tag:blogger.com,1999:blog-38629767098161721042024-03-13T11:17:25.750+03:00Безопасность и то, что рядомЛюбая система, зависящая от человеческой надежности, ненадежна. (Второй закон Джилба)Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.comBlogger42125tag:blogger.com,1999:blog-3862976709816172104.post-69469116450534115942014-12-01T07:39:00.002+03:002014-12-01T07:43:05.244+03:00Кейс-чемпионат поИБэ<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
В субботу посетил первый в России кейс-чемпионат по информационной безопасности, проведенный университетом ИТМО с очень активной поддержкой сообщества RISC. Проходил чемпионат, как и многие мероприятия подобного рода, в два этапа: первый - заочный, во время которого команды выполняли задания удаленно, а второй очный, где команды в течении часа решали составленный практиками-экспертами поИБэ кейс. </div>
<div style="text-align: justify;">
Фишка чемпионата в том (что, собственно, мне и понравилось), что речь именно о СУИБ в общем, а не отдельных технических или организационных частях. Учитывая то, что финальный кейс касался, в том числе, и утечки информации, заветные буквы DLP я услышал лишь однажды. А вот "внедрение менеджмента по ISO 27001", "репутационные и финансовые риски", "расследование инцидентов" отправлялись в аудиторию с частотой падения звезд во время метеорного потока Персеиды.</div>
<div style="text-align: justify;">
Студенты с неподдельным интересом рассказывали, что нужно организовать взаимодействие со СМИ, создавать комиссию и расследовать инцидент, получить лицензии ФСТЭК и ФСБ, провести инструктаж персонала и много чего еще. В общем, молодцы ребята. Эти студенты, как правильно сказал Алексей Митюшов из "Аэроэкспресса", наши будущие коллеги. И показать им с самого начала учебы, что то, чему учат в ВУЗах сейчас - это не всегда похоже на реальность, было очень важно и нужно. А в случае с кейсами им пришлось активно изучить тему и подготовиться. Взамен они получили опыт общение с практикующими CISO, узнали про ведущих экспертов области, а с некоторыми даже пообщались. </div>
<div style="text-align: justify;">
А я бы с удовольствием посмотрел на студентов в аудитории, которые после подобных мероприятий на лекциях по будут выдавать:</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<i>- Как пишет Евгений Родыгин, лучше одновременно использовать два статических анализатора исходных кодов от разных производителей.</i></div>
<div style="text-align: justify;">
<i><br /></i></div>
<div style="text-align: justify;">
<i>- По словам Алексея Лукацкого, внутренний маркетинг в ИБ - это необходимость, а не блажь и в будущем ИБ будет неотъемлемой частью бизнеса.</i></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
А на слова лектора "Кто такой Алексей Лукацкий?" студенты молча покидают забитую потоковую аудиторию =)</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Было здорово, интересно! Спасибо Марии Сидоровой и Евгению Родыгину. Больше информации у <a href="http://www.risc.today/" target="_blank">RISC</a>'а</div>
</div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com1tag:blogger.com,1999:blog-3862976709816172104.post-87131121969171892972014-10-01T07:44:00.001+04:002014-10-01T07:44:49.575+04:00Классификация информации. Начало.<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgzWxJ683Tgdl3n0T48t4rz2FhTnJbRE2Yt7vIQEA5s0PfZWSHSVvg_hvT41uwhqyNDPELNTlkVG8Ji6FjDHn_W4hHMtQSNWoOKdXthMxGEcyMcgRWVPh6t8y-v80SYqWwnn9ZzRpxjKck/s1600/3d+man+(25).jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgzWxJ683Tgdl3n0T48t4rz2FhTnJbRE2Yt7vIQEA5s0PfZWSHSVvg_hvT41uwhqyNDPELNTlkVG8Ji6FjDHn_W4hHMtQSNWoOKdXthMxGEcyMcgRWVPh6t8y-v80SYqWwnn9ZzRpxjKck/s1600/3d+man+(25).jpg" height="150" width="200" /></a></div>
<div style="text-align: justify;">
Тема классификации обсуждалась уже не раз. Кстати, термины: классификация информации или ее категоризация? На самом деле, разница, мне кажется, не велика. Классы и подклассы или категории и подкатегории, не важно. Суть в том, что ранее находящаяся в беспорядочном состоянии информация должна принять предопределенную структуру.</div>
<div style="text-align: justify;">
Итак, согласно законодательству РФ схема классификации имеет следующий вид (так называемая классификация по видам доступа):</div>
<div style="text-align: justify;">
1. 149-ФЗ "Об информации, информационных технологиях и о защите информации" выделяет <b>общедоступную информация</b> и <b>информацию ограниченного доступа</b> (или информацию, доступ к которой ограничен федеральными законами).</div>
<div style="text-align: justify;">
2.1. Общедоступная информация, в свою очередь, делится на <b>информацию, доступ к которой не может быть ограничен</b> и <b>общеизвестные сведения </b>и<b> иную информацию, доступ к которой не ограничен.</b></div>
<div style="text-align: justify;">
2.2. Информация ограниченного доступа имеет общеизвестную классификацию по видам тайн: <b>государственная тайна, коммерческая тайна, персональные данные, служебная тайна и т.д</b>. Вообще, <a href="http://lukatsky.blogspot.ru/2009/09/blog-post_03.html" target="_blank">Алексей Лукацкий выделяет 65 видов тайн</a>, <a href="http://80na20.blogspot.ru/2014/01/blog-post_28.html" target="_blank">Андрей Прозоров 17</a>,<a href="http://aguryanov.blogspot.ru/2013/02/sec-info-classification.html" target="_blank"> Игорь Агурьянов 23</a>, <a href="http://infowatch.livejournal.com/55585.html" target="_blank">Николай Федотов 16</a>.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Таким образом можно достаточно точно понимать, что относится к конфиденциальной информации в организации и к какому типу. Будь то персональные данные, сведения об изобретениях, ценах поставщиков, договорах и прочем. Однако классифицируется только конфиденциальная информация. Общедоступная информация не имеет подобной системы. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Согласно же NIST SP 800-60 "Guide for Mapping Types of Information and Information Systems to Security Categories", сначала происходит классификация информации по типам, а лишь после этого принимается решение о конфиденциальности информации, относящейся к тому или иному типу. При чем у применения данного метода классификации есть ряд плюсов. Вот некоторые из них:</div>
<div style="text-align: justify;">
</div>
<ol>
<li style="text-align: justify;">Масштабируемость схемы.</li>
<li style="text-align: justify;">Стандарт может быть использован как для классификации информации, так и для классификации информационных систем.</li>
<li style="text-align: justify;">Выделяет два основных типа информации в организации: Mission–based Information и Management and Support Information. Т.е. информация, касающаяся целей организации (миссии, предназначения, кому как нравится) и информация касательно процессов, поддерживающих ее жизнедеятельность.</li>
<li style="text-align: justify;">Схожесть подходов ФСТЭК в приказах 17/21/31 и NIST SP 800-53 позволяет рассматривать NIST SP 800-60 как дополнение к приказам.</li>
</ol>
<div style="text-align: justify;">
<br /></div>
</div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-24158331808513316882014-09-04T22:36:00.001+04:002014-09-04T22:37:30.982+04:00Праздник к нам приходит. TimmuS SIB<div dir="ltr" style="text-align: left;" trbidi="on">
"Мы строили, строили и наконец построили..."<br />
<div style="text-align: justify;">
О чем это я. Последнее время я несколько отошел от блога, что грустно, по крайней мере для меня. Но есть два повода вновь написать пост-другой. Первый - это новые силы после отпуска. А второй... Второй повод и станет темой первого поста после долгого перерыва. </div>
<div style="text-align: justify;">
Итак, к нам приближается <a href="http://bis-expert.ru/bis-summit" target="_blank">BIS Summit’2014</a>. Многие знают, что это преобразившаяся и расширившая круг охватываемых вопросов безопасности DLP-Russia. О преображении было сказано на прошлой конференции (<a href="http://ryndinvs.blogspot.ru/2013/10/dlp-russia-2013.html" target="_blank">я писал об этом</a>), но полностью в новом формате она проходит в первый раз. А это событие знаковое. Так что все запасаемся билетами в Москву и 19 сентября в Холидей Инн Сокольники с утра и до вечера узнаем много нового и интересного. Или старого, но под новым соусом. Позволю себе немного копипаста от организаторов, ибо у них информации всяко больше, чем у меня.</div>
<div style="text-align: justify;">
Итак, ключевые темы BIS Summit’2014:</div>
<div style="text-align: justify;">
</div>
<ul style="text-align: justify;">
<li>готовность ИБ к новым рискам, мировые рынки, тенденции;</li>
<li>борьба с финансовыми потерями как приоритет бизнеса в период стагнации и кризиса;</li>
<li>целенаправленные атаки: сценарии взлома и варианты защиты;</li>
<li>переход от DLP-практик к DLP-культуре;</li>
<li>юридические практики ИБ.</li>
</ul>
<div style="text-align: justify;">
Также не обойдется и без Демо-зоны, имевшей большой успех в прошлом году.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Из <strike>заморских купцов</strike> международных экспертов выступят: </div>
<ul style="text-align: justify;">
<li>Фаяз Хаки (Fayaz Khaki), заместитель руководителя IDC по направлению European Information Security.</li>
<li>Троэльс Эртинг (Troels Oerting), заместитель руководителя Европола, глава Европейского центра по борьбе с киберпреступностью.</li>
</ul>
<div style="text-align: justify;">
В общем, рискну предположить, что будет интересно. А чтобы вспомнить, как интересно было на прошлой конференции, предлагаю заглянуть в прошлое:</div>
<div style="text-align: justify;">
</div>
<ul style="text-align: justify;">
<li>Алексей Лукацкий. <a href="http://lukatsky.blogspot.ru/2013/09/dlp-russia-2013.html" target="_blank">Моя презентация с DLP Russia 2013</a></li>
<li>Андрей Прозоров. <a href="http://80na20.blogspot.ru/2013/09/dlp-russia.html" target="_blank">Моя презентация с DLP-Russia. Стандарты и «лучшие практики» в ИБ</a></li>
<li>Алексей Волков. <a href="http://anvolkov.blogspot.ru/2013/09/happy-violence.html" target="_blank">Дээлпэ в Раше: happy violence</a> </li>
</ul>
</div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-66602789818913258922014-04-18T07:22:00.002+04:002014-04-18T07:22:16.752+04:00ИСПДн "Система Предотвращения Утечек Информации"<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhp8bOkvTTUSkgvtV8h8gQPzclSG8bQx5_JiocY1pFwevWp3gCcgrJql8-mUZ67-9hAT0_MdEHw9ZsD0wxaawssyjBWV5uobFPIOTZfOIeWKeRSxgqjWbKK9ThbXjpgkQC2az-bhvI8LuQ/s1600/634.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhp8bOkvTTUSkgvtV8h8gQPzclSG8bQx5_JiocY1pFwevWp3gCcgrJql8-mUZ67-9hAT0_MdEHw9ZsD0wxaawssyjBWV5uobFPIOTZfOIeWKeRSxgqjWbKK9ThbXjpgkQC2az-bhvI8LuQ/s1600/634.jpg" height="130" width="200" /></a></div>
В одном из своих прошлых постов я написал, что являюсь сторонником открытости систем DLP. Можно явно не указывать, что за система, однако рассказать о ней своим сотрудникам и сказать, для каких благих целей это делается, на мой взгляд, нужно. </div>
<div style="text-align: justify;">
И на этом фоне возникает еще один интересный нюанс. Что мы расскажем сотрудникам?</div>
<ol style="text-align: left;">
<li>Что есть такая умная система.</li>
<li>Что она в автоматическом режиме собирает и хранит информацию.</li>
<li>Что она на своем уровне ее анализирует.</li>
<li>Что сотрудник может иметь к ней доступ.</li>
</ol>
Больше всего здесь интересен пункт 2, и вот почему:<br />
<div style="text-align: left;">
<i style="text-align: justify;">Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. </i></div>
<div style="text-align: right;">
<i>(ФЗ "О персональных данных")</i></div>
<br />
<div style="text-align: justify;">
