С Новым Годом и Рождеством!

Коллеги! Сегодня мой последний пост в этом году. Поэтому я не буду посвящать его безопасности и просто поздравлю всех с наступающим Новым Годом и православным Рождеством. Пожелаю всего самого хорошего вам и вашим близким, здоровья, благополучия, интересной и неплохо оплачиваемой работы, удовлетворения собой и своими делами, достойных дел на благо других и всего того, что вы сами себе желаете. Опять смотрю с надеждою вперед, Опять, как в детстве...

Подробнее…

План мероприятий по ИБ на 2011 год

Актуализировал я список крупных мероприятий по ИБ на 2011-й год. Big Information Security Events in Russia for 2011 ЗЫ. Если вдруг что-то упустил, то готов внести правки ...

Подробнее…

Законопроект Аксакова подписан Президентом

Президент Медведев подписал 359-ФЗ "О внесении изменения в статью 25 Федерального закона "О персональных данных"". Закон вступает в силу 1 января 2011 года, а отсрочка продлена до 1 июля 2011 года. Хороший подарок к Новому Го...

Подробнее…

Горячая линия АРБ по ПДн

То, о чем говорилось на сентябрьской конференции АРБ по персональным данным, все-таки совершилось. Процесс запуска "горячей линии" (она же "консультационный центр") АРБ в помощь банкам в части выполнения требований ФЗ-152 и СТО Банка России вышел на финишную прямую. На прошлой неделе в АРБ состоялась встреча участников этого консультационного центра, в который вошли представители ФСБ, ФСТЭК и Роскомнадзора, АРБ и Банка России, а также независимые эксперты, среди которых и я ;-) Возможно на этой неделе (в крайнем случае на первой неделе нового...

Подробнее…

А вот и план проверок ФСТЭК

ФСТЭК опубликовала план проверок на 2011-й год. Всего 113 организаций. Основная масса проверок касается предупреждения, выявления и пресечения нарушений лицензионных  условий и требований, а также обязательных требований в области экспортного контроля. По линии персданных всего 9 проверок.Судя по выбранным регионам, ФСТЭК просто хочет проверить, как территориальные управления будут работать по этому направлен...

Подробнее…

Теперь ИБ занялись и в ОДКБ

21 декабря в Совете Федерации Комитет палаты по обороне и безопасности провел Международную научно-практическую конференцию на тему "Скоординированная информационная политика государств-членов ОДКБ – одно из приоритетных направлений противодействия современным вызовам и угрозам, обеспечения эффективности совместных усилий по созданию системы коллективной безопасности". На конференции был поднят ряд приоритетных для обсуждения вопросов. В их числе обмен опытом и формирование общей стратегии по преодолению угроз и вызовов, развитие в государствах...

Подробнее…

Роскомнадзор выложил план проверок на 2011-й год

Собственно вся новость в заголовке ;-) Качать тут. Архив занимает 626 Кб, а в исходном формате Word - 8,7 ...

Подробнее…

Поправки ко второму чтению законопроекта Резника

Мы все гадали, почему так долго тянется эпопея с внесением поправок в законопроект Резника, готовящегося ко второму чтению. И вот вчера вечером я ознакомился с этими поправками. Все сразу встает на свои места - там их просто МОРЕ без конца и края. Текст законопроекта Резника занимает всего 16 страниц (хотя он содержит только поправки к ФЗ-152). Сам ФЗ-152 занимает те же 15-16 страниц. Предлагаемый ко второму чтению вариант содержит 46 (!) страниц. Он включает поправки от разных участников этой увлекательной игры. Анализировать его весь у меня...

Подробнее…

Что ФСТЭК нам готовит в следующем году - часть 2

Продолжаем рассмотрение того, что ФСТЭК нам готовит в следующем году: К концу 2011 года появятся новые требования по сертификации средств активной защиты от утечек по техническим каналам (ПЭМИН и АС в защищенном исполнении). Также готовятся новые редакции РД по АС и СВТ. Ходят слухи об изменении СТР-К, но непонятно в каком направлении. НДВ для ИСПДн К1 остается. А также разрабатываются требования для НДВ прикладного ПО для некоторых видов конфиденциальной информации! Как ФСТЭК хочет провести это предложение я пока не понимаю. В следующем году...

