С Новым Годом и Рождеством!

Коллеги! Сегодня мой последний пост в этом году. Поэтому я не буду посвящать его безопасности и просто поздравлю всех с наступающим Новым Годом и православным Рождеством. Пожелаю всего самого хорошего вам и вашим близким, здоровья, благополучия, интересной и неплохо оплачиваемой работы, удовлетворения собой и своими делами, достойных дел на благо других и всего того, что вы сами себе желаете. Опять смотрю с надеждою вперед, Опять, как в детстве...

Подробнее…

План мероприятий по ИБ на 2011 год

Актуализировал я список крупных мероприятий по ИБ на 2011-й год. Big Information Security Events in Russia for 2011 ЗЫ. Если вдруг что-то упустил, то готов внести правки ...

Подробнее…

Законопроект Аксакова подписан Президентом

Президент Медведев подписал 359-ФЗ "О внесении изменения в статью 25 Федерального закона "О персональных данных"". Закон вступает в силу 1 января 2011 года, а отсрочка продлена до 1 июля 2011 года. Хороший подарок к Новому Го...

Подробнее…

Горячая линия АРБ по ПДн

То, о чем говорилось на сентябрьской конференции АРБ по персональным данным, все-таки совершилось. Процесс запуска "горячей линии" (она же "консультационный центр") АРБ в помощь банкам в части выполнения требований ФЗ-152 и СТО Банка России вышел на финишную прямую. На прошлой неделе в АРБ состоялась встреча участников этого консультационного центра, в который вошли представители ФСБ, ФСТЭК и Роскомнадзора, АРБ и Банка России, а также независимые эксперты, среди которых и я ;-) Возможно на этой неделе (в крайнем случае на первой неделе нового...

Подробнее…

А вот и план проверок ФСТЭК

ФСТЭК опубликовала план проверок на 2011-й год. Всего 113 организаций. Основная масса проверок касается предупреждения, выявления и пресечения нарушений лицензионных  условий и требований, а также обязательных требований в области экспортного контроля. По линии персданных всего 9 проверок.Судя по выбранным регионам, ФСТЭК просто хочет проверить, как территориальные управления будут работать по этому направлен...

Подробнее…

Теперь ИБ занялись и в ОДКБ

21 декабря в Совете Федерации Комитет палаты по обороне и безопасности провел Международную научно-практическую конференцию на тему "Скоординированная информационная политика государств-членов ОДКБ – одно из приоритетных направлений противодействия современным вызовам и угрозам, обеспечения эффективности совместных усилий по созданию системы коллективной безопасности". На конференции был поднят ряд приоритетных для обсуждения вопросов. В их числе обмен опытом и формирование общей стратегии по преодолению угроз и вызовов, развитие в государствах...

Подробнее…

Роскомнадзор выложил план проверок на 2011-й год

Собственно вся новость в заголовке ;-) Качать тут. Архив занимает 626 Кб, а в исходном формате Word - 8,7 ...

Подробнее…

Поправки ко второму чтению законопроекта Резника

Мы все гадали, почему так долго тянется эпопея с внесением поправок в законопроект Резника, готовящегося ко второму чтению. И вот вчера вечером я ознакомился с этими поправками. Все сразу встает на свои места - там их просто МОРЕ без конца и края. Текст законопроекта Резника занимает всего 16 страниц (хотя он содержит только поправки к ФЗ-152). Сам ФЗ-152 занимает те же 15-16 страниц. Предлагаемый ко второму чтению вариант содержит 46 (!) страниц. Он включает поправки от разных участников этой увлекательной игры. Анализировать его весь у меня...

