил последний объявленный срок подготовки проекта приказа ФСБ России по персональным данным. После этого он должен пройти процедуры согласования в ФСБ России, ФСТЭК России и будет в конце ноября - начале декабря направлен на регистрацию в Минюст России.Что появилось в новом документе неизвестно ;-( Я свои предложения подавал в ФСБ еще в июне. Надеюсь, что-то из них было учтено в новой версии документов ФСБ. Жаль, что ФСТЭК не просил, пусть и односторонней, но все-таки обратной связи.Предложения для ФСБ по персданным...
15.9.09
Trustwave покупает Vericept
Компания Trustwave, известная на рынке Managed Services и проверки соответствия требованиям PCI DSS, покупает компанию Vericept, известную на рынке DLP. Детали сделки не разглашают...
14.9.09
Детальная программа курса "Построение модели угроз"
Я уже писал, что затеял курс "Построение модели угроз". Учитывая обязательное требование наличия модели в документах по персданным, вопрос ее построения не праздный. А оценив сколько стоит разработка такой модели - вопрос не праздный вдвойне. На выходных читал этот курс и теперь могу описать программу более детально, чем это было сделано в июле.
Основная цель - анализ существующих подходов к разработке модели угроз. Причем акцент делается на том, "как правильно", а не как надо "для галочки" (хотя и его тоже рассматриваю). Большое внимание уделяется...
10.9.09
CiscoExpo в Москве: безопасность с разных сторон
12-14 октября в Москве пройдет десятая, юбилейная конференция CiscoExpo. Среди прочего на конференции, как и все годы до этого, запланирован поток по безопасности. На нем будут рассмотрены различные аспекты построения защищенных сетей:эволюция вредоносного ПОбудущее информационной безопасности глазами Ciscoархитектура построения защищенной сети Cisco SAFEрепутационные технологии защитыбезопасность унифицированных коммуникацийуправление конфигурациями средств защиты и сетевых устройств и их проверка соответствия нормативным требованиямтехнология...
9.9.09
Безопасность в сослагательном наклонении - 2
Я уже писал про Концепцию развития безопасных информационных технологий: обеспечение защиты информации в проектах информатизации России, датированную 92-м годом. И вот, разгребая библиотеку, наткнулся на очередное описание того, как все должно было быть. Статья Игоря Алексеевича Калайды датирована 2005-м годом. На тот момент он был зам.начальника отдела ФСТЭК и поэтому в статье описано видение этого ведомства в области нормотворчества "изнутри".
Статья...
8.9.09
Спам и персданные
Вы думали я буду писать про то, как спамеры используют наши персданные? Ан нет. Речь идет о привлечении внимания к теме персданных с помощью спама. На днях пришла спамерская рассылка с приглашением поучаствовать в двухдневном семинаре "Персональные данные. Что это такое и как их защищать". Имя организатора, конечно же, не указано, как и его e-mail. Только телефон ;-)За сентябрь - это уже 4-е или 5-е мероприятие, посвященное персданным. Думаю в октябре будет еще больше (Cisco тоже будет проводить круглый стол в рамках CiscoExpo). Страшно подумать,...
Отчет Делойт по персональным данным
Делойт опубликовал отчет "Оценка готовности к выполнению требований федерального закона "О персональных данных" Результаты исследования".Отчет Делойт ...
7.9.09
Слухи о новых поглощениях на ниве безопасности
PCWeek/RE опубликовал статью "ИТ-отрасль под прессом", в которой анализируются потенциальные слухи о новых поглощениях и слияних на мировом ИТ-рынке. В области ИБ достаточно интересны два "слуха":Cisco можеть купить EMC, а вместе с ней бизнес RSA Security, enVision (система корреляции ИБ), борьбу с мошенничеством (Fraud Management), DLP и DRM-решения и т.д.HP может купить McAfee, которая очень хочет продаться самой крупной ИТ-компании мира. Также HP может купить SPI Dynamics - поставщика программных средств защиты.Что из этого станет реальностью,...
5.9.09
SecurityTube
Наткнулся на интересный проект (в стадии беты) - SecurityTube. Как понятно из названия он объединяет всякие ролики на тему безопаснос...
4.9.09
Разработка модели угроз только на основании их вероятности
НПП ИТБ опубликовало ряд "аналитических" материалов, в которых есть интересный тезис о том, что для разработки модели угроз достаточно посчитать только их вероятность. А для этого предлагается опираться на статистику уязвимостей и успешных атак. При этом делается классическая ошибка - статистика берется общая (с SecurityLab), а вывод об угрозе на ее основе делается для конкретной компании. Я не говорю, что статистика СекЛаба плохая, но слишком уж она общая - деления по ОС и приложениям в ней нет. А без этого делать хоть мало-мальские серьезные...
3.9.09
Виды тайн в российском законодательстве
Заметка на блоге Infowatch натолкнула меня на мысль, что я давно хотел свести воедино все виды тайн, которые упоминаются в нашем законодательстве. У Николая их получилось 16, но это связано с тем, что он считал только те, за которые существует уголовная ответственность (таких оказалось всего 13). Я проштудировал имеющееся законодательство и составил список из 50 видов тайн, на которые ссылаются те или иные нормативно-правовые акты уровня федерального закона или постановления правительства. В таблицу я вставлял не все ссылки на законы, а только...
2.9.09
3 интересных документа по ПДн
Компания Яндекс любезно поделилась тремя документами, описывающими различные аспекты ФЗ-152:О трудностях исполнения ФЗ-152Справка по европейскому опыту технической защиты ПДнСправка по ФЗ о лицензировании применительно к ПДн.О трудностях исполнения 152-ФЗ Справка по европейскому опыту технической защиты ПД Справка по ФЗ О лицензировании применительно к ПД ЗЫ. При использовании прошу ссылаться на Янде...
1.9.09
В ожидании кибер-Катрины
Произошедшая 17-го августа трагедия на Саяно-Шушенской ГЭС и требование премьер-министра Путина проверить все критически важные объекты (КВО) страны случайно совпали с выходом 19-го августа проекта нового федерального закона США S.773 ("Cybersecurity Act of 2009"). Преамбула этого документа, планируемого к принятию в сентябре этого года, показывает, что аналогичный нормативный акт может появиться у нас... только не такого качества ;-(Подробнее на Компьютерре...
Подписаться на:
Сообщения (Atom)