Могут ли в системе DLP быть персональные данные? Могут! Ведь используем мы ее, в том числе, для защиты таких данных. Значит система DLP может являться ИСПДн. И тогда необходимо соблюсти все законодательные требования относительно такой ИСПДн, однако в силу специфики систем DLP необходимо учитывать некоторые нюансы:</div>
<br />
<div style="text-align: justify;">
1. В первую очередь необходимо понять, обрабатываются ли в системе DLP персональные данные. Скорее всего, да. </div>
<div style="text-align: justify;">
<i>Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая <u>сбор</u>, запись, систематизацию, накопление, <u>хранение</u>, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных </i></div>
<div style="text-align: right;">
<i>(ФЗ "О персональных данных")</i></div>
<br />
<div style="text-align: justify;">
2. В DLP-системе могут находится как данные сотрудников, по которым мы их в последующем можем идентифицировать при расследовании инцидентов, так и прочие данные сотрудников и данные клиентов. Следовательно, нужно провести категоризацию информации, которую мы защищаем от утечек с помощью DLP. Я бы в этом случае не упирался рогом только в "ПДн клиентов" и "ПДн сотрудников", а взглянул на эти две категории шире и глубже.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
3. В DLP-системе могут находиться все четыре категории ПДн (которые определены в ФЗ-152 и ПП 1119), так как в большинстве случаев DLP защищает всё и вся. Однако, если мы защищаем с помощью DLP базу СКУД и если в ней есть фотографии сотрудников - биометрические персональные данные -, то в DLP они уже не будут таковыми, так как они не будут использоваться для идентификации субъекта. Таким образом, при определении категорий персональных данных не нужно руководствоваться простым суммированием.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
4. Если мы все-таки решаем обозначать такую ИСПДн, то в согласии на обработку персональных данных в целях обработки нужно указать что-то вроде "<i>Предотвращение утечек информации</i>". И это будет как у клиентов, так и у сотрудников.</div>
<br />
Это только основные, на мой взгляд, и выделяющиеся моменты, которые дают повод задуматься, является ли ваша DLP-система ИСПДн и сделать первые выводы. Остальное может варьироваться от случая к случаю (от DLP к DLP ;) )<br />
<br />
Также интересно: <a href="http://ryndinvs.blogspot.ru/2014/04/dlp.html" target="_blank">DLP. Спрятать или показать?</a></div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-50623559849356830772014-04-16T00:30:00.002+04:002014-04-16T00:37:28.480+04:00Сроки реагирования и ответов в ФЗ "О персональных данных"<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
В 20 и 21 статьях ФЗ "О персональных данных" указаны четкие сроки, которые должны быть соблюдены оператором в случаях обращения к нему субъекта персональных данных, а также в случаях выявления нарушений законодательства при обработке персональных данных.</div>
<div style="text-align: justify;">
Свел все в одну таблицу для наглядности.</div>
<div style="text-align: justify;">
<br /></div>
<table border="0" cellpadding="2" cellspacing="0" style="border-left: solid 1px #000000; border-top: solid 1px #000000;">
<tbody>
<tr bgcolor="D9E1F2">
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Статья, часть</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;"><div style="text-align: center;">
Ситуация</div>
</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;"><div style="text-align: center;">
Действие</div>
</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;"><div style="text-align: center;">
Срок</div>
</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;"><div style="text-align: center;">
Уведомление</div>
</td>
</tr>
<tr bgcolor="FFF2CC">
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">ст.20 ч.1</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Обращение субъекта или его представителя с требованием предоставить сведения, касающиеся обработки его ПДн</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Предоставление сведений, касающихся обработки ПДн субъекта (ст.14, ч.7)</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">При обращении или в срок до 30 календарных дней с момента обращения или получения запроса</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;"></td>
</tr>
<tr bgcolor="FFF9E7">
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">ст.20 ч.2</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Обращение субъекта или его представителя с требованием предоставить сведения, касающиеся обработки его ПДн</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Мотивированный отказ с указанием положения, предусмотренного ч.8 ст.14.</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">При обращении или в срок до 30 календарных дней с момента обращения или получения запроса</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;"></td>
</tr>
<tr bgcolor="FFF2CC">
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">ст.20 ч.3</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Предоставление субъектом сведений, подтверждающих неточность, неполноту или неактуальность ПДн</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Внесение изменений в персональные данные (актуализация).</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">7 рабочих дней с момента предоставления сведений</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">О внесенных изменениях</td>
</tr>
<tr bgcolor="FFF9E7">
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">ст.20 ч.3</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Предоставление субъектом сведений, что данные получены незаконно или не соответствуют заявленным целям обработки</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Уничтожение персональных данных</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">7 рабочих дней с момента предоставления сведений</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Об уничтожении (явно не указано)</td>
</tr>
<tr bgcolor="FFF2CC">
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">ст.20 ч.4</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Обращение уполномоченного органа по защите прав субъектов ПДн (Роскомнадзор)</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Предоставление Роскомнадзору необходимой информации</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">30 календарных дней с даты получения запроса</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;"></td>
</tr>
<tr bgcolor="FFF9E7">
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">ст.21 ч.1</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Выявление неправомерной обработки (в результате обращения субъекта, его представителя или уполномоченного органа) </td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">блокирование неправомерно обрабатываемых ПДн или обеспечение блокирования (в случае обработчика)</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">с момента обращения или получения запроса (ст 14. ч.1) на период проверки</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;"></td>
</tr>
<tr bgcolor="FFF2CC">
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">ст.21 ч.1</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Выявление неточных ПДн (в результате обращение субъекта, его представителя или уполномоченного органа) </td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">блокирование неточных ПДн или обеспечение блокирования (в случае обработчика)</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">с момента обращения или получения запроса (ст 14. ч.1) на период проверки</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;"></td>
</tr>
<tr bgcolor="FFF9E7">
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">ст.21 ч.2</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Подтверждение факта неточных ПДн</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">уточнить данные (или обеспечить их уточнение) и снять блокирование</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">7 рабочих дней со дня предоставления</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">О внесенных изменениях (ст.20 ч.3)</td>
</tr>
<tr bgcolor="FFF2CC">
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">ст.21 ч.3</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Выявление факта неправомерной обработки ПДн</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">прекращение неправомерной обработки</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">3 рабочих дня</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Об устранении нарушений</td>
</tr>
<tr bgcolor="FFF9E7">
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">ст.21 ч.3</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Невозможность обеспечения правомерности обработки</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">уничтожение персональных данных *</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">10 рабочих дней с даты выявления неправомерной обработки</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Об уничтожении ПДн</td>
</tr>
<tr bgcolor="FFF2CC">
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">ст.21 ч.4</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Достижение цели обработки ПДн</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">уничтожение персональных данных * **</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">30 календарных дней с момента достижения цели</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;"></td>
</tr>
<tr bgcolor="FFF9E7">
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">ст.21. ч.5</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Отзыв субъектом согласия на обработку ПДн и если сохранение ПДн не требуется для целей обработки</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">Прекращение обработки и уничтожение ПДн * **</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;">30 календарных дней с даты поступления отзыва согласия</td>
<td style="border-bottom: solid 1px #000000; border-right: solid 1px #000000;"></td>
</tr>
</tbody></table>
<br />
<div style="text-align: justify;">
<span style="font-size: x-small;">* в случае отсутствия возможности уничтожения персональных данных в течение указанных сроков, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.</span></div>
<div style="text-align: justify;">
<span style="font-size: x-small;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-size: x-small;">** если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ "О персональных данных" или другими федеральными законами.</span></div>
<br /></div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-71309431953013404412014-04-10T11:02:00.000+04:002014-04-10T11:02:01.239+04:00DLP. Спрятать или показать?<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjDf2GGgTwN9HLk2v2PFGJn5dU7RbuVDl52kTlzWbdbBqfVSJXX5hWngpdDaxOXS0GUUmuU8Np4twkiAqeb95vi2l_EJ2BfdJZ7qiPYE9VjWcKDMxnAULWKW3cWwAeEHJs_7gmX43j5xn0/s1600/3d+man+(15).jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjDf2GGgTwN9HLk2v2PFGJn5dU7RbuVDl52kTlzWbdbBqfVSJXX5hWngpdDaxOXS0GUUmuU8Np4twkiAqeb95vi2l_EJ2BfdJZ7qiPYE9VjWcKDMxnAULWKW3cWwAeEHJs_7gmX43j5xn0/s1600/3d+man+(15).jpg" height="200" width="200" /></a></div>
<div style="text-align: justify;">
Недавно на BIS-Expert'e своими <a href="http://bis-expert.ru/blog/6245/44146">размышлениями по поводу бюджетов в ИБ</a> поделился УЦ "Информзащита". И в этих размышлениях есть пункт, с которым я несогласен. И касается это использования систем DLP-систем в организации, предлагается держать это в секрете. И одним из аргументов является то, что если сотрудник будет знать, что в организации есть DLP-система, он будет искать пути обхода. Моя позиция относительно использования DLP-систем в организации , а именно в их сокрытии от сотрудников, обратна. И на этот счет у есть несколько аргументов:</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