Подробнее…

Что ФСТЭК нам готовит в следующем году - часть 2

Продолжаем рассмотрение того, что ФСТЭК нам готовит в следующем году: К концу 2011 года появятся новые требования по сертификации средств активной защиты от утечек по техническим каналам (ПЭМИН и АС в защищенном исполнении). Также готовятся новые редакции РД по АС и СВТ. Ходят слухи об изменении СТР-К, но непонятно в каком направлении. НДВ для ИСПДн К1 остается. А также разрабатываются требования для НДВ прикладного ПО для некоторых видов конфиденциальной информации! Как ФСТЭК хочет провести это предложение я пока не понимаю. В следующем году...

Подробнее…

Что ФСТЭК нам готовит в следующем году?!

Во исполнение ПП-330 ФСТЭК готовит сейчас проект нового положения "Об оценке соответствия продукции (работ, услуг), используемой в целях защиты информации конфиденциального характера, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации и хранения". Какие ключевые моменты в данном положении могут быть отражены: Описывает порядок организации и проведения обязательной сертификации продукции, а также госконтроля и надзора. Будет распространяться на госресурсы и ПДн (ибо в ПП-330 только...

Подробнее…

Новая версия курса по персданным

Сегодня последний раз в этом году я читаю курс по персданным. И вот те изменения, которые в него вошли (версия 2.3): Законопроект Аксакова о переносе сроков Сводный перечень ошибок операторов ПДн по версии РКН «Письма счастья» РКН 227-ФЗ и законопроект №454517 Работа коллекторских агентств в контексте ФЗ-152 Продажа долгов заемщиков в контексте ФЗ-152 Актуализация последних изменений законодательства на декабрь 2010 Замена приказа Росархива на приказ Минкульта О письменном согласии на обработку ПДн Примеры обработчиков ПДн (в противовес операторам...

Подробнее…

Совет Федерации одобрил аксаковский законопроект

Вчера Совет Федерации одобрил аксаковский законопроект. Остался Президент ...

Подробнее…

Регулирование ПДн - карта

Разместив карту регулирования криптографии, я стал доводить до ума аналогичную карту по части регулирования ПДн. Но тут возникло несколько сложностей, основная из которых - большой объем информации. Гораздо бОльший, чем по линии криптографии. Поэтому я публикую карту только с двумя уровня иерархии. Возможно я еще поиграюсь с ней и смогу разместить на одном листе (хотя бы А3) и больше информации. Хотя это непросто - только приказов различных органов власти 2-3 десятка. На данных момент найденных мной различных приказов и постановлений субъектов...

Подробнее…

Почему открытые исходники не есть хорошо с точки зрения безопасности?

Еще одно исследование. "The Mathematics of Obscurity: On the Trustworthiness of Open Source". Дрезденский технический университет. Автор исследования поставил перед собой задачу ответить на вопрос: что лучше с точки зрения безопасности - иметь исходные коды ПО или не иметь их? В рамках исследования была построена модель, которая и стала предметом изучения. Были исследованы как "за" так и "против" наличия исходных текстов, изучен жизненный цикл уязвимостей и ошибок и ряд связанных вопросов. Итог неутешителен - наличие исходных кодов не делает его...

Подробнее…

Аксаковский законопроект - три чтения завершены

Итак, в пятницу прошли сразу второе и третье чтения поправок в закон "О персональных данных", внесенных депутатом Аксаковым. Срок сдвинут не на год, а на полгода - до 1 июля 2011 года. ЗЫ. В этот же день в первом чтении принят законопроект "О национальной платежной систем...

Подробнее…

57-ФЗ снова в прицеле ньюсмейкеров

Благодаря Алексею Волкову обратил внимание на завершение истории с 57-ФЗ, касающимся иностранных инвестиций в предприятия, имеющие стратегически важное значение для обороны страны. Напомню предысторию. Один европейский банк задумался о риске, связанном с наличием у них лицензии ФСБ на деятельности в области шифрования. Риск многими воспринимался как несущественный, пока ФАС не отказала RBS'у в получении контроля над своим дочерним ЗАО "Королевский банк Шотландии", ссылаясь именно на наличие у последнего лицензий ФСБ, необходимых для оказания услуг...

