Новости ФСТЭК, ФСБ и РКН

По результатам вчерашней конференции в Челябинске, организованной Аста-Информ, была получена очень интересная информация. Не всегда новая, но это тоже важно - подтвердить худшие опасения или направления деятельности регуляторов. Кстати, что касается регуляторов, то это, на моей памяти, единственное мероприятие, где присутсвовали в полном составе представители ФСТЭК, ФСБ, РКН и прокуратуры (а также УСТМ МВД). Итак новости следующие: ФСТЭК подтвердил свою позицию, что лицензия должна быть у каждого оператора ПДн. Обосновать не смогли, но позицию...

Подробнее…

Выступление в Челябинске

Сегодня у меня два выступления в Челябинске на конференции по персданным (Женя Царев тоже тут выступает). Первое выступление касается новостей законодательства о персональных данных, второе - про экономику ИБ. Вторая тема уже не раз освещалась мной в разных презентациях. Поэтому я ее не выкладываю. А вот первую я делал почти заново - так что ее и выложу. News in FZ-152 View more presentations from Alexey Lukats...

Подробнее…

И вновь о психологии персданных

Чем больше погружаешься в тему психологии персональных данных (или privacy в англоязычной терминологии), тем больше понимаешь, что наши регуляторы вообще не думают о том, ради ЧЕГО и ради КОГО изначально затевался ФЗ-152. Вместо того, чтобы запускать программу повышения осведомленности,они выбивают из операторов персданных деньги на то, что никому не нужно. Ведь те требования, которые прописаны в законе и будут прописаны в подзаконных актах не имеют никакого отношения к реальной защите прав субъектов ПДн. Выскажу даже крамольную мысль- субъектам...

Подробнее…

О роли России в подготовке конвенции ООН в области ИБ

Про Кодекс поведения в области ИБ, предложенный Россией и Китаем для ООН, я уже писал. Но тогда не особо комментировал, думая, что каждый сам сделает для себя выводы. Но тема как-то стала разрастаться. То в Twitter'е у меня спросили мнение про статью в Коммерсанте. То коллега озаботился этой проблемой. В итоге выскажусь ;-) Итак, что говорит этот Кодекс? Все просто. Идей ровно три. Ведению кибервойн скажем НЕТ! Использованию Интернет для свержения режимов скажем НЕТ! Вмешательству в действия в локальном сегменте Интернет скажем НЕТ! Про запрет...

Подробнее…

Новые документы ФСТЭК

За прошедшие 10 дней ФСТЭК выложил у себя на сайте 3 новых проекта документаО внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации,утвержденный приказом ФСТЭК России от 28 августа 2007 г. № 181 О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по разработке...

Подробнее…

Belden покупает Byres Security

В начале сентября малоизвестная широкому кругу лиц компания Belden купила также малоизвестную компанию Byres Security, которая при этом является лидером рынка безопасности решений АСУ ТП (SCADA). Детали сделки не разглашают...

Подробнее…

Инфосек, инфобез - что с ними, что без или дилемма заключенного - 2

Сегодня, как оказалось, всемирный день отказа от автомобиля. И как предсказывалось пробок сегодня меньше не стало, а местами и больше. В прошлом году вообще в этот день было 10 баллов по 10-тибалльной шкале. А ведь дилемма заключенного это явление отлично объясняет. Если бы большинство автовладельцев действительно отказалось от поездок сегодня, то на дорогах было бы пусто, но... Как думает автовладелец в такой день? "Если все не поедут, то будет свободно. Поэтому я все-таки поеду; хоть один день без пробок". И так думает каждый. В итоге выбираются...

Подробнее…

Вам лицензию? Да мне по ИБ!

На прошлой неделе, во время проведения курса по персданным, со слушателями возникла интересная дискуссия по вопросам лицензирования и была высказана следующая крамольная мысль. Пункт 4 статьи 8 нового закона "О лицензировании отдельных видов деятельности" гласит: "К лицензионным требованиям не могут быть отнесены требования о соблюдении законодательства Российской Федерации в соответствующей сфере деятельности в целом, требования законодательства Российской Федерации, соблюдение которых является обязанностью любого хозяйствующего субъекта". Защита...

Подробнее…

Новое руководство NIST по оценке рисков

NIST опубликовал проект впервые пересмотренного рукодства по проведению оценки рисков - SP 800-30 "Guide for Conducting Risk Assessments". Это пятый документ NIST в серии по управлению рисками. Если хотите высказать свои замечания по этому проекту, то до 4-го ноября это может сделать любой желающ...

Подробнее…

Психология персональных данных современных детей и молодежи

Начал читать книжку "Дети цифровой эры". Посвящена она тому, как вести себя с детьми, для которых iPod, Sony PSP или Интернет гораздо ближе и понятнее, чем плейер Walkman, игра в "яйца" на Электронике или походы в лес для общения с друзьями. Но интересна она не только для родителей, но и с точки зрения ИБ, т.к. показывает мир современных подростков, которые станут править балом через несколько лет. Именно их поведение бужет определять ситуацию с ИБ на предприятиях, в школах и ВУЗах, в обществе. Согласно проведенным исследованиям, современная молодежь...