1. Если мы скрываем то, что применяем DLP-систему для контроля утечек, то организация должна понимать, что есть высокая вероятность нарушения конституционных прав человека (а сотрудники у нас в первую очередь люди), предоставленных им 23 статьей. Ведь контролируя свою информацию, мы можем наткнуться и на личную информацию сотрудника, на его переписку. И здесь недостаточно закрытия внешних почтовых ресурсов. Сотрудник может вести личную переписку со служебной почты, даже если это запрещено внутренними положениями. Сотрудник нарушает внутреннее положение организации, возможно. Да, мы можем его депримировать или уволить. Но организация нарушает его конституционные права, и он может подать в суд. На мой взгляд, несоизмеримо. Для этих целей нужно предупредить сотрудника о том, что его личная информация может стать доступна лицам, указать, при каких условиях и взять на это его согласие. Главное здесь, не перегнуть палку и сказать, что организация это делает только в рамках защиты своей КТ и ни в коем случае ни в целях слежения за сотрудниками. И здесь сразу несколько profit'ов:</div>
<div style="text-align: justify;">
</div>
<ul>
<li>Мы действуем в рамках закона.</li>
<li>У сотрудника не будет лишнего желания поделиться интимными подробностями пятничного вечера с товарищем "снаружи" с рабочего места.</li>
<li>Сотрудник понимает, что к нему относятся с уважением и лояльность его относительно компании может возрастать.</li>
</ul>
<br />
<div style="text-align: justify;">
2. Открытость внедрения DLP-систем является драйвером для службы ИБ для более тщательной и грамотной ее настройки. Теперь сотрудник знает, что такая система есть и может предпринимать шаги к ее обходу. И, следовательно, службе ИБ нужно более грамотно настроить DLP-систему. А чем грамотнее она будет настроена, тем лучше для организации.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
3. Даже само название Data Loss(Leak) Prevention говорит о том, что основной задачей таких систем является предотвращение утечек. А немалая часть таких утечек совершается по банальной ошибке. Не даром во многих DLP-системах во всплывающих окнах при отправке документа, попадающего под политику ограничения, есть пункт "Я не знал, что это коммерческая тайна". Какие выводы можно сделать из этого?</div>
<div style="text-align: justify;">
</div>
<ul>
<li>Если сотрудник и правда не знал, он это укажет (результаты ответов падают АИБу и за сотрудником можно присмотреть более пристально, а вдруг и правда инсайдер). Если сотрудник знал, но попытался, он будет осторожней (опять таки, за ним можно присмотреть). Но в любом случае мы предотвратили утечку. Система достойно справилась со своей основной задачей.</li>
<li>В обратном случае если сотрудник отправит документ и такого окошка у него не будет, то вслучае, если сотрудник не инсайдер лояльность отношения к компании у него может упасть, так как может появиться ощущение "тотальной слежки". А организации это надо? И тем более, после нескольких инцидентов вся тайна о существовании DLP-системы в организации перестанет быть тайной, так как сарафанное радио никто не отменял. И здесь можно добавить еще и принцип испорченного телефона, когда из обыной DLP-системы и порядочного АИБа мы получим СОРМ и злого КГБшника (простите, если кого обидел).</li>
</ul>
<br />
<div style="text-align: justify;">
Итак, вывод прост. Использование DLP-системы не должно быть секретом для сотрудников. Ну, разве что на этапе тестирования и внедрения, чтобы готовящийся совершить злодеяние инсайдер не ускорился.</div>
<div style="text-align: justify;">
<br /></div>
</div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-43851933307985382652014-03-03T14:03:00.002+04:002014-03-03T14:58:00.345+04:00Семинар RISSPA. Особенности приготовления PCI DSS 3.0<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
В четверг, 27 февраля, я посетил семинар санкт-петербургского отделения RISSPA, посвященный <i>обеспечению безопасности данных индустрии платежных кар</i>т. И, несомненно, приятно, что второй семинар петербургского отделения прошел в такой же приятной и душевной обстановке, как и первый. Если первые доклады начинались со слов "Доброго утра, коллеги", то вторая половина докладов начиналась уже с "Здравствуйте, товарищи" и "Здравствуйте, друзья". Для моего приветственного слова, думаю, достаточно. Теперь нужно написать и про сам семинар, благо есть что. Итак.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Началось сие мероприятие с приветственного слова <i>Марии Сидоровой</i>, вице-президента RISSPA и руководителя петербургского отделения. Мария рассказала про историю возникновения, про проводимые мероприятия, про приближающийся день рождения петербургского отделения (а это будет в июне). Так же, как и первый, второй семинар не остался без сюрпризов, Мария анонсировала подарок за лучший вопрос. И подарок-то очень символичный - ковбойская шляпа. В общем, дала старт. Но до первого доклада был еще один приятный анонс. Ректор Академии Информационных Систем <i>Юрий Малинин</i> рассказал, что ведутся работы по разработке курса по безопасному программированию и курс этот разрабатывается также с учетом рекомендаций Банка России <i>"Обеспечение информационной безопасности банковской системы РФ. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем</i>". Доступным для слушателей данный курс станет, ориентировочно, во втором квартале этого года. Так что, кому интересно, обращайтесь в АИС. Вам с радостью ответят на вопросы.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Эстафету выступлений принял <i>Анатолий Скородумов</i>, начальник отдела ИБ ОАО "Банк Санкт-Петербург" и рассказал про то, как их банк готовился к оценке соответствия требованиям PCI DSS, с какими пришлось столкнуться трудностями. Доклад получился достаточно живым. Анатолий первым словом попросил зал именно о диалоге, а не о монологе. И слушатели с радостью поддержали это начинание. Далее прозвучала достаточно интересная фраза о том, что PCI DSS с доработками можно использовать в качестве политики ИБ организации. По ходу диалога стало ясно, что не любая организация, а та, которая в своей работе "завязана" на использование банковских карт и для которых это является большой частью основной деятельности.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
За Анатолием слово взял <i>Сергей Шустиков</i>, генеральный директор компании Deiteriy. Держал он это самое слово про особенности перехода с версии 2.0 на 3.0. Многое отражено в презентации, я приведу лишь несколько тезисов:</div>
<div style="text-align: justify;">
</div>
<ul>
<li>PCI DSS должен стать такой же привычкой, как мыть руки перед едой (Business as Usual). При любом действии, касающимся банковских карт, нужно помнить про PCI DSS.</li>
<li>В PCI SSC реагируют на обратную связь. Пишите.</li>
<li>С момента вступления в силу очередной версии стандарта PCI DSS предыдущая продолжает действовать еще год. </li>
</ul>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi70hlSknI9-MFeAfdZQDnazuF__TwQihdKC9KBxPSZsHZ4oiG-7EEh-4J3Nl3XKQ8VAo_IlEtXJgY-NDIF3Hy9TidDqFFuJiu_PxNxR5fqcS2C2wQcgw2xAisISBo_BjWx0kQXXJFgvDw/s1600/IMG_4313.JPG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi70hlSknI9-MFeAfdZQDnazuF__TwQihdKC9KBxPSZsHZ4oiG-7EEh-4J3Nl3XKQ8VAo_IlEtXJgY-NDIF3Hy9TidDqFFuJiu_PxNxR5fqcS2C2wQcgw2xAisISBo_BjWx0kQXXJFgvDw/s1600/IMG_4313.JPG" height="260" width="400" /></a></div>
<div style="text-align: justify;">
Также Сергей наглядно продемонстрировал, что для совершения покупки в интернете достаточно знать только номер карты и срок ее действия. И пример был показан не на маленьком магазинчике, а на amazon.com. Да, там есть еще поле для ввода имени и фамилии, но оно, по словам Сергея, не проверяется.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
После Сергея выступал <i>Никита Кислицин</i> из Group-IB. Он подробно разобрал черный рынок банковской информации, коснулся ситуации с Target, выделил основные пути хищения и использования информации. В общем, получился очень хороший технический доклад с элементами Awareness, что на мой взгляд, безусловно, правильно.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Далее всех ждал полноценный шведский стол. После же <i>Вячеслав Максимов</i> из компании "Андэк" провел интересную презентацию о взаимодействии с сервис-провайдерами в рамках соответствия PCI DSS. Из основного:</div>
<div style="text-align: justify;">
</div>
<ul>
<li>Напоминание о том, что PCI DSS применим везде, где присутствуют банковские карты.</li>
<li>Некоторые нюансы, на которые необходимо обратить внимание при передаче услуг по обслуживанию банковских карт. Например при заполнении Attestation of Compliance желательно максимально подробно расписывать свои процесссыы, если в итоге целью является именно безопасность, а не формальное соответствие требованиям. QSA-аудитор - ваш друг!</li>
<li>Пункт 12.9 PCI DSS 3.0, касающийся сервис-провайдеров, вступает в действие с 15 июля 2015.</li>
</ul>
<br />
<div style="text-align: justify;">
После Вячеслава <i>Алексей Бабенко</i> из компании "Информзащита" провел экскурс в этапы разработки ПО с учетом PCI DSS. Хочу отметить, что презентация, которая представлена здесь и презентация, которую видел зал, разные. Хотя больше не по содержанию, а по "формату". Мы смотрели презентацию, запущенную из exe-шника (прошу прощения, из исполняемого exe-файла). Однако, суть от этого не менялась. Опять-таки, была отмечена важная роль обучения сотрудников в процессе разработки ПО.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Далее <i>Константин Ян</i> из ЗАО "Смартфин" подробно расказал про mPoS-терминалы и про их преимущества перед привычными PoS, про особенности работы технологии и про перспективы развития. Сказать, что было интересно - не сказать ничего. И может настать момент, когда ситуация, в которой курьер, доставивший пиццу, предложит для оплаты не стандартный терминал, а обычный сотовый телефон с присоединенным к нему ридером, станет вполне ординарной.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
После <i>Дмитрий Свиридов</i> из компании KupiBilet.ru поведал о том, как "голому" стартапу пройти оценку соответствия PCI DSS. Доклад можно считать некоторым руководством, как делать надо, как не надо и на что обращать внимание если ваша компания только начинает плавание в большом океане бизнеса.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Завершающим был доклад <i>Андрея Дроздов</i>а из компании KPMG. Андрей рассказал про лучшие практики и стандарты, широко затронул COBIT и также акцентировал внимание на Awareness. Приводить отдельные тезисы не буду, лучше смотреть презентацию и воспринимать все единым целым. Скажу лишь, что доклад был действительно на высоте. </div>
<div style="text-align: justify;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg-bMd6e6WafJeTabXWiZxDhDEz1-oMcF-_hIEURVUVdFatUwS2NmtfEHgCl2rl_MKpDsnsHaZB5mOdOT4sEp8ZISVhePWb7fjZt3KVYs6xqCryh5HIKUP4_rIPeC4LpMlSet9MA4nKy7Q/s1600/IMG_4375.JPG" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg-bMd6e6WafJeTabXWiZxDhDEz1-oMcF-_hIEURVUVdFatUwS2NmtfEHgCl2rl_MKpDsnsHaZB5mOdOT4sEp8ZISVhePWb7fjZt3KVYs6xqCryh5HIKUP4_rIPeC4LpMlSet9MA4nKy7Q/s1600/IMG_4375.JPG" height="136" width="200" /></a></div>
<div style="text-align: justify;">
Как я уже говорил, перед началом семинара был анонсирован конкурс на лучший вопрос. И счастливым обладателем ковбойской шляпы стал <i>Андрей Инюшин</i> из Travel.ru (Oktogo group). Также отметили <i>Михаила Карпова</i> из Ленты и <i>Игоря Кнауфа</i> из Объединенных машиностроительных заводов. Им достались ежедневники от компании Deiteriy. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