Подробнее…

Парадокс защиты персональных данных

В марте этого года я наткнулся на интересное исследование (надо заметить, что Cisco помогала в его проведении), в котором доказывается очень интересный парадокс. Оказывается, увеличение контроля над персональными данными чаще приводит к готовности субъектов ПДн публиковать свои данные в открытом доступе, даже если они знают, что к этим данным получат доступ посторонние люди. А вот снижение уровня контроля и внимания к данной теме, наоборот, приводит к тому, что люди реже готовы публиковать свои ПДн и больше беспокоятся о защите своей частной жизни....

Подробнее…

Как Intel договаривался с ФСБ

Все-таки история WikiLeaks достаточно интересна. И не только тем, что под ее соусом сейчас можно активно DLP -решения в госорганы продавать, но и тем, что в результате утечки проявляются очень интересные факты. Например, о том, как Intel надавил на ФСБ и последняя разрешила ввозить строгую криптографию Intel в обход существующих правил ввоза шифровальной техники. Такие правила четко регулируют, что и как можно ввозить в Россию. Грубо говоря, правило следующее - вся криптография с длиной ключа 56 бит и менее ввозится по уведомительной схеме. Производитель...

Подробнее…

Аксаковский законопроект - 445 голосов "за"

Итак, вчера на заседании ГосДумы аксаковский законопроект о переносе сроков ст.25.3 ФЗ-152 получил 445 голосов "з...

Подробнее…

Ужесточение контроля... во всех областях

Не в моих правилах делать кросс-посты, но этот не могу не запостить. Речь идет о заметке Алексея Волкова о планируемых изменениях в КоАП в части усиления роли контролирующих органов. Я уже писал о том, что в этой части планируются изменения, но этот аспект упустил. Речь идет о возможности приостановления деятельности организации по решению не суда, а сотрудника надзорного органа. Читайте далее у Алексея...

Подробнее…

Juniper покупает Altor Networks

6 декабря компания Juniper анонсировала покупку неизвестной в России калифорнийской компании Altor Networks, специализирующейся в области технологий безопасности виртуализации (МСЭ и IDS для виртуальных сред). Стоимость сделки - около 95 миллионов долларов. Сама Altor была основана совсем недавно - в 2007 го...

Подробнее…

Мифы 91-93

Очередная порция мифов: VPN - это обязательно шифрование Конфиденциальность персональных данных может быть обеспечена только шифрованием Стандарт Банка России по безопасности не обязателен к исполнени...

Подробнее…

Аксаковский законопроект - зеленый свет?!

Я уже писал об инициативе депутата Аксакова  - он предложил перенести срок по приведению ИСПДн в соответствие с требованиями ФЗ-152 на один год. На сегодняшний день был запланирован финальный сбор всех замечаний и предложений. И что характерно, пока негативных отзывов нет ;-( Комитет по конституционному законодательству в целом не против этой инициативы, а комитет по информационной политике вообще заявил о поддержке законопроекта, сославшись на то, что предыдущий перенос делали исходя из того, что резниковский законопроект пройдет до середины...

Подробнее…

Проект по ПДн: определите результат заранее

Вчера мы рассмотрели вопрос с определением цели проекта по приведению в соответствие с требованиями ФЗ-152. Но этого недостаточно для успешного завершения. Мало знать, ради чего мы все это затеваем; надо знать, что мы хотим получить на выходе. И тут тоже варианты могут быть совершенно различные. Причем, исходя из моего опыта, участия в разных проектах по ПДн, с начала запуска проекта многие результаты, которые надо получить, "не видны" или о них никто не задумывается. Итак, что может быть результатом (и, как следствие, предметом договора с консультантом): Рекомендации...

