29.7.11

Новости контроля и надзора

Кто внимательно следит за моим блогом и вообще за темой персональных данных помнят, что в законопроекте №454517-5 "О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам осуществления государственного контроля (надзора) и муниципального контроля" предлагались следующие поправки: предметом проверки является соблюдение только обязательных требований плановая проверка может осуществляться только по одному основанию - истечение 3-х лет с государственной регистрации оператора или последней проверки внеплановые проверки...

28.7.11

Демотиватор

...

ОтPESTицидим все!

На Форуме директоров по ИБ, где пользуясь статусом представителя спонсора, мне довелось выступать в пленарке, я высказал несколько тезисов, на одном из которых сейчас мне хотелось бы остановиться особо. Руководитель ИБ должен быть политиком, чтобы учитывать политические течения и влияние политической коньюнктуры на отрасль, в которой приходится трудиться (слайд 3, 56-57). За кадром тогда осталось еще три аспекта, влияющих на развитие отрасли, - экономический, социальный и технологический. Технологическому у нас уделяется обычно избыточно много...

27.7.11

258 проверок ФСБ до конца года

На сайте ФСБ размещен план проверок различных организаций до конца года. 9 проверок запланировано на первую половину 2011-го года, еще 258 - на вторую. Подавляющее большинство проверок касается госорганов, муниципалов, ФГУП, ФГОУ и т.п. Коммерческих структур ровно четыре - Костромаоблгаз, Дальсвязь, КрасИнформ и Технософт (последние две красноярские фирмы проверяют дважды - в III-м и IV-м квартал...

Демотиватор

...

Поправки в ФЗ-152: раунд второй

После нашего второго письма в сторону Президента с просьбой не пересылать его по подведомственности в Минкомсвязь в адрес «пяти экспертов» посыпались звонки из Минкомсвязи с просьбой разъяснить, что происходит и почему в Минкомсвязь идет такой поток запросов из Администрации Президента. Мы пояснили, что и как, и нас пригласили на встречу с целью обсуждения, как из обычных критиков законопроекта мы можем превратиться в экспертов, реально помогающих выполнить распоряжение Президента по ускорению решения вопроса с законодательством по персданным.Представители...

26.7.11

Есть ответ АРСИБ

Итак, сегодня АРСИБ отреагировала на внесение столь "радостных" любому директору по ИБ поправок в закон о персданных. Реакция, правда, не та, что ожидалась. Просто констатация факта подписания нового закона. Правда, авторы пресс-релиза, видимо, далеки от темы, если смогли написать (а точнее переписать фрагмент официального пресс-релиза Кремля) такое: "Ассоциации, союзы и иные объединения операторов с учётом осуществляемой ими деятельности вправе определять дополнительные меры по обеспечению безопасности персональных данных при их обработке в информационных...

Поправки в ФЗ-152 подписаны Гарантом

Президент Медведев подписал поправки в ФЗ-152 ;-(http://kremlin.ru/acts/12097- Posted using my iPh...

Информационная война продолжается...

Какие ассоциации у вас вызывает фамилия "Медведев"?.. Если попытаться ответить не задумываясь, то многие приводят следующий ассоциативный ряд - "Интернет", "твиттер", "блог". Можно долго обсуждать, что сделал и чего не сделал Президент, но его активной позицией в отношении Интернет-технологий не отнять. И если наш премьер на всех своих выступлениях пользуются блокнотиком или просто несколькими листочками бумаги, то Президент более продвинут и использует iPad. И источником информации для него является зачастую Интернет, а не только информация подготовленная...

25.7.11

Операторов связи покроют как коров

Как-то не везет в России организациям, относящихся к категории операторов. Операторов персданных расплющили поправками в ФЗ-152. Операторов электроэнергии проплющили вчерашним законом о безопасности ТЭК. Операторов связи до недавнего времени не очень трогали с точки зрения безопасности. Кроме 7-й статьи ФЗ "О связи" детализации требований по защите почти не было. Был приказ Минкомсвязи  №1 от 2008-го года. Ничего обременяющего там не было. Можно сказать, что он был демократичен. Например, для защиты абонентских линий связи можно было применять...