После было закулисное общение, благодарности и прощания.</div>
<div style="text-align: justify;">
Я не стал выносить много цитат в пост, так как на протяжении всего мероприятия я писал самое интересное в твиттер. И, конечно, мои (и не только) твиты доступны по хэш-тегу <a href="https://twitter.com/hashtag/risspa_spb">#RISSPA_Spb</a> </div>
<div style="text-align: justify;">
Если говорить именно об организационной составляющей, то и здесь впечатления только положительные. В зале сидеть комфортно, спикеров было слышно отлично. Обед проходил в ресторане на том же этаже, на котором находился зал. Очередей я не заметил нигде, да и каких бы то ни было негативных высказываний. Как мог заметить я, все остались довольны. Насколько хорошо прошел семинар, также говорят и цитаты из Facebook:</div>
<blockquote class="tr_bq">
Питерской RISSPA повезло - вряд ли кто из профессиональных ассоциаций, в том числе международных, имеет такого charming руководителя.</blockquote>
<blockquote class="tr_bq">
Мария, Сергей <Шустиков> - большое спасибо за семинар. Все доклады были очень информативными и интересными. Жду новых мероприятий.</blockquote>
<div style="text-align: justify;">
Отдельно привожу презентации докладчиков:</div>
<div style="text-align: justify;">
</div>
<ul>
<li><span style="text-align: left;">Мария Сидорова. </span><a href="http://www.slideshare.net/RISSPA_SPb/risspa-s-pb-31814379" style="text-align: left;">RISSPA SPb: вчера, сегодня, завтра</a><span style="text-align: left;"> </span></li>
<li><span style="text-align: left;">Анатолий Скородумов. </span><a href="http://www.slideshare.net/RISSPA_SPb/pci-dss-31814362" style="text-align: left;">Трудный путь к соответствию требованиям PCI DSS (путевые заметки)</a><span style="text-align: left;"> </span></li>
<li><span style="text-align: left;">Сергей Шустиков. </span><a href="http://www.slideshare.net/RISSPA_SPb/pci-dss-20-30" style="text-align: left;">Стандарт PCI DSS: как перейти с версии 2.0 на 3.0</a><span style="text-align: left;"> </span></li>
<li><span style="text-align: left;">Вячеслав Максимов. </span><a href="http://www.slideshare.net/RISSPA_SPb/pci-dss-31814300" style="text-align: left;">Особенности взаимодействия организаций в рамках программы соответствия PCI DSS</a><span style="text-align: left;"> </span></li>
<li><span style="text-align: left;">Алексей Бабенко. </span><a href="http://www.slideshare.net/RISSPA_SPb/pci-dss-31814278" style="text-align: left;">Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда</a><span style="text-align: left;"> </span></li>
<li><span style="text-align: left;">Константин Ян. </span><a href="http://www.slideshare.net/RISSPA_SPb/mobile-point-of-sale" style="text-align: left;">Всесторонние аспекты защиты Mobile point of sale</a><span style="text-align: left;"> </span></li>
<li><span style="text-align: left;">Дмитрий Свиридов. </span><a href="http://www.slideshare.net/RISSPA_SPb/ss-31814224" style="text-align: left;">История одного стартапа</a><span style="text-align: left;"> </span></li>
<li><span style="text-align: left;">Андрей Дроздов. </span><a href="http://www.slideshare.net/RISSPA_SPb/ss-31814207" style="text-align: left;">Как одновременно соответствовать различным регуляторным требованиям и лучшим практикам в области ИБ и ИТ</a><span style="text-align: left;"> </span></li>
</ul>
</div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-82238235928735473192014-02-13T09:12:00.000+04:002014-02-13T09:12:31.064+04:00Awareness корпоративная и государственная<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
Бдительность и осведомленность сотрудника и гражданина в области информационной безопасности - важная часть его поведения в компании и обществе. Согласно данным из исследования Ponemon "<a href="https://www4.symantec.com/mktginfo/whitepaper/053013_GL_NA_WP_Ponemon-2013-Cost-of-a-Data-Breach-Report_daiNA_cta72382.pdf">2013 Cost of Data Breach Study: Global Analysis</a>", 35% "проблем" с данными происходит из-за ошибок пользователя. </div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJIyCqkG8FxQy6HHmO-HsdZfGSldbpP5o9S7eMcoCThMMDUDjv5s_L72umMU9yodUoo70JsvwdXI21e3tqbtmAYnh4soL-vfJ6aaRUryxj544UOE5Nm1h3QsI2QVTLXfa0_yKOPQCzv28/s1600/PonemonStats.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJIyCqkG8FxQy6HHmO-HsdZfGSldbpP5o9S7eMcoCThMMDUDjv5s_L72umMU9yodUoo70JsvwdXI21e3tqbtmAYnh4soL-vfJ6aaRUryxj544UOE5Nm1h3QsI2QVTLXfa0_yKOPQCzv28/s1600/PonemonStats.PNG" height="201" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: justify;">
<span style="text-align: left;">А ошибки - это незнание или невнимательность. И компания, и государство должны понимать, что инвестиции в подобные мероприятия, разработка и реализация планов обучения, программ по повышению осведомленности могут и будут давать результат в виде снижения количества неприятных ситуаций. Если проводить такие мероприятия в организации своими силами, то на мой взгляд это лучше делать по циклу PDCA. А цикличность выбирать, учитывая, в том числе, и текучку персонала. Ниже я привожу некоторые ресурсы и материалы, которые можно использовать в процессе.</span></div>
<div>
<div style="text-align: justify;">
<br /></div>
</div>
<div>
<div style="text-align: justify;">
1. <a href="http://www.securingthehuman.org/">SANS Securing The Human</a>.</div>
</div>
<div>
<div style="text-align: justify;">
Проект от SysAdmin, Audit, Networking, and Security Institute. Много различной информации по повышению осведомленности. Есть компьютерные курсы и тренинги. Из бесплатных материалов есть такие как <a href="http://www.securingthehuman.org/resources/newsletters/ouch/2014">Ежемесячник по информационной безопасности для пользователей OUCH</a>. Материалы выходят на многих языках. С июля 2012 года на русском. Вот, допустим, свежий февральский номер: <a href="http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201402_ru.pdf">Что такое вредоносные программы</a>. </div>
</div>
<div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
2. Проект компании LETA "<a href="http://tb.leta.ru/">Так безопасно!</a>". Здесь также доступны как базовые бесплатные материалы, так и платные дополнения. Вот, например, <a href="http://tb.leta.ru/image/1280_800/tb.leta.ru_greeting_card_1280x800.jpg">обои на рабочий стол</a>, призывающие к осторожности при получении сообщений от незнакомых отправителей. </div>
</div>
<div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
3. <a href="http://www.symantec.com/products-solutions/training/theme.jsp?themeid=ssap">Symantec Security Awareness Program</a>.</div>
<div style="text-align: justify;">
<br /></div>
</div>
<div>
<div style="text-align: justify;">
4. Памятка <a href="http://mvd.ru/mvd/structure1/Upravlenija/Upravlenie_K_MVD_Rossii/Pamjatka_Upravlenie_K_preduprezhdaet">"Управление «К» предупреждает"</a> от МВД России.</div>
<div style="text-align: justify;">
На самом деле, хоть я и привел памятку от МВД, но не будь я человеком, трудящимся в сфере информационной безопасности, то вряд ли увидел бы ее. А памятка действительно достойна внимания и ей уже более двух лет, если исходить из названия файла. Создается впечатление (надеюсь, обманчивое), что эта памятка была сделана для того, чтобы отчитаться: мол делаем, работаем с населением.</div>
</div>
<div>
<div>
<div style="text-align: justify;">
Кстати, у МВД России есть и другие проекты. Страница на сайте МВД <a href="http://mvd.ru/projects/">здесь</a>, а ниже пара памяток, аналогичных указанной выше. Есть и другие.</div>
<div style="text-align: justify;">
<a href="http://mvd.ru/upload/site1/oper_up/booklet_trafficing_web_1.pdf">Памятка "Осторожно! Торговля людьми"</a></div>
<div style="text-align: justify;">
<a href="http://mvd.ru/upload/site1/d8091be1473990ccb51053987edc1e5b.pdf">Памятка "Моя экономическая безопасность. Как не стать жертвой аферистов"</a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Что еще почитать:</div>
</div>
<div>
<div style="text-align: justify;">
<a href="http://ryndinvs.blogspot.ru/2013/05/blog-post_21.html">Повышение осведомленности пользователей как снижение рисков</a>. </div>
</div>
</div>
</div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-47242659988856505752014-02-05T10:17:00.002+04:002014-02-05T10:17:19.461+04:00SANS. Обновление 20 Critical Controls<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
Совсем недавно ФСТЭК собирала замечания и предложения к проекту Мер защиты информации в государственных информационных системах. Сейчас же за аналогичным действием замечен SysAdmin, Audit, Networking, and Security Institute. </div>
<div style="text-align: justify;">
Последние пару месяцев в SANS трудились и актуализировали известные многим<a href="http://www.sans.org/critical-security-controls/guidelines.php"> 20 Critical Controls</a>. Теперь этот труд доступен для предложений и замечаний.</div>
<br />
<blockquote class="tr_bq" style="text-align: justify;">
"<i>Now, we are reaching out to the broader community, asking them to review the panel's final 5.0 draft and provide feedback for any other changes that ought to be considered. The Controls are a valuable asset to increasing security and our goal is to continuously improve its relevance</i>"</blockquote>
<div style="text-align: right;">
Tony Sager, Director of Programs with the Council on CyberSecurity</div>
<br />
<div style="text-align: justify;">
<a href="http://www.counciloncybersecurity.org/attachments/article/45/CSCupdate-forPublicComment.pdf">The Critical Security Controls for Effective Cyber Defense 5.0. Draft</a> </div>
<div style="text-align: justify;">
Предложения необходимо отправлять на <a href="mailto:CriticalControls@CouncilOnCyberSecurity.org">CriticalControls@CouncilOnCyberSecurity.org</a>. Срок, до которого будут приниматься предложения, не указан. Однако SANS планирует представить результат на конференции RSA в конце февраля 2014.</div>
<br />
В дополнение можно почитать:<br />
<a href="http://ryndinvs.blogspot.ru/2013/12/sans-17-critical-controls.html">SANS. 17 Critical Controls</a><br />
<a href="http://ryndinvs.blogspot.ru/2013/12/symantec.html">Symantec. Основные характеристики инсайдеров.</a><br />
<br /></div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-23815397759230763382014-01-17T12:46:00.001+04:002014-01-17T12:48:05.809+04:00McAffee. Серия прогнозов угроз на 2014 год<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
Компания McAffee (хотя может правильнее уже говорить Intel Security) в конце 2013 года опубликовала отчет с прогнозами по развитию угроз на 2014 год. Позже в своем блоге, с 30 декабря по 17 января McAffee развернуто описала положения этого отчета в 11 постах. Их я и привожу.</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiy9sRQ1gs-N4KNNe55ssgC3f55IZAG6-ZqBwOy9ykcBepcY0RiFVFlX4yIFaj1B7F0jKf9r9Hh6jaxvH-29UM0yHJ0IoTytiRxq-L3FbfUDnPOA0KJWAeQSy75_tdi0widVTXx87mTMj8/s1600/2014ThreatPredictions.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiy9sRQ1gs-N4KNNe55ssgC3f55IZAG6-ZqBwOy9ykcBepcY0RiFVFlX4yIFaj1B7F0jKf9r9Hh6jaxvH-29UM0yHJ0IoTytiRxq-L3FbfUDnPOA0KJWAeQSy75_tdi0widVTXx87mTMj8/s1600/2014ThreatPredictions.jpg" height="448" width="640" /></a></div>
<div style="text-align: justify;">
<div style="text-align: left;">
<ul style="text-align: left;">
<li><div style="text-align: justify;">
<a href="http://blogs.mcafee.com/mcafee-labs/2014-threats-predictions-everyone-wants-a-piece-of-big-data"><b>Everyone Wants a Piece of Big Data</b></a></div>
<i style="text-align: justify;"><div style="text-align: justify;">
<i></i><br />
<div style="display: inline !important; text-align: left;">
<i><i>Многие организации сейчас внедряют аналитику Больших Данных, тратя на это миллионы долларов. Однако, в 2014 году и далее начнут проявляться первые попытки воздействия на Большие Данные со стороны.</i></i></div>
