Уважаемые коллеги, друзья, соратники!
Близятся праздники... Многие уже ушли в отпуска или сделают это уже завтра. Поэтому что тянуть и оттягивать поздравление с наступающими Новым Годом и Рождеством сейчас. Собственно и поздравляю ;-) Желаю всем благополучия внешнего и внутреннего, здоровья духовного и семейного, роста карьерного и зарплатного... Пусть все мечты сбываются. Пусть регуляторы не злоствуют, а интеграторы не жлобствуют. Пусть заказчики будут мудры, а законодатели разумны. Пусть в семьях будет мир, а дети растут на радость родителям!
И...
29.12.09
Что готовит нам 2010-й год с точки зрения ИБ?
Некие размышления о том, что нас ждет в России с точки зрения ...
28.12.09
ActivIdentity покупает CoreStreet
14 декабря компания ActivIdentity объявила о покупке компании CoreStreet, специализирующейся на распределенной проверке идентификационных параметров. Стоимость сделки - около 20 миллионов доллар...
Новости с заседания Совета Федерации
Новостей по сути две. Во-первых, Совет Федерации одобрил законопроект о переносе сроков. Это приятно. Остается надеяться, что Президент РФ подпишет этот закон в ближайшие дни.
Вторая новость тоже может иметь приятные последствия. Понимая, что технические регламенты у нас принимаются с большим скрипом, Советом Федерации было принято решение предоставить возможность принимать технические регламенты на ведомственном уровне, а именно - нормативным правовым актом федерального органа исполнительной власти по техническому регулированию. Это позволит...
25.12.09
Как выбрать консультанта по ПДн?
Очень часто мне задают вопрос "Как выбрать консультанта/интегратора по приведению себя в соответствие с требованиями ФЗ-152?". Вопрос не простой, но есть простое решение, которое позволит отсечь явно некомпетентные компании. Первое. с чего стоит начать, проверить наличие кандидата на оказание вам услуг в реестре операторов ПДн. Учитывая, что все интеграторы заявляют, что уведомление в РКН посылать надо, то простое обращение к реестру РКН станет отличной проверкой того, интегратор действительно знает, что говорит или он просто вас запугивает, планируя...
24.12.09
Годовой отчет Cnews по ИБ в России
Cnews опубликовала годовой отчет по российскому рынку ИБ "Средства защиты информации и бизнеса 2009". Несмотря на число 2009, отчет, выпущенный в декабре, посвящен 2008-му году. Не только увеличился срок выхода отчета (раньше он выходил летом или в начале осени), но и количество материалов сильно изменилось в меньшею сторону по сравнению с прошлогодней версией (19 против 47, не считая интервью). Видимо кризис коснулся не только рынка ИБ, но и писателей о нем ;-(
Из сколь-нибудь интересных материалов можно отметить следующие:
способы занижения...
23.12.09
InfoSecurity или ИнфоБезопасность: кому достался погибающий бренд?
Начну с предыстории: компания Reed Exhibitions владела и владеет правом на бренд InfoSecurity по всему миру. В лучшие свои годы она проводила 11 одноименных выставок в разных странах мира. 6 лет назад добралась она и до России. Совместно с компанией РЭСТЕК Reed и проводил InfoSecurity Russia в Москве. И вот в конце ноября ситуация кардинально поменялась. Reed решил "уйти" от РЭСТЕК и отдал право организовывать выставку (а также StorageExpo и Documation, которые держались только за счет проведения одновременно с InfoSecurity) известному издательству...
22.12.09
Список мероприятий по ИБ на 2010 год
Составил предварительный список крупных отечественных мероприятий по ИБ на 2010 год. Может кому пригодится.
Крупные мероприятия по информационной безопасности на 2010 год ...
21.12.09
Среда лактозо-хелато-цитратно-желточная для хранения спермы жеребцов
Правительство РФ приняло новое постановление от 1 декабря 2009 г. N 982 "Об утверждении единого перечня продукции, подлежащей обязательной сертификации, и единого перечня продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии".
Согласно этому ПП-982 теперь существует единый перечень всех товаров, которые подлежат обязательной сертификации... исключая продукцию, требования к которой устанавливаются в соответствии со статьей 5 Федерального закона "О техническом регулировании", т.е. средства защиты...
18.12.09
Новая версия курса по персональным данным
Новая версия курса по персональным данным пополнилась следующими темами:
рекомендации СоДИТ и 4CIO
нормативные документы по ПДн Рособрнауки и Минсоцздрава
регламент проверок ФСБ
сводный план проверок / приказ Генпрокуратуры об исполнении ФЗ-294
типичные "ошибки" интеграторов при разработке документов по ПДн для своих заказчиков
новый вариант классификации ИСПДн
практические рекомендации работы с ПДн при директ-маркетинге и оформлении платежных поручений в банке и аналогичных организациях
типичные нарушения, обнаруживаемые в процессе проверок Роскомнадзора...
17.12.09
Изменения в закон о техническом регулировании
Президент России Дмитрий Медведев на основании пункта "г" ст.84 Конституции Российской Федерации внес в Государственную думу проект федерального закона "О внесении изменений в федеральный закон "О техническом регулировании".