Подробнее…

Дилемма заключенного и ИБ

На прошлой неделе Брюс Шнайер дал ссылку на интересное исследование "Knowledge Sharing and Investment Decisions in Information Security", которое продолжает тему инвестиций в ИБ. Я уже как-то обращался к этой теме и тогда мы говорили о применении теории игр в вопросах инвестирования в ИБ. В исследовании, на которое ссылается Шнайер, говорится еще обо одной задаче из теории игр, которая основывается на так называемой "дилемме заключенного". Суть ее в следующем. Игроки, как пишет Википедия, не всегда будут сотрудничать друг с другом, даже если это...

Подробнее…

Немного о политике ИБ

В последние несколько дней многие вспомнили тему политики ИБ. Руслан Пермяков в очередной раз поднял тему выполнимости политики. Ригель тоже прошелся по теме, в очередной раз указав, что без участия руководства в разработке политики, толку от нее не будет. Иностранные эксперты тоже не упускают случая поговорить о данной проблеме. Например, неделю назад независимый консультант по ИБ Стивен Фокс опубликовал интересную заметку о политике ИБ, в которой последняя сравнивалась с руководством к автомобилю. Мол и вещь полезная, но обращаемся мы к нему...

Подробнее…

И вновь об ООН и ИБ

В ноябре 2009 года на 64-й сессии Генеральной Ассамблеи ООН была принята резолюция "Создание глобальной культуры кибербезопасности и оценка национальных усилий по защите важнейших информационных инфраструктур". Собственно сама резолюция содержала всего два пункта. В первом она предлагала "государствам-членам использовать, если и когда они сочтут это целесообразным, прилагаемый инструмент добровольной самооценки национальных усилий по защите важнейших информационных инфраструктур, призванный помочь им в анализе их усилий по защите важнейших информационных...

Подробнее…

Международный Кодекс поведения в области ИБ

12-го числа по китайскому радио передали новость о том, что "постоянные представители Китая, России, Таджикистана и Узбекистана в Организации объединенных наций совместно направили генеральному секретарю ООН Пан Ги Муну письмо с просьбой распространить Международный кодекс по обеспечению безопасности в сфере информации в качестве официального документа ООН на 66-й сессии Генеральной ассамблеи организации". На сайте ООН этой информации нет. Как не оказалось ее и на сайте первоисточника - информация была просто удалена с сайта по непонятной...

Подробнее…

Атакован компьютер? Получи бомбардировку!

Многие, наверное, слышали, что недавно США в своей стратегии противоборства в киберпространстве разрешили себе на кибернападение ответить с помощью обычных вооружений. Многие восприняли это как очередную попытку США получить для себя какие-то преференции и выделиться на фоне других. Восприняли и забыли. А зря... США вынесли этот вопрос на повестку 66-й Генеральной Ассамблеии ООН, которая началась пару дней назад. США предлагают приравнять кибернападение к обычному военному нападению и используют следующую логику (текст с Ассамблеи ООН): "Несмотря...

Подробнее…

Как разные культуры относятся к риску?

Брюс Шнайер опубликовал ссылку на интересное исследование "The Cultures of Risk Tolerance", которое показывает разницу в уровне терпимости к риску в разных странах и культурах. В исследовании приняли участие 4000 человек из 23 стран мира; Россия, к сожалению, в список не попала. Если сразу перейти к выводам, то уровень терпимости к риску достаточно высок в странах с низким уровнем доходов (т.е. и в России тоже). Высокий уровень означает нетерпимость и желание снизить риски или переложить их на кого-то. В странах с высоким уровнем доходов, в странах...

Подробнее…

Тема DLP вновь на подъеме?! Но готовы ли вы к ней?

Вообще тема DLP вновь стала возрождаться из пепла. В обозримом будущем пройдет аж целых три мероприятия по данной тематике: DLP Russia 2011 - вендор-независимое и самое первое в России мероприятие по данной тематике, организуемое Infowatch. Буду там выступать с темой про защиту от утечек в мобильных и распределенных корпоративных системах. Пока даже не знаю, что это и про что рассказывать. Но кто-то меня сдал, что я якобы в этой теме силен ;-) DLP Conference - вендор-независимое мероприятие, организуемое компанией Zecurion (бывший бренд SecureIT)....

Подробнее…

VMware покупает PacketMotion

Несколько лет назад из компании Cisco ушел достойный человек, которого звали Джонатан. И примечателен он был не только тем, что он отлично знал сетевую безопасность и сетевые технологии, но и тем, что у него была жена - русская ;-) И создал он компанию PacketMotion, которая одной из немногих адекватно реализовала технологию NBAD - Network-based activity detection, т.е. анализ сетевой активности на всех уровнях эталонной модели. Потом Джонатан стал интересоваться, как ему вести свой бизнес в России ;-) И вот в конце августа компания PacketMotion...