<i>
</i></div>
</i></li>
<li><a href="http://blogs.mcafee.com/mcafee-labs/2014-threats-predictions-social-media-changes-keep-users-off-balance" style="text-align: justify;"><b>Social Media Changes Keep Users Off Balance</b></a><br /><div style="text-align: left;">
<i style="text-align: justify;">Наиболее распространены три категории атак на социальные сети: кража данных, кража денег и угрозы сетевой идентификации и идентификации пользователя.</i></div>
</li>
<li><a href="http://blogs.mcafee.com/mcafee-labs/2014-threats-predictions-cloud-attacks-could-lead-to-data-loss" style="text-align: justify;"><b>Cloud Attacks Could Lead to Data Loss</b></a><br /><i style="text-align: justify;">В 2014 McAffee ожидает увидеть рост атак, направленных на облачные сервисы, такие как IaaS, PaaS, SaaS (Инфраструктура, Платформа и ПО как Услуга)</i></li>
<li><a href="http://blogs.mcafee.com/mcafee-labs/2014-threats-predictions-mobile-attackers-to-benefit-from-new-payment-methods" style="text-align: justify;"><b>Mobile Attackers to Benefit From New Payment Methods</b></a><br /><i style="text-align: justify;">На текущий момент существует множество возможностей платить за покупки через онлайн-сервисы оплаты. Множество вариантов оплаты дает все больше и больше возможностей для кражи средств.</i></li>
<li><a href="http://blogs.mcafee.com/mcafee-labs/2014-threats-predictions-software-defined-networking-promises-greater-control-while-increasing-security-risks" style="text-align: justify;"><b>Software Defined Networking Promises Greater Control While Increasing Security Risks</b></a><br /><i style="text-align: justify;">Сетевая защита сейчас в основном направлена на контроль плотносегментированных сетей. В этом случае решения SDN (Software-defined networking - Программно-конфигурируемая сеть) могут помочь в контроле и защите сложных виртуальных сетей в ЦОДах.</i></li>
<li><a href="http://blogs.mcafee.com/mcafee-labs/2014-threats-predictions-cybercrime-and-hacktivism-will-continue-to-grow" style="text-align: justify;"><b>Cybercrime and Hacktivism Will Continue to Grow</b></a><br /><i style="text-align: justify;">Угрозы будут предоставляться как услуги (кстати, в отчете Arbor Networks The Risk vs Cost of Enterprise DDoS Protection за 2012 год уже есть данные по стоимости аренды ботнетов). И отличать вредоносные услуги (такие, как уже упомянутая аренда ботнетов, заказ DDoS и аналогичные) будет сложнее, так как они будут скрываться среди вполне себе "добропорядочных" услуг.</i></li>
<li><a href="http://blogs.mcafee.com/mcafee-labs/2014-threats-predictions-the-internet-of-things-offers-handy-gadget-control-yet-could-unlock-more-than-we-expect" style="text-align: justify;"><b>The Internet of Things Offers Handy Gadget Control, Yet Could Unlock More Than We Expect</b></a><br /><i style="text-align: justify;">Получив доступ к технике, которая все чаще и чаще подключается к интернету (например, телевизор), злоумышленники могут получить доступ и к другим сетевым устройствам, таким, как телефоны, компьютеры и т.д</i><span style="text-align: justify;">. </span></li>
<li><a href="http://blogs.mcafee.com/mcafee-labs/2014-threats-predictions-advanced-threats-techniques-challenge-the-best-of-defenses" style="text-align: justify;"><b>Advanced Threats, Techniques Challenge the Best of Defenses</b></a><br /><div style="text-align: left;">
<i style="text-align: justify;">Злоумышленники используют различные варианты сокрытия угроз для управления сетевым трафиком таким образом, что сетевые средства защиты (FW, IPS, IDS и т.д.) не могут их определить</i><span style="text-align: justify;">.</span></div>
</li>
<li><a href="http://blogs.mcafee.com/mcafee-labs/2014-threats-predictions-network-and-host-attacks-will-again-target-adobe-and-microsoft-apps-java" style="text-align: justify;"><b>Network and Host Attacks Will Again Target Adobe and Microsoft Apps, Java</b></a><br /><i style="text-align: justify;">Исследование McAffee выделяет три основных вектора разработки вредоносного ПО. Они направлены на уязвимости нулевого дня и вновьразработанные методы атак на Internet Explorer, приложения компании Adobe (например, Adobe Reader и Adobe Flash Player) и Java. Также заметны векторы атак в сторону MS Office.</i></li>
<li><a href="http://blogs.mcafee.com/mcafee-labs/2014-threats-predictions-botnets-spam-explore-new-avenues-to-steal-data-money" style="text-align: justify;"><b>Botnets, Spam Explore New Avenues to Steal Data, Money</b></a><br /><i style="text-align: justify;">Окончание поддержки Windows XP делает ее целью для атак, в которых системы, использующие эту ОС, будут становиться частью ботнетов, что несет за собой целый спектр различных атак.</i></li>
<li><a href="http://blogs.mcafee.com/mcafee-labs/2014-threats-predictions-html5-exploit-kits-free-software-require-web-safeguards" style="text-align: justify;"><b>HTML5, Exploit Kits, ‘Free’ Software Require Web Safeguards</b></a><br /><i style="text-align: justify;">Появляется множество "бесплатных" приложений и услуг, призванных сделать нашу жизнь проще. Однако такие сервисы монетизируются, в лучшем, случае за счет рекламы. В других случаях разработчики крадут и продают информацию и статистику с устройств, вынуждают покупать другие вещи (как, например, в играх).</i></li>
<li><a href="http://blogs.mcafee.com/mcafee-labs/2014-threats-predictions-malware-to-take-advantage-of-hotspots-gaming-consoles" style="text-align: justify;"><b>Malware to Take Advantage of Hotspots, Gaming Consoles</b></a><br /><i style="text-align: justify;">Вновь появляется интерес к взлому сетевых устройств в небольших офисах и частных домах. В основном это роутеры и точки доступа и игровые консоли.</i></li>
</ul>
<span style="text-align: justify;">Также у Андрея Прозорова есть </span><a href="http://80na20.blogspot.ru/2014/01/security-predictions-2014.html" style="text-align: justify;">интересный пост</a><span style="text-align: justify;">, в котором он собрал большое количество прогнозов (в том числе и от McAffee) на 2014 год.</span></div>
</div>
<br /></div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-34598546858330599522014-01-16T17:36:00.000+04:002014-01-16T20:10:49.269+04:00Статистика по инсайдерским утечкам интеллектуальной собственности<div dir="ltr" style="text-align: left;" trbidi="on">
Количество исследуемых случаев: 103.<br />
Источник информации: CERT.<br />
<br />
Так как не для каждого случая известна полная информация, то в скобках я привожу количество случаев, при которых та или иная информация была доступна.<br />
<br />
<ul style="text-align: left;">
<li>Больше всего утечек интеллектуальной собственности в сфере информационных технологий (35%), далее следует банковская сфера (13%) (известно в 101 случае).</li>
<li>70% краж совершено на месте (известно в 78 случаях), остальные с использованием удаленного доступа.</li>
<li>Деловые партнеры составляют 17% источников утечки (известно в 98 случаях). </li>
<li>Уволенные сотрудники составляют 21% источников утечки (известно в 100 случаях).</li>
<li>Более, чем 30% краж были обнаружены нетехническими средствами, в то время, как менее 6% - программными.</li>
<li>В 48% случаев финансовый ущерб составил более $1 млн., а в 71% - более $100 тыс. (известно в 35 случаях).</li>
</ul>
<br />
В дополнение к этой информации:<br />
<a href="http://www.sei.cmu.edu/reports/13tn009.pdf">Spotlight On: Insider Theft of Intellectual Property Inside the United States Involving Foreign Governments or Organization</a>s (май 2013)<br />
<a href="http://resources.sei.cmu.edu/asset_files/SpecialReport/2012_003_001_28137.pdf">Insider Threat Study: Illicit Cyber Activity Involving Fraud in the U.S. Financial Services Sector</a> (июль 2012)<br />
<br />
<br />
<div>
<br /></div>
</div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-91477232027450757552013-12-27T15:12:00.003+04:002013-12-27T15:12:42.375+04:00Обзор отчета по инсадерам от ESG и Vormetric <div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
Нашел в сети еще один интересный отчет по инсайдерам от команий ESG и Vormetric: "<i>The Vormetric Insider Threat Report</i>". Отчет датирован октябрем этого (пока еще 2013го) года основан на опросе 707 ИТ-профессионалов, ответственных за информационную безопасность в своих организациях, объем доходов которых находится в пределах от менее, чем $250 млн. до более, чем $20 млрд. В опросе участвовали специалисты из разных отраслей и государственных сегментов.</div>
<div style="text-align: justify;">
Итак, пока сообщество безопасников зацикливается на защите от вредоносных программ, инсайдеры и связанные с ними атаки остаются проблемой для многих организаций:</div>
<div style="text-align: justify;">
</div>
<ul>
<li style="text-align: justify;">Инсайдерские угрозы продолжают представлять из себя проблему. Большая часть организаций верит, что эти угрозы становятся всё более сложными для выявления и предотвращения, и поэтому они до сих пор уязвимы для угроз такого типа. Но почему? Показатели ИТ (такие, как количество пользователей, устройств, сетевых пакетов и т.д.), облачные вычисления и вредоносные программы позволяют инсайдерам оставлять незамеченными свои действия, представляя их в виде обычной деятельности.</li>
<li style="text-align: justify;">Статус-кво в безопасности не является хорошей практикой. Компании продолжают вкладывать средства в защиту периметра, межсетевые экраны, IDS/IPS-системы, антивирусную защиту. Но эти средства защиты не подходят для защиты от инсайдеров и тех угроз, для которых уже имеется правомерный доступ к системам, опыт и понимание того, как можно легко обойти меры защиты и украсть важные данные, причинив при этом огромный ущерб.</li>
<li style="text-align: justify;">Передовые организации направили вектор своего движения в сторону стратегий безопасности данных. Данные ESG показывают, что организации, заботящиеся о безопасности, увеличивают свои инвестиции в технологии гранулированного доступа к данным, шифрование, управление инфраструктурой ключей и интеллектуальную защиту данных. Это и есть ведущие показатели движения рынка в будущем. </li>
</ul>
<br />
<div style="text-align: justify;">
Выдержка из отчета:</div>
<div style="text-align: justify;">
<i>Ниже приведен список потенциальных методов, используемых инсайдерами. Как вы считаете, насколько уязвима ваша организация </i><i>к каждому из них</i><i>?</i></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhEJshwx7CcArZ_PplvFfFyAJbujHCrUhwSiekChMTGzSyuPuKGQPrUzXl93lPjoodetIoTWCoALHa4cy1VuzN10dAYae5_v1W2UzGvj68GSfiLhGOpg5pT4p0-ipTHHfH3pR9GOXkBJRA/s1600/insider_methods_list.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="419" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhEJshwx7CcArZ_PplvFfFyAJbujHCrUhwSiekChMTGzSyuPuKGQPrUzXl93lPjoodetIoTWCoALHa4cy1VuzN10dAYae5_v1W2UzGvj68GSfiLhGOpg5pT4p0-ipTHHfH3pR9GOXkBJRA/s640/insider_methods_list.PNG" width="640" /></a></div>
<div style="text-align: justify;">
Как видно, в среднем половину ответов составляют ответы "Сильно уязвима" и "Отчасти уязвима", что является, на мой взгляд, важным показателем для того, чтобы начать всерьез рассматривать угрозы инсайда и защиты от них.</div>
<div style="text-align: justify;">
Сам отчет доступен <a href="http://enterprise-encryption.vormetric.com/ESG-Insider-Threat-WP.html">здесь</a>.</div>
</div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-57199188013300461932013-12-20T13:09:00.000+04:002013-12-20T14:09:41.791+04:00SANS. 17 Critical Controls<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
