Свершилось - 28-го октября были выпущены новые версии PCI DSS (2.0), PA DSS (2.0) и требования PTS. Действовать они начинают с 01.01.2011, однако аудит по предыдущей версии 1.2.1 будет разрешен до 31-го декабря 2011-го года.
Вместе с выпуском новых стандартов обновился сайт PCI DSS, появился специальный сайт для компаний малого и среднего бизнеса.
Все новые документы могут быть загружены по адресу: https://www.pcisecuritystandards.org/security_standards/documents.p...
29.10.10
28.10.10
Аутсорсинг безопасности или безопасность аутсорсинга
Презентация с CSO Forum.
Security outsourcing or secure outsourcing?
View more presentations from Alexey Lukats...
27.10.10
Размышление о конференциях по ИБ - 2
3 года назад я уже поднимал эту тему, критикуя отечественных организаторов различных мероприятий по ИБ. Теперь пришел через критики в адрес выступающих (спикеров). Как ведущий первого дня 3-го межотраслевого съезда директоров по ИБ заметил ряд проблем, которые присутствуют почти у каждого выступающего и почти на каждой конференции (отчасти это проблема выступающих, отчасти - организаторов). Хочу поделиться этим списком и надеюсь он кому-то будет полезен - в конечном итоге умение выступать важно во многих сферах нашей деятельности. Почему я взял...
26.10.10
3-й съезд директоров ИБ - краткие впечатления от первого дня
Первый день 3-го съезда директоров ИБ завершился. Программа была насыщенная и интересная, а т.к. я еще был и модераторов всего дня (работка, я вам скажу, адская), то прослушал все презентации и доклады.
Не претендуя на всеобъемлющий пересказ всего того, что было хочу тезисно отразить наиболее понравившиеся мне моменты:
Все берут направление на стандартизацию. Банк России, операторы связи, игроки фондового рынка (НАУФОР готовит свой стандарт по ПДн) и т.д. СоДИТ и вовсе решил поднять знамя стандартизации ИБ/ИТ и взялся за перевод 250 необходимых...
25.10.10
И вновь о Роскомнадзоре и его мнении - 3
Коллега из Новосибирска прислал краткий обзор мероприятия по ПДн, которое прошло на позапрошлой неделе в Новосибирске. Краткие комментарии и высказывания регуляторов:
Если страна ратифицировала Конвенцию, то РКН считает, что страна с адекватной защитой прав субъектов.
Упоминался ГОСТ 19794 "Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными" по биометрической идентификации человека. Если изображение соответствует требования этого ГОСТа, то фото и видео - биометрия. Если не соответствуют - то не биометрия.
Рассмотрение...
22.10.10
О форме согласия на обработку ПДн
Напомню, что у РКН есть мнение, что согласие субъекта ПДн на обработку его ПДн может быть только в письменной и никакой иной форме. Алексей Волков запросил РКН по этому вопросу и получил официальный ответ (приведен в блоге). Я также провел ряд консультаций и их результат примерно следующий: ответ РКН правильный, но только потому, что соответствует вопросу ;-)
Алексей ссылался в запросе на статьи ГК, регулирующие договорные отношения. РКН и ответил в том ключе, что договор - это договор, но обработка ПДн может вестись и без договора и поэтому может...
21.10.10
О моделях угроз для виртуализации и облачных вычислений
Наткнулся недавно в каком-то интервью на высказывание о том, что для технологий виртуализации и облачных вычислений сегодня нет ни средств защиты ни общепризнанных и устоявшихся моделей угроз. Надо сразу заметить, что общепринятых и устоявшихся моделей угроз вообще нет, ни в какой области - каждый по своему понимает и этот термин и его наполнение. Есть методики моделирования угроз, но и тут об общепринятых подходах говорить тоже не приходится.
Но вернемся к виртуализации и облачным вычислениям. Действительно ли нет для них опубликованных моделей...
20.10.10
Мифы ИБ... онлайн-проект закончен
Итак, совместный проект по написанию книги "Мифы и заблуждения информационной безопасности" меня и портала bankir.ru закончен. Я сдал последние мифы и они скоро будут опубликованы на сайте. Ну что сказать?.. Проект был непростой. Имея в багаже опыт написания 4-х книг, я думал, что и пятую осилю без проблем. Оказалось не так. Онлайн-публикация по частям - сильно отличается от подготовки оффлайн-издания. И размер отдельных разделов должен быть не меньше определенного порогового значения (мне пришлось много мифов "зарезать" по этой причине). И сроки...
18.10.10
Чего не хватает эффективному DLP-решению?
Презентация с DLP Russia 2010 в прошлый четверг.
What is effective DLP solution
View more presentations from Alexey Lukats...
15.10.10
Мифы 86-90
И вновь мифы:
Одноразовые коды по SMS спасают от несанкционированного перевода денег со счета
Ограничение на сумму платежа через Интернет спасает от незаконного снятия средств со счета
Сертификату Интернет-банка в браузере можно доверять
Шифрование по SSL обеспечивает защиту транзакций в Интернет-банке
Сайты умеют защищать хранимую на них информаци...
14.10.10
Мифы 81-85
Новая порция мифов:
Безопасность не влияет на бизнес-показатели
Во всех бедах с информационной безопасностью виноваты хакеры
Моя компания неизвестна и поэтому ее незачем атаковать
USB-токен спасает от кражи секретных ключей ЭЦП
Виртуальная клавиатура спасает от троянов, крадущих парол...