24.7.11

Поездка в Козьмодемьянск была такой!

ЗЫ. Через 1 минуту 21 секунду после начала ролика я задаю вопрос Щеголеву по поводу незаконного внесения поправок в ФЗ-152. Следующим кадром был его ответ, что Минкомсвязи прот...

23.7.11

Демотивация

...

22.7.11

NIST публикует каталог мер защиты ПДн

Вот за что мне нравится NIST, так это за их динамичность в области разработки нормативных документов по ИБ. Есть у них SP 800-53 по безопасности федеральных информационных систем, первая версия которого была выпущена в начале 2000-х годов, примерно в одно и тоже время с СТР-К. Правда, документы, разработанные по разные стороны океана, также отличаются как небо и земля. Но дело не в этом. За эти 9 лет, NIST выпустил уже 3 редакции SP 800-53, пополняя его новыми рекомендациями по защите облаков, виртуализации, АСУ ТП и т.д. (к концу 2011 года планируется...

Операторов связи накажут за неиспользование контентной фильтрации

Глава государства, любящий детей, вчера подписал еще один Федеральный закон - «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О защите детей от информации, причиняющей вред их здоровью и развитию». О законе по защите детей я уже писал несколько раз (тут и тут). Вновь принятым нормативным актом в ряд законов РФ вносятся изменения, необходимость которых обусловливается принятием в декабре прошлого года Федерального закона «О защите детей от информации, причиняющей вред их здоровью...

21.7.11

А почему молчит ФСТЭК?

Ну вот и мне пришел ответ из Минкомсвязи. А ответа от Президента или Администрации на мой второй запрос так пока и нет. Забавно, что этому письму предшествовал звонок из Министерства. Мол, чего это вдруг нам шквал запросов повалился? Работать приходится... И вот ответ. А г-н Щеголев так всех прилюдно уверял, что они стоят на страже операторов персданных и тоже против принимаемых поправок. И будут делать все, чтобы поправки не прошли. Слова одни, дела другие... Ответ Минсвязи (function() { var scribd = document.createElement("script"); scribd.type...

Новый вид тайн и новый закон по теме ИБ

Подписал вчера Гарант Конституции новый закон "О безопасности объектов топливно-энергетического комплекса". Направлен он на оптимизацию законодательного регулирования вопросов обеспечения безопасности в топливно-энергетическом комплексе Российской Федерации и создание основ устойчивого и безопасного функционирования объектов топливно-энергетического комплекса. По нашей теме там два интересных момента:ст.11 "Обеспечение безопасности информационных систем объектов топливно-энергетического комплекса" описывает, что системы защиты являются обязательными...

Что общего между женскими духами и информационной безопасностью?

Возвращался вчера из командировки и во время посадки листал журнальчик "Аэрофлот Style" за июль этого года. В статье, посвященной ценообразованию женских духов, наткнулся на замечательную фразу, которая отлично отражает ситуацию и при оценке экономической эффективности информационной безопасности: "Правда заключается в том, что никакой объективной стоимости нет в природе. Цена любого предмета, произведенного человеком, складывается из массы других, столь же относительных цен – цены труда в столице, деревне, Франции или Занзибаре, цены сырья, цены...

Еще одна книжка по персданным

Я уже писал про книжку по персданным и вот новое творение. Точнее она постарше, чем предыдущая - я ее купил год или два назад. Достойна, как минимум, тем, что описывает проблемы защиты ПДн с точки зрения субъекта и приводит рекомендации, что делать в тех или иных случаях. Приведено немало шаблонов всяких согласий, отказов и т.п. Информация для операторов тоже есть. Но если в части согласий и т.п. она достаточно продумана и корректна (книжку писал...

Практика аутентификации на принтерах и iPad/iPhone

Эта история произошла давно и также давно была разрешена, но решил поделиться ею только сегодня - все как-то недосуг было (а может я про нее и писал уже, но не помню). Итак представим распостраненную ситуацию - у вас в организации есть принтер ;-) И если вы не напрасно едите свой хлеб, то этот принтер включен в общую модель угроз - не только как источник угроз, но и как их цель, а также как одно из самых слабых звеньев в системе защиты предприятия....

