ФАИТ доигрался - его закрыли - 2

Ну вот и долгожданный текст указа Президента о расформировании ФА...

Подробнее…

Как Роскомнадзор свою конференцию организовывал...

Решил тут Роскомнадзор свою конференцию по ПДн организовать. Да видать не знал, как это делается, а посему сделал классические ошибки, присущие любому неопытному организатору мероприятий, желающему срубить денег с горячей темы. А ошибок немало. Во-первых, они ошиблись в названии. Занимаясь защитой прав субъектов ПДн, они назвали конференцию просто "Защита ПДн". Хотя слухи о том, что они хотят подвинуть ФСТЭК и ФСБ на технической поляне ходят давно. Во-вторых, они выбрали самую неудачную дату для мероприятия. На следующий день после межотраслевого...

Подробнее…

О рисках получения лицензии ФСБ

Весной я описывал ситуацию с ФЗ-57, который любое предприятие имеющее лицензию ФСБ делает стратегически важным для обороноспособности страны. А следовательно любые инвестиции в такие предприятия должны быть согласованы с ФАС и ФСБ. Невыполнение этого условия может привести к аннулировании сделок, инвестиций и т.п. И вот первый пример работы этого закона. Royal Bank of Scotland запретили увеличить долю в ЗАО "Королевский банку Шотландии", ссылаясь именно на этот закон. Вот теперь и думай - получать лицензию ФСБ или нет? А еще Правительство и Президент...

Подробнее…

ArcSight ищет покупателя

Недавно я писал про новое приобретение HP и заметил, что скоро мелких игроков на зрелых сегментах рынка почти не останется. И вот новая новость, подтверждающая правило, - ArcSight выставил себя на аукцион и готов продаться тому, кто купит этого SIEM-игрока. Потенциальных покупателей называют несколько. Среди них таже HP, Oracle, IBM, EMC и CA. Причем три последних уже имеют в своем порфолио SIEM-решения. Для российского рынка эта новость имеет непосредственное и немалое значение. Учитывая, что после потери лидерских позиций компании netForensics,...

Подробнее…

DDoS в мультфильме

Orange на базе продуктов Ciscoв области ИБ запустил услугу по защите от DDoS. Но сейчас не об этом, а о ролике, который они сделали про DDoS. Зачетный мульт ;-) ...

Подробнее…

Интернет-ТВ по безопасности

Некоторое время назад я приложил руку к созданию первоапрельской шутки-новости на SecurityLab. Начиналась она так: "Группа компаний «Информзащита» объявила о создании целого пула игроков рынка информационной безопасности. К уже имеющимся 6 компаниями, входящим в группу (интегратор "Информзащита", УЦ "Информзащита", дистрибутор SafeLine, Национальный аттестационный центр, "Код безопасности" и Trustverse), было создано еще 3. "SecureTV" – компания, в сферу деятельности которой будет входить создание своего телеканала, пропагандирующего вопросы...

Подробнее…

Шифрование и обезличивание

Всем известно требование нормативных документов ФСБ по персданным, согласно которому: "Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства". Выполнить это требование непросто, ввиду отсутствия сертифицированных решения для большого количества сценариев обработки ПДн. Но даже в том случае,...

Подробнее…

HP покупает Fortify

17 августа компания HP объявила о покупке производителя средств защиты приложении - компании Fortify. Но у Fortify подход немного отличный от общепринятого. Его продукция не блокирует атаки на приложения, а ищет в них уязвимости как на этапе эксплуатации, так и на этапе создания (анализ исходных кодов). Детали сделки не разглашаются. Описанная мной пару лет назад тенденция о скупке мелких игроков гигантами ИТ-рынка продолжается. HP купил Fortify, Intel купил McAfee... Не исключаю что кто-то скоро купит Check Point. Главное в таких сделках, чтобы...

Подробнее…

Как законно неиспользовать сертифицированные СКЗИ при передаче ПДн через Интернет?

Позиция ФСБ на использование СКЗИ достаточно давно озвучена и выглядит примерно следующим образом - необходимость применения средств шифрования определяется исходя из модели угроз, но... при передаче через Интернет единственным механизмом защиты ПДн является шифрование. При этом средства шифрования должны быть сертифицированными. Логика понятна, но согласиться с ней бывает трудно. Особенно, когда для принятого в организации способа передачи данных отсутствуют сертифицированные решения или когда организация уже использует IPSec в маршрутизаторах...

Подробнее…

О балансе интересов

Про баланс интересов я уже как-то писал. Это классное исключение, когда не надо получать согласие субъекта ПДн. И РКН часто заявляет, что они бы и рады следовать Евроконвенции, где это исключение есть, но не могут, т.к. в российском законодательстве его нет. Но они ошибаются. В Гражданском Кодексе есть классная глава - 50 - "Действия в чужом интересе без поручения". Согласно 980-й статьи этой главы: "Действия без поручения, иного указания или заранее обещанного согласия заинтересованного лица в целях предотвращения вреда его личности или имуществу,...

