Здравствуй, дедушка Мороз!
В предверии Нового года я пишу тебе это письмо в надежде, что ты прочтешь его и выполнишь мои пусть не детские, но все равно новогодние желания. Ведь в уходящем году я вел себя хорошо и могу надеяться, что ты услышишь мои пожелания.
Дедушка, сделай так, что ФСТЭК и ФСБ занимались своим прямым делом - защитой государственной тайны и критически важных объектов и не вмешивались в деятельность коммерческих предприятий. Если уж им так неймется, то пусть их вмешательство носит характер рекомендаций и best practices, но никак...
29.12.11
28.12.11
Разъяснение ФЗ-152 для нотариусов
Федеральная нотраиальная палата выпустила письмо, разъясняющее отдельные положения ФЗ-152 для нотариусов. Надо ли уведомлять РКН? Надо ли нотариусу получать согласие субъекта? Как обрабатывать ПДн, полученные не напрямую от субъекта? Надо ли уведомлять субъекта ПДн до начала обработки его ПДн, если эти ПДн получены не напрямую от него? Согласие работников нотариальных палат на обработку их ПДн. И т...
ИБ-2012: прогнозы
Вчера я описал ключевые события, тенденции уходящего года. Пора поговорить и о том, что нового будет происходить в ИБ в России в 2012-м году? Как это не парадоксально, но ничего! Исходя из нынешней ситуации и если предположить, что в марте (и до марта) ничего кардинально нового не произойдет, могу сделать прогноз о том, что все ключевые события произошли еще в 2011-м году. В 2012-м будет только их развитие или продолжение.
Ну действительно. Сообщества безопасников будут только развиваться. Вон, партия ИТшников, инициированная Женей Царевым, за...
27.12.11
Топ10 событий 2011-года
В конце года принято подводить некоторые итоги и выделять ключевые события года уходящего. Не буду исключением и составлю свой Топ10 таких событий в области информационной безопасности в России. Точнее даже не событий, а явлений или тенденций, которые мне запомнились в 2011-м году.
Сообщества безопасников. Безопасники постепенно превращаются из разрозненных группок и единиц в сообщества - регионального или национального масштаба. При этом речь идет не просто об объединении по интересам, но и осуществлении вполне конкретных активностей, направленных...
23.12.11
Политическое завещание Медведева и ИБ
За последн.. неделю произошло достаточно много событий, которые имеют прямое отношение к тому, куда будет развиваться информационная безопасность в России, а точнее, куда она не будет развиваться. 4 августа я сделал некоторый анализ того, куда дует ветер перемен и какие шаги предпринимаются нашими регуляторами (преимущественно в лице ФСБ) для развития ИБ в их понимании. За эти полгода тенденция обозначилась еще ярче - немало нормативных актов, отбрасывающих ИБ на годы назад и заставляя ее жить по правилам, присущим гостайне. Но оставалась надежда,...
22.12.11
21.12.11
Электронная подпись, Россия и ЮНСИТРАЛ
Вот интересно, с учетом вступления России в ВТО, что нам теперь делать с электронной подписью? Насколько я понимаю, наш ФЗ "Об электронной подписи" не соответствует международным требованиям, которые приняты во многих странах ВТО. Эти страны руководствуются обычно документами и правилами, подготовленными ЮНСИТРАЛ - комиссией Организации Объединенных Наций по праву международной торговли. В 1996-м году 4-я рабочая группа ЮНСИТРАЛ разработала типовой закон по электронной торговле, а в 2001-м - типовой закон об электронных подписях (наш ФЗ ему не...
Какой вид электронной подписи использовать?
Для меня (я в тему электронной подписи не сильно лезу) всегда существовал вопрос. Вот есть у нас ФЗ "Об электронной подписи", устанавливающий общие требования к ЭП. И есть проекты документов ФСБ, устанавливающие требования к конкретным видам ЭП - простой и усиленной. Но какой вид и когда использовать для меня всегда оставалось вопросом. И вот тут наткнулся на проект "Методики определения минимальных требований к электронной подписи, используемой для заверения документов, предоставляемых при обращении за получением государственных и муниципальных...
Чем реально занимается ФСТЭК

Для большинства специалистов по ИБ название "Роскомнадзор" связано с деятельностью по защите прав субъектов персональных данных. Хотя на самом деле это далеко не единственная и не самая основная сфера деятельности, которой занимается РКН. Изначально эта федеральная служба отвечала за надзор в сфере связи и СМИ. Это уже после на нее навесили несвойственные ей функции. Сейчас навешивают функцию защиты детей в Интернет и функцию лицензирования деятельности...
