29 апреля Symantec объявил о подписании соглашения о покупке двух игроков рынка шифрования данных и электронной почты - компаний PGP и GuardianEdge. Цена сделок - 300 и 70 миллионов наличными соответственно. Учитывая специфику регулирования рынка криптографии в России, на нас эти сделки никакого влияния не окажут.
30.4.10
Все под контроль Генпрокуратуры
Дмитрий Медведев подписал Федеральный закон "О внесении изменений в статью 10 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".
Федеральным законом предусматривается внесение в часть 5 статьи 10 Федерального закона "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" изменение, согласно которому требование о согласовании органами государственного контроля (надзора) и муниципального контроля с органами прокуратуры Российской Федерации выездных внеплановых проверок распространяется на проверки, организуемые в отношении любых хозяйствующих субъектов, а не только субъектов малого и среднего предпринимательства.
Теперь любая внеплановая проверка ФСТЭК, РКН и иже с ними должна быть согласована с прокуратурой. По имеющейся статистике последняя согласует только 10% из них.
Федеральным законом предусматривается внесение в часть 5 статьи 10 Федерального закона "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" изменение, согласно которому требование о согласовании органами государственного контроля (надзора) и муниципального контроля с органами прокуратуры Российской Федерации выездных внеплановых проверок распространяется на проверки, организуемые в отношении любых хозяйствующих субъектов, а не только субъектов малого и среднего предпринимательства.
Теперь любая внеплановая проверка ФСТЭК, РКН и иже с ними должна быть согласована с прокуратурой. По имеющейся статистике последняя согласует только 10% из них.
29.4.10
Методические указания по управлению инцидентами
По заказу одного из промышленных предприятий, я сейчас творю курс по управлению инцидентами (именно по управлению, а не по реагировпанию, обработке или расследованию инцидентов). И вот обратил внимание на интересный момент - действительно адекватных методических и практических рекомендаций почти нет. Хотя самих материалов немало. Это и ISO 18044, и ITU-T E.409, и RFC 2350, и многие другие. Но действительно выстроенной цепочки документов от создания CSIRT и до формализации ее работы в виде отрисованных и описанных процессов почти нет. Мне удалось найти только один ресурс, который является лидером по части управления инцидентами на протяжении последних двух десятков лет. Речь идет о CERT. На его сайте можно найти отличные материалы по выстраиванию процесса управления инцидентами, как на корпоративном, так и национальном уровне (такие попытки сейчас делаются и в России).
28.4.10
Когда сертифицированных СКЗИ попросту нет ;-(
Всем знакома ситуация, когда регулятор, в лице ФСБ, требует использования только сертифицированных СКЗИ. Например, в действующих методических рекомендациях по защите ПДн именно это и написано. При отсутствии же сертифицированного решения рекомендуется задуматься о разработке новой СКЗИ и подаче его на сертификацию. Но всегда ли возможен выбор только между двумя этими сценариями?
Сел я на досуге и составил списочек из сценариев, когда сертифицированных решений нет и не будет в обозримом будущем. Вот этот список:
Хочу отметить, что речь не идет об исключениях, не попадающих под лицензирование согласно ПП-957 или согласно правилам ввоза шифровальных средств. Исключения - это всего лишь набор ситуаций, облегчающих лицензирование и ввоз, но не использование.
Сел я на досуге и составил списочек из сценариев, когда сертифицированных решений нет и не будет в обозримом будущем. Вот этот список:
- Работа представительств иностранных компаний в России. Они действуют в рамках корпоративных стандартов и применяют западные СКЗИ. Экспорт же отечественных СКЗИ невозможен по той причине, что ради одной страны западная компания не будет менять свои стандарты и не будет экспортировать отечественные СКЗИ во все страны, где западная компания представлена.
- Коммерческое IP-телевидение (устройства STB не поддерживают и не будут ГОСТы, т.к. они производятся за пределами России и поставляются в сотни стран мира).
- IP-видеонаблюдение, которое также не поддерживает отечественные криптоалгоритмы.
- Синхронизация основного и резервного центров обработки данных на скоростях свыше 1 Гбит/сек. Сегодня не редкость скорости 10 Гбит/сек и даже 40 Гбит/сек.
- Магистральное шифрование, которое сегодня обычно проходит на скоростях свыше 10 Гбит/сек.
- Стандарт беспроводной связи 802.11i, в котором на уровне стандартизующих организаций прописан иной криптоалгоритм.
