Новые ресурсы по ФЗ-152

Если не считать различных блогов, так или иначе упоминающих тематику персональных данных, то новых сайтов по данной теме давно не появлялось. И вот коллеги подсказали мне два новых ресурса: Мир персональных данных. Авторы достойные и мне знакомые - Юрий Травкин и Юрий Баевский. Основная задача сайта - оказать посильную помощь организациям-операторам персональных данных. Небезвозмездно, конечно. Но зато можно рассчитывать на внимание к себе и некоторую персонализацию подготавливаемых рекомендаций и документов. Вместе с сайтом работает и ресурс,...

Подробнее…

Конкурс DLP Russia для молодых специалистов

Организаторы DLP Russia 2011 объявили конкурс докладов среди специалистов ИБ. Победители конкурса смогут бесплатно сделать свои сообщения на конференции.Суть этой инициативы – дать возможность молодым специалистам и недавно образованным командам программистов (стартапам) заявить на мероприятии о своих инновационных разработках по тематике конференции, а также найти партнеров и, возможно, инвесторов для развития своих проектов в области информационной безопасности. Российский Экспертный совет по вопросам защиты корпоративной информации от внутренних...

Подробнее…

Лексиль - 2 или что такое Wordle?

Как-то года полтора назад я писал про Lexile - инструмент оценки простоты/сложности текста и возможность его использования для документов по ИБ. И вот наткнулся в Интернете на немного другой (автор вообще считает его немного забавным), но все же похожий сервис - Wordle. Суть сервиса проста - он подсчитывет подсунутые ему тексты и выдает на выходе графическую карту частоты слов, удалив предварительно слова, не несущие смысловой нагрузки. Получается...

Подробнее…

Новая версия курса по персданным

Вновь обновил курс по персданным, а всего-то прошло меньше месяца с последней версии. В новую версию вошли следующие новые и обновленные темы: ПДн акционеров ПДн аффилированных лиц В каких случаях можно ли обрабатывать сведения о судимости? Можно ли обрабатывать сведения о ближайших родственниках без согласия? Можно ли передавать ПДн коллекторским агенствам? Новый приказ РКН по заполнению уведомления Нужна ли лицензия ФСБ и ФСТЭК - мнение судов Проект административного регламента ФСБ Место СТО Банка России в новом правовом поле. В конце сентября...

Подробнее…

Есть ли в России ИТ-продукция отечественного производства?

На прошлой неделе прошла новость о том, что Минэкономразвития и Минпромторг выпустили приказ о том, что считать ИТ-продукцией отечественного производства. Многие СМИ и специалисты позитивно восприняли эту новость. Однако, видимо, никто текст самого приказа не читал. Иначе мнение было бы совершенно иным. Ведь проблема не в том, сколько процентов "чего-то там" должно быть в оборудовании, чтобы считать его отечественным. Проблема кроется глубже. Резюмируя, могу сказать, что все соответствует описанной мной ситуации с ветром перемен. Если же копнуть...

Подробнее…

Проект административного регламента ФСБ по персданным

ФСБ опубликовала проект приказа "Об утверждении Административного регламента ФСБ России по исполнению государственной функции по осуществлению государственного контроля (надзора) за выполнением установленных Правительством РФ требований к обеспечению безопасности персональных данных" (HTML и PDF).Правда, почему-то не у себя на сайте, а на сайте РКН. Первое, что бросается в глаза, - тему биометрии ФСБ прибрало к своим рукам (собственно, это не первый факт "захвата" темы биометрии со стороны ФСБ). Итак, краткое резюме по проекту: Контроль и...

Подробнее…

О новом опусе Роскомнадзора

Многие слышали о том, что 19-го августа РКН выпустил новый Приказ от 19 августа 2011 г. № 706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных". Алексей Волков уже прошелся по нему и, в принципе, осветил ключевые моменты, но я со своей стороны тоже не могу обойти его вниманием. Начну с того, что РКН не только поторопился выпускать приказ до появления новых Постановлений Правительства, которых будет 9, разъясняющих новый старый ФЗ-152, но и допустил ряд фактических...

