среда, 27 ноября 2013 г.

RISSPA. ИБ 3.0. Семинар в Санкт-Петербурге.

В пятницу, 22 ноября, прошел первый семинар Петербургского отделения RISSPA, и я имел честь присутствовать на нем. Мария Сидорова, вице-президент RISSPA и руководитель отделения в Северной Столице, приложила много усилий, чтобы мероприятие прошло на должном высоком уровне. И надо сказать, что ей это удалось. Хороший выбор докладов и их разноплановость оставили, лично у меня, очень хорошее впечатление. Но обо всем по порядку:

После приветственного слова Марии первым с докладом выступил Александр Кузьмин, генеральный директор компании «Альтирикс системс». Александр достаточно интересно рассказал, "Как построить СУИБ в организации с территориально-распределенной инфраструктурой", об управлении рисками и о том, что с этим связано.
Далее за трибуной появился независимый эксперт по информационной безопасности Сергей Кубан. Доклад "Практический опыт специалиста по ИБ: от проблем взаимодействия служб ИТ и ИБ до проверок регуляторов" был очень информативен, местами зал даже не успевал уловить всё, что Сергей хотел рассказать. Он поделился опытом, накопленным за свою немалую профессиональную деятельность, обратил внимание на значимость грамотного построения взаимодействия служб ИТ и ИБ, на принцип Парето (80 на 20), в котором 80% отводится организационным мероприятиям и лишь 20% техническим.
Перед кофе-брейком Мария с немалой долей удовольствия наградила двух победителей конкурса, о котором было объявлено незадолго до мероприятия. Скажу честно, выбор одного из победителей стал для меня приятной неожиданностью. 
После перерыва слово взял Андрей Бешков, руководитель программы ИБ компании Microsoft в России. Свой доклад "Гибридные облака как средство защиты персональных данных" Андрей начал со слов:
"Все что я буду говорить желательно воспринимать со здоровой долей скептицизма, вам потом с этим жить"

Однако, Андрей по полочкам разложил все то, что мы знали про облака, но боялись спросить. Как лучше хранить персональные данные в облаках, как их категорировать, какие есть варианты организации доступа и многое другое. Он поделился опытом категорирования в Microsoft. И все это в приятном сумраке. Свет выключили, чтобы презентацию было лучше видно. Однако от выключения света стало только лучше, на мой взгляд. После Андрей ответил на вопросы, которых, кстати, к нему было больше, чем к остальным. По крайней мере, как показалось мне.
Затем Сергей Шустиков, генеральный директор компании Deiteriy, в своем докладе "Стандарт PCI DSS: изменения и нововведения в версии 3.0" выделил основные изменения в новой версии стандарта, рассказал пару случаев из жизни аудитора. Одной из основных мыслей доклада Сергея была, наверное, фраза 
"Безопасность перестает существовать тогда, когда ей перестают заниматься". 
И говорил Сергей о том, что достигнув какого-то результата, его нужно поддерживать, а не освобождать ресурсы и направлять их в другое русло.
Ну, и завершил серию докладов Евгений Родыгин, заместитель генерального директора по развитию компании «М-СТАНДАРТ холдинг», рассказав про "Заблуждения и стереотипы относительно анализа кода. Практическая демонстрация работы сканеров SAST & DAST". И особо приятно здесь то, что даже несмотря на технические сложности с подключением к проектору, слушатели семинара так уютно и по-домашнему собрались вокруг ноутбука, на котором Евгений демонстрировал работу сканеров. Как я уже писал в соцсетях, 
"На #RISSPA_SPb даже технические проблемы не проблема! Евгений Родыгин демонстрирует работу сканеров SAST и DAST в действии! Зал заинтересован работой процесса сертификации изнутри!"

На этом официальная часть была завершена, оставив очень хорошее впечатление. Благодарю организаторов и докладчиков! Также о семинаре написан информативный официальный пресс-релиз.



пятница, 22 ноября 2013 г.

McAffee:Подписанное вредоносное ПО. Чему Вы теперь верите?

Выдержка из блога McAffee, автор Doug McLean:
Одной из особенностей отчета McAfee Labs Threats Report, Third Quarter 2013 является то, что доля подписанного вредоносного ПО увеличилась почти на 50%, более чем на 1,5 миллиона новых сигнатур. Последствия этого являются весьма существенными как для как для практиков по информационной безопасности, так и для глобальной инфраструктуры доверия.

Новое вредоносное ПО с цифровой подписью

четверг, 21 ноября 2013 г.

SANS. Information Risks & Risk Management

Изучаю интересный документ: Information Risks & Risk Management от SANS.
Автором является John Wurzler. Документ достаточно интересный. И свежий, апрель 2013. Приведу вольный перевод резюме документа.

"В обзоре рассматриваются различные ситуации, с которыми компании сталкиваются, полагаясь на технологии двадцать первого века. Он охватывает информацию во всех ее формах и новые угрозы, которые подвергают эту информацию рискам. Классификация данных в категориях определяет  тип и степень риска. Исследуются типы процессов и средств контроля, которые организации могут использовать, чтобы минимизировать эти риски. Внутри каждого раздела, даны целевые рекомендации и советы, предназначенные для дальнейшего понимания. Наконец, в документе будут рассмотрены шаги, необходимые для реагирования, принятия решений, и восстановления в случае инцидентов. В качестве постскриптума, документ также охватывает формы страхования, которые могут помочь облегчить финансовое потери, часто связаны с этими событиями."

Хочу отметить, что это не документ типа "стандарт", а, скажем так, авторская выборка из множества документов. Вот эти документы и ресурсы:


Также в SANS Reading Room много другой полезной информации подобного рода. И RSS отдельно есть.

четверг, 14 ноября 2013 г.

Изменение политики конфиденциальности Google

После летних новостей о том, что Руслан Гаттаров "взялся" за интернет-компании с целью проверки условий обработки персональны данных тема немного затихла. Однако, на днях появилась новость о том, что Google изменила свою политику конфиденциальности.
Ради справедливости хочется заметить, что политика датирована 24 июня 2013 года (а предыдущая редакция 27 июля 2012)
Как пишет Российская Газета, передавая слова Руслана Гаттарова, "новая редакция политики конфиденциальности ограничивает передачу персональных данных третьим лицам рядом процедур, что полностью соответствует требованиям российского законодательства"

А что изменилось-то?
Ниже привожу изменения относительно политики 2012 года. Они затрагивают всего два раздела:
  • Прозрачность и возможность выбора.
  • Информация, которую Google предоставляет третьим лицам. Для обработки третьими сторонами по поручению Google.

И если изменения в первом упомянутом разделе малоинтересны и касаются, в основном, изменения формулировки непонятного Менеджера рекламных предпочтений, то изменения во втором разделе прямо касаются требований статьи 6 ФЗ "О персональных данных":
  1. В формулировке "Для обработки третьими сторонами" добавились слова "по поручению Google".
  2. Теперь Google не просто отправляет персональные данные, а предоставляет их.
  3. Предоставляет теперь не на обработку дочерним компаниям Google,  а также доверенныи лицам и партнерам по бизнесу, а аффилированным лицам Google и иным доверенным компаниям и лицам для обработки по поручению Google.
  4. Появились именно требования конфиденциальности ("должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке", п.3, ст.6 ФЗ "О персональных данных").
А вообще, последнее время Google частенько стал мелькать в новостях:
Недавно я уже писал про политику конфиденциальности Google, но с другой стороны.