Подробнее…

Новости ФСТЭК по линии персданных

Был я на прошлой неделе на 4-м Алтайском ИТ-форуме в городе Барнауле с выступлением по решениям Cisco в области персональных данных (сама презентация доступна на SlideShare).И выступал передо мной представитель ФСТЭК по СФО, который сделал несколько интересных заявлений, которыми я и хотел бы поделиться: На вопрос о том, нужна ли лицензия на ТЗКИ ответ был заковырист, но предсказуем. Итак логика ФСТЭК следующая. Вы видите в термине "обработка ПДн" слово "защита"? Нет. Значит множество операторов ПДн не равно множеству лицензиатов ФСТЭК. Дальше...

Подробнее…

ROI для IPS

На позапрошлой неделе в FB с двумя бывшими коллегами из Информзащиты (оба MBA) спорили на тему - можно ли посчитать ROI для ИБ. Люди, прошедшие курсы MBA заявили, что все это фигня. Притянуть можно все угодно, хоть ROI, хоть WACC (хотя я недавно наткнулся и на упоминание использования WACC для ИБ). И даже если кто-нибудь такой расчет "съест", то финансистам это лучше не показывать - засмеют. Другая последовавшая рекомендация - ждать, когда иностранные эксперты придумают что-то внятное по ROI в ИБ. И вот, разгребая очередную порцию исследований...

Подробнее…

Поговорим о порнографии

На днях мне пришло предложение от RU-CENTER зарегистрировать какой-нибудь домен в зоне .xxx. Идея заполучить домен security.xxx меня не очень прельстила, но зато эта новость навела меня на другие размышления. Вообще Интернет и порнография вещи неотделимые друг от друга. И если не брать в расчет детскую порнографию, с которой и борются правоохранительные органы всех стран, то другие виды контента для взрослых вполне себе процветают. И это понятно - быстрота и анонимность... Свыше 47% пользователей просматривают время от времени порнографию в Интернет....

Подробнее…

Что защищать и что не надо с точки зрения науки

Для одной из своих презентаций по финансовой оценке ИБ по я подготовил такую картинку: Она позволяет взглянуть на информацию с точки зрения ее защиты. Далеко не всегда мы защищаем то, что имеет ценность. А часто мы защищаем то, что вообще является ценностью только в наших собственных глазах. И вот на днях я наткнулся на похожие размышления у Бейтлича, который придумал модель эффективности ИБ (Security Effectiveness Model). Он тоже пишет, что при...

Подробнее…

Электронное правительство с точки зрения ИБ

Попался мне в руки системный проект формирования в РФ инфраструктуры электронного правительства. Весомый документ; аж 89 страниц. Судя по метатегам документ не новый, как минимум прошлогодний. Об этом говорит и то, что именно на его основе строится госпрограмма "Информационное общество 2012 - 2020", которую приняли в конце прошлого года. Но местами в документе встречаются фрагменты еще более древние. Например, приравнивание информации к материальным объектам и распространение на первую вещного права. При этом системный проект ссылается на ст.128...

Подробнее…

Шнайер отдыхает

Увидел сегодня у коллеги на столе толстенный манускрипт (см. картинку). Книга впечатляет своими размерами. Ну и содержание тоже достойно изучения криптографам-теоретикам. Мне этот фолиант напомнил Шнайеровскую "Прикладную криптографию". Похожее содержание, похожий размер. Единственное, чего не хватает лично мне - это практической части. Теория теорией, но в России она никому не нужна - есть ГОСТы и все. А вот практические вопросы применения криптографии...

Подробнее…

Куда податься генералу ФСБ?

Все помнят первого зама 8-го центра генерала-лейтенанта Баранова А.П., который на протяжении долгих лет заправлял в России такой непростой темой, как криптография. В начале года он вышел на пенсию. Но вот на просторах Интернет был найден документ, демонстрирующий, что Алексанжр Павлович еще послужит на благо России. Дословно текст гласит: "В целях усиления позиций на предварительных внутрипартийных голосованиях по определению кандидатуры для последующего выдвижения в составе чувашской региональной группы федерального списка кандидатов в депутаты...

Подробнее…

Можно ли считать отдачу от ИБ?

Вопрос с Security ROI возникает постоянно. Как по делу, так и в разного рода спекуляциях. И четкого ответа так до сих пор и нет. Я его тоже не дам ;-) Но можно поразмышлять - может что и родится в процессе. Начну с того, что оценка возврата инвестиций в ИБ не обязательно должна проводиться в форме конкретной и измеряемой отдачи, прибыли. Ведь инвестирование часто происходит для того, чтобы защитить имеющуюся рыночную долю, снизить юридические риски, повысить эффективность (производительность) или поднять лояльность потребителя. Тут о прибыли говорить...

Подробнее…

Интересные документы по безопасности Web и Social Media

За последнее время наткнулся на несколько интересных документов по ИБ. Информацию о них я кидал в Twitter, но не факт, что все видели эти ссылки. Первый документ, а точнее его проект, подготовлен OWASP (The Open Web Application Security Project). Документ называется "Application Security Guide For CISOs" и это название говорит само за себя. Собственно сам документ сейчас как раз и создается ;-) Содержание документа ориентировано именно на руководителей ИБ и почти не содержит техники - один бизнес: выделение бюджета на защиту приложений измерение...

Подробнее…