20.12.11
А взлом компании связан с падением курса акций?!
В продолжение начатой сегодня темы про связь раскрытия информации об уязвимости и падением курса акции обратимся к теме, которая близка не только разработчикам софта, но и любому акционерному обществу (по крайней мере за пределами России). Насколько взлом компании влияет на курсовую стоимость ее акций? Существует 4 исследования на эту тему, которые показывают следующие результаты:
Гордон, Лёб и Жу - 2003 год - падение в среднем на 2%
Кавузоглы, Мишра и Рагхунатан - 2004 год - падение в среднем на 2.1%
Хова и Д'Арси - 2003 год - связи не обнаружено
Каннан,...
Как связаны Vulnerability Disclosure и падение курса акций?!
Тезис о том, что качественное и защищенное ПО лучше наколеночных и дырявых поделок мало у кого вызывает сомнение. Как минимум на уровне восприятия. А вот вопрос о раскрытии информации об уязвимостях в ПО (Vulnerability Disclosure) регулярно вызывает дискуссии на различных конференциях и страницах профессиональной прессы. Раскрывать или нет? Похвалить исследователя или наказать? Вопросов много. На один из них - "Как влияет раскрытие информации об уязвимостях на курс акций разработчика ПО? - дан ответ исследователями Института Карнеги Меллона.
В...
19.12.11
Теория доверия в компьютерных сетях

Фундаментальный вопрос: "Как я, человек, могу доверять информации, получаемой из Интернет?" Я читаю статью на Википедии. Как я могу доверять ее содержимому? Мы должны доверять
человеку, который написал эту статью,
компьютеру, который хранит этут статью,
каналу связи, по которому эта страница поступает читателю,
и, наконец, компьютеру, который получает эту статью и отображает ее читателю.
Ответу на этот вопрос посвящена т.е. теория доверия, которая...
Как построить доверенную систему из недоверенных элементов?
Во время недавней поездки в США мне довелось поучаствовать в дискуссии на тему использования коммерческих продуктов по ИБ (для них обычно используется аббревиатура COTS - commercial of-the-shelf) в критичных приложениях и системах. Сейчас это достаточно распространенная тенденция в США, которые во многих случаях отказываются от применения специально разработанных приложений в пользу того, что доступно на рынке. Я спросил коллег, что они делают в таких случаях? Ведь исходных кодов зачастую нет; свидетельств грамотно выстроенного процесса разработки...
16.12.11
Ежегодный отчет Cisco по ИБ

Cisco выпустила очередной ежегодный отчет по информационной безопасности, подводящий итоги года уходящего и показывающий тенденции года будущего. К ключевым тенденциям 2011-года мы отнесли социальные сети, облачные вычисления и доступ к корпоративным ресурсам с мобильных устройств. В целом никаких сюрпризов этот раздел не принес - об этом говорили практически все аналитики на протяжении всего года. Эти же темы стали ключевыми и на последнем в этом...
15.12.11
И вновь о контроле Интернет
Находясь в ожидании ответа г-на Путина, решил вернуться к теме контроля Интернета, которая недавно получила свое новое звучание. Вот здесь выложена моя презентацию по регулированию ИБ в России. На 85-90-м слайдах говорится как раз о контроле Интернет. 14 декабря к высказываниям МВД, Прокуратуры, РПЦ добавился еще и Совет Безопасности. Николай Патрушев в интервью "Аргументам и фактам" так ответил на вопрос: "Сегодня активно используются для продвижения различных интересов, в том числе завоевания и удержания власти, информационные технологии. Не...
Задай свой вопрос Путину!
Сегодня наш гегемон общается с плебсом и каждый мог задать ему свой вопрос, который, если повезет, будет озвучен в "прямом" эфире и на него, если повезет, лидер нации даст ответ. Я тоже не остался в стороне и задал такой вопрос: "Регулирование вопросов обеспечения информационной безопасности в России исторически возлагалось на ФСТЭК России и ФСБ России, которые следили за сохранностью сведений, составляющих государственную тайну. Эти органы вырабатывали требования по информационной безопасности и следили за их соблюдением. Однако в 90-х годах началась...