Подробнее…

NIST выпустил руководство по управлению конфигурацией

Американский институт стандартов (NIST) выпустил новый стандарт - SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems". Данный 88-тистраничный документ разработан во исполнение SP 800-53 (аналог нашего СТР-К) и описывает процесс управления конфигурацией с точки зрения информационной безопаснос...

Подробнее…

Что такое информационная безопасность?

Недавно, а точнее 12-го августа, с Евгением Царевым в Твиттере мы дисскутировали на тему, что такое ИБ с точки зрения бизнеса. Завершили на следующем определеним: "ИБ - это процесс обеспечения интересов стейкхолдеров путем управления бизнес-рисками, связанными с информационными потоками и технологиями". Я бы его в него добавил немного, чтобы получилось: "ИБ - это процесс обеспечения и поддержания необходимого уровня защищенности интересов стейкхолдеров путем управления бизнес-рисками, связанными с информационными потоками и технологиями". На мой...

Подробнее…

Руководство ENISA по облакам - 2

Я уже писал про руководство ENISA по безопасности облаков. На самом деле, у ENISA есть еще два документа, которые являются основополагающими для данного агентства в данной сфере: Normal 0 false false false EN-US X-NONE X-NONE MicrosoftInternetExplorer4 ...

Подробнее…

Руководство BSI по безопасности облаков

Продолжая тему безопасности облаков, хочу рассказать о еще одном документе, который выпустил немецкая федеральная служба по ИБ (BSI). Это "Security Recommendations for Cloud Computing Providers". 17-тистраничный документ также разбивает данную тему на домены (архитектура, управление правами, управление инцидентами, BCP, оценка соответствия, персонал и т.д.) и перечисляет требования по безопасности для каждого из них. Отличием является выделение трех категорий облаков, каждая из которых имеет свой набор требований, наследующих друг от друга (по...

Подробнее…

Что должен знать ИТ-директор об ИБ... в России - 2

Раз уж я упомянул сегодня статью в ДИС, то приведу и ссылки на него: - часть 1 - о понятии ИБ и исторических предпосылках развития ИБ в России - часть 2 - о регуляторах и их требованиях - часть 3 - о цене защиты, призраке холодной войны, закрытых нормативных актах и отказах от международных стандар...

Подробнее…

Печенье и информационная безопасность

Честно говоря, мне казалось, что я за 4 года существования блога писал про концепцию DIKW. Но поиск по блогу показал, что эта тема была мной обойдена вниманием. Зато я про нее написал в большом материале на тему "Что должен знать ИТ-директор об информационной безопасности... в России". Сначала я писал его на английском (для своих заграничных коллег), потом отдал с "Директор информационной службы", который как раз в августе празднует свое десятилетие. Приведу...

Подробнее…

HP выходит из "аппаратного" бизнеса?

Вернулся из отпуска и пока не успел окунуться в последние изменения на ниве безопасности. Зато прочел новость о том, что HP выходит из бизнеса ПК, смартфонов и планшетников. Об этом пишут все, а аналитики брызгают слюной на тему будущих последствий. Меня, да и не меня тоже, интересует судьба направления ИБ, которым HP занималась достаточно активно, приобретя сначала Fortify, потом TippingPoint, потом ArcSight, ну и еще по мелочи. Собственно говорить о последствиях для рынка ИБ еще рано, но стоит задуматься вот над каким вопросом: "Что из безопасности...

Подробнее…

Как оценить программу повышения осведомленности?

К теме повышения осведомленности я обращался не раз. К теме оценки эффективности и измерению ИБ тоже. И вот решил я объединить их, тем более, что в курсе по измерению ИБ я эту тему освещаю. Как измерить эффективность программы повышения осведомленности? Очевидно, что не по посещаемости и не по отношению посетивших и не посетивших тренинги по безопасности. Ведь задача таких курсов (очных или онлайн) - не галочку поставить, а научить пользователей правильно действовать и реагировать на те или иные события ИБ. Я могу выделить следующие метрики для...