- Стандарты мобильной связи 2.5G, 3G, а также LTE и Wi-Max, где также на уровне стандартов прописаны не ГОСТ.
- Чиповые смарткарты для платежных систем Visa и MasterCard.
- Шифрование в смартфонах, iPhone и т.п.
- Доступ к российским Интернет-банкам с компьютера в Интернет-кафе на заграничном отдыхе (на нем нет никакого российского криптопровайдера).
- Доступ из-за границы к любой российской платежной системе (Assist, ChronoPay, Яндекс.Деньги, Рапида и т.д.), а также к любой иной системе электронной коммерции (заказ билетов, заказ книг в Интернет-магазинах и т.п.).
- Защищенная электронная Web-почта по протоколу HTTPS.
- Шифрование в протоколе FibreChannel при записе на ленточку в центре обработке данных.
- Шифрование в протоколе FibreChannel при передаче данных внутри центра обработки данных или между разными центрами.
- Обмен с международными организациями российских федеральных органов исполнительной власти - МВД, ФТС, ФНС и т.д.
- Аутсорсинг
- Новая модель SaaS (Cloud Computing), когда вся обработка осуществляется через Интернет и, возможно, где-то за границей. По такому принципу работают многие переводческие компании.
- Доступ к российскому фондовому рынку из зарубежа.
- Поддержка АСУ ТП. Когда западные поставщики АСУ ТП решений для нефтянки, энергетики, промышленности и т.п. продают свои решения (Emersson, Rockwell, Siemens, Yokogawa и т.д.), то одним из условий является удаленная техническая поддержка (через Интернет или модем). И поддержка эта, как правило, оказывается из-за границы, опять же по западным криптоалгоритмам.
Хочу отметить, что речь не идет об исключениях, не попадающих под лицензирование согласно ПП-957 или согласно правилам ввоза шифровальных средств. Исключения - это всего лишь набор ситуаций, облегчающих лицензирование и ввоз, но не использование.
27.4.10
О преприятиях, имеющих стратегическое значение для обеспечения обороны страны и безопасности государства
Коллега из одного иностранного банка, действующего на территории РФ, обратил внимание на интересный Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва "О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства".
Из преамбулы: "В целях обеспечения обороны страны и безопасности государства настоящим Федеральным законом устанавливаются изъятия ограничительного характера для иностранных инвесторов и для группы лиц, в которую входит иностранный инвестор, при их участии в уставных капиталах хозяйственных обществ, имеющих стратегическое значение для обеспечения обороны страны и без опасности государства, и (или) совершении ими сделок, влекущих за собой установление контроля над указанными хозяйственными обществами". Суть проста - если в предприятие, подпадающее под ряд условий, иностранный инвестор хочет вложить денег, действия этого инвестора могут быть очень сильно ограничены. Вплоть до лишения права голоса, блокирования сделок с акциями и т.п.
Причем тут ИБ и, вообще, все мы, спросите вы. А связь самая прямая. Если посмотреть на определение "хозяйственное общество, имеющее стратегическое значение для обеспечения обороны страны и безопасности государства", то мы увидим, что это предприятие "созданное на территории Российской Федерации и осуществляющее хотя бы один из видов деятельности, имеющих стратегическое значение для обеспечения обороны страны и безопасности государства и указанных в статье 6 настоящего Федерального закона". А вот в ст.6 есть пп.11-14, которые повторяют пункт из ФЗ "О лицензировании отдельных видов деятельности", связанные... с шифрованием. Иными словами, если у вас есть лицензия ФСБ и в вас хочет инвестировать иностранная компания, то у нее могут быть определенные сложности в своем благом намерении. И когда речь идет об инвестициях в Газпром, Автоваз, Сухой, Аэрофлот и т.п. предприятия, я допускаю и понимаю желание государства ограничить влияние потенциального врага. Но когда такие ограничения применяются (а в законе нет дифференциации) к любой организации, имеющей лицензию ФСБ, например, на техобслуживание купленного для себя одного маршрутизатора Cisco с IPSec ;-(
Из преамбулы: "В целях обеспечения обороны страны и безопасности государства настоящим Федеральным законом устанавливаются изъятия ограничительного характера для иностранных инвесторов и для группы лиц, в которую входит иностранный инвестор, при их участии в уставных капиталах хозяйственных обществ, имеющих стратегическое значение для обеспечения обороны страны и без опасности государства, и (или) совершении ими сделок, влекущих за собой установление контроля над указанными хозяйственными обществами". Суть проста - если в предприятие, подпадающее под ряд условий, иностранный инвестор хочет вложить денег, действия этого инвестора могут быть очень сильно ограничены. Вплоть до лишения права голоса, блокирования сделок с акциями и т.п.
