Выпущен PCI DSS 2.0

Свершилось - 28-го октября были выпущены новые версии PCI DSS (2.0), PA DSS (2.0) и требования PTS. Действовать они начинают с 01.01.2011, однако аудит по предыдущей версии 1.2.1 будет разрешен до 31-го декабря 2011-го года. Вместе с выпуском новых стандартов обновился сайт PCI DSS, появился специальный сайт для компаний малого и среднего бизнеса. Все новые документы могут быть загружены по адресу: https://www.pcisecuritystandards.org/security_standards/documents.p...

Подробнее…

Кто бы это мог быть?

...

Подробнее…

Аутсорсинг безопасности или безопасность аутсорсинга

Презентация с CSO Forum. Security outsourcing or secure outsourcing? View more presentations from Alexey Lukats...

Подробнее…

Размышление о конференциях по ИБ - 2

3 года назад я уже поднимал эту тему, критикуя отечественных организаторов различных мероприятий по ИБ. Теперь пришел через критики в адрес выступающих (спикеров). Как ведущий первого дня 3-го межотраслевого съезда директоров по ИБ заметил ряд проблем, которые присутствуют почти у каждого выступающего и почти на каждой конференции (отчасти это проблема выступающих, отчасти - организаторов). Хочу поделиться этим списком и надеюсь он кому-то будет полезен - в конечном итоге умение выступать важно во многих сферах нашей деятельности. Почему я взял...

Подробнее…

3-й съезд директоров ИБ - краткие впечатления от первого дня

Первый день 3-го съезда директоров ИБ завершился. Программа была насыщенная и интересная, а т.к. я еще был и модераторов всего дня (работка, я вам скажу, адская), то прослушал все презентации и доклады. Не претендуя на всеобъемлющий пересказ всего того, что было хочу тезисно отразить наиболее понравившиеся мне моменты: Все берут направление на стандартизацию. Банк России, операторы связи, игроки фондового рынка (НАУФОР готовит свой стандарт по ПДн) и т.д. СоДИТ и вовсе решил поднять знамя стандартизации ИБ/ИТ и взялся за перевод 250 необходимых...

Подробнее…

И вновь о Роскомнадзоре и его мнении - 3

Коллега из Новосибирска прислал краткий обзор мероприятия по ПДн, которое прошло на позапрошлой неделе в Новосибирске. Краткие комментарии и высказывания регуляторов: Если страна ратифицировала Конвенцию, то РКН считает, что страна с адекватной защитой прав субъектов. Упоминался ГОСТ 19794 "Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными" по биометрической идентификации человека. Если изображение соответствует требования этого ГОСТа, то фото и видео - биометрия. Если не соответствуют - то не биометрия. Рассмотрение...

Подробнее…

О форме согласия на обработку ПДн

Напомню, что у РКН есть мнение, что согласие субъекта ПДн на обработку его ПДн может быть только в письменной и никакой иной форме. Алексей Волков запросил РКН по этому вопросу и получил официальный ответ (приведен в блоге). Я также провел ряд консультаций и их результат примерно следующий: ответ РКН правильный, но только потому, что соответствует вопросу ;-) Алексей ссылался в запросе на статьи ГК, регулирующие договорные отношения. РКН и ответил в том ключе, что договор - это договор, но обработка ПДн может вестись и без договора и поэтому может...

Подробнее…

О моделях угроз для виртуализации и облачных вычислений

Наткнулся недавно в каком-то интервью на высказывание о том, что для технологий виртуализации и облачных вычислений сегодня нет ни средств защиты ни общепризнанных и устоявшихся моделей угроз. Надо сразу заметить, что общепринятых и устоявшихся моделей угроз вообще нет, ни в какой области - каждый по своему понимает и этот термин и его наполнение. Есть методики моделирования угроз, но и тут об общепринятых подходах говорить тоже не приходится. Но вернемся к виртуализации и облачным вычислениям. Действительно ли нет для них опубликованных моделей...

Подробнее…

Мифы ИБ... онлайн-проект закончен

Итак, совместный проект по написанию книги "Мифы и заблуждения информационной безопасности" меня и портала bankir.ru закончен. Я сдал последние мифы и они скоро будут опубликованы на сайте. Ну что сказать?.. Проект был непростой. Имея в багаже опыт написания 4-х книг, я думал, что и пятую осилю без проблем. Оказалось не так. Онлайн-публикация по частям - сильно отличается от подготовки оффлайн-издания. И размер отдельных разделов должен быть не меньше определенного порогового значения (мне пришлось много мифов "зарезать" по этой причине). И сроки...

Подробнее…

Чего не хватает эффективному DLP-решению?

Презентация с DLP Russia 2010 в прошлый четверг. What is effective DLP solution View more presentations from Alexey Lukats...

Подробнее…

Мифы 86-90

И вновь мифы: Одноразовые коды по SMS спасают от несанкционированного перевода денег со счета Ограничение на сумму платежа через Интернет спасает от незаконного снятия средств со счета Сертификату Интернет-банка в браузере можно доверять Шифрование по SSL обеспечивает защиту транзакций в Интернет-банке Сайты умеют защищать хранимую на них информаци...

Подробнее…

Мифы 81-85

Новая порция мифов: Безопасность не влияет на бизнес-показатели Во всех бедах с информационной безопасностью виноваты хакеры Моя компания неизвестна и поэтому ее незачем атаковать USB-токен спасает от кражи секретных ключей ЭЦП Виртуальная клавиатура спасает от троянов, крадущих парол...