Подробнее…

О классификации информационных активов

3 года назад я написал материал про классификацию информации. И вот сейчас я готовлю новую версию этой статьи, обновленную и дополненную. Готовясь к ней я проанализировал множество новых материалов, политик классификации, нормативных документов и т.п. Надо сразу заметить, что единого и универсального метода классификации нет - каждый применяет что-то свое. Кто-то ориентируется всего на одну характеристику информации - конфиденциальность. Кто-то оперирует важностью. Кто-то использует 2 или даже 3 фактора, из которых выводится итоговая классификация....

Подробнее…

О будущем криптографии и позиции ФСБ

Позавчерашний пост о том, что у наших регуляторов нет людей, похожих на менеджеров по развитию бизнеса, приводит нас к одной из ключевых проблем, с которой сейчас приходится сталкиваться - отсутствие взгляда вперед. Возьмем, к примеру, ФСБ и криптографию. Общая идея ФСБ - криптография должна быть сертифицированной. В понедельник я подисскутировал на тему, что даже глобальная экспансия наших криптографических ГОСТов не приведет к тому, что зарубежные продукты их использующие, будут активно использоваться и сертифицироваться в России. Посмотрим на...

Подробнее…

Роль менеджера по развитию бизнеса в отрасли безопасности

Мне регулярно поступают предложения сменить работодателя то на мобильного оператора, то на производственную компанию, то еще на что-то подобное. Нередко звонящие предлагают рассмотреть вариант аренды помещения, расширения сферы поставщиков туалетной бумаги или участия в конференции по производству нефтепродуктов. На вопрос, с чем связаны такие звонки и почему они звонят именно мне, ответ всегда один - "Ну вы же менеджер по развитию бизнеса!" И вот в пятницу я ознакомился с одним из последних отчетов Forrester о роли менеджера по развитию бизнеса...

Подробнее…

Есть ли перспективы у ГОСТ 28147 в качестве международного стандарта?

Сегодня много говорят о признании наших криптографических алгоритмов в качестве международных стандартов. И RFC по ним уже есть. И в рамках ISO работа активная ведется. Еще немного и весь мир признает, что наши ГОСТы - одни из лучших в мире криптоалгоритмов. Ну а дальше что? История создания алгоритмов, а также критерии разработчиков до сих пор не опубликованы, что приводит к регулярному появлению различных "теорий заговора" и опасений, что в ГОСТах есть закладки. Допустим их нет. Допустим будет решен вопрос с таблицей замен, которую по ГОСТу должна...

Подробнее…

Онлайн-калькулятор расчета ROI от безопасности

В апреле я уже писал про методику TEI от компании Forrester. В ней были объединены классические методики ROI и TCO, которые Forrester расширила рядом нововведений, позволяющих оценивать вклад и отдачу от внедрения ИТ и ИБ. В той же заметке я привел пример использования этой методики для оборудования Cisco. И вот на днях мы запустили онлайн-калькулятор по данной методике. Какие выводы можно сделать по его применению? Без доступа к финансовым показателям своей организации применение и этого калькулятора и вообще экономической оценки малоэффективны,...

Подробнее…

Что общего между деятельностью регуляторов и поясом верности?

Что общего между подходом регуляторов в области защиты информации и поясом верности?1. Они оба появились на заре веков и с тех пор мало поменялись2. Авторы обоих подходов думают, что они надежны и обеспечивают нужный уровень защиты3. Тех, на кого примеривают оба подхода, даже не спрашивают, хотят ли они такой безопасности4. Они оба абсолютно неудобны в обычной жизни5. Они оба обходятся в умелых руках6. Авторы обоих подходов никогда не примеряли их...