Причем тут ИБ и, вообще, все мы, спросите вы. А связь самая прямая. Если посмотреть на определение "хозяйственное общество, имеющее стратегическое значение для обеспечения обороны страны и безопасности государства", то мы увидим, что это предприятие "созданное на территории Российской Федерации и осуществляющее хотя бы один из видов деятельности, имеющих стратегическое значение для обеспечения обороны страны и безопасности государства и указанных в статье 6 настоящего Федерального закона". А вот в ст.6 есть пп.11-14, которые повторяют пункт из ФЗ "О лицензировании отдельных видов деятельности", связанные... с шифрованием. Иными словами, если у вас есть лицензия ФСБ и в вас хочет инвестировать иностранная компания, то у нее могут быть определенные сложности в своем благом намерении. И когда речь идет об инвестициях в Газпром, Автоваз, Сухой, Аэрофлот и т.п. предприятия, я допускаю и понимаю желание государства ограничить влияние потенциального врага. Но когда такие ограничения применяются (а в законе нет дифференциации) к любой организации, имеющей лицензию ФСБ, например, на техобслуживание купленного для себя одного маршрутизатора Cisco с IPSec ;-(
24.4.10
23.4.10
Результаты заседания НТС Минкомсвязи
Я уже писал о заседании НТС, которое проходило 21-го марта в Минкомсвязи по вопросам персональных данных, НИР "Тритон" и отраслевых моделей угроз. Решено рекомендовать операторам связи использовать эти документы в своей работе. Учитывая, что это модели угроз "имени РНТ" никак не стыкуются с НИР "Тритон" (да и практическая их реализация может вызвать огромные сложности), то эти две работы должны найти точки соприкосновения.
22.4.10
Штирлиц, Штирлинг или почему Microsoft закрывает направление безопасности ПК?
После новости о "эвтаназии" ISS последовала новая - о закрытии компанией Microsoft своего направления по защите пользовательских рабочих станций. Толи кризис коснулся и рэдмондского гиганта, толи этот рынок не столь перспективен, толи рынок не маржинален и MS не готов тратиться на развитие направления, которое оккупируют Symantec, McAfee, Лаборатория Касперского и масса других, бесплатных продуктов. Но факт остается фактом, MS будет концентрироваться на защите серверов, системах управления и hosted security (Forefront Online).
Давно обещанный продукт под кодовым названием Stirling, являющийся развитием Forefront Protection Suite, с задержкой в два года так и не стал доступен пользователям.
Давно обещанный продукт под кодовым названием Stirling, являющийся развитием Forefront Protection Suite, с задержкой в два года так и не стал доступен пользователям.
21.4.10
Cisco сертифицировала модуль шифрования в ФСБ
Нечасто я публикую тут новости, связанные с моим работодателем, но эта стоит исключения из правил. Наш модуль шифрования, разработанный совместно с компанией С-Терра СиЭсПи 20-го марта сего года получил сертификат ФСБ.
Вот небольшой фрагмент из пресс-релиза: "В рамках технологического сотрудничества компании Cisco Systems и «С-Терра СиЭсПи» в 2003 г. был создан первый сетевой модуль для работы на маршрутизаторах Cisco — NME-RVPN. С его выходом российский рынок получил возможность использовать средства защиты с российской криптографией на платформе мирового лидера индустрии сетевой безопасности.
Вот небольшой фрагмент из пресс-релиза: "В рамках технологического сотрудничества компании Cisco Systems и «С-Терра СиЭсПи» в 2003 г. был создан первый сетевой модуль для работы на маршрутизаторах Cisco — NME-RVPN. С его выходом российский рынок получил возможность использовать средства защиты с российской криптографией на платформе мирового лидера индустрии сетевой безопасности.
Модуль получил высокую оценку и признание у российских пользователей, и в начале 2010 г. вышло второе поколение модулей — МСМ. Участие Cisco в таких проектах показывает, насколько эта компания заинтересована в российском рынке и в соответствии требованиям российских заказчиков.