20.7.11

Передел рынка ИБ

Что-то на предыдущую заметку никакой реакции. То ли народ в отпуске, то ли по английски читается тяжело, то ли это мало кого интересует (во что верится с трудом), то ли все в шоке ;-)  В любом случае нашелся русскоязычный вариант проекта Указа, английский текст которого мне вчера прислали американские коллеги. Проект Указа Президента о совершенствовании мер по обеспечению ИБ (function() { var scribd = document.createElement("script"); scribd.type = "text/javascript"; scribd.async = true; scribd.src = "http://www.scribd.com/javascripts/embed_code/inject.js";...

Новая утечка из WikiLeaks - грядет новый 334-й Указ?

Прислали мне вчера коллеги из Штатов любопытный документ и задали ряд вопросов по нему. Вопросы я опущу, а вот документ приведу полностью. THE DECREEOF THE PRESIDENT OF THE RUSSIAN FEDERATION About perfection of measures on providing of information security of the Russian Federation decide: 1. To establish: a. For all encryption (cryptographic) means on the Russian Federation territory presence of the certificate of conformity to information security requirements of Federal security bureau (FSB) of the Russian Federation or documentary acknowledgement...

19.7.11

И вновь о выборе паролей

О паролях я писал немало и вновь возвращаюсь к этой, казалось бы простой теме. А все после последних взломов со стороны различных хакерских групп. В одном из проведенных исследований замечательно продемонстрировано, что несмотря на наличие классических рекомендаций избегать последовательностей клавиатурных (например, qwerty) или цифровых (например, 123456) комбинаций, пользователям все равно удается изобрести нечто уникальное. Например, в одной...

15.7.11

Сколько стоит новый закон о персданных?!

На заседании Совета Федерации одной из ключевых тем в рамках обсуждения законопроекта по персданным была цена выполнения положений 19-й статьи. Одни говорили, что это очень дорого. Другие заявляли, что ни копейки из бюджета не потребуется брать. Третьи требовали сначала представить расчеты стоимости реализации закона, а потом уже принимать решение о его принятии. В итоге законопроект приняли, а Правительству поручили посчитать, во что выльется реализация положений 19-й статьи. Т..к. надежды на Правительство никакой, депутаты и сенаторы не в теме,...

14.7.11

Действия ФСБ имеют далеко идущие последствия

И вот наконец законопроект о приведении терминологии в области ИТ подписан Гарантом Конституции. Изменения поверхностные. Например, вместо "сеть Интернет" теперь "информационно-телекоммуникационная сеть Интернет". Вместо "страница Банка России" теперь "официальный сайт Банка России". Вместо "сети общего пользования" теперь "сети, доступ к которым не ограничен определенным кругом лиц". Вместо "конфиденциальная информация" теперь "информация, в отношение которой установлено требование об обеспечении ее конфиденциальности". Хотя в некоторых законах...

UPDATE 2: Письмо президенту

Коллеги! Те, кто получил похожий ответ на свой запрос в адрес Президента могут воспользоваться рекомендацией Алексея Волкова и направить обратно рекламацию о некорректном переводе по подведомственности. ЗЫ. Я направил два таких запрос - один в адрес Президента, второй в адрес Администрац...

Что произошло с ФЗ-152 на самом деле

После вчерашнего фарса в Совете Федерации решил я обсудить возникшую ситуацию с товарищем, человеком, которого российская пресса назвала бы "неназванный, но информированный источник". Встретились мы на Дмитровке, в одном из уютных кафе, напротив здания верхней палаты нашего парламента. Пока ждал, пил кофе и смотрел на покидающих здание СФ сенаторов. Холеные, с лоснящимися лицами, они торопились покинуть душную Москву на своих дорогих автомобилях. Первая фраза, которой меня приветствовал товарищ, подошедший к столику: "Ну что, просрали демократию,...

13.7.11

Хроники Совета Федерации

Минуту назад в Совете Федерации закончилось выступление председателя Комитета Совета Федерации по конституционному законодательству г-на Александрова А.И. Он представлял пресловутый законопроект о внесении изменений в ФЗ-152. Судя по тому, ЧТО он говорил, справку ему готовили наши регуляторы. Назвать целью закона "защиту персональных данных и обеспечение информационной безопасности персональных данных" могли только регуляторы. Выступающий постоянно говорил об информационной безопасности персональных данных и человека, но не о правах субъекта ПДн....