Сразу необходимо сказать, что речь идет не о достаточно широко известных <a href="http://www.sans.org/critical-security-controls/guidelines.php">SANS 20 Critical Security Controls</a>, а о описанных в документе <a href="http://ryndinvs.blogspot.ru/2013/11/sans-information-risks-risk-management.html">SANS. Information Risks & Risk Management</a>. </div>
<div style="text-align: justify;">
<div>
На самом деле, я бы назвал это чеклистом: утвердительный ответ на все вопросы может позволить говорить о надежности систем в разрезе информационной безопасности. От себя хочу заметить, что каждая из этих мер описана достаточно объемно. Понравилось обпределение политики ИБ, данное в раскрытии первого пункта:</div>
<blockquote class="tr_bq" style="text-align: left;">
<i>Политика информационной безопасности - письменное соглашение, построенное вокруг защищаемых информационных активов организации и направленное против случайного или преднамеренного раскрытия, модификации или уничтожения таких информационных активов.(Wurzler, 2004)</i></blockquote>
</div>
<div style="text-align: justify;">
<u>17 критических мер защиты</u></div>
<ol style="text-align: left;">
<li style="text-align: justify;">Введена ли у вас политика информационной безопасности? Понятна и соблюдается ли она всеми сотрудниками, подрядчиками и другими лицами или организациями, имеющими доступ к вашей конфиденциальной информации?</li>
<li style="text-align: justify;">Установлено ли антивирусное ПО на все системы?</li>
<li style="text-align: justify;">Соблюдаются ли правила обновления ПО, включающие, как минимум, еженедельный мониторинг новостей вендоров или автоматические уведомления о доступности обновлений безопасности? Тестируете и устанавливаете ли вы критические обновления безопасности, как только это становится возможным (но не позднее, чем в течении 30 дней после выхода)?</li>
<li style="text-align: justify;">Используются ли мобильные устройства, запрещенные устройства или программное обеспечение? Важен учет и управление такими активами.</li>
<li style="text-align: justify;">Надежно ли (в плане информационной безопасности) настроены файерволлы, информационные системы и системы безопасности?</li>
<li style="text-align: justify;">Тестируете ли вы свою систему безопасности (как минимум, ежегодно) для гарантированной эффективности технических средств защиты? Тестируете ли вы процедуры реагирования на инциденты (такие как взлом систем, вирусы, отказ в обслуживании)?</li>
<li style="text-align: justify;">Можете ли вы восстановить ваши системы, пострадавшие от утечек данных, повреждения или сбоя в сетях в течении 24 часов (для критичных систем и операций, от которых зависите вы или ваши заказчики и партнеры)?</li>
<li style="text-align: justify;">Все ли каналы удаленного доступа к внутренней сети защищены аутентификацией, шифруются и доступный из систем, которые защищены по меньшей мере так же, как ваша?</li>
<li style="text-align: justify;">Основано ли управление правами доступа на принципе минимальных привилегий? Аннулируете ли вы права доступа и привилегии после того, как они больше не требуются (но не позднее, чем через 24 часа после любых изменений в правах доступа)?</li>
<li style="text-align: justify;">Имеется ли у вас в организации квалифицированный персонал, занимающийся информационной безопасностью? Или занимаются ли управлением вашей информационной безопасностью организации, специализирующиеся на этом?</li>
<li style="text-align: justify;">Если вам нужно обойти или отключить контроль информационной безопасности ( например, во время чрезвычайных ситуаций или тестирования мер защиты), всегда ли для этого запрашивается подтверждение более, чем одного человека и всегда ли защитные меры активируются обратно тогда, как только это становится возможным?</li>
<li style="text-align: justify;">Всегда ли вы требуете от всех третьих лиц, которым вы доверяете свою конфиденциальную информацию, договор о защите такой информации, включающий гарантии использования защитных мер, по крайней мере эквивалентных мерам, принятых в вашей организации. Проводите ли вы аудит их соблюдения?</li>
<li style="text-align: justify;">Внедрены ли у вас процессы, позволяющие отслеживать и регистрировать действия лиц, которые имеют доступ или контролируют конфиденциальную информацию и время такого доступа или контроля (например, соглашение о контроле)?</li>
<li style="text-align: justify;">Храните ли вы конфиденциальную информацию не дольше, чем это необходимо; и если такая информация больше не требуется, уничтожается ли она при помощи технических средств, не позволяющих ее восстановить?</li>
<li style="text-align: justify;">Внедрены ли у вас технические меры защиты для предотвращения несанкционированного доступа к компьютерам, сетям и данным в вашей организации?</li>
<li style="text-align: justify;">Контролируете и отслеживаете ли вы все изменения в вашей сети, чтобы быть уверенным в том, что она надежно защищена?</li>
<li style="text-align: justify;">Участвует ли юридический отдел вашей организации в процессе проверки на соблюдение требованиям и установленным нормам регуляторов? </li>
</ol>
<div style="text-align: justify;">
Кстати, я отдельно уже приводил <a href="http://ryndinvs.blogspot.ru/2013/12/symantec.html">описание основных характеристик инсайдера</a> из этого же документа. А они, в свою очередь, заимствованы из отчета Symantec по инсайдерским рискам.</div>
<div style="text-align: justify;">
<br /></div>
</div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-81593481083037611452013-12-05T03:45:00.000+04:002013-12-05T03:45:33.999+04:00Symantec. Основные характеристики инсайдеров.<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
В документе <i>"Informarion Risks & Risk Management</i>" из библиотеки SANS, о котором я <a href="http://ryndinvs.blogspot.ru/2013/11/sans-information-risks-risk-management.html">уже говорил ранее</a>, есть интересная информация по инсайдерам. Взята эта информация из отчета Symantec <a href="https://www4.symantec.com/mktginfo/whitepaper/21220067_GA_WP_Malicious_Insider_12_11_dai81510_cta56681.pdf">Behavioral Risk Indicators of Malicious Insider Theft of Intellectual Property: Misreading the Writing on the Wall</a>. Ниже приведу данные из отчета, которые обозначены в SANS. Information Risks & Risk Management.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Symantec оценил угрозы кражи интеллектуальной собственности для компаний США в $250 млрд. в год и угрозы от преступлений в области информационной безопасности в $114 млрд. ежегодно. Позже, ФБР в своих отчетах подтвердило, что инсайдеры являются основным источником и инструментом конкурентов для кражи информации ограниченного доступа. Ниже изложены общие характеристики инсайдеров:</div>
<ul style="text-align: left;">
<li style="text-align: justify;"><i>Инсайдеры, ворующие интеллектуальную собственность, часто работают на технических должностях</i>. Основные кражи интеллектуальной собственности совершены работниками-мужчинами, в среднем 37 лет, обычно инженерами, исследователями, менеджерами или разработчиками. Большая часть из них подписывала соглашение об интеллектуальной собственности. Это показывает, что исключительно политика, без понимания ее персоналом и эффективного применения, неэффективна.</li>
<li style="text-align: justify;"><i>Обычно у инсайдера уже есть новая работа или предложение. </i>Около 65% сотрудников, решивших украсть интеллектуальную собственность, уже имеют реальные предложения работы в компаниях-конкурентах либо открыли свой бизнес на момент кражи. Около 20% были завербованы посторонними лицами, заинтересованными в данной информации, а порядка 25% отдали полученную информацию в иностранные компании или в другие страны.</li>
<li style="text-align: justify;"><i>Инсайдеры чаще всего воруют ту информацию, к которой имеют доступ. </i>Инсайдеры воруют информацию, которую они знают и часто считают, что имеют права на эту информацию. Как факт, 75% инсайдеров украли информацию, к которой имели доступ.</li>
<li style="text-align: justify;"><i>Коммерческая тайна - самый распространенный тип интеллектуальной собственности, воруемой инсайдерами.</i> Как правило, коммерческая тайна воруется в 52% случаев. Бизнес-информация, такая как биллинговые данные, прайс-листы и прочая административная информация воруется в 30% случаев, исходные коды в 20%, несвободное ПО в 14%, информация о клиентах в 12% и бизнес-планы в 6% случаев.</li>
<li style="text-align: justify;"><i>Инсайдеры используют технические средства, чтобы украсть информацию, но большинство краж обнаружены сотрудниками на нетехнических должностях.</i> В большинстве случаев (54%) для кражи используются электронная почта, возможности удаленного доступа и сетевые протоколы передачи данных.</li>
<li style="text-align: justify;"><i>Основные черты характера инсайдера способствуют увольнению и краже. </i>Общие проблемы проявляются до факта кражи и, вероятно, способствуют мотивации к ней. Это подтверждает роль индивидуальных психологических наклонностей, стрессовых событий и беспокойного поведения как показателей инсайдерских рисков.</li>
<li style="text-align: justify;"><i>Профессиональные неудачи могут ускорить принятие решения инсайдером украсть интеллектуальную собственность.</i> Ускорение наступает тогда, когда сотрудник устает "думать об этом" и решает действовать или склоняет к этому кого-то другого. Часто это происходит после осознания профессиональной неудачи или неоправдавшихся ожиданий.</li>
</ul>
<br />
<br />
<br /></div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-92038406932197133912013-11-27T00:06:00.000+04:002013-11-27T00:06:48.947+04:00RISSPA. ИБ 3.0. Семинар в Санкт-Петербурге.<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhiXMYGH4HBvTGFXAjSXN6DXHEbZIwiOcabDYxXdyH0slp3VD27kzaszpyXkuyofYYa2RfLBkIassr5Sa3DDxxCZUy4kF52mDBhDUwZR_Idnxtcwl1_WlEFBoorp-aygg4sC1AvN5gia7w/s1600/risspa_0.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhiXMYGH4HBvTGFXAjSXN6DXHEbZIwiOcabDYxXdyH0slp3VD27kzaszpyXkuyofYYa2RfLBkIassr5Sa3DDxxCZUy4kF52mDBhDUwZR_Idnxtcwl1_WlEFBoorp-aygg4sC1AvN5gia7w/s1600/risspa_0.png" /></a></div>
<div style="text-align: justify;">
В пятницу, 22 ноября, прошел первый семинар Петербургского отделения RISSPA, и я имел честь присутствовать на нем. <i>Мария Сидорова, вице-президент RISSPA и руководитель отделения в Северной Столице</i>, приложила много усилий, чтобы мероприятие прошло на должном высоком уровне. И надо сказать, что ей это удалось. Хороший выбор докладов и их разноплановость оставили, лично у меня, очень хорошее впечатление. Но обо всем по порядку:</div>
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjyouVwrLWRUcgAxpbAXHnzsyL2e_292bWLemiWxq3sL9BOlJiwrE9b2iv3gqKClJOMBCHsF-Gr_qbAGmTKIyj2k01RxfhdyWxpXJ8TODpOs3GMRHKzMWqLg5lY2wPA53XxllwTYMp8T1w/s1600/MS.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjyouVwrLWRUcgAxpbAXHnzsyL2e_292bWLemiWxq3sL9BOlJiwrE9b2iv3gqKClJOMBCHsF-Gr_qbAGmTKIyj2k01RxfhdyWxpXJ8TODpOs3GMRHKzMWqLg5lY2wPA53XxllwTYMp8T1w/s320/MS.jpg" width="320" /></a></div>
<br />
После приветственного слова Марии первым с докладом выступил <i>Александр Кузьмин, генеральный директор компании «Альтирикс системс»</i>. Александр достаточно интересно рассказал, "<a href="http://www.slideshare.net/RISSPA_SPb/ss-28647199">Как построить СУИБ в организации с территориально-распределенной инфраструктурой</a>", об управлении рисками и о том, что с этим связано.</div>
<div style="text-align: justify;">
Далее за трибуной появился <i>независимый эксперт по информационной безопасности Сергей Кубан</i>. Доклад "<a href="http://www.slideshare.net/RISSPA_SPb/ss-28631907">Практический опыт специалиста по ИБ: от проблем взаимодействия служб ИТ и ИБ до проверок регуляторов</a>" был очень информативен, местами зал даже не успевал уловить всё, что Сергей хотел рассказать. Он поделился опытом, накопленным за свою немалую профессиональную деятельность, обратил внимание на значимость грамотного построения взаимодействия служб ИТ и ИБ, на принцип Парето (80 на 20), в котором 80% отводится организационным мероприятиям и лишь 20% техническим.</div>