...это осуществляется благодаря сертифицированному решению: с одной стороны, оно работает на базе стандартного протокола IPsec, с другой — использует российские криптографические стандарты. Его преимущества — гибкость применения, высокая степень защиты мультисервисного трафика (данные, голос, видео), глубокая интеграция в ведущие решения по обеспечению сетевой безопасности, например, возможность администрирования с помощью Cisco Security Manager.
...В планах на ближайшее будущее — перенос в Россию производства ключевых элементов таких актуальных решений, как представленный нами сертифицированный продукт".
20.4.10
ISS умер?
Почти три года назад я писал про негативную роль слияний и поглощений в области ИБ. В качестве примера я привел компанию ISS, купленную голубым гигантом (IBM). Меня тогда обвиняли в предвзятости (хотя я почти 5 лет отдал продвижению ISS в России) и нечистой конкурентной борьбе (я тогда уже перешел в Cisco). Но мое мнение было объективным. Таким оно и осталось. А недавно и подтвердилось ;-(
В The Register опубликовали статью, суть которой повторяет то, что я писал три года назад - "зачем IBM потратил 1.3 миллиарда долларов на покупку ISS, непонятно". В статье описывается, что за прошедшие 4 года доля продуктов ISS на мировом рынке сократилась существенно (с 28% до 2,3%). Что решение о включение продуктового направление в сервисный департамент было нелогичным. Да, IBM получил группу X-Force и усилил свою экспертизу на рынке Managed Security Services, но продукты постигла нелегкая судьба. За 4 года четкой стратегии их развития так и не появилось (насколько мне известно, ее нет до сих пор).
И вот в начале этого года, IBM все-таки принял решение о переводе 4 своих продуктов:
Судьба сканера в статье не озвучена. Могу предположить, что он также будет объявлен в End of Sale \ End of Life, что отчасти логично. Уже 6 лет назад продукт остановился в своем развитии и обновлялся только проверками, но не серьезными новыми функциями. За это время конкуренты ушли далеко вперед, а догонять их стало достаточно трудно (да и нужно ли?). Также неизвестна судьба Proventia MFS (многофункциональная устройство защиты) - учитывая не только большое количество нареканий к совместной работе его компонентов, но и то, что Tivoli - это софтовое подразделение. Да и среди лидеров рынка UTM данное решение IBM ISS никогда не числилось. Неисключено, что и этот продукт почит в бозе.
Вот такая судьба постигла компанию, которая была одним из пионеров, а потом и лидером рынка обнаружения уязвимостей и атак ;-(
В The Register опубликовали статью, суть которой повторяет то, что я писал три года назад - "зачем IBM потратил 1.3 миллиарда долларов на покупку ISS, непонятно". В статье описывается, что за прошедшие 4 года доля продуктов ISS на мировом рынке сократилась существенно (с 28% до 2,3%). Что решение о включение продуктового направление в сервисный департамент было нелогичным. Да, IBM получил группу X-Force и усилил свою экспертизу на рынке Managed Security Services, но продукты постигла нелегкая судьба. За 4 года четкой стратегии их развития так и не появилось (насколько мне известно, ее нет до сих пор).
И вот в начале этого года, IBM все-таки принял решение о переводе 4 своих продуктов:
- IBM Virtual Server Security for VMware
- IBM Proventia Management SiteProtector
- IBM Proventia Server Protection
- IBM Proventia Network Intrusion Prevention System
Судьба сканера в статье не озвучена. Могу предположить, что он также будет объявлен в End of Sale \ End of Life, что отчасти логично. Уже 6 лет назад продукт остановился в своем развитии и обновлялся только проверками, но не серьезными новыми функциями. За это время конкуренты ушли далеко вперед, а догонять их стало достаточно трудно (да и нужно ли?). Также неизвестна судьба Proventia MFS (многофункциональная устройство защиты) - учитывая не только большое количество нареканий к совместной работе его компонентов, но и то, что Tivoli - это софтовое подразделение. Да и среди лидеров рынка UTM данное решение IBM ISS никогда не числилось. Неисключено, что и этот продукт почит в бозе.
Вот такая судьба постигла компанию, которая была одним из пионеров, а потом и лидером рынка обнаружения уязвимостей и атак ;-(
19.4.10
"Формула банкинга" - онлайн-конференция bankir.ru
Портал bankir.ru пригласил меня поучаствовать в онлайн-конференции "Формула банкинга". Анонс конференции был такой: "Компьютер успешно заменяет бумажник. Наблюдатели констатируют: банкинг становится одной из самых "IT-продвинутых" индустрий. Что будет дальше… Как оценить IT-решения для банкинга? Есть ли предел "компьютеризации" денег? Что ждет рынок в 2010 году?" Вопросы задавали участники портала. Помимо меня отвечали банковские эксперты, ИТ-специалисты банков и т.п.