Подробнее…

Сбер опять жжет ;-)

Вы обращали внимание, что у Сбера на прошлой неделе появился новый раздел на главной странице - "Сотрудники, уволенные из Сбербанка". Вот интересно, как это соотносится с ФЗ-152 и требованием получать согласие у субъекта ПДн? А главное, какая цель записана у Сбера для обработки этих персданных? Ведь заранее ее было сложно предусмотреть, а найти в законодательство основание для такой публикации непросто. ЖКХшников за это Роскомнадзор наказывал. А у тех цель была благая - защита от неплательщик...

Подробнее…

Детальная карта курса по инцидентам

Меня попросили раскрыть программу курса по управлению инцидентами, что и я делаю. Совсем все не раскрываю, ибо оно тогда совсем не влезет на страницу А4. Incident Management (Detail Map) ...

Подробнее…

Intel покупает McAfee

19 августа Intel объявил о покупке McAfee за почти 8 миллиардов (!) долларов! Цель Intel - включить технологии безопасности в устройства, ранее обойденные вендорами по безопасности, - мобильные и беспроводные устройства, ТВ, автомобили, медицинские устройства, банкоматы и т.д. Учитывая, что Intel выпускает процессоры и материнские платы, то она может встроить безопасность именно на этом уров...

Подробнее…

Как Сбербанк подвинул ФСБ в части криптографии

12 августа г-н Путин подписал распоряжение 1344-р "Об организации предоставления государственных и муниципальных услуг с использованием универсальной электронной карты". Текст распоряжение очень короткий - "В соответствии с частью 3 статьи 28 Федерального закона "Об организации предоставления государственных и муниципальных услуг" и в целях организации предоставления государственных и муниципальных услуг с использованием универсальной электронной карты определить федеральной уполномоченной организацией, осуществляющей функции, предусмотренные...

Подробнее…

То, что обычно не считают

Я уже писал о сценариях расчета стоимости инцидента с утечками данных. Одной из метрик является цена уведомления клиента об инциденте с его данными. В ст.21.4 ФЗ-152 такое требование тоже есть, но его мало кто оценивает и вообще предполагает выполнять. Но что, если... что если прикинуть, во сколько обойдется контакт с клиентом, чьи персональные данные пострадали от несанкционированного доступа или уничтожения? И можно ли это прикинуть заранее? Оказывается можно. Я зашел на сайт "Почты России", на котором есть сервис автоматического рассчета почтовых...

Подробнее…

Где взять текст 330-ПП?

О 330-м Постановлении Правительства я уже писал. Около месяца назад задался целью получения официального текста этого постановления. Организовал запрос в ФСТЭК. И вот на днях был получен ответ. Ответ, если убрать преамбулу, следующий: "Сообщаем, что Правительством РФ для указанного постановления установлена ограничительная пометка "Для служебного пользования". Учитывая изложенное, указанное постановление может быть предоставлено только организациям, имеющим соответствующую лицензию Службы". Вот я и думаю, что теперь я со спокойной совестью,...

Подробнее…

Обновление курса по управлению инцидентами

Писал уже про создание курс по управлению инцидентами. И вот на днях обновил его. Обновления коснулись следующих тем: Пошаговая процедура управления инцидентами SANS Какими инцидентами обычно управляют в организациях? Примеры отчетов об оформлении инцидентов Стратегии управления инцидентами "защитить и забыть" и "найти и наказать" Детальный план создания CSIRT Сколько человек должно управлять инцидентами в организации? Как общаться с неизвестным...

Подробнее…

Новый законопроект по лицензированию

На сайте Госдумы таки выложили текст законопроекта "О лицензировании отдельных видов деятельности", внесенного Правительством и на который я ссылался ранее. Это не изменение старого закона, а абсолютно новый ФЗ. Суть я уже озвучивал - уменьшение числа лицензируемых видов деятельности. По нашей теме таких видов три: разработка, производство, реализация и техническое обслуживание шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, а также выполнение...

Подробнее…

Регулирование Интернет - версия законопроекта другого ведомства

В пятницу я писал о законопроекте Шлегеля в части регулирования Интернет. Сегодня пройдемся по законопроекту Минкомсвязи, который тоже планирует регулировать Интернет. Но как и в прошлый раз посмотрим на изменения только в части информационной безопасности. Предложения Минкомсвязи касаются внесения изменения сразу в несколько законов - трехглавого, о СМИ, УК РФ, ГК РФ и т.д. Ничего сверхинтересного на самом деле нет - многие пункты повторяются и в Шлегелевском законопроекте. За редким исключением. Например, предлагается добавить в трехглавый закон...

Подробнее…