Законопроектом предусматриваются законодательное закрепление возможности признания и заимствования лучших мировых стандартов в целях их применения в Российской Федерации. Также предполагается введение двух применяемых по выбору заявителя режимов технического регулирования, один из которых основан на требованиях российских...
16.12.09
14.12.09
Второе и третье чтения законопроекта о переносе сроков ФЗ-152
Итак, 11-го декабря законопроект Резника о переносе сроков и исключении пункта об обязательности криптографии был принят во втором чтении. 16-го декабря намечено третье чтен...
10.12.09
Не про безопасность, но в предверии Нового Года
В последнее время все мы гонимся куда-то зачем-то... выполнить ФЗ-152, внедрить решения по борьбе с утечками, купить сертифицированные решения по ИБ, классифицировать свою информацию... И у нас не остается времени остановиться и посмотреть вокруг...
ЗЫ. Навеяло...
9.12.09
Опубликован ежегодный отчет Cisco по информационной безопасности
8 декабря 2009 года Cisco опубликовала свой ежегодный отчет об информационной безопасности. В этом документе подчеркивается влияние социальных медиасистем (в частности, социальных сетей) на сетевую безопасность и говорится о том, что наиболее привлекательные возможности для киберпреступников создают люди, а не технологии. В отчете также названы победители конкурса Cisco® Cybercrime Showcase за 2009 год и комментируются тенденции в области облачных вычислений, спама и общей активности киберпреступников на мировой арене, с которыми продолжают сталкиваться...
8.12.09
Мифы 58-60
Продолжаю публикацию мифов:
Число сигнатур определяет эффективность системы обнаружения атак
Внешние фирмы нельзя пускать к своей безопасности
Наша система корреляции позволяет подключать любые системы защиты...
7.12.09
Мифы 54-57
После длительного перерыва, вызванного активным участием в деятельности по ФЗ-152, продолжаю публикацию мифов:
IP-телефония не защищает от подмены телефонов и серверов управления
IP-телефония подвержена заражению червями вирусами и троянцами
В IP-телефонии легко совершить мошенничество
Злоумышленник с административными правами может легко нарушить функционирование инфраструктуры IP-телефонии...
4.12.09
Четвертая редакция стандарта Банка России
Исходные данные следующие:
1. Есть шестикнижие по ПДн от ФСТЭК и ФСБ.
2. Есть собственные методики проверки у ФСТЭК и ФСБ.
3. Есть СТО БР ИББС.
4. Есть собственная методика оценки соответствия СТО БР ИББС.
Задача: Как совместить все эти 4 исходных элемента в непротиворечивом документе?
Ответ: Новая редакция стандарта СТО БР ИББС-1.0, которая и должна включать в себя новый блок требований/рекомендаций, связанных с защитой персональных данных. Проект этого стандарта будет рассматриваться в 7-го декабря на ПК 3 Технического Комитета 3...
IBM покупает Guardium
Компания IBM анонсирует покупку Guardium, - компании, специализирующейся на защите баз данных. Детали сделки не разглашают...
3.12.09
Презентация с семинара RISSPA
Во вторник прошел очередной семинар RISSPA, где я прочитал коротенькую презу "Что стоит на повестке дня CISO в 2010-м году". Как всегда, выкладываю ее здесь.
CISO 2010
View more documents from Alexey Lukatsky.
Все остальные презентации можно посмотреть либо на сайте RISSPA, либо прослушать запись всего семинара через Cisco Web...
Утверждены рекомендации Парламентских слушаний
Рекомендации не раз упомянутых парламентских слушаний были утверждены и начали реализовываться в Государственной Думе. Про сдвиг сроков уже все знают. Остальные, очень здравые рекомендации указаны в документе, выложенном на сайте Госду...
2.12.09
Перенос сроков по ФЗ-152: второе и третье чтения
Я уже писал, что законопроект о переносе сроков принят в первом чтении. На следующей неделе (в среду и пятницу) планируются второе и третье чтения по переносу сроков ФЗ-152.
ЗЫ. Также несколько дней назад в ФЗ-152 были внесены изменения (закон опубликован 27.11.2009) в части реадмисс...
Как склонить представителя ФСТЭК на совершение коррупционных действий?
На сайте ФСТЭК появился проект приказа "Об утверждении Порядка уведомления представителя нанимателя о фактах обращения в целях склонения государственного гражданского служащего Федеральной службы по техническому и экспортному контролю к совершению коррупционных правонарушений". Он продолжает работу ФСТЭК в части антикоррупционной борьбы и выявления условий для проявления "коррупции, утвержденной Правительство...
1.12.09
Интересный вариант классификации ИСПДн
Лежит у меня перед глазами акт классификации одной ИСПДн, подготовленный крупным ИТ/ИБ-интегратором для одного своего заказчика. На каких исходных данных строился данный акт? Категория ПДн - 3, значение ПДн - 1. Какой итоговой класс должен быть у ИСПДн? Если следовать п.15 "Приказа трех", то класс будет К2. Ан нет... Интегратор, являющийся лицензиатом ФСТЭК и называющий себя одним из лидеров рынка защиты ПДн в России, классифицировал систему не по п.15, а по п.14, т.е. опирался на ущерб субъектам ПДн. Он здраво посчитал, что ущерб субъектам будет...
Подписаться на:
Сообщения (Atom)