Подробнее…

Новое Постановление Правительства

1 августа премьер-министр подписал (вступило в силу с 8-го числа) Постановление Правительства №641 "О внесении изменений в положение о системе межведомственного электронного документооборота". Согласно поправкам обмен между участниками СЭД информацией, доступ к которой ограничен законодательством, возможен только при условии соблюдения участниками требований по защите такой информации. Если раньше речь в этом положении шла только о служебной тайне, то сейчас документ касается любой информации ограниченного доступа, передаваемой через систему межведомственного...

Подробнее…

Новый указ Президента касательно ФСТЭК

Дмитрий Медведев подписал ряд указов о порядке размещения в интернете информации о деятельности министерств и ведомств, включая ФСО и ФСТЭК. Указы подписаны в соответствии с частью 1 статьи 14 Федерального закона «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», предусматривающей, что эти перечни утверждаются Президентом Российской Федерации. Интересных моментов два. Первый касается смысла подписания этих указов, если то, что в них написано и так вытекает из упомянутого выше закона....

Подробнее…

О лицензировании

Алексей Волков недавно поднимал вопрос лицензирования деятельности по ТЗКИ. Он пришел к выводу, что"судя по всему, позиция "нет прибыли - нет деятельности - нет лицензии", исходя из соображений "лучше потерять часть, но сохранить целое", была негласно принята". Иными словами, в большинстве случаев лицензия ФСТЭК и ФСБ на деятельность, из которой не извлекается прибыль, не требуется. Тут, правда, возникают нюансы, связанные с изменчивой позицией самих регуляторов. ФСТЭК, в зависимости то ли от отвечающего, то ли от вопрошающего, дает разные ответы...

Подробнее…

Направления банковской стандартизации

О чем интересном написать, что-то в голову пока не приходит. Поэтому кратко поделюсь основными направлениями деятельности вновь образованного ПК1 в ТК122 "Стандарты финансовых организаций". Этот ПК1, как я уже писал, будет заниматься вопросами стандартизации ИБ для финансовых организаций. В прошлую среду было первое заседание этого ПК1, в рамках которого были определены основные направления его деятельности на ближайший 1-1.5 года. К ним будут относиться (под каждое направление будет создаваться рабочая группа): Гармонизация СТО с новым старым...

Подробнее…

Вы готовы изменить если не мир, то хотя бы ФЗ-152?!

Представьте, что вам дана уникальная возможность при действующей редакции ФЗ-152 все-таки поучаствовать в разработке подзаконных актов (не меняя текста ФЗ-152). Т.е. как-то выкрутиться в ворохе "уровней защищенности", "требований по безопасности", "актуальных угроз", "видов деятельности" и других понятий нового старого ФЗ-152. Как бы вы выстроили стратегию и иерархию разработки подзаконных актов? Понятно, что начинать надо с базовой модели угроз. C ней более менее все понятно. Чтобы не создавать вторую "базовую" модель от ФСТЭК я бы в новую модель...

Подробнее…

Об использовании несертифицированной криптографии

На заседании ПК1 ТК122 по стандартизации банковской безопасности Владимир Михайлович Простов (ФСБ) разъяснял немного ситуацию с законодательством в области криптографии и сделал несколько заявлений, которые будут интересными для многих: если оборудование, относящееся к разряду шифровальных средств, ввезено в России легально, то формальное разрешение на ввоз является и формальным разрешением на эксплуатацию данных СКЗИ в целях, указанных в запросе на ввоз. расширять сферу компетенции ФСБ за пределы СКЗИ пока не планируется. Слухи про то, что ФСБ...

Подробнее…

Куда дует ветер перемен?

Написал по глупости в Твиттере, что мозаика сложилась и я теперь знаю, куда дует ветер, и вот приходится раскрывать вырвавшееся высказывание ;-) Итак, что мы имеем? Ст.19, инициированная ФСБ, и приведшая к серьезному ужесточению ситуации на рынке ИБ, которая, как писали многие СМИ, ставит многих под контроль наших регуляторов. Причем ФСТЭК мало кто упоминает, эта структура в парочке совсем неглавная и в нормативной базе она прописана, видимо, до кучи. Одна из самых распространенных версий сделанных поправок - желание урвать побольше и расширить...

