Обработка ПДн россиян у иностранного работодателя и ФЗ-242

Принятие поправок в 242-ФЗ привело к огромному количеству непонятных пока ситуаций с обработкой ПДн в иностранных компаниях, имеющих в России свои представительства (хотя на представительства ФЗ-152 и не распространяется) и юридические лица. Одной из таких ситуаций, которая касается всех без исключения иностранцев, является обработка ПДн работников. Можно или нельзя передавать ПДн работников в штаб-квартиру, например, для хранения в центральной...

Подробнее…

Чем грозит российской ИБ лишение права голоса России в ПАСЕ?

Ничем, мог бы написать я и тем самым ответить на риторический вопрос, вынесенный в заголовок. Но ситуация не так проста, как кажется. Хотя и ее развитие может идти по нескольким сценариям. Вариант "ничего не изменится" я не рассматриваю - с ним и так все понятно. Гораздо более интересен другой вариант. Допустим, Россия, как уже грозила, выходит из Совета Европы. В этом случае она будет не обязана соблюдать общие правовые нормы и рекомендации,...

Подробнее…

Как защищать ГУПы и ФГУПы?

Вчерашний слайдкаст и комментарии к нему напомнили мне, что я забыл упомянуть такую часто всплывающую тему, как защита информации в государственным унитарных предприятиях (ГУПах), а также ФГУПах и МУПах. Специально для ответа на этот вопрос я подготовил коротенький слайдкаст, отвечающий на данный вопрос. Слайдкаст: Презентация: ЗЫ. Слайдкаст применим и к казенным предприятиям, являющимся по законодательству унитарным...

Подробнее…

Где установлены требования по защите госорганов? Триптих. Часть I

Затеял я тут слайдкаст на тему "Какие нормативные акты устанавливают требования по защите госорганов?" Тема возникла не на пустом месте - в последнее время регулярно слышу о том, что 17-й приказ распространяется не на все госорганы и не на все информационные системы в них, так как не каждая ИС госоргана - это государственная ИС (ГИС). Тема старая, но всплывающая с завидной регулярностью. Но раз не 17-й приказ, то что? Вот про это я и хотел сделать слайдкаст. Но начать надо с того, что такое ГИС и почему ряд госорганов и муниципальных учреждений...

Подробнее…

Как депутаты пошли против Президента

Пока депутаты рассматривают законопроект Правительства о штрафах в области ПДн (текст которого все-таки был внесен в Госдуму), а многие организации пытаются осмыслить, как же им теперь выполнять требования 242-ФЗ - исходя из позиции Администрации Президента или Минкомсвязи, я решил вспомнить другой документ, который я уже ранее упоминал. Речь идет о Стратегии национальной безопасности, которая постулирует простую мысль - Новый и Старый Свет для...

Подробнее…

Американцы унифицируют законодательство по персональным данным

Президент Обама сделал очередную попытку в части унификации законодательства по защите персональных данных, предложив Конгрессу рассмотреть законопроект  The Personal Data Notification & Protection Act. Это уже не первая попытка Обамы сделать это, но вероятнее всего сейчас она пройдет все препоны и будет принята Конгрессом, что наконец-то приведет к стандартизации в данном вопросе и повышении защищенности персональных данных американцев. По мнению экспертов это позволит стать США на один уровень с Канадой, Австралией и Европой (ближайшими...

Подробнее…

Как определить уровень защищенности ПДн?

Регулярно приходится слышать вопросы о том, как определить уровень защищенности ПДн? Казалось бы, все написано в ПП-1119, но нет, вопросы все равно остаются. Надо ли учитывать НДВ или нет? На каком уровне НДВ у нас могут быть? Чем угроза отличается от типа угроз? Почему классификация ИСПДн по классам К1-К4 больше невозможна? В принципе, ответы на все эти вопросы я уже давал в блоге. Но там они были разрозненны и не сведены воедино. А там, где были доступны презентации, не все могли из нее подчерпнуть, что я  конкретно имел ввиду. Поэтому...