Подробнее…

Что ФСТЭК нам готовит в следующем году?!

Во исполнение ПП-330 ФСТЭК готовит сейчас проект нового положения "Об оценке соответствия продукции (работ, услуг), используемой в целях защиты информации конфиденциального характера, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации и хранения". Какие ключевые моменты в данном положении могут быть отражены: Описывает порядок организации и проведения обязательной сертификации продукции, а также госконтроля и надзора. Будет распространяться на госресурсы и ПДн (ибо в ПП-330 только...

Подробнее…

Новая версия курса по персданным

Сегодня последний раз в этом году я читаю курс по персданным. И вот те изменения, которые в него вошли (версия 2.3): Законопроект Аксакова о переносе сроков Сводный перечень ошибок операторов ПДн по версии РКН «Письма счастья» РКН 227-ФЗ и законопроект №454517 Работа коллекторских агентств в контексте ФЗ-152 Продажа долгов заемщиков в контексте ФЗ-152 Актуализация последних изменений законодательства на декабрь 2010 Замена приказа Росархива на приказ Минкульта О письменном согласии на обработку ПДн Примеры обработчиков ПДн (в противовес операторам...

Подробнее…

Совет Федерации одобрил аксаковский законопроект

Вчера Совет Федерации одобрил аксаковский законопроект. Остался Президент ...

Подробнее…

Регулирование ПДн - карта

Разместив карту регулирования криптографии, я стал доводить до ума аналогичную карту по части регулирования ПДн. Но тут возникло несколько сложностей, основная из которых - большой объем информации. Гораздо бОльший, чем по линии криптографии. Поэтому я публикую карту только с двумя уровня иерархии. Возможно я еще поиграюсь с ней и смогу разместить на одном листе (хотя бы А3) и больше информации. Хотя это непросто - только приказов различных органов власти 2-3 десятка. На данных момент найденных мной различных приказов и постановлений субъектов...

Подробнее…

Почему открытые исходники не есть хорошо с точки зрения безопасности?

Еще одно исследование. "The Mathematics of Obscurity: On the Trustworthiness of Open Source". Дрезденский технический университет. Автор исследования поставил перед собой задачу ответить на вопрос: что лучше с точки зрения безопасности - иметь исходные коды ПО или не иметь их? В рамках исследования была построена модель, которая и стала предметом изучения. Были исследованы как "за" так и "против" наличия исходных текстов, изучен жизненный цикл уязвимостей и ошибок и ряд связанных вопросов. Итог неутешителен - наличие исходных кодов не делает его...

Подробнее…

Аксаковский законопроект - три чтения завершены

Итак, в пятницу прошли сразу второе и третье чтения поправок в закон "О персональных данных", внесенных депутатом Аксаковым. Срок сдвинут не на год, а на полгода - до 1 июля 2011 года. ЗЫ. В этот же день в первом чтении принят законопроект "О национальной платежной систем...

Подробнее…

57-ФЗ снова в прицеле ньюсмейкеров

Благодаря Алексею Волкову обратил внимание на завершение истории с 57-ФЗ, касающимся иностранных инвестиций в предприятия, имеющие стратегически важное значение для обороны страны. Напомню предысторию. Один европейский банк задумался о риске, связанном с наличием у них лицензии ФСБ на деятельности в области шифрования. Риск многими воспринимался как несущественный, пока ФАС не отказала RBS'у в получении контроля над своим дочерним ЗАО "Королевский банк Шотландии", ссылаясь именно на наличие у последнего лицензий ФСБ, необходимых для оказания услуг...