Подробнее…

Пишите письма

Сейчас очень много вопросов задается относительно новой 19-й статьи и ситуации с уже принятыми отраслевыми стандартами (СТО БР ИББС, НАПФ, НАУФОР и т.д.). Что применять? Действуют ли отраслевые стандарты? И т.д. Сегодня, на заседании ПК1 ТК122 по стандартизации банковской безопасности от ЦБ и ФСБ прозвучало предложение: "Пишите письма!" Пока от операторов персданных не будет официальных запросов в адрес регуляторов, никакой официальной позиции в отношении "письма шести" (для банков), статуса отраслевых стандартов и т.д., не будет. Поэтому я могу...

Подробнее…

А если я защитился до 1-го июля? Надо ли мне выполнять ст.19?

Погрузившись в обсуждение нововведений старого нового ФЗ-152, а также вопросов, связанных с 19-й статьей, мы как-то не опустили вопрос, изначально заданный ZZubra, - о сроке вступления в силу закона и возникающих из него обязанностей. Согласно ст.4 ГК РФ "Акты гражданского законодательства не имеют обратной силы и применяются к отношениям, возникшим после введения их в действие. Действие закона распространяется на отношения, возникшие до введения его в действие, только в случаях, когда это прямо предусмотрено законом". ФЗ-152 не говорит о том,...

Подробнее…

Парафраз об аттестации в свете нового ФЗ-152

В новом старом ФЗ-152, в ст.19 есть такая защитная мера как "оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных". Можно долго и упорно спорить, что это такое, но зная, что реализовывать эту меру нужно будет по требованиям ФСТЭК, я с вероятностью 85-90% предположу, что это так называется аттестация объекта информатизации по требованиям безопасности. Противники открытого письма Президенту мне возразят (как это было в этом посте), что я притягиваю...

Подробнее…

Размышления о новом ФЗ-152

Вчера я писал про погружение в ФЗ-152 и появление ряда интересных мыслей по новой редакции. Решил поделиться ими. Начну с того, что закон четко делится на две части - связанную с защитой прав субъектов и с защитой самих ПДн. Жесткое неприятие вызывает именно вторая часть; в отличие от первой части, которая действительно стала более гармонизирована с Евроконвенцией и стала больше отвечать интересам операторов персданных, найдя определенных баланс между интересами операторов и субъектов. Но пойдем по порядку. Одно из мощнейших изменений коснулось...

Подробнее…

4-я версия курса по персданным

На прошлой неделе читал я новую версию курса по персданным - 4.0. Основное отличие от предыдущей версии 3.1 - ориентация на новую редакцию ФЗ-152. Пришлось сильно переработать часть по защите прав субъектов (условия неполучения согласия, неуведомлений и т.д.), часть по обязанностям оператора согласно ст.18, часть по уведомлению РКН. Ну и, конечно, пришлось менять акценты в разделе про защиту персональных данных в соответствие с 19-й статьей. Именно подготовка к данному курсу позволила поглубже погрузиться в ФЗ. А это, в свою очередь, помогло наткнуться...

Подробнее…

Грядет новое четверокнижие?!

Помните ли вы, как появилось первое четверокнижие ФСТЭК? Сначала появилось 781-е постановление Правительства (17 ноября), в котором ФСТЭК и ФСБ предписывалось выпустить в трехмесячный срок нормативные документы по защите персданных. Потом требования пошло по инстанциям и когда оно спустилось до исполнителей оставалось совсем мало времени до выпуска нормативно-правовых актов (правда, ФСТЭК таковыми их не считала) с конкретизацией защитных мер. В итоге мы получили то, что получили. Кто-то даже говорил, что это чья-то диссертация. Ну да суть не в...

Подробнее…