Подробнее…

Проект требований по защите информации для организаторов торговли (бирж)

Как мы помним, Банк России активно регулирует вопросы защиты информации в Национальной платежной системе и основным документом в этой области (но не единственным) является положение 382-П. Однако данный документ, как это и описано в 27-й статье 161-ФЗ об НПС, распространяется только на тех, у кого в названии встречается термин "оператор" (оператор по переводу денежных средств, оператор платежной системы и оператор услуг платежной инфраструктуры) и на банковских платежных агентов и субагентов. Но НПС не ограничивается только ими. Например, у нас...

Подробнее…

Топ11 ИБ-прогнозов на 2015 год: резюме

Теперь попытаемся сравнить 3 блока прогнозов (российские, иностранные вендоры и иностранные эксперты/СМИ) вместе: Сразу отмечу, что на иллюстрации отмечены только ТОП прогнозов, которые набрали большинство "голосов". Общее же число прогнозов из 58 источника составило 144. И, конечно же, считать "наши" прогнозы адекватными не приходится - выборка не совсем репрезентативная :-( Абсолютная десятка (10-е и 11-е пункты списка из 144 прогнозов...

Подробнее…

ИБ-прогнозы на 2015 год от иностранных СМИ и экспертов

Финализиируем анализ ИБ-предсказаний на 2015-й год. На этот раз это будут "независимые" зарубежные издания, консультанты/эксперты и консалтинговые компании: Предсказания от SC Magazine Предсказания от Джона Олтcика для NetworkWorld Предсказания по мобильной ИБ от SecurityWeek  Предсказания от InfoSec Institute Предсказания от ThreatTrack Security Предсказания от USA Today Предсказания от TechRadar 4 позитивных предсказания от...

Подробнее…

Pulse Secure покупает Mobile Spaces

В июле 2014 года Juniper продал свои активы по мобильной безопасности фонду Siris Capital, который достаточно быстро создал на их основе компанию Pulse Secure (у пресс-релиза, правда, нет даты, что немного удивительно). И уже в октябре Pulse Secure сделала свое первое приобретение, которое тогда выпало из моего поля зрения. Pulse купил Mobile Spaces, которая делала виртуальные защищенные контейнеры для мобильных платформ, в которых и запускались приложени...

Подробнее…

Новогодний обывательский security checklist

Помятую о сапожнике без сапог и о том, что в новом году надо жить начинать по-новому, решил объединить эти два события и составил для себя список "безопасных" дел для себя любимого. Не могу сказать, что открыл Америку, но зато буду уверен, что защищенность моя повысилась :-) Итак, по порядку: Включить двухфакторную аутентификацию там, где это возможно и там, где я ее еще не включил (iCloud, Google, Facebook и т.п.). Учитывая прошлогодние утечки учетных записей и паролей к ним с популярных почтовых сервисов, будет явно не лишним. Проверить, и...

Подробнее…

Facebook покупает компанию, занимающуюся голосовой биометрией

Facebook на прошлой неделе объявил о приобретении компании wit.ai, занимающейся технологиями распознавания голоса. Деталей по сделке не сообщается. Точнее об этом сообщил не Facebook, а сама wit.ai. У Интернет-гигантов почему-то не принято сообщать о таких событиях. Так было с Google, купившей Divide и Zynamics. Кстати, по той же схеме Google купил в прошлом году SlickLogin, занимавшуюся звуковыми паролями, т.е. той же голосовой аутентификацией. Вообще, новые схемы аутентификации и, в частности, биометрическая аутентификация, - это тренд 2015-го...

Подробнее…

Основные ИБ-события за новогодние праздники

По традиции публикую ключевые события, произошедшие за новогодние праздники: Принятие поправок в части переноса срока вступления в силу закона "о запрете хранения ПДн россиян за границей". Президент подписал 31-го декабря закон 526-ФЗ на эту тему. Принятие поправок в 149-ФЗ в части запрета хостинга техсредств государственных информационных систем за рубежом. Президент подписал 31-го декабря закон 531-ФЗ на эту тему. В этом законе стоит обратить...

Подробнее…