Подробнее…

Парадокс защиты персональных данных

В марте этого года я наткнулся на интересное исследование (надо заметить, что Cisco помогала в его проведении), в котором доказывается очень интересный парадокс. Оказывается, увеличение контроля над персональными данными чаще приводит к готовности субъектов ПДн публиковать свои данные в открытом доступе, даже если они знают, что к этим данным получат доступ посторонние люди. А вот снижение уровня контроля и внимания к данной теме, наоборот, приводит к тому, что люди реже готовы публиковать свои ПДн и больше беспокоятся о защите своей частной жизни....

Подробнее…

Как Intel договаривался с ФСБ

Все-таки история WikiLeaks достаточно интересна. И не только тем, что под ее соусом сейчас можно активно DLP -решения в госорганы продавать, но и тем, что в результате утечки проявляются очень интересные факты. Например, о том, как Intel надавил на ФСБ и последняя разрешила ввозить строгую криптографию Intel в обход существующих правил ввоза шифровальной техники. Такие правила четко регулируют, что и как можно ввозить в Россию. Грубо говоря, правило следующее - вся криптография с длиной ключа 56 бит и менее ввозится по уведомительной схеме. Производитель...

Подробнее…

Аксаковский законопроект - 445 голосов "за"

Итак, вчера на заседании ГосДумы аксаковский законопроект о переносе сроков ст.25.3 ФЗ-152 получил 445 голосов "з...

Подробнее…

Ужесточение контроля... во всех областях

Не в моих правилах делать кросс-посты, но этот не могу не запостить. Речь идет о заметке Алексея Волкова о планируемых изменениях в КоАП в части усиления роли контролирующих органов. Я уже писал о том, что в этой части планируются изменения, но этот аспект упустил. Речь идет о возможности приостановления деятельности организации по решению не суда, а сотрудника надзорного органа. Читайте далее у Алексея...

Подробнее…

Juniper покупает Altor Networks

6 декабря компания Juniper анонсировала покупку неизвестной в России калифорнийской компании Altor Networks, специализирующейся в области технологий безопасности виртуализации (МСЭ и IDS для виртуальных сред). Стоимость сделки - около 95 миллионов долларов. Сама Altor была основана совсем недавно - в 2007 го...

Подробнее…

Мифы 91-93

Очередная порция мифов: VPN - это обязательно шифрование Конфиденциальность персональных данных может быть обеспечена только шифрованием Стандарт Банка России по безопасности не обязателен к исполнени...

Подробнее…

Аксаковский законопроект - зеленый свет?!

Я уже писал об инициативе депутата Аксакова  - он предложил перенести срок по приведению ИСПДн в соответствие с требованиями ФЗ-152 на один год. На сегодняшний день был запланирован финальный сбор всех замечаний и предложений. И что характерно, пока негативных отзывов нет ;-( Комитет по конституционному законодательству в целом не против этой инициативы, а комитет по информационной политике вообще заявил о поддержке законопроекта, сославшись на то, что предыдущий перенос делали исходя из того, что резниковский законопроект пройдет до середины...

Подробнее…

Проект по ПДн: определите результат заранее

Вчера мы рассмотрели вопрос с определением цели проекта по приведению в соответствие с требованиями ФЗ-152. Но этого недостаточно для успешного завершения. Мало знать, ради чего мы все это затеваем; надо знать, что мы хотим получить на выходе. И тут тоже варианты могут быть совершенно различные. Причем, исходя из моего опыта, участия в разных проектах по ПДн, с начала запуска проекта многие результаты, которые надо получить, "не видны" или о них никто не задумывается. Итак, что может быть результатом (и, как следствие, предметом договора с консультантом): Рекомендации...

Подробнее…

Проект по ПДн: определите цели

Многие компании сегодня задумываются о том, что надо бы что-то сделать в части выполнения требований ФЗ-152 и подзаконных актов. А кто-то задумался давно и даже пригласил консультантов для решения этой задачи, но результатом остался недоволен. Почему так произошло? И как не повторять такой ошибки? На мой взгляд ответ прост - оператор ПДн не удосужился определить цели проекта по приведению себя в соответствие с требованиями ФЗ. А ведь цели могут быть совершенно различные и в зависимости от них и результат будет разный и его оценка. Да и консультант...

Подробнее…