Запись конференции...
Запись конференции...
Рейтинг Интернет-банков
Довелось мне по приглашению портала banki.ru участвовать в проекте оценки различных систем интернет-банкинга. Суть проекта проста - по набору критериев оценить 22 Интернет-банка, включая и по направлению безопасности осуществления операций. Я оценивал эти банки и как рядовой их пользователь, и как эксперт по ИБ. В итоге получилось то, что получилось. Первое место занял Банк24.ру. Это и понятно. Для этого банка Интернет - основной и единственный канал доставки банковских продуктов до клиентов. Поэтому и продуман он более тщательно.
Из распространенных для многих проблем ИБ могу назвать следующие:
ЗЫ. В мае пройдет пресс-конференция по данному проекту.
Из распространенных для многих проблем ИБ могу назвать следующие:
- отсутствие четких и понятных неИТ-пользователю рекомендаций в области ИБ
- отсутствие нормального описания системы защиты (а ведь многие просто боятся работать с ДБО именно по причине мнения о его незащищенности)
- отсутствие виртуальной клавиатуры
- привязка к cookies (у меня они отключены по умолчанию и когда я не мог сходу зайти ни в один из банков, никаких советов и предупреждений о том, что неплохо бы включить cookies не последовало)
- необходимость загрузки мегабайтной документации в формате PDF, чтобы получить описание тех или иных функций ИБ
- отсутствие обратной связи с банком - предлагается только телефон, а e-mail или IM практически никогда
- отсутствие системы регистрации событий в ДБО (как минимум входов в систему)
- хранение ключей ЭЦП на внешних носителях, что ограничивает применение системы в Интернет-кафе или на смартфонах/iPhone. Иногда работа с ЭЦП и ключами излишне наворочена для рядовых пользователей.
ЗЫ. В мае пройдет пресс-конференция по данному проекту.
16.4.10
Конференция АРБ по ФЗ-152: результаты
Итак, вчера прошла конференция АРБ по ФЗ-152. Точнее по анонсированию новых (практически последних версий) документов ЦБ в области информационной безопасности и, в частности, в области защиты персональных данных и прав субъектов ПДн. Ссылки на документы я публиковал вчера (сегодня должны быть выложены самые последние версии). Сейчас документы согласованы на 95-98%. В мае должно быть все до конца согласовано и подготовлено "письмо пяти" (ФСТЭК+ФСБ+РКН+ЦБ+АРБ), в котором будет описано, как использовать разработанные документы.
Документы будут развиваться и дальше.Резниковский законопроект, новый приказ ФСБ по персданным, новые административные регламенты регуляторов, новый стандарт ISO по ПДн... все это заставит нас динамично менять и сами документы, чтобы они соответствовали последним веяниям в области защиты ПДн и прав субъектов.
От себя хочу заметить, что если у вас есть замечания, предложения, комментарии, то пишите или сюда, или мне в почту, или на bankir.ru. Мы все постараемся учесть при обновлении документов. Не стесняйтесь ;-)
Еще одной новостью, озвученной на конференции, стал разговор о создании саморегулируемой организации (СРО), которая возьмет на себя процесс как оценки соответствия (в т.ч. и добровольной сертификации) продуктов и услуг в области защиты банковской системы РФ. Пока мы только в начале этого пути, но первый шаг сделан и... он согласован с регуляторами, которые также не видят препятствий к созданию СРО, которая снимает с регуляторов часть головной боли, связанной с необходимостью проверять тысячи организаций по вопросам защиты информации.
Документы будут развиваться и дальше.Резниковский законопроект, новый приказ ФСБ по персданным, новые административные регламенты регуляторов, новый стандарт ISO по ПДн... все это заставит нас динамично менять и сами документы, чтобы они соответствовали последним веяниям в области защиты ПДн и прав субъектов.