<div style="text-align: justify;">
Перед кофе-брейком Мария с немалой долей удовольствия наградила двух победителей конкурса, о котором было объявлено незадолго до мероприятия. Скажу честно, выбор одного из победителей стал для меня приятной неожиданностью. </div>
<div style="text-align: justify;">
После перерыва слово взял <i>Андрей Бешков, руководитель программы ИБ компании Microsoft в России.</i> Свой доклад "<a href="http://www.slideshare.net/RISSPA_SPb/ss-28647029">Гибридные облака как средство защиты персональных данных</a>" Андрей начал со слов:</div>
<blockquote class="tr_bq">
<i>"Все что я буду говорить желательно воспринимать со здоровой долей скептицизма, вам потом с этим жить</i>"</blockquote>
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjas2u7WveeUvwfTNlE4dvyQ_sT97OoGY-lF-B5JR5MzBI4rb8BpiVfosP34NruyB26QyKZrp6Q15kIdQP9KSvC4ezHSvbGQ5qgBYA8-607ly7ckwRT2bI8rChnBFFQmVCv2VA-GDgkcjQ/s1600/AB.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjas2u7WveeUvwfTNlE4dvyQ_sT97OoGY-lF-B5JR5MzBI4rb8BpiVfosP34NruyB26QyKZrp6Q15kIdQP9KSvC4ezHSvbGQ5qgBYA8-607ly7ckwRT2bI8rChnBFFQmVCv2VA-GDgkcjQ/s320/AB.jpg" width="320" /></a></div>
<br />
Однако, Андрей по полочкам разложил все то, что мы знали про облака, но боялись спросить. Как лучше хранить персональные данные в облаках, как их категорировать, какие есть варианты организации доступа и многое другое. Он поделился опытом категорирования в Microsoft. И все это в приятном сумраке. Свет выключили, чтобы презентацию было лучше видно. Однако от выключения света стало только лучше, на мой взгляд. После Андрей ответил на вопросы, которых, кстати, к нему было больше, чем к остальным. По крайней мере, как показалось мне.</div>
<div style="text-align: justify;">
Затем <i>Сергей Шустиков, генеральный директор компании Deiteriy</i>, в своем докладе "<a href="http://www.slideshare.net/RISSPA_SPb/c-pci-dss-28646930">Стандарт PCI DSS: изменения и нововведения в версии 3.0</a>" выделил основные изменения в новой версии стандарта, рассказал пару случаев из жизни аудитора. Одной из основных мыслей доклада Сергея была, наверное, фраза </div>
<blockquote class="tr_bq">
"<i>Безопасность перестает существовать тогда, когда ей перестают заниматься</i>". </blockquote>
<div style="text-align: justify;">
И говорил Сергей о том, что достигнув какого-то результата, его нужно поддерживать, а не освобождать ресурсы и направлять их в другое русло.</div>
<div style="text-align: justify;">
Ну, и завершил серию докладов <i>Евгений Родыгин, заместитель генерального директора по развитию компании «М-СТАНДАРТ холдинг<span style="background-color: white; font-family: Arial, Helvetica, Geneva, sans-serif; font-size: 13px; line-height: 17px; text-align: start;">»</span></i>, рассказав про "<a href="http://www.slideshare.net/RISSPA_SPb/ss-28631727">Заблуждения и стереотипы относительно анализа кода. Практическая демонстрация работы сканеров SAST & DAST</a>". И особо приятно здесь то, что даже несмотря на технические сложности с подключением к проектору, слушатели семинара так уютно и по-домашнему собрались вокруг ноутбука, на котором Евгений демонстрировал работу сканеров. Как я уже писал в соцсетях, </div>
<blockquote class="tr_bq">
"<i>На #RISSPA_SPb даже технические проблемы не проблема! Евгений Родыгин демонстрирует работу сканеров SAST и DAST в действии! Зал заинтересован работой процесса сертификации изнутри!</i>"</blockquote>
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhq0DJ-y-AYVCTMOLWX3Td5O_aG6cGTcLqA1SLPZwjyXGA_uOV2PGo44gosnwgn8ugLKAO6_rZPrWptdkRpRzhvIQOv5961jM1HP71Iu3h_Bf8uuSd8GwYg4i-0Nj-diYQ5tee7Pcx40uo/s1600/ER.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhq0DJ-y-AYVCTMOLWX3Td5O_aG6cGTcLqA1SLPZwjyXGA_uOV2PGo44gosnwgn8ugLKAO6_rZPrWptdkRpRzhvIQOv5961jM1HP71Iu3h_Bf8uuSd8GwYg4i-0Nj-diYQ5tee7Pcx40uo/s320/ER.jpg" width="320" /></a></div>
<br />
На этом официальная часть была завершена, оставив очень хорошее впечатление. Благодарю организаторов и докладчиков! Также о семинаре написан информативный официальный <a href="http://b2blogger.com/pressroom/175474.html">пресс-релиз</a>.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<br /></div>
</div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-4895145130864450522013-11-22T09:39:00.000+04:002013-11-22T12:55:51.972+04:00McAffee:Подписанное вредоносное ПО. Чему Вы теперь верите?<div dir="ltr" style="text-align: left;" trbidi="on">
Выдержка из блога McAffee, автор Doug McLean:<br />
<blockquote class="tr_bq">
Одной из особенностей отчета <i>McAfee Labs Threats Report, Third Quarter 2013 </i>является то, что доля подписанного вредоносного ПО увеличилась почти на 50%, более чем на 1,5 миллиона новых сигнатур. Последствия этого являются весьма существенными как для как для практиков по информационной безопасности, так и для глобальной инфраструктуры доверия.</blockquote>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjXMH7w0g90cQOG0nX_mjXBXL4gE8rk3rTHrm1exE7gWhS1GdrRzb6EKqnN_GHCiLQdf9x4de_YroAAfZz41Tnik5HECG-5DvB2GW4ZW77vKtZfep_-uogeYyYlksItw1Sdl6AHd2QhHTI/s1600/Signed-Malware.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="223" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjXMH7w0g90cQOG0nX_mjXBXL4gE8rk3rTHrm1exE7gWhS1GdrRzb6EKqnN_GHCiLQdf9x4de_YroAAfZz41Tnik5HECG-5DvB2GW4ZW77vKtZfep_-uogeYyYlksItw1Sdl6AHd2QhHTI/s400/Signed-Malware.png" width="400" /></a></div>
<div style="text-align: center;">
<i>Новое вредоносное ПО с цифровой подписью</i></div>
<div style="text-align: center;">
<br /></div>
<div style="text-align: left;">
Оригинальный пост: <a href="http://blogs.mcafee.com/mcafee-labs/digitally-signed-malware-just-what-can-you-trust-now">http://blogs.mcafee.com/mcafee-labs/digitally-signed-malware-just-what-can-you-trust-now</a></div>
<div style="text-align: left;">
Отчет: <i><a href="http://www.mcafee.com/ru/resources/reports/rp-quarterly-threat-q3-2013.pdf" target="_blank">McAfee Labs Threats Report, Third Quarter 2013</a></i><br />
<br /></div>
</div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-42072371873406144152013-11-21T12:32:00.001+04:002013-11-21T12:42:54.834+04:00SANS. Information Risks & Risk Management<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
Изучаю интересный документ: <a href="http://www.sans.org/reading-room/whitepapers/bestprac/information-risks-risk-management-34210" target="_blank">Information Risks & Risk Management</a> от SANS.</div>
<div style="text-align: justify;">
Автором является John Wurzler. Документ достаточно интересный. И свежий, апрель 2013. Приведу вольный перевод резюме документа.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
"<i>В обзоре рассматриваются различные ситуации, с которыми компании сталкиваются, полагаясь на технологии двадцать первого века. Он охватывает информацию во всех ее формах и новые угрозы, которые подвергают эту информацию рискам. Классификация данных в категориях определяет тип и степень риска. Исследуются типы процессов и средств контроля, которые организации могут использовать, чтобы минимизировать эти риски. Внутри каждого раздела, даны целевые рекомендации и советы, предназначенные для дальнейшего понимания. Наконец, в документе будут рассмотрены шаги, необходимые для реагирования, принятия решений, и восстановления в случае инцидентов. В качестве постскриптума, документ также охватывает формы страхования, которые могут помочь облегчить финансовое потери, часто связаны с этими событиями</i>."</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Хочу отметить, что это не документ типа "стандарт", а, скажем так, авторская выборка из множества документов. Вот эти документы и ресурсы:</div>
<br />
<ul style="text-align: left;">
<li><a href="http://www.us-cert.gov/" target="_blank">SANS Security Policy Project</a> </li>
<li><a href="http://www.us-cert.gov/mailing-lists-and-feeds" target="_blank">CERT National Cyber Alert System</a> (необходима регистрация)</li>
<li><a href="http://www.us-cert.gov/sites/default/files/publications/spywarehome_0905.pdf" target="_blank">ICSA Labs – on Spyware – an excellent paper</a> </li>
<li>IDC Research </li>
<li><a href="http://www.windowsecurity.com/" target="_blank">Windows Patch Management</a> </li>
<li><a href="http://www.sans.org/critical-security-controls/control.php?id=1" target="_blank">How To Implement, Automate And Measure The Effectiveness Of Controls</a> </li>
<li><a href="http://csrc.nist.gov/publications/nistpubs/800-41-Rev1/sp800-41-rev1.pdf" target="_blank">National Institute of Standards and Technology’s Guidelines on Firewalls and Firewall </a></li>
<li><a href="http://csrc.nist.gov/publications/nistpubs/800-41-Rev1/sp800-41-rev1.pdf" target="_blank">Policy</a></li>
<li><a href="http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-%20Mar07-2007.pd" target="_blank">Information Security Handbook: A Guide for Managers, National Institute for </a></li>
<li><a href="http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-%20Mar07-2007.pd" target="_blank">Standards and Technology</a> </li>
<li><a href="http://www.itl.nist.gov/lab/bulletns/bltnjun02.htm" target="_blank">Contingency Planning Guide for Information Technology Systems, National Institute of </a></li>
<li><a href="http://www.itl.nist.gov/lab/bulletns/bltnjun02.htm" target="_blank">Standards and Technology</a> </li>
<li><a href="http://csrc.nist.gov/publications/drafts/800-61-rev2/draft-sp800-61rev2.pdf" target="_blank">Computer Security Incident Handling Guide, National Institute of Standards and </a></li>
<li><a href="http://csrc.nist.gov/publications/drafts/800-61-rev2/draft-sp800-61rev2.pdf" target="_blank">Technology</a> </li>
<li><a href="http://www.cert.org/csirts/csirt_faq.html" target="_blank">Avoiding the Trail by Fire Approach to Security Incidents, CERT Frequently Asked </a></li>
<li><a href="http://www.cert.org/csirts/csirt_faq.html" target="_blank">Questions</a></li>
<li><a href="http://www.itl.nist.gov/lab/bulletns/bltnnov02.htm" target="_blank">Security for Telecommuting and Broadband Communications, National Institute of </a></li>
<li><a href="http://www.itl.nist.gov/lab/bulletns/bltnnov02.htm" target="_blank">Standards and Technology</a> </li>
<li><a href="http://csrc.nist.gov/publications/nistpubs/800-%2012/800-12-html/index.html" target="_blank">An Introduction to Computer Security: The NIST Handbook Chapters 10 and 17, </a></li>
<li><a href="http://csrc.nist.gov/publications/nistpubs/800-%2012/800-12-html/index.html" target="_blank">National Institute of Standards and Technolog</a>y</li>
<li><a href="http://www.isalliance.org/" target="_blank">Isalliance Common Sense Guides, Internet Security Alliance</a> </li>
<li><a href="https://www.isc2.org/sscp/Default.aspx" target="_blank">Database of information security professionals certified by (ISC)</a> </li>
<li><a href="http://www.isaca.org/" target="_blank">Information Systems Audit and Control Association</a> </li>
<li><a href="http://csrc.nist.gov/publications/nistpubs/800-%2012/800-12-html/index.html" target="_blank">An Introduction to Computer Security: The NIST Handbook Chapters 10 and 16, </a></li>
<li><a href="http://csrc.nist.gov/publications/nistpubs/800-%2012/800-12-html/index.html" target="_blank">National Institute of Standards and Technology</a> (более не является обязательным). </li>
<li><a href="http://csrc.nist.gov/publications/nistpubs/800-%2012/800-12-html/index.htm" target="_blank">An Introduction to Computer Security: The NIST Handbook Chapters 14 and 18, </a></li>
