Довелось мне тут поглубже ознакомиться с продукцией екатеринбургской компании НТЦ "Сфера" - системой WingDoc ПД. Продукт зачетный, надо сказать прямо. Конечно, у него есть свои недочеты, как с точки зрения удобства пользования, так и с точки зрения некоторых вопросов безопасности. Но если перед организацией встала задача выполнить требования ФСТЭК и ФСБ в части разработки модели угроз (а именно это один из камней преткновения сейчас), то WingDoc ПД отлично справится с этой задачей.
Разумеется, если вы готовы потом выполнять ее (читай ФСТЭКовские/ФСБшные)...
30.10.09
29.10.09
Стандарт ISO 29100
ISO готовит к выпуску стандарт ISO 29100 "Information technology -- Security techniques -- Privacy framework". Мне довелось увидеть его проект и поэтому хочу поделиться впечатлениями.
Цель стандарта проста - определить высокоуровневую архитектуру обеспечения privacy, в т.ч. и защиты персональных данных, с точки зрения технических, организационных и процедурных аспектов. Задачи, заложенные в стандарт тоже понятны:
помочь операторам ПДн в разработке, внедрении, управлении и поддержке ИСПДн
снизить барьеры для электронной коммерции
активно использовать...
ФАС опять на коне
Я уже писал про конфликт ФАС и Лаборатории Касперского. И вот теперь ФАС "наехала" по тому же поводу на Dr.W...
28.10.09
Cisco покупает ScanSafe
Компания Cisco объявила о покупке SaaS-провайдера в области безопасности Web - компанию ScanSafe. Цена сделки - 183 миллиона долларов. Решения ScanSafe дополнят систему IronPort Web Security Appliance, предлагаемую Cisco своим заказчикам. Защита Web-трафика на уровне периметра и в качестве SaaS позволит выстроить эшелонированную оборону от Web-угроз. Также планируется внедрение технологий ScanSafe в VPN-клиент нового поколения Cisco AnyConnect VPN Clie...
История с ESET NOD32 продолжается
В субботу опубликовал я заметку про то как ESET хвалится сертификатом ФСТЭК высшего класса К1 на свой антивирус. Ну думал, пошутили и хватит, ан нет. Ситуация становится еще более интересной. Начались откровенные запугивания со стороны некоторых разработчиков средств защиты и интеграторов в области защиты персданных.
Например, на сайте ispdn.ru (владелец - НПО "Эшелон"), который почему-то назван первым сайтом о защите персональных данных (хотя он ни по популярности, ни по времени появления, даже в пятерку не входит), есть такая страшилка: "то...
27.10.09
26.10.09
Наказание за неисполнение ФЗ-152
Тут на bankir.ru возник вопрос и я понял, что сформированного ответа на него так и нет. Поэтому я решил выложить сюда кусок своей презентации с курса "Что скрывает законодательство по персональным данным?". Он перечисляет возможные наказания за несоблюдение требований ФЗ-152 и подзаконных актов.Штрафы за несоблюдение ФЗ-152View more documents from lukatsky.ЗЫ. Речь идет о действующих наказаниях. Роскомнадзор внес на рассмотрение Госдумы вопрос о внесении изменений в ст.13.11 с целью появления наказания не только за нарушение требований ФЗ, но и...
24.10.09
Сертификат ФСТЭК высшего класса К1
Гротек опубликовал опус про получение Eset NOD32 сертификата ФСТЭК "высшего класса К1". Даже и не знаю, кто этот бред писал ;-( Непонимание не только термина "конфиденциальная информация", но и ФЗ "О персональных данных", системы сертификации ФСТЭК и "четверокнижия" ФСТ...
23.10.09
Как РКН будет пасти своих овец
Роскомнадзор разместил на своем сайте проект Административного регламента проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.Предназначение документа - описать процедуру проверок операторов персданных со стороны Роскомнадзора. Регламент во многом повторяет положения ФЗ-294, но есть ряд очень интересных моментов.Во-первых, РКН решил расширить закрытый перечень оснований для плановой проверки,...