Подробнее…

Проект по ПДн: определите цели

Многие компании сегодня задумываются о том, что надо бы что-то сделать в части выполнения требований ФЗ-152 и подзаконных актов. А кто-то задумался давно и даже пригласил консультантов для решения этой задачи, но результатом остался недоволен. Почему так произошло? И как не повторять такой ошибки? На мой взгляд ответ прост - оператор ПДн не удосужился определить цели проекта по приведению себя в соответствие с требованиями ФЗ. А ведь цели могут быть совершенно различные и в зависимости от них и результат будет разный и его оценка. Да и консультант...

Подробнее…

Как проверить работу консультанта по ПДн?

Когда-то я уже поднимал вопрос о том, как выбрать консультанта по ПДн. На днях на bankir.ru подняли вопрос о том, как принять проделанную таким консультантом работу? На мой взгляд надо встать на место каждого из трех проверяющих (РКН, ФСТЭК и ФСБ) и по каждому пункту ФЗ-152, четырех постановлений Правительства, "Приказа трех", Приказа 58, двух документов ФСБ или СТО ответить на 6 вопросов: Вы выполняете этот пункт ФЗ-152, ПП-781/687/512, Приказа трех, Приказа 58 и методических рекомендаций ФСБ или СТО? Как вы докажете, что выполняете этот пункт? Что...

Подробнее…

СТО Банка России опять меняют ;-)

В СТО Банка России до конца года планируют включить следующие документы (в статусе РС), которые сейчас в разработке: положение о назначении и разделении ролей положение о контроле и надзоре положение об использовании СКЗИ (по аналогии с РС 2.3, сделанной по инициативе ФСТЭК) положение по классификации активо...

Подробнее…

Одобрен проект концепции инновационного развития отрасли телекоммуникаций и информационных технологий

19 ноября на заседании комиссии по федеральной связи и технологическим вопросам информатизации был представлен проект Концепции инновационного развития отрасли телекоммуникаций и информационных технологий. Мне довелось поучаствовать в разработке этого проекта и я могу тезисно набросать ключевые вопросы по ИБ, которые попали в Концепцию: Саморегулирование отрасли Повышение доверия пользователей к использованию ИКТ за счет защиты персональных данных онлайн, установки минимальных требований по защите к поставщикам услуг, устранение уязвимостей инфраструктуры,...

Подробнее…

Об оценке соответствия средств защиты

Задался я тут целью провести исследование на тему надо ли все-таки сертифицировать средства защиты или нет. И вот что, вкратце, у меня получилось. В существующей нормативной базе существует два примера упоминания вопросов сертификации - прямое и косвенное. Прямое, например, есть в совместном приказе ФСТЭК и ФСБ, в Указе Президента 351 или в пресловутом Постановлении Правительства 330. В них прямо говорится, что средства защиты должны быть сертифицированы ФСБ или ФСТЭК. Косвенное упоминание есть в Постановлении Правительства № 424, в Приказе ФСТЭК...

Подробнее…

СоДИТ перевел ISO 15408:2009

Союз ИТ-директоров России перевел первую часть новой версии стандарта оценки ИТ с точки зрения информационной безопасности - ISO/IEC 15408:2009. Это всем известные "Общие критерии", которые приняты в качестве ГОСТа и в России, но в своей предыдущей, второй версии. Нынешняя же версия - самая последняя. Пока переведена только первая часть, но остальные на подходе. Об этом переводе было объявлено на 3-м Форуме директоров по ИБ, прошедшем в конце октября в Москве Борисом Славиным, председателем правления СоДИТ. Несмотря на обещание выложить этот стандарт...

Подробнее…

Регулирование криптографии - финальная версия карты

Несмотря на почти полное отсутствие комментариев и конкретных предложений (исключая Ригеля), я довел документ до ума и финализировал его. Надеюсь будет полезным в работе. PS. Возможно я плохо искал, но я не нашел документов, регламентирующих сертификацию СКЗИ для защиты конфиденциальной информации. По гостайне есть приказ ФСБ о создании системы сертификации. А вот по конфиденциалке такого документа нет... Или я плохо искал? Russia Crypto Regulation ...