13.10.10
Мифы 79-80
Продолжаю публикацию мифов:
Заниматься инвестированием выгоднее, чем писать вирусы или хакеры заинтересованы только в славе
Нас уже взломали и второй раз не вернутс...
12.10.10
Как полезно иногда читать "старые" законы - 2 или почему можно не использовать сертифицированные средства защиты?
Продолжаю тему, начатую в четверг... Пообщался я с коллегами, которые сейчас анализируют поправки в законодательство по информационной безопасности, и ткнули они меня в интересный пункт не только ФЗ-149, но и ГК РФ. Дальше я добавил к этим двум пунктам еще свои изыскания и получилось вот что:
Ст.3 ФЗ-149 говорит нам, что недопустимо установливать нормативными правовыми актами какие-либо преимущества применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания...
11.10.10
Что нас ждет в ближайшее время с точки зрения регулирования ИБ?
В среду я разместил свою первую презентацию с ИнфобезЭкспо 2010 и вот пришел черед для второй, прочтенной в четверг. Саму презентацию я показать не смог по техническим причинам (на компе организаторов не было office 2007/2010, а я поленился сделать версию для Office 2003). Поэтому рассказывал без слайдов, а многие заинтересовались названиями и ссылками на упоминаемые документы. Поэтому выкладываю презентацию тут. Частично я ее уже выкладывал ранее, но сейчас я систематизировал информацию и актуализировал ее исходя из самых последних изменений.
Security...
8.10.10
Как получить меч за туманный рассказ?..
В четверг, на конкурсе "Львы и гладиаторы" на ИнфобезЭкспо 2010, в компании достойных коллег, в непростой борьбе с перевесом в 5 голосов удалось у "Кода безопасности" вырвать победу и заполучить гладиаторский меч за презентацию сервиса облачной безопасности Web-доступа Cisco ScanSafe.
Некоторые коллеги, не имея возможности попасть в зал и услышать рассказ о ScanSafe, попросили выложить презентацию о данном сервисе, что я и делаю.
Cisco...
7.10.10
Как полезно иногда читать "старые" законы или что такое общедоступные ПДн
Перечитывал на днях трехглавый ФЗ-149 и наткнулся на определение, которое сильно помогает операторам персональных данных. Речь идет о понятии "общедоступная информация". Очень часто во время приведения себя в соответствие с ФЗ-152 возникает вопрос о том, как оптимизировать свои усилия. Одним из сценариев является перевод обрабатываемых ПДн в разряд общедоступных, что позволяет не обеспечивать для них конфиденциальность и даже не заниматься их защитой. Если читать только ФЗ-152, то для перевода ПДн в разряд общедоступных необходимо получить письменное...
6.10.10
Может ли выполнение требований по ИБ привести к прерыванию бизнеса?
Моя презентация с вчерашней конференции по непрерывности бизнеса BCR 2010. Хотя конференцией "это" назвать можно с трудом. Было всего 7 человек на мероприятии ;-(
Security punishment
View more presentations from Alexey Lukats...
5.10.10
И вновь о Роскомнадзоре и его мнении - 2
Возвращаясь к 6-му пункту вчерашней заметки. Напомню ее: "Подисскутировали на тему "оператор - обработчик". РКН, как всегда, считает, что института обработчика у нас нет. В ситуации, когда одно юрлицо передает другому юрлицу обработку ПДн,второе юрлицо должно уведомлять субъектов ПДн о том, что их ПДн обрабатываются. Такова позиция РКН. На замечание, что это второе юрлицо может вообще не иметь информации о способах контакта с субъектом, было проигнорировано ;-( Как и замечание о том, что Евроконвенция оперирует и понятием "оператор" и понятием...
4.10.10
Мое выступление на BCR 2010 и Инфобезе 2010
Пусть с опозданием, но вопрос моего участия в Инфобезе 2010, а заодно и в BCR 2010, все-таки решился положительно. Так что 5-го числа я выступаю на тему: "Может ли привести исполнение законодательства в области ИБ к прерыванию деятельности?" (в рамках конференции BCR 2010), а 7-го числа на тему: "Что нас ждет в законодательстве по ИБ в ближайшее время?" (в рамках Инфобеза 2010).
7-го также участвую в конкурсе "Львы и гладиаторы" с рассказом об облачной безопасности ScanSafe ...
И вновь о Роскомнадзоре и его мнении
В пятницу выступал на конференции в Ижевске. Как всегда в последнее время - по теме персданных. После меня выступала представительница Роскомнадзора. Классическое выступление, но несколько интересных высказываний я позволю себе привести тут:
РКН не может направить дело в суд по ст.13.11 - это прерогатива только прокуратуры. А РКН, в свою очередь, обычно направляет дела только по статье 19.7 (непредоставление данных по запросу надзорного органа).
У РКН нет задачи помогать операторам правильно защищать права субъектов. Представительница РКН заявила,...
1.10.10
Закон о персданных и закон о рекламе
В ФЗ-152, в его 15-й статье есть запрет на использование ПДн при рекламе товаров и услуг без предварительного согласия субъекта ПДн. На курсе по ПДн я обычно даю ряд простых рекомендаций по решению данной проблемы - либо включать согласие на получение рекламы в текст договора/анкеты/формы с субъектом ПДн (многие подписывают их не глядя), либо убирать персонификацию из сообщения, тем самым лишая сообщение признака идентифицируемости субъекта и тем самым выводя его из под действия ФЗ-152. Иными словами, вместо "Уважаемый Алексей Викторович!" писать...
Подписаться на:
Сообщения (Atom)