От себя хочу заметить, что если у вас есть замечания, предложения, комментарии, то пишите или сюда, или мне в почту, или на bankir.ru. Мы все постараемся учесть при обновлении документов. Не стесняйтесь ;-)
Еще одной новостью, озвученной на конференции, стал разговор о создании саморегулируемой организации (СРО), которая возьмет на себя процесс как оценки соответствия (в т.ч. и добровольной сертификации) продуктов и услуг в области защиты банковской системы РФ. Пока мы только в начале этого пути, но первый шаг сделан и... он согласован с регуляторами, которые также не видят препятствий к созданию СРО, которая снимает с регуляторов часть головной боли, связанной с необходимостью проверять тысячи организаций по вопросам защиты информации.
15.4.10
Время снятия сливок на поляне ПДн кончилось?
Многие, кто следит за этим блогом, сталкивались с моим мнением, что интеграторы (не все, но многие) в 2008-2009-м годах активно запугивали своих клиентов страшилками про кару небесную за невыполнение требований ФСТЭК в области защиты ПДн. Клиенты, купившиеся на это, обращались к интеграторам и следовали всем их рекомендациям, даже не удосужившись подумать, а стоит ли выполнять все то, что так рекламируют интеграторы. Может быть стоит творчески подойти к ключевым вопросам защиты ПДн - классификации, обезличиванию, уходу по 687-е постановление и т.п.
Не прошло и двух лет, как ситуация стала меняться ;-) Уже и ФСТЭК сменил свои требования на более адекватные. Вот и интеграторы стали публично рассказывать, как оптимизировать свои усилия по приведению себя в соответствие с четверокнижиями, трехкнижиями и другими ...книжиями. Один из последних примеров - рекомендации Информзащиты по снижению "классности" ИСПДн. В целом ничего нового (все это можно найти у меня в блоге на протяжении последних пары лет), но важен сам факт признания такой возможности от одного из воротил рынка ПДн, который к тому же еще и лицензиат ФСТЭК.
Но в целом это закономерно. Сегодня запугивать кого-то и играть на незнании и отсутствии информации уже поздно. Хотя бы потому, что уже появляются не просто отдельные факты о том, что при проверках регуляторы отходят от своих же официальных рекомендаций и, например, соглашаются с отказом не использовать классы К1-К4, а целые отраслевые рекомендации, согласованные с регуляторами. Например, рабочая группа ЦБ/АРБ, в которую вхожу и я, опубликовала на сайте АРБ эти документы в свободном доступе:
Не прошло и двух лет, как ситуация стала меняться ;-) Уже и ФСТЭК сменил свои требования на более адекватные. Вот и интеграторы стали публично рассказывать, как оптимизировать свои усилия по приведению себя в соответствие с четверокнижиями, трехкнижиями и другими ...книжиями. Один из последних примеров - рекомендации Информзащиты по снижению "классности" ИСПДн. В целом ничего нового (все это можно найти у меня в блоге на протяжении последних пары лет), но важен сам факт признания такой возможности от одного из воротил рынка ПДн, который к тому же еще и лицензиат ФСТЭК.
Но в целом это закономерно. Сегодня запугивать кого-то и играть на незнании и отсутствии информации уже поздно. Хотя бы потому, что уже появляются не просто отдельные факты о том, что при проверках регуляторы отходят от своих же официальных рекомендаций и, например, соглашаются с отказом не использовать классы К1-К4, а целые отраслевые рекомендации, согласованные с регуляторами. Например, рабочая группа ЦБ/АРБ, в которую вхожу и я, опубликовала на сайте АРБ эти документы в свободном доступе:
- РС БР ИББС-2.3 Требования по обеспечению безопасности ПДн
- Методические рекомендации по выполнению законодательных требований
- СТО БР ИББС-1.0-20хх
- Методика оценки соответствия
- РС БР ИББС-2.4 Отраслевая модель угроз ПДн.
14.4.10
Резниковский законопроект по ПДн - зеленый свет дан
Уже писал я о законопроекте Резника, который "малость" изменил действующий ФЗ-152, привнес в него много нового, и поставил множество новых вопросов. У специалистов было много нареканий к этой версии будущего ФЗ-152. да и в самой ГосДуме были противники Резника, продвигающие свой законопроект. Да еще был вариант предложений по изменению ФЗ-152 от Минкомсвязи.