Подробнее…

И вновь о выборе паролей

Полтора года назад я уже обращался к теме выбора паролей и вот новый виток привел меня туда же ;-) Microsoft недавно опубликовал свое исследование, в котором предложил выбирать пароли не как захочется, а используя статистику уже выбранных пользователями паролей. Иными словами предлагается автоматически исключать популярные пароли, даже если они соответствуют требованиям сложности, часть реализованным в различных системах и приложениях. Другое интересное исследование изучает вопросы использования энтропии, как метрики для правильного выбора паролей....

Подробнее…

Измерение экономической эффективности ИБ

В среду читал на InfoSecurity Russia доклад на тему изменения экономической эффективности ИБ. И хотя частично я эти слайды уже выкладывал, я решил их повторить, т.к. примерно половина слайдов там новая. Measurement of security efficiency View more presentations from Alexey Lukatsky. ЗЫ. Аналогичную тему я поднимал на CiscoExpo, но там я экономику показывал применительно к оборудованию Cisco. Презентация (как и все остальные с CiscoExpo) выложены т...

Подробнее…

Законопроект о НПС внесен в ГосДуму

Правительство в понедельник внесло в Госдуму законопроект "О национальной платежной системе" и "О внесении изменений в некоторые законодательные акты Российской Федерации, а также "О признании утратившими силу Федерального закона "О деятельности по приему платежей физических лиц, осуществляемой платежными агентами" и некоторых положений законодательных актов Российской Федерации в связи с принятием Федерального закона "О национальной платежной системе". Что он принесет рынку ИБ? Т.к. он не сильно по "нашей" теме меняется последние полгода (да и...

Подробнее…

Незамеченное изменение ФЗ-152

Совершенно незамеченным прошло изменение в ФЗ-152, проведенное ст. 23 Федерального закона от 27.07.2010 N 227-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "Об организации предоставления государственных и муниципальных услуг" (спасибо коллегам на bankir.ru). Дословно ст.23 звучит так: " Внести в статью 9 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451) следующие изменения: 1)...

Подробнее…

Изменение законодательства по контролю в области ПДн

Правительство РФ внесло в ГД законопроект № 454517-5 "О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам осуществления государственного контроля (надзора) и муниципального контроля". В части ПДн предложена ст.53, в которой предлагаются следующие ключевые изменения: четко указывается, что контроль и надзор осуществляется согласно ФЗ-294 предметом проверки является соблюдение только обязательных требований плановая проверка может осуществляться только по одному основанию - истечение 3-х лет с государственной регистрации...

Подробнее…

Сравнение подходов к защите ПДн в России и в Европе

Как-то я уже делился документом по описанию подходов к защите ПДн в Европе, любезно предоставленным компанией Яндекс. За это время я познакомился еще с двумя аналогичными работами - отдельным документом, сделанным в рамках НИР "Тритон", и результатами работы рабочей группы страховщиков, занимающейся выработкой собственных требований по защите прав субъектов ПДн. И вот новый обзор. Его готовили три известных эксперта в области ИБ и ПДн - Алексей Волков, Евгений Царев и Александр Токаренко. Мне этот обзор понравился больше всех. Не только с точки...

Подробнее…

Регулирование криптографии в одном месте

Задался я тут целью свести все нормативные акты, регулирующие криптографию в России (исключая гостайну), в одном документе. Что и сделал, разделив нормативные акты по этапу жизненного цикла системы криптографический защиты - от ввоза и разработки до эксплуатации и вывоза. Собственно результат перед вами. Посмотрите, пожалуйста, критическим взглядом на сей документ. Что в нем не хватает? Как его сделать лучше? Что в нем лишнее? Я внесу все изменения и выложу затем финальный вариант для открытого использования. Russia Crypto Regulation ...

Подробнее…

Что нас ждет в ближайшее время с точки зрения регулирования темы ПДн?