22.10.09
Результат парламентских слушаний
Вчера я описал парламентские слушания, прошедшие в Госдуме по теме персданных. Сегодня пора осветить предложения, которые могут "выйти в финал". Изначально предложений было с полторы сотни (их видно по вчерашним выложенным файлам). После обработки в ГосДуме осталось гораздо меньше, но, как мне кажется, они ключевые:уточнить понятия и терминысроки хранения и уничтожения ПДн должны определяться договором с субъектом, если иное не установлено законодательствомразрешить...
21.10.09
О парламентских слушаниях по ПДн
Вчера прошли парламентские слушания по персональным данным. Очень познавательно ;-) Почти все выступления были по делу и все выступали в унисон - клеймя ФСТЭК с их требованиями и описывая проблемы текущего законодательства. А теперь по пунктам.Начал выступление первый заместитель председателя комитета Госдумы по безопасности - Гришанков Михаил Игнатьевич. Основные лейтмотивы его выступления:жесткая критика ФСТЭК и ФСБ в части обязательных и жестких требованийпереносить сроки нельзя, но надо (на один год)необходимы отраслевые стандартынеобходимо...
20.10.09
Новая версия курса по модели угроз
В новую версию курса "Построение модели угроз" были добавлены следующие разделы/темы:6-й метод определения вероятности угрозыпсихология восприятия риска при моделировании угроз экспертамикак оформлять модель угроз по мнению ФСТЭКмодель угроз Банка Росс...
Новая версия курса по персональным данным
Новая версия курса "Что скрывает законодательство по персональным данным" пополнилась следующими разделами/темами:Соответствие классов ИСПДн и АСДействие договоров, заключенных до принятия 152-ФЗОтносятся ли СКУД и АБС к ИСПДн?Дополнительные разъяснения про обязательную аттестацию и сертификацию (включая ПП-1013)Дополнительные разъяснения обработки ПДн без средств автоматизацииАнализ «второй» версии четверокнижияДетали различий с ЕвроконвенциейКлючевые планируемые изменения ФЗ-152Пример согласия субъекта ПДн и некоторых документов ФСТЭКАнализ проекта...
19.10.09
Barracuda покупает Purewire
13 октября производитель средств защиты контента Barracuda Networks завершила процесс приобретения Purewire, которая, как это ни странно, работала в сегменте Security-as-a-Service, предлагая своим заказчикам безопасные Web-сервисы (фильтрацию URL и защита вредоносного ПО). Размер сделки не сообщается, но врядли он был большим, учитывая масштаб и самой Barracuda и Purewire.PS. Всего лишь пару недель назад Barracuda объявила о приобретении контроля над малоизвестной компанией phion, которая разрабатывает технологии межсетевого экранирован...
Электронный бордель
Так уж повелось, что наши чиновники стали очень чутко реагировать на высказывания первых лиц государства и поддерживать их в своих интервью, общении со СМИ и т.п. Не стал исключением и министр внутренних дел Рашид Нургалиев, очень быстро прореагировавший на заявления Президента Медведева о том, что чиновники будут лично отвечать за уровень инноваций и технического прогресса в своих ведомствах. 16 октября в Россиийской газете опубликована его статья "Электронный патруль" с тенденциозным подзаголовком "В МВД создали системы защиты кибернетического...
16.10.09
Прикольная реклама Cisco на тему русских хакеров
Прикольная реклама Cisco на тему русских хакеров ...
15.10.09
Результаты посещения круглого стола по персданным
Примечание: это повторная публикация майской заметки. На тот момент результаты круглого стола еще не были опубликованы и меня попросили снять заметку. В июле вышел номер журнала со стенограммой этого круглого стола. Я выждал два месяца и решил вновь опубликовать заметку, но уже с большей детализацией.28-го мая издательский дом Connect провел замечательный круглый стол. Сначала была заявлена одна тема - "персданные", но в ходе мероприятия проявилась и вторая - СТО БР ИББС. Так как я вынужден был уезжать в Казань, то на вторую часть я не остался,...