Подробнее…

Мифы 79-80

Продолжаю публикацию мифов: Заниматься инвестированием выгоднее, чем писать вирусы или хакеры заинтересованы только в славе Нас уже взломали и второй раз не вернутс...

Подробнее…

Как полезно иногда читать "старые" законы - 2 или почему можно не использовать сертифицированные средства защиты?

Продолжаю тему, начатую в четверг... Пообщался я с коллегами, которые сейчас анализируют поправки в законодательство по информационной безопасности, и ткнули они меня в интересный пункт не только ФЗ-149, но и ГК РФ. Дальше я добавил к этим двум пунктам еще свои изыскания и получилось вот что: Ст.3 ФЗ-149 говорит нам, что недопустимо установливать нормативными правовыми актами какие-либо преимущества применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания...

Подробнее…

Что нас ждет в ближайшее время с точки зрения регулирования ИБ?

В среду я разместил свою первую презентацию с ИнфобезЭкспо 2010 и вот пришел черед для второй, прочтенной в четверг. Саму презентацию я показать не смог по техническим причинам (на компе организаторов не было office 2007/2010, а я поленился сделать версию для Office 2003). Поэтому рассказывал без слайдов, а многие заинтересовались названиями и ссылками на упоминаемые документы. Поэтому выкладываю презентацию тут. Частично я ее уже выкладывал ранее, но сейчас я систематизировал информацию и актуализировал ее исходя из самых последних изменений. Security...

Подробнее…

Как получить меч за туманный рассказ?..

В четверг, на конкурсе "Львы и гладиаторы" на ИнфобезЭкспо 2010, в компании достойных  коллег, в непростой борьбе с перевесом в 5 голосов удалось у "Кода безопасности" вырвать победу и заполучить гладиаторский меч за презентацию сервиса облачной безопасности Web-доступа Cisco ScanSafe. Некоторые коллеги, не имея возможности попасть в зал и услышать рассказ о ScanSafe, попросили выложить презентацию о данном сервисе, что я и делаю. Cisco...

Подробнее…

Как полезно иногда читать "старые" законы или что такое общедоступные ПДн

Перечитывал на днях трехглавый ФЗ-149 и наткнулся на определение, которое сильно помогает операторам персональных данных. Речь идет о понятии "общедоступная информация". Очень часто во время приведения себя в соответствие с ФЗ-152 возникает вопрос о том, как оптимизировать свои усилия. Одним из сценариев является перевод обрабатываемых ПДн в разряд общедоступных, что позволяет не обеспечивать для них конфиденциальность и даже не заниматься их защитой. Если читать только ФЗ-152, то для перевода ПДн в разряд общедоступных необходимо получить письменное...

Подробнее…

Может ли выполнение требований по ИБ привести к прерыванию бизнеса?

Моя презентация с вчерашней конференции по непрерывности бизнеса BCR 2010. Хотя конференцией "это" назвать можно с трудом. Было всего 7 человек на мероприятии ;-( Security punishment View more presentations from Alexey Lukats...

Подробнее…

И вновь о Роскомнадзоре и его мнении - 2

Возвращаясь к 6-му пункту вчерашней заметки. Напомню ее: "Подисскутировали на тему "оператор - обработчик". РКН, как всегда, считает, что института обработчика у нас нет. В ситуации, когда одно юрлицо передает другому юрлицу обработку ПДн,второе юрлицо должно уведомлять субъектов ПДн о том, что их ПДн обрабатываются. Такова позиция РКН. На замечание, что это второе юрлицо может вообще не иметь информации о способах контакта с субъектом, было проигнорировано ;-( Как и замечание о том, что Евроконвенция оперирует и понятием "оператор" и понятием...

Подробнее…

Мое выступление на BCR 2010 и Инфобезе 2010

Пусть с опозданием, но вопрос моего участия в Инфобезе 2010, а заодно и в BCR 2010, все-таки решился положительно. Так что 5-го числа я выступаю на тему: "Может ли привести исполнение законодательства в области ИБ к прерыванию деятельности?" (в рамках конференции BCR 2010), а 7-го числа на тему: "Что нас ждет в законодательстве по ИБ в ближайшее время?" (в рамках Инфобеза 2010). 7-го также участвую в конкурсе "Львы и гладиаторы" с рассказом об облачной безопасности ScanSafe ...

Подробнее…

И вновь о Роскомнадзоре и его мнении

В пятницу выступал на конференции в Ижевске. Как всегда в последнее время - по теме персданных. После меня выступала представительница Роскомнадзора. Классическое выступление, но несколько интересных высказываний я позволю себе привести тут: РКН не может направить дело в суд по ст.13.11 - это прерогатива только прокуратуры. А РКН, в свою очередь, обычно направляет дела только по статье 19.7 (непредоставление данных по запросу надзорного органа). У РКН нет задачи помогать операторам правильно защищать права субъектов. Представительница РКН заявила,...

Подробнее…

Закон о персданных и закон о рекламе

В ФЗ-152, в его 15-й статье есть запрет на использование ПДн при рекламе товаров и услуг без предварительного согласия субъекта ПДн. На курсе по ПДн я обычно даю ряд простых рекомендаций по решению данной проблемы - либо включать согласие на получение рекламы в текст договора/анкеты/формы с субъектом ПДн (многие подписывают их не глядя), либо убирать персонификацию из сообщения, тем самым лишая сообщение признака идентифицируемости субъекта и тем самым выводя его из под действия ФЗ-152. Иными словами, вместо "Уважаемый Алексей Викторович!" писать...

Подробнее…