На основании презентации по будущему регулированию в области ИБ сваял презу, ориентированную только на тему персданных. Я ее читал в Челябинске и решил выложить еще и тут. Собственно там ничего нового почти нет - кроме чуть более детальной информации по законопроекту Резника и изменениям в ФЗ "О техническом регулировании". Personal data future regulations View more presentations from Alexey Lukats...

Подробнее…

Алгоритм приведения себя в соответствие с ФЗ-152

В Челябинске читал презентацию по алгоритму приведения себя в соответствие с требованиями ФЗ-152. Выкладываю. В основе этого алгоритма лежит результат работы рабочей группы АРБ/ЦБ. Optimal algorithm for personal data operators View more presentations from Alexey Lukats...

Подробнее…

Новый совместный приказ ФСТЭК / ФСБ

31 августа 2010 года был принят (зарегистрирован в Минюсте 13 октября, опубликован 22 октября в "Российской газете", вступил в действие с 2 ноября 2010 года) совместный приказ ФСБ и ФСТЭК № 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования". Распространяется он на все федеральные государственные информационные системы, содержащие сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательные для размещения в Интернет (согласно Постановления Правительства...

Подробнее…

Cisco запускает сертифицированное производство

Очередное значимое для Cisco событие - запуск в России сертифицированного производства средств защиты на базе компании Kraftway. Несколько лет назад у нас уже был реализован такой проект и вот новый этап его развития. Учитывая возрастающую роль сертификации (все-таки изменения в ФЗ "О техрегулировани" пока не приняты и не реализованы на практике), такое событие не может не радовать ;-) Особенно государственные органы, для которых сертификация скорее всего останется и в будущ...

Подробнее…

Отчет по мероприятию в Челябинске по ПДн

Компания Аста-Информ пригласила меня на конференцию по персональным данным, где выступали также, из регуляторов, представители РКН, ФСТЭК и прокуратуры. Краткие тезисы по их выступлениям: Роскомнадзор Уведомление РКН обязательное. За отказ уведомления - ст.19.7 КоАП Согласие только в письменной форме Передача ПДн в коллекторские агентства - незаконно Если ПДн передаются от оператора ПДн третьему лицу, то вся ответственность все равно лежит на операторе ПДн. Т.е. неявно, но институт обработчика все-таки РКН принимает. ФСТЭК по УрФО  Методические...

Подробнее…

Единая терминология на уровне законодательства

Упомянутый мной в июле законопроект №404643 "О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона "Об информации, информационных технологиях и о защите информации" 6-го октября прошел первое чтение в Госду...

Подробнее…

Россия все-таки отказывается от обязательной сертификации средств защиты

В октябре была зафиксирована целая порция изменений законодательства. Началось все с предложения Самарской Губернской Думы внести изменения в закон о гостайне, устранив проверочные мероприятия (перед допуском) в ряде случаев. Продолжилось все очередным законопроектом Аксакова о сдвиге сроков ст.25.3 ФЗ-152. Но мне больше всего понравился проект "О внесении изменений в Федеральный закон "О техническом регулировании" (в части ускорения интеграционных процессов по сближению законодательств государств-членов таможенного союза в рамках ЕврАзЭС и Европейским...

Подробнее…

ФЗ-152 опять сдвигают?!

Депутат Аксаков опять центре внимания - несмотря на критику Правительства и всех заинтересованных сторон, он предложил продлить мораторий на ст.25.3 ФЗ-152 - на срок до 1 января 2012 года. Мотивация простая - коммерческие организации не успевают и не имеют денег на выполнение требования ФСТЭК и Ф...

Подробнее…

Выпущен PCI DSS 2.0

Свершилось - 28-го октября были выпущены новые версии PCI DSS (2.0), PA DSS (2.0) и требования PTS. Действовать они начинают с 01.01.2011, однако аудит по предыдущей версии 1.2.1 будет разрешен до 31-го декабря 2011-го года. Вместе с выпуском новых стандартов обновился сайт PCI DSS, появился специальный сайт для компаний малого и среднего бизнеса. Все новые документы могут быть загружены по адресу: https://www.pcisecuritystandards.org/security_standards/documents.p...