Но видимо Резник победил всех (на текущем этапе гонки). 8 апреля Правительство РФ дало положительное (с оговорками) заключение на законопроект Резника. Есть, конечно, моменты, с которыми Правительство не согласно, но есть и те вещи, на которые многие надеялись и которые не прошли проверку Правительства ;-(
Но видимо Резник победил всех (на текущем этапе гонки). 8 апреля Правительство РФ дало положительное (с оговорками) заключение на законопроект Резника. Есть, конечно, моменты, с которыми Правительство не согласно, но есть и те вещи, на которые многие надеялись и которые не прошли проверку Правительства ;-(
13.4.10
Как будут защищать ПДн операторы связи?
Я уже писал про НИР "Тритон", выполняемую под эгидой Инфокоммуникационного Союза, и вот новый поворот. 21-го числа состоится заседании секции №1 НТС Минкомсвязи, на котором будут обсуждаться:
Во второй части будет обсуждаться Концепция защиты ПДн в ИСПДн операторов связи, разработанная в рамках НИР "Тритон".
- Модели угроз безопасности персональных данных, обрабатываемых в типовых и специальных информационных системах персональных данных
- Концепция защиты персональных данных в информационных системах персональных данных операторов связи.
Во второй части будет обсуждаться Концепция защиты ПДн в ИСПДн операторов связи, разработанная в рамках НИР "Тритон".
12.4.10
McAfee обвиняют в обмане клиентов
Суть обмана проста. Клиенты McAfee сталкивются с показом всплывающего окна, похожего на страницы сайта McAfee. Клиентам предлагается нажать на кнопку "Попробуйте это сейчас", после чего с кредитных карт клиентов списывалась сумма около 5 долларов за покупку непонятно чего. При этом клиенты, доверившие свои кредитки McAfee, не подозревали о таком сервисе и предполагали, что нажав на кнопку они получат обновление своего антивируса.
Иски поданы. McAfee пока не комментирует. Ждем развития событий...
Иски поданы. McAfee пока не комментирует. Ждем развития событий...
9.4.10
Почему российские ИБ-стартапы неуспешны?
В мой первый день работы в Cisco я пошел стоять на стенде на первой InfoSecurity Russia. И выступал там же с очередной презентацией. И вот после нее ко мне подошел гендиректор одного известного российского ИБ-интегратора и познакомил с одним человеком, который стал предлагать мне разработанную им классную технологию борьбы с руткитами, которая "делает на раз" все представленные на рынке продукты. Начал он с того, что "опустил" продукты, предлагаемые Cisco, и превознес свое ПО. Мы не нашли общего языка ;-) Через год я вновь его встретил. За это время он пообщался с разными вендорами и нигде не нашел понимания. Уже не такой окрыленный, он спросил меня: "Ну почему никому не нужна его классная технология?" Я ему тогда ответил, что бизнес интересует не технологии, а возможность заработать. Поэтому для стартапа важна не технология, а маркетинг и бизнес-идея. Но он, как истинный технарь, не проникся этим и ушел, пытаясь заработать на своем детище и не понимая принципов, как это сделать.
Потом ко мне на различных конференциях уже не раз подходили разработчики различных "уникальных" технологий, которые сначала пытались всучить это Cisco, а потом просто спрашивали, ну почему же их феноменальный продукт/технология никого не интересуют. Каждому я отвечал примерно одно и тоже. И каждый раз это было впустую. Надо ли говорить, что ни одна из этих технологий так и вышла на рынок.
И вот в уже не раз упомянутом мной блоге "Записки стартаперов", его автор аккумулирует классические ошибки ИТ-стартаперов и описывает 7 мифов, которые делают людей банкротами. Рекомендуется читать всем авторам гениальных идей, желающих заработать на них ;-) Отмечу, что все это действительно так. Поработав в компании-разработчике, а затем, уже в Cisco, общаясь с отечественными игроками рынка ИБ, понял, что все это действительно имеет место быть.
ЗЫ. Ну и еще про это же.
Потом ко мне на различных конференциях уже не раз подходили разработчики различных "уникальных" технологий, которые сначала пытались всучить это Cisco, а потом просто спрашивали, ну почему же их феноменальный продукт/технология никого не интересуют. Каждому я отвечал примерно одно и тоже. И каждый раз это было впустую. Надо ли говорить, что ни одна из этих технологий так и вышла на рынок.
И вот в уже не раз упомянутом мной блоге "Записки стартаперов", его автор аккумулирует классические ошибки ИТ-стартаперов и описывает 7 мифов, которые делают людей банкротами. Рекомендуется читать всем авторам гениальных идей, желающих заработать на них ;-) Отмечу, что все это действительно так. Поработав в компании-разработчике, а затем, уже в Cisco, общаясь с отечественными игроками рынка ИБ, понял, что все это действительно имеет место быть.