14.10.09
Назначен день Х, когда начнут штрафовать за несоответствие PCI DSS
Как-то все молчат про эту дату и я решил ее осветить ;-) День "Х", начиная с которого Visa начнет штрафовать тех, кто не соответствует стандарту PCI DSS. Касается он, разумеется, не всех, а тех, кто подключен к VisaNet напрямую. По информации из Visa, полученной в прошлую пятницу, момент истины настанет 1-го октября 2010 года. Именно до этой даты надо успеть выполнить требования стандарта для российских организаций.Ниже я свел воедино некоторые из...
Соответствие классов ИСПДн и АС
Уже не раз поднимался вопрос о соответствии классов ИСПДн более знакомому понятию АС, которые было прописано еще в 92-м году в соответствующем РД ФСТЭК. И вот, наконец-то, ФСТЭК разродилась в своих методических рекомендациях таблицей соответствия классов ИСПДн и ...
13.10.09
Новый приказ Минсвязи по безопасности
25 сентября МинЮст зарегистрировал приказ Минсвязи от 25 августа 2009 года № 104 "Об утверждении требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования".Данные требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения, указанные в перечне сведений о деятельности Правительства Российской Федерации и федеральных органов исполнительной...
Cisco и отечественные разработчики ИБ - 2
Я уже писал, что на CiscoExpo мы анонсируем несколько совместных решений с российскими разработчиками. Рассказав про 3 из них (с ЦАИР, Поликом-Про и Positive Technologies), коснусь еще двух - Infowatch и Лаборатория Касперского.Совместное решение InfoWatch и Cisco обеспечивает высочайшую степень защиты сети предприятия в режиме реального времени от внешних и внутренних угроз информационной безопасности. Интеграция двух продуктов осуществляется по ICAP (Internet Content Adaptation Protocol) протоколу. Интегрированное решение предоставляет пользователям,...
12.10.09
Шаблоны документов по персданным
Я уже писал про методические рекомендации ФСТЭК, в которых приведен набор шаблонов документов, которые могут понадобиться при организации работ по защите ПДн. Надо отметить, что шаблоны документов сыроваты и не всегда привязаны к ПДн. Видимо взяты из внутренних документов ФСТЭК по аттестации, СТР-К и т.п. Пока выкладываю три документа, которые я оформил в более удобоваримом формате.Первым идет заключение о возможности эксплуатации СЗИ. Можно заметить, что оно очень сильно привязано к навесным СЗИ и только для персоналок (АРМ). Его нетрудно модифицировать...
ФСТЭК выложил документы по персданным в открытый доступ
Как уже наверное многие знают, ФСТЭК в субботу выложила у себя на сайте часть документов по персданным. Учитывайте, что текст в этих файлах отличается от полной версии и тем более от той, которая была выпущена в прошлом феврале (хотя дата у них всех одинаковая).Пока не буду особенно эту тему развивать - надо провести более детальный анализ всех имеющихся у меня версий ...
10.10.09
9.10.09
Новый учебник по аутентификации
Решил написать про новую книжку по ИБ, которая была анонсирована на InfoSecurity Russia 2009. Речь идет о "Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам". Учебное пособие создано в рамках сотрудничества Aladdin, Microsoft, Cisco, Oracle, Citrix, а так же Томского Государственного Университета систем управления и радиоэлектроники (ТУСУР) и компании КРИПТО-ПРО.«Аутентификация…» имеет рекомендации Учебно-методического...
Впечатления от InfoSecurity Russia 2009
Итак, на прошлой неделе закончилась выставка-конференция InfoSecurity Russia 2009. Улеглись страсти и можно спокойно собрать впечатления в кучку и выплеснуть их на страницы блога.С точки зрения организации этот год оказался не самым удачным для организаторов. Найти выставку на территории Экспоцентра было непросто. Даже охрана на входе не знала про это мероприятие, а уж про баннеры и указатели я вообще молчу. Они были только на одном из трех входов...