Оценка инвестиций в ИБ

При оценке эффективности ИБ (в т.ч. и с точки зрения экономики) обычно используют подход из теории принятия решения, аналогичный анализу рисков (в России используют только его). Идея проста - оцениваем риск в терминах вероятности его реализации и ущерба от него. Затем выбираем методы снижения риска (или принятия, или перекладывания), стоимость которых должна быть ниже потенциального ущерба. Эту классическую идею применительно к экономике ИБ впервые развили Гордон и Леб. Потом ее многие крутили так и эдак (например, иерархическая голографическая...

12.7.11

Президент ответил уклончиво

Итак, получил я сегодня ответ из Администрации Президента. Как в известном анекдоте - ответили уклончиво. Ответ Президента на открытое письмо (function() { var scribd = document.createElement("script"); scribd.type = "text/javascript"; scribd.async = true; scribd.src = "http://www.scribd.com/javascripts/embed_code/inject.js"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(scribd, s); })(); Ну а про реакцию Щеголева я уже писал. Круг замкнулся. Ждем реакции Совета Федерац...

Почему молчит АРСИБ?

Мои коллеги по "письму пяти экспертов" (Александр Бондаренко, Алексей Волков, Александр Токаренко и Евгений Царев) уже высказали свои мнения по поводу ситуации, сложившейся вокруг нашего открытого письма. Я в свою очередь хочу сказать спасибо всем, кто поддержал нашу инициативу. СПАСИБО! Не буду сейчас говорить о негативных отзывах. Они тоже были. Капля в море по сравнению с числом позитивных отзывов. Еще на курсах по ораторскому искусству нам говорили, что в ЛЮБОЙ аудитории всегда найдется от 3-х до 5-ти процентов слушателей, воспринимающих ваше...

11.7.11

Как идентифицировать активы?

Классификация информация, как элемент инвентаризации и классификации активов, подлежащих защите, очень важный процесс. От него зависит, насколько адекватно мы сможем построить систему защиты и не упустить ничего лишнего. Неправильная классификация приведут к тому, что мы можем забыть какие-то типы данных, которые останутся беззащитными, или, наоборот, затраты на защиту станут непомерными из необоснованного повышения категории (класса) защищаемой информации. Например, в Министерстве Обороны США стоимость только одной классификации информации обходится...

8.7.11

Проверь себя!

Многие заметили, что под блоком DISCLAIMER у меня появился еще один блок - "Проверь себя!". Это баннер системы SurfPatrol от Positive Technologies, о которой я уже писал. После полученных замечаний и предложений разработчики существенно улучшили юзабилити системы и число поддерживаемых платформ, приложений и браузеров. Да и запускать его стало гораздо удобнее. Не надо никуда ходить и что-то там нажимать - просто вставляете код JavaScript на свой сайт или блог (как у меня) и при каждом заходе на главную страницу вы будете видеть текущий и актуальный...

Новости ПК27 ISO

ISO готовит еще один интересный стандарт "Information technology -- Security techniques -- Information security for supplier relationships", посвященный вопросам взаимоотношений с поставщиками продуктов и услуг. Он будет иметь номер 27036. Интересно, что еще несколько месяцев назад данный стандарт назывался "Guidelines for security of outsourcing". Возможно авторы расширили сферу применения, а может быть сделают несколько частей одного стандарта, описывающие различные аспекты взаимоотношений с внешними поставщиками продуктов и услуг (собственно...

7.7.11

Руководство ENISA по облакам

Интересна тенденция выпуска различных документов, как правило, в виде рекомендаций и руководств к принятию решений, по облачным вычислениям. Сначала это были австралийские рекомендации, потом документы NIST, потом руководство PCI Council по виртуализации с разделом по облакам. И вот на днях попался мне документ европейского агенства по информационной безопасности по облакам - "Security & Resilience in Governmental Clouds. Making an informed decision". Выпущен в январе 2011 года. Документ выстроен по тому же принципу, что и названные выше документы....