ЗЫ. Ну и еще про это же.
8.4.10
Что происходит в области ФЗ-152 (обзор)
Попросили в журнале CIO вести у них на сайте блог. Ну, а почему нет? Тем более, что особой частоты написания заметок пока не требуется. Первая заметка - обзор того, что происходит в области ФЗ-152 за последнее время. Учитывая, что основная аудитория сайта CIO - руководители ИТ-служб, то им некогда читать весь мой блог и рыскать в Интернете в поисках всей необходимой информации. Я в этом обзоре постарался свести воедино все, что сейчас делается.
ЗЫ. Вторая часть заметки.
ЗЫ. Вторая часть заметки.
7.4.10
Работодатель не имеет права читать личную почту сотрудников
Верховный Суд Нью-Джерси принял решение, запрещающее работодателям читать личную почту сотрудников, отосланную с помощью внешних сервисов, даже если она может находиться на ПК сотрудника в рабочее время. Тем самым суд лишний раз дал понять, что если сотрудник работает на компьютере, являющемся собственностью работодателя, это еще не дает право последнему читать личную почту своих подопечных.
Сама новость... (другой вариант) и юридический анализ.
Сама новость... (другой вариант) и юридический анализ.
6.4.10
Мифы банковской безопасности
В выходные вел секцию на РусКрипто по заблуждениям в области ИБ. Получилось живенько. Жаль только Марии Сидоровой с рассказом о мифах в безопасности виртуализации не было. В остальном все прошло на уровне. И доклады, и дискуссия...
Выкладываю свою презу.
Выкладываю свою презу.
5.4.10
Знаете ли вы что такое РС БР ИББС-2.4?
Скорее всего, вы не знакомы с документом с таким названием... Чтобы узнать о нем, а также о документе с номером РС БР ИББС-2.3 необходимо посетить конференцию АРБ "О реализации требований Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных".
2.4.10
Как взаимодействовать с регуляторами?
Во вторник в одной весомой организации я выступал с двумя презентациями - "Моделт угроз" и "Как взаимодействовать с регуляторами". Вторую презентацию и выкладываю.
1.4.10
Я переезжаю на Украину
Коллеги, последнее время я много думал и пришел к непростому решению - я уезжаю из России... на Украину, откуда все мои предки родом. Сподвигло меня к этому решению все, что происходит в последнее время в стране. "Демократия", коррупция, бесполезная борьба с чиновниками, терракты... Все это не добавляет оптимизма относительно жизни в этой стране.
Безопасностью я решил тоже больше не заниматься. Решил полностью сменить свой профиль деятельности. Займусь дизайном и торговлей ювелиными изделиями. Я об этом думал достаточно давно и на досуге даже мастерил дома ювелирку "для себя"... Получалось неплохо. Вот только один пример:
Также уход в самостоятельное плавание позволит реализовать многие маркетинговые и рекламные задумки, которые не удавалось запустить, работая "на дядю". В частности придумал название и логотип для своего ювелирного дома ;-) Также заказал у фрилансеров (денег пока на хороший рекламный заказ немного) фирменный стиль, визитки, лого (кстати, изделие с рубином тоже моих рук дело)...
Родственники помогли открыть небольшой магазинчик в Одессе.
Вот так, примерно. Пока не знаю, что из этого всего получится. Надеюсь, что в новой стране не пропаду. Всем удачи!
Безопасностью я решил тоже больше не заниматься. Решил полностью сменить свой профиль деятельности. Займусь дизайном и торговлей ювелиными изделиями. Я об этом думал достаточно давно и на досуге даже мастерил дома ювелирку "для себя"... Получалось неплохо. Вот только один пример:
Также уход в самостоятельное плавание позволит реализовать многие маркетинговые и рекламные задумки, которые не удавалось запустить, работая "на дядю". В частности придумал название и логотип для своего ювелирного дома ;-) Также заказал у фрилансеров (денег пока на хороший рекламный заказ немного) фирменный стиль, визитки, лого (кстати, изделие с рубином тоже моих рук дело)...
Родственники помогли открыть небольшой магазинчик в Одессе.
Вот так, примерно. Пока не знаю, что из этого всего получится. Надеюсь, что в новой стране не пропаду. Всем удачи!
Подписаться на:
Сообщения (Atom)