tag:blogger.com,1999:blog-4065770693499115314.post4205922846976688204..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Последние изменения в законодательстве о персональных данных (презентация)Алексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger7125tag:blogger.com,1999:blog-4065770693499115314.post-11170068072521205292015-10-16T18:03:46.734+03:002015-10-16T18:03:46.734+03:00Ну я бы не назвал это трендом. Скорее один из вект...Ну я бы не назвал это трендом. Скорее один из векторов атакАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-1107720893651335102015-10-16T07:29:33.886+03:002015-10-16T07:29:33.886+03:00Хочется узнать ваше мнение по этому вопросу.Хочется узнать ваше мнение по этому вопросу.Anonymoushttps://www.blogger.com/profile/14553370206353370578noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-82017047676236429832015-10-16T07:28:47.633+03:002015-10-16T07:28:47.633+03:00Алексей Викторович, я был одним из слушателей конф...Алексей Викторович, я был одним из слушателей конференции Код ИБ в Самаре, и, к сожалению, не успел задать вопрос в первой секции, которую вы вели ("тренды и угрозы в сфере ИБ"). На мой скромный взгляд совсем не специалиста по безопасности, в ней был недостаточно освещен вопрос атак на сами средства обеспечения безопасности.<br />С точки зрения таргетированной атаки на организацию (особенно с помощью инсайдера) использование уязвимости,например, в средстве криптозащиты, выглядит весьма "вкусно", например<br />- Уязвимость в ESET, открытая специалистами Google: https://www.esetnod32.ru/company/press/center/eset-zakryla-uyazvimost-obnaruzhennuyu-google/<br />- Уязвимость в TrueCrypt (повышение привилегий и доступ к криптоконтейнеру для любого пользователя) http://habrahabr.ru/company/pt/blog/268087/<br />- MDM SAP Afaria, которая, судя по всему - одна большая уязвимость ("вшитые" ключи для симметричного шифрования паролей доступа к web-интерфейса, возможность стереть информацию с любого смартфона под контролем MDM, зная только его IMEI) http://habrahabr.ru/company/dsec/blog/267907/<br /><br />Ситуацию усугубляет то, что современные средства антивирусной- и криптозащиты - это достаточно большой объем кода, работающего в режиме ядра и в пользовательском пространстве с высокими привилегиями. При этом большой объем кода затрудняет его анализ на предмет непреднамеренных ошибок, кроме того, системные привилегии, с которыми работает код систем защиты, делает его "лакомым кусочком" для злоумышленников. <br /><br />Имеет место и инертность мышления пользователей - считается (но не подтверждено), что системы защиты безупречны с точки зрения собственной безопасности, не содержат уязвимостей и безопасны "по-умолчанию", потому что эти системы создают специалисты по безопасности. Тем не менее - цель существования любой компании, в том числе и создающей средства защиты информации - это получение прибыли, поэтому не исключено, что в некоторых случаях дешевизне разработки уделяется большее внимание, чем ее качеству.Anonymoushttps://www.blogger.com/profile/14553370206353370578noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-36517667123087121842015-10-10T16:19:10.986+03:002015-10-10T16:19:10.986+03:001. Да
2. Это мнение РКН, прозвучавшее на одном из ...1. Да<br />2. Это мнение РКН, прозвучавшее на одном из совещаний, где РКН был задан этот вопрос. Обоснование они не привели. Более того, они в любой момент могут от него отказаться.<br />3. На мой взгляд, не можетАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-88178047281130888002015-10-10T00:24:46.515+03:002015-10-10T00:24:46.515+03:00Вопросы возникли такие:
1. В проекте Постановлени...Вопросы возникли такие:<br /><br />1. В проекте Постановления Правительства "О контроле и надзоре..." исключается надзор за выполнением организационных и технических мер защиты, означает ли это, что при проверке в коммерческой организации по прежнему никто не будет проверять СЗПДн? <br /><br />2. Почему РКН не считает электронную почту ИСПДн, если в почтовом справочнике содержатся данные (фамилия, имя, подразделение, должность, номера корпоративных и личных телефонов и т.д.), совокупность которых они считают ПДн? Где высказывалось это мнение? Вопрос насущный, т.к. защита электронной почты с удаленным доступом в соответствии с требованиями ФСТЭК и ФСБ - это очень веселая тема.<br /><br />3. Может ли считаться сбором ПДн (и соответственно, нарушением 242-ФЗ) следующий сценарий: иностранная компания со своего сайта предоставляет работникам своей российской дочки доступ к своей системе и обязывает вносить в неё информацию, которая, в том числе может, содержать ПДн граждан РФ. Причем изначально вся эта информация собирается российской дочкой и хранится в БД на территории РФ? Anonymoushttps://www.blogger.com/profile/04650998401026020264noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-39747540181354534422015-10-09T19:50:22.367+03:002015-10-09T19:50:22.367+03:00Это при конвертации в PDF так получается :-(Это при конвертации в PDF так получается :-(Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-28209278732740626752015-10-09T11:39:08.026+03:002015-10-09T11:39:08.026+03:00Неудачный цвет для заголовков таблиц (бело-серый)Неудачный цвет для заголовков таблиц (бело-серый)Сергейhttps://www.blogger.com/profile/01568535309799474420noreply@blogger.com