14.12.11
Проект ISO 27016

Давеча столкнулся с очередной версией проекта нового стандарта ISO 27016 по организационной экономике ИБ. Стандарт ну очень достойный и нестандартный в своей нетехнической направленности. Начинается он со слов: "Успешное управление ИБ требует строгого понимания взаимосвязи технических (например, баланс рисков и безопасности) и экономических (например, баланс преимуществ и затрат) подходов во всех аспектах ИБ, начиная от планирования, дизайна и внедрения...
13.12.11
О чем обычно говорят на внутренних конференциях по ИБ

Давеча слушал различные выступления на внутренней конференции Cisco SecCon. Собственно, задача данной конференции рассказать сотрудникам Cisco о тенденциях в области хакинга и о том, как им противостоять, как правильно писать защищенные программы, ну и т.д. Вторая часть интересна только нашим программистам, т.к. там изучаются такие темы как
Защищенное программирование на C/C++
Защищенное программирование для Java/Web
Фундаментальные основы тестирования...
12.12.11
Blue Coat была приобретена частным инвестиционным фондом
9 декабря компания Blue Coat, известная на рынке Web-безопасности, была приобретена частным американским инвестиционным фондом Thoma Bravo за 1.3 миллиарда долларов. Надо заметить, что это не первая инвестиция Thoma Bravo в рынок ИБ. Под ее управлением уже находятся такие компании второго эшелона как Entrust, LANDesk, SonicWALL и Tripwire. Ранее Thoma Bravo управлял и NetIQ, пока последняя не была продана Attachmate Co...
О системе идентификации граждан
6-го декабря я уже писал о подписании Постановлении Правительства по созданию единой системы регистрации и идентификации граждан в рамках всей России. Заработать система должна в апреле, но до сих пор нет четкого понимания того, на базе чего должна строиться такая система. Выделяют три разных способа, от выбора которого зависит дальнейшая судьба всей системы:
единый, несменяемый в течение всей жизни номер
номер, изменяемый в связи с переменой данных человека
использование совокупности номеров для идентификации.
При этом чиновники по своей традиции...
9.12.11
Медведев поручил Путину признать международные стандарты по ИБ
Сегодня Президент Медведев подписал перечень поручений по итогам заседания Международного консультативного совета по созданию и развитию международного финансового центра в Российской Федерации 28 октября 2011 года. Среди них:
рассмотреть вопрос о целесообразности смягчения требований к вывозу отечественных шифровальных (криптографических) средств за рубеж и о признании международных стандартов в области защиты информации и представить соответствующие предложения.
Поручение дано Путину В.В. Срок - до 1 марта 2012 года....
Судьба открытого письма Президенту
Сегодня, 9-го декабря, спустя 5 месяцев после публикацией нами открытого письма Президенту по поводу внесений изменений в ФЗ-152, хотелось бы подвести промежуточные итоги. Письмо, отправленное через Администрацию Президента, было направлено по подведомственности в Минкомсвязь, в Департамент создания и развития информационного общества. Была организована встреча с руководством Департамента, на которой нас пригласили к совместной работе над подзаконными актами, которые должны выйти во исполнение нового, на тот момент еще законопроекта.
Нами было...
8.12.11
Нургалиев о фейс-контроле
Многие видели сегодняшнее заявление Нургалиева, который опроверг слова своего подчиненного Алексея Мошкова (начальник БСТМ) о том, что в Интернет надо запретить анонимность. "Это глупость, никто этого вводить не собирается", - сказал Нургалиев сегодня, 8-го декабря 2011 года. Правда два года назад г-н министр заявлял совсем другое: "Необходимо исключить анонимность пользователей при регистрации в Интернете. Правоохранительные органы совместно с заинтересованными министерствами и ведомствами, бизнес-сообществом в области оказания услуг связи должны...
Немецкая cynapspro вошла в состав Infowatch
Несмотря на новости о том, что Infowatch Натальи Касперской купила немецкого антивирусного производителя, все не совсем так ;-) Это полправды. Действительно немецкая cynapspro вошла в состав Infowatch. Но cynapspro выпускает полноценное средство для защиты персональных и мобильных устройств, включающее в себя и механизмы контроля утечек (DLP), и управления мобильными устройствами (MDM), и локального шифрования, и контроля приложений на ПК, и надежного удаления данных. Детали сделки не разглашаются, но врядли сумма покупки велика - доход cynapspro...