8.10.09
ФСТЭК начинает бороться с коррупцией в своих рядах
ФСТЭК на своем сайте опубликовала проект Приказа "Об утверждении Положения о порядке проведения антикоррупционной экспертизы нормативных правовых актов (проектов нормативных правовых актов) Федеральной службы по техническому и экспортному контролю".Положение разработано в соответствие с пунктом 3 части 1 статьи 3 Федерального закона от 17 июля 2009 г. № 172-ФЗ "Об антикоррупционной экспертизе нормативных правовых актов и проектов нормативных правовых актов".Суть Положения проста - юристы ФСТЭК проводят экспертизу выпускаемых ФСТЭКдокументов по...
7.10.09
ФСТЭК выпустил методические рекомендации по методическим рекомендациям
Одно из региональных управлений ФСТЭК выпустило "Методические рекомендации по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". Иными словами это методичка как пользоваться методическими документами ФСТЭК, известными всем под названием "четверокнижие".По сути своей этот 58-тистраничный документ представляет собой некоторые разъяснения по неосвещенным в четверокнижии моментам. Например, ФСТЭК прямо пишет, что "практически все ИСПДн являются специальными...
6.10.09
AT&T покупает консалтинговый бизнес Verisign
1 октября AT&T анонсировала покупку консалтингового бизнеса по безопасности компании Verisgn. Детали сделки не разглашаются. Судя по всему, AT&T решило не упускать поляну, на которой уже давно сидят Verizon и BT с их мощными подразделениями по ...
Cisco и отечественные разработчики ИБ
В предверии CiscoExpo, о которой я уже писал, хочу коснуться темы поддержки западными вендорами отечественных разработок в области ИБ. В этом году было решено сделать отдельный поток, посвященный интеграции решений моего работодателя (Cisco, если кто е знает) с различными отечественными разработчиками.Первое описываемое решение - совместный продукт отечественной компании ЦАИР и Cisco для операторов связи. Данное решение ориентировано на операторов широкополосного и мобильного доступа в Интернет, и позволяет им предоставлять услугу "Родительский...
5.10.09
Роскомнадзор запускает портал по ПДн
И вновь об Интернет-ресурсах. Пару недель назад я уже проходился на тему того, что РКН ничего не делает для реальной защиты и субъектов и операторов ПДн. И вот приятные новости - РКН запустил портал по персональным данным. Пока там немного действительно полезной информации - FAQ да 57 отечественных нормативных актов по ПДн. Есть еще форум, но судя по его правилам, размещаться на нем сообщения будут только путем премодерации. Т.е. действительно острого там ничего не будет. Но начинание похвальное...
Энциклопедия по ИБ по-русски
В Интернете запущен новый ресурс WikiSec, который должен стать по задумке авторов, энциклопедией информационной безопасности. Проект только стартует и информации там маловато, но так как в его основе оежит идеология Wiki, то каждый может стать автором WikiSec.PS. Складывается впечатление, что это продолжение проекта "Открытая безопасность" с сайта IT4Business. Там он исчез, зато возродился как птица Феникс в новом мес...
2.10.09
Применение DLP с точки зрения российского и международного законодательства
На конференции DLP Russia 2009 я выступаю с докладом "Российские и международные стандарты и нормативы в контексте DLP-решений". Презентацию выкладываю.DLP As Part Of Security StandardsView more documents from lukatsky.ЗЫ. Опять же презентация сделана в русле уже не раз упомянутого курса по стандартам и законам в области информационной безопасности. Тема, начатая на InfoSecurity, продолжает...
1.10.09
Что думает ФСТЭК о своих документах по ПДн
Лежит у меня перед глазами официальное письмо ФСТЭК в одну отечественную организацию, в котором она (т.е. ФСТЭК) отвечает на ряд вопросов. Не буду пересказывать все 5 страниц этого манускрипта, коснусь только ключевых моментов:Четвере документа ФСТЭК "содержат информацию ограниченного доступа, не являются нормативными правовыми актами и не требуют особой процедуры их опубликования". Где там информация ограниченного доступа? И как быть с требованием наличия лицензии на ТЗКИ, которая меняет правовой статус оператора ПДн и, следовательно, требует...
Подписаться на:
Сообщения (Atom)