Подробнее…

Кто бы это мог быть?

...

Подробнее…

Аутсорсинг безопасности или безопасность аутсорсинга

Презентация с CSO Forum. Security outsourcing or secure outsourcing? View more presentations from Alexey Lukats...

Подробнее…

Размышление о конференциях по ИБ - 2

3 года назад я уже поднимал эту тему, критикуя отечественных организаторов различных мероприятий по ИБ. Теперь пришел через критики в адрес выступающих (спикеров). Как ведущий первого дня 3-го межотраслевого съезда директоров по ИБ заметил ряд проблем, которые присутствуют почти у каждого выступающего и почти на каждой конференции (отчасти это проблема выступающих, отчасти - организаторов). Хочу поделиться этим списком и надеюсь он кому-то будет полезен - в конечном итоге умение выступать важно во многих сферах нашей деятельности. Почему я взял...

Подробнее…

3-й съезд директоров ИБ - краткие впечатления от первого дня

Первый день 3-го съезда директоров ИБ завершился. Программа была насыщенная и интересная, а т.к. я еще был и модераторов всего дня (работка, я вам скажу, адская), то прослушал все презентации и доклады. Не претендуя на всеобъемлющий пересказ всего того, что было хочу тезисно отразить наиболее понравившиеся мне моменты: Все берут направление на стандартизацию. Банк России, операторы связи, игроки фондового рынка (НАУФОР готовит свой стандарт по ПДн) и т.д. СоДИТ и вовсе решил поднять знамя стандартизации ИБ/ИТ и взялся за перевод 250 необходимых...

Подробнее…

И вновь о Роскомнадзоре и его мнении - 3

Коллега из Новосибирска прислал краткий обзор мероприятия по ПДн, которое прошло на позапрошлой неделе в Новосибирске. Краткие комментарии и высказывания регуляторов: Если страна ратифицировала Конвенцию, то РКН считает, что страна с адекватной защитой прав субъектов. Упоминался ГОСТ 19794 "Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными" по биометрической идентификации человека. Если изображение соответствует требования этого ГОСТа, то фото и видео - биометрия. Если не соответствуют - то не биометрия. Рассмотрение...

Подробнее…

О форме согласия на обработку ПДн

Напомню, что у РКН есть мнение, что согласие субъекта ПДн на обработку его ПДн может быть только в письменной и никакой иной форме. Алексей Волков запросил РКН по этому вопросу и получил официальный ответ (приведен в блоге). Я также провел ряд консультаций и их результат примерно следующий: ответ РКН правильный, но только потому, что соответствует вопросу ;-) Алексей ссылался в запросе на статьи ГК, регулирующие договорные отношения. РКН и ответил в том ключе, что договор - это договор, но обработка ПДн может вестись и без договора и поэтому может...

Подробнее…

О моделях угроз для виртуализации и облачных вычислений

Наткнулся недавно в каком-то интервью на высказывание о том, что для технологий виртуализации и облачных вычислений сегодня нет ни средств защиты ни общепризнанных и устоявшихся моделей угроз. Надо сразу заметить, что общепринятых и устоявшихся моделей угроз вообще нет, ни в какой области - каждый по своему понимает и этот термин и его наполнение. Есть методики моделирования угроз, но и тут об общепринятых подходах говорить тоже не приходится. Но вернемся к виртуализации и облачным вычислениям. Действительно ли нет для них опубликованных моделей...

Подробнее…

Мифы ИБ... онлайн-проект закончен

Итак, совместный проект по написанию книги "Мифы и заблуждения информационной безопасности" меня и портала bankir.ru закончен. Я сдал последние мифы и они скоро будут опубликованы на сайте. Ну что сказать?.. Проект был непростой. Имея в багаже опыт написания 4-х книг, я думал, что и пятую осилю без проблем. Оказалось не так. Онлайн-публикация по частям - сильно отличается от подготовки оффлайн-издания. И размер отдельных разделов должен быть не меньше определенного порогового значения (мне пришлось много мифов "зарезать" по этой причине). И сроки...

Подробнее…

Чего не хватает эффективному DLP-решению?

Презентация с DLP Russia 2010 в прошлый четверг. What is effective DLP solution View more presentations from Alexey Lukats...

Подробнее…

Мифы 86-90

И вновь мифы: Одноразовые коды по SMS спасают от несанкционированного перевода денег со счета Ограничение на сумму платежа через Интернет спасает от незаконного снятия средств со счета Сертификату Интернет-банка в браузере можно доверять Шифрование по SSL обеспечивает защиту транзакций в Интернет-банке Сайты умеют защищать хранимую на них информаци...

Подробнее…

Мифы 81-85

Новая порция мифов: Безопасность не влияет на бизнес-показатели Во всех бедах с информационной безопасностью виноваты хакеры Моя компания неизвестна и поэтому ее незачем атаковать USB-токен спасает от кражи секретных ключей ЭЦП Виртуальная клавиатура спасает от троянов, крадущих парол...

Подробнее…

Мифы 79-80

Продолжаю публикацию мифов: Заниматься инвестированием выгоднее, чем писать вирусы или хакеры заинтересованы только в славе Нас уже взломали и второй раз не вернутс...

Подробнее…

Как полезно иногда читать "старые" законы - 2 или почему можно не использовать сертифицированные средства защиты?

Продолжаю тему, начатую в четверг... Пообщался я с коллегами, которые сейчас анализируют поправки в законодательство по информационной безопасности, и ткнули они меня в интересный пункт не только ФЗ-149, но и ГК РФ. Дальше я добавил к этим двум пунктам еще свои изыскания и получилось вот что: Ст.3 ФЗ-149 говорит нам, что недопустимо установливать нормативными правовыми актами какие-либо преимущества применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания...

Подробнее…

Что нас ждет в ближайшее время с точки зрения регулирования ИБ?

В среду я разместил свою первую презентацию с ИнфобезЭкспо 2010 и вот пришел черед для второй, прочтенной в четверг. Саму презентацию я показать не смог по техническим причинам (на компе организаторов не было office 2007/2010, а я поленился сделать версию для Office 2003). Поэтому рассказывал без слайдов, а многие заинтересовались названиями и ссылками на упоминаемые документы. Поэтому выкладываю презентацию тут. Частично я ее уже выкладывал ранее, но сейчас я систематизировал информацию и актуализировал ее исходя из самых последних изменений. Security...

Подробнее…

Как получить меч за туманный рассказ?..

В четверг, на конкурсе "Львы и гладиаторы" на ИнфобезЭкспо 2010, в компании достойных  коллег, в непростой борьбе с перевесом в 5 голосов удалось у "Кода безопасности" вырвать победу и заполучить гладиаторский меч за презентацию сервиса облачной безопасности Web-доступа Cisco ScanSafe. Некоторые коллеги, не имея возможности попасть в зал и услышать рассказ о ScanSafe, попросили выложить презентацию о данном сервисе, что я и делаю. Cisco...

Подробнее…

Как полезно иногда читать "старые" законы или что такое общедоступные ПДн

Перечитывал на днях трехглавый ФЗ-149 и наткнулся на определение, которое сильно помогает операторам персональных данных. Речь идет о понятии "общедоступная информация". Очень часто во время приведения себя в соответствие с ФЗ-152 возникает вопрос о том, как оптимизировать свои усилия. Одним из сценариев является перевод обрабатываемых ПДн в разряд общедоступных, что позволяет не обеспечивать для них конфиденциальность и даже не заниматься их защитой. Если читать только ФЗ-152, то для перевода ПДн в разряд общедоступных необходимо получить письменное...

Подробнее…