Мнение АРБ на тему нового ФЗ-152
В январе я писал про открытие Консультационного центра АРБ по вопросам ФЗ-152 и СТО в контексте персданных. За это время КЦ выпустил 4 разъяснения по ключевым вопросам, возникающим у банков в разрезе применения СТО и ФЗ-152. И вот новое письмо - уже по поводу новой редакции ФЗ-152, подписанной президентом 25-го июля. Преамбула к письму следующая:
В настоящее время Банком России совместно с Роскомнадзором, ФСБ России, ФСТЭК России проводится работа:
по согласованию подходов к выполнению банковской системой РФ требований новой редакции ФЗ "О персональных...
7.12.11
Новая версия курса по персданным
Обновил курс по персданным (текущая версия 4.2). Последние изменения:
Развитие темы про коллекторские агентства
Статистика РКН по обращениям и проверкам (по состоянию на 31.10.2011)
Про 2-х новых регуляторов – Прокуратуру и УСТМ МВД
Про право проведения проверок ФСТЭК/ФСБ по новому ФЗ-152
ст.272 УК РФ как наказание по части ФЗ-152
Развитие темы о ближайших родственниках
Рассмотрение Web-сайта с точки зрения ИСПДн
О возможности получения согласия субъекта ПДн по телефону и через Интернет
Уничтожение ПДн
Получение ПДн не напрямую от субъекта
Сегментация...
6.12.11
Назначен орган, ответственный за электронную подпись
28-го ноября Правительство утвердило Постановление РФ от 28.11.2011 N 976 "О федеральном органе исполнительной власти, уполномоченном в сфере использования электронной подписи". Им назначен Минкомсвя...
Единая система идентификации и аутентификации России
28-го ноября было подписано Постановление Правительства № 977 "О федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме".
С 15-го апреля следующего года эта система должна заработать и каждый пользователь сайта госуслуг должен иметь собственный персональный идентификатор. Ждемс...
С точки зрения защиты этой системы...
5.12.11
Распоряжение Правительства от 24 ноября 2011 г. №2127-р
Путин подписал распоряжение "Об определении национального координирующего органа Российской Федерации в сфере обеспечения информационной безопасности в рамках Организации Договора о коллективной безопасности". Органом назначена Ф...
Защита информации в ТЭК вне регулирования?
В июле молодой Президент подписал закон "О безопасности объектов ТЭК", в котором была прописана необходимость защиты объектов топливно-энергетического комплекса от различного вида угроз, включая и информационную безопасность ТЭК. Согласно этому закону должны были появиться требования по обеспечению безопасности объектов топливно-энергетического комплекса и требования по антитеррористической защищенности объектов топливно-энергетического комплекса. И вот на сайте Минэкономразвития появился Проект постановления Правительства Российской Федерации...
Новое Постановление по лицензированию разработки СЗИ от ФСТЭК
На сайте Минэкономразвития размещен текст проекта Постановления Правительства Российской Федерации "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации", о котором я писал в октябре. Разработчик акта - ФСТЭК России. Регулирует оно как и предыдущее 532-е постановление деятельность ФСТЭК и ФСБ по разработке средств защиты конфиденциальной информации.
Все комментарии были уже раньше, когда проект выкладывался на сайте ФСТ...
2.12.11
За кого я пойду голосовать
В воскресенье у нас выборы. И хотя как поется в песне "выборы, выборы, кандидаты - ...", в этот раз я решил не игнорировать данное событие. Именно по этой причине я решил чуть ли не в первый раз изменить правилам этого блога и написать в будни не про безопасность. Пост в субботу будет бессмысленным; да и могут посчитать за предвыборную агитацию.
Верю ли я в честные выборы? НЕТ! Читая Интернет, я вижу какие попытки предпринимаются властью для того, чтобы получить свои проценты. Сделать с этим ничего нельзя ибо и ЦИК и суды кормятся у нас с руки...
1.12.11
Статьи 272-274 УК РФ претерпели изменения
Закончим неделю очередной порцией изменений в законодательстве. Совет Федерации одобрил законопроект № 559740-5 "О внесении изменений в Уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации (в части совершенствования законодательства Российской Федерации)", внесенный в июне этого года Президентом Медведевым. Про него говорили и писали много, но почти никто не упоминал изменения, коснувшиеся "наших" трех статей 28-й главы УК РФ.
Текст 272-й статьй (про неправомерный доступ к компьютерной информации) поменялся...
Подписаться на:
Сообщения (Atom)