<li><a href="http://csrc.nist.gov/publications/nistpubs/800-%2012/800-12-html/index.htm" target="_blank">National Institute of Standards and Technology</a> </li>
<li><a href="http://www.nist.org/nist_plugins/content/content.php?content.52" target="_blank">Guidelines for Media Sanitization, National Institute of Standards and Technology </a></li>
<li><a href="http://csrc.nist.gov/publications/nistpubs/800-12/800-%2012-html/index.html" target="_blank">An Introduction to Computer Security: The NIST Handbook Chapter 14, National </a></li>
<li><a href="http://csrc.nist.gov/publications/nistpubs/800-12/800-%2012-html/index.html" target="_blank">Institute of Standards and Technology</a> </li>
</ul>
<br />
Также в <a href="http://www.sans.org/reading-room" target="_blank">SANS Reading Room</a> много другой полезной информации подобного рода. И <a href="https://www.sans.org/reading-room/rss" target="_blank">RSS</a> отдельно есть.</div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-7439841407792754992013-11-14T17:15:00.001+04:002013-11-14T17:15:06.282+04:00Изменение политики конфиденциальности Google<div dir="ltr" style="text-align: left;" trbidi="on">
После летних новостей о том, что Руслан Гаттаров "взялся" за интернет-компании с целью проверки условий обработки персональны данных тема немного затихла. Однако, на днях появилась новость о том, что Google изменила свою <a href="http://www.google.com/intl/ru/policies/privacy/" target="_blank">политику конфиденциальности</a>.<br />
Ради справедливости хочется заметить, что политика датирована 24 июня 2013 года (а предыдущая редакция 27 июля 2012)<br />
Как <a href="http://www.rg.ru/2013/11/11/google-personal-site.html" target="_blank">пишет Российская Газета</a>, передавая слова Руслана Гаттарова, "<em>новая редакция политики конфиденциальности ограничивает передачу персональных данных третьим лицам рядом процедур, что полностью соответствует требованиям российского законодательства</em>"<br />
<br />
А что изменилось-то?<br />
<div>
Ниже привожу изменения относительно политики 2012 года. Они затрагивают всего два раздела: </div>
<ul style="text-align: left;">
<li>Прозрачность и возможность выбора.</li>
<li>Информация, которую Google предоставляет третьим лицам. Для обработки третьими сторонами по поручению Google.</li>
</ul>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhCrq7CjxC1BcsYMZh0qAX8ArRmXXF_uSTX3BzSLneGS3zqm1iDkls9pU3eArjtobrfaAOX0MKXPqizdGATIrKZosRus3i2wQ3xvaoImNn8BEtrGpQVubN3tAMqkiCtUgoDTFBSCa1DqV4/s1600/google_policy.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhCrq7CjxC1BcsYMZh0qAX8ArRmXXF_uSTX3BzSLneGS3zqm1iDkls9pU3eArjtobrfaAOX0MKXPqizdGATIrKZosRus3i2wQ3xvaoImNn8BEtrGpQVubN3tAMqkiCtUgoDTFBSCa1DqV4/s1600/google_policy.PNG" /></a></div>
<br />
И если изменения в первом упомянутом разделе малоинтересны и касаются, в основном, изменения формулировки непонятного Менеджера рекламных предпочтений, то изменения во втором разделе прямо касаются требований статьи 6 ФЗ "О персональных данных":<br />
<ol style="text-align: left;">
<li>В формулировке "Для обработки третьими сторонами" добавились слова "по поручению Google".</li>
<li>Теперь Google не просто <em>отправляет</em> персональные данные, а <em>предоставляет</em> их.</li>
<li>Предоставляет теперь не <em>на обработку дочерним компаниям Google, а также доверенныи лицам и партнерам по бизнесу</em>, а <em>аффилированным лицам Google и иным доверенным компаниям и лицам для обработки по поручению Google</em>.</li>
<li>Появились именно <em>требования конфиденциальности</em> ("<em>должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке</em>", п.3, ст.6 ФЗ "О персональных данных").</li>
</ol>
<div>
А вообще, последнее время Google частенько стал мелькать в новостях:<br />
<ul style="text-align: left;">
<li>Прознав о том, что АНБ могло перехватывать незашифрованный трафик между его ЦОДами, <a href="http://www.cybersecurity.ru/crypto/184492.html" target="_blank">Google решил шифровать его и в этих каналах</a>. </li>
<li>Министерство информационных технологий и связи Ростовской области <a href="http://www.kommersant.ru/doc/2341881" target="_blank">рекомендовало госучреждениям отказаться от использования иностранных сервисов, в том числе Google</a></li>
</ul>
<div>
Недавно я уже <a href="http://ryndinvs.blogspot.ru/2013/10/google.html" target="_blank">писал про политику конфиденциальности Google</a>, но с другой стороны.</div>
</div>
</div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-31901099231112771242013-10-31T08:08:00.000+04:002013-10-31T08:15:16.206+04:00Об анонимности, СОРМе и политике конфиденциальности Google<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
Давно назревала у меня эта статья. А нынешние новости о новом СОРМе и желании ФСБ контролировать интернет довели мысли до какого-то логического завершения. По поводу СОРМ уже высказались <a href="http://lukatsky.blogspot.ru/2013/10/blog-post_22.html" target="_blank">Алексей Лукацкий</a> и <a href="http://sborisov.blogspot.ru/2013/10/blog-post_21.html" target="_blank">Сергей Борисов</a>.</div>
<div style="text-align: justify;">
После разоблачения Эдвардом Сноуденом некоторых реалий работы АНБ в сети все чаще и чаще поднимается вопрос об анонимности в интернете. Люди хотят оставаться незамеченными при совершении действий различного характера. Но зачем? Что движет этим? Для разбора этой темы для начала хотелось бы определить два понятия: приватность (неприкосновенность частной жизни) и анонимность.<br />
<div style="text-align: justify;">
<br />
<div style="text-align: justify;">
Спросим у Википедии:</div>
<div style="text-align: justify;">
<em><strong>Неприкосновенность частной жизни</strong> (в юридической науке) — ценность, обеспечиваемая правом на неприкосновенность частной жизни.</em><br />
<div style="text-align: justify;">
<em>Право на неприкосновенность частной жизни включает:</em></div>
<ul style="text-align: left;">
<li><div style="text-align: justify;">
<em>запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия;</em></div>
</li>
<li><div style="text-align: justify;">
<em>право контролировать информацию о себе;</em></div>
</li>
<li><div style="text-align: justify;">
<em>право на защиту чести и доброго имени;</em></div>
</li>
<li><div style="text-align: justify;">
<em>право на защиту персональных данных;</em></div>
</li>
<li><div style="text-align: justify;">
<em>право на тайну связи (иногда оформлено как отдельное право);</em></div>
</li>
<li><div style="text-align: justify;">
<em>право на неприкосновенность жилища (иногда оформлено как отдельное право);</em></div>
</li>
<li><div style="text-align: justify;">
<em>врачебную тайну, тайну усыновления, тайну исповеди и другие виды профессиональной тайны.</em></div>
</li>
</ul>
<div style="text-align: justify;">
<em><strong>Значение слова «аноним»</strong> различно для различных видов (широко понимаемого) текста. Анонимными могут быть произведения искусства (литературные сочинения, музыкальные пьесы, артефакты изобразительного искусства и т.п.) и научные труды (например, анонимные музыкально-теоретические трактаты). Следует отличать анонимность как принцип сознательного отношения автора к собственному «личному вкладу» в науку/искусство (характерного, например, для мировоззрения средневекового монаха-христианина) от прозаической «вынужденной» анонимности (когда автора невозможно установить, например, по причине утраты титульного листа старинной рукописи). Анонимность произведения искусства и/или научного труда затрудняет идентификацию такого текста. Разнобой в идентификационных критериях («ярлыках» науки, которые учёные прикрепляют к анониму), приводит к тому, что одно и то же произведение может идентифицироваться по-разному и, наоборот, два разных анонимных текста могут получать в науке одинаковые идентификационные ярлыки.</em></div>
<div style="text-align: justify;">
<em> В повседневной жизни анонимными могут быть утилитарные сообщения — письма, пасквили, доносы и т.п. Применительно к утилитарным сообщениям, «анонимным» считается любое неподписанное послание (в разговорной речи — «анонимка»). Главным критерием является невозможность точно установить личность писавшего.</em></div>
<div style="text-align: justify;">
<br />
<div style="text-align: justify;">
Применяя данное понятие для Интернета, можно сказать, что<br />
<div style="text-align: justify;">
<em><strong>Анонимность в интернете</strong> - это такое свойство реального человека в сети, при котором установить его личность и, соответственно, связанные с этим понятия, не представляется возможным.</em></div>
<div style="text-align: justify;">
или</div>
<div style="text-align: justify;">
<em><strong>Анонимность в интернете</strong> - мнимое свойство участника сетевого взаимодействия, заключающееся в невозможности установить фактическую личность участника или его атрибуты.</em><br />
<em><br /></em></div>
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
"Правила..." не вызывают у меня сильного негодования. Да, может быть они, скажем так, "через чур жесткие" и в чем-то не стыкуются с Конституцией, но...<br />
<div style="text-align: justify;">
В век информационных технологий все мы, или очень многие, работаем за компьютерами. И потенциально каждый системный администратор может беспрепятственно вторгаться в частную жизнь сотрудников, чьи компьютеры он администрирует. Однако администраторам, в большинстве своем, это не интересно. Да и сами пользователи об этом не сильно беспокоятся.</div>
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
Интернет и технологии очень сильно и прочно вошли в нашу жизнь. Приведу пример, иллюстрирующий хотя бы +/- 20-летнюю разницу. Именно столько в этом году исполняется Конституции РФ, в которой прописано право на неприкосновенность частной жизни. Девушка на фото занимается тем, что в повседневной жизни мы называем "гуглить". Если сейчас нужно просто <strike>пару раз стукнуть пальцем по клавиатуре</strike> написать поисковый запрос, то раньше нужно было идти в библиотеку, искать, выписывать. И говорить, что сегодня стало проще, чем 20 лет назад (да каких 20, хотя бы 10) - не говорить ничего.</div>
<div style="text-align: justify;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtueDjZNmcl2LoX-SxExzb8l7gTBTfjDYmK8IxliYlM219oOokKg6UZNlG0CqCWeaafQAeaV31EFfwXBltnNuNHJww6gVuOZucqgIOiGNoCZ1Hn0Pf2tDaB26NtmESS5-kzVL62JsJLsU/s1600/old_googling.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtueDjZNmcl2LoX-SxExzb8l7gTBTfjDYmK8IxliYlM219oOokKg6UZNlG0CqCWeaafQAeaV31EFfwXBltnNuNHJww6gVuOZucqgIOiGNoCZ1Hn0Pf2tDaB26NtmESS5-kzVL62JsJLsU/s320/old_googling.jpg" width="214" /></a></div>
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
Я готов согласиться, что новые правила могут нарушать неприкосновенность частной жизни. Но с другой стороны это делается для безопасности граждан (так заявлено). </div>
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
Для чего нужна анонимность в сети? Для того, чтобы путешествовать по бескрайним просторам сети "без лица" и совершать какие либо действия. Если провести аналогию с реальным миром, то каждый автомобиль имеет государственный регистрационный номер. Номер "привязан" к самому авто и, соответственно, к конкретному человеку или организации. В повседневной жизни на этот номер никто не обращает внимания. Однако при ДТП по номеру "в два клика" вычисляется владелец. Не будь номеров - на дорогах царила бы анархия (я умышленно промолчал о ПДД, это немного из другой оперы). А так - тишь и благодать... И пробки =) Каждый водитель понимает, что при несоответствующем его поведении на дороге он будет привлечен к ответственности. И все водители принимают условия этой игры. В дополнение на дорогах стоят камеры, которые могут фиксировать все передвижения авто. Никого же это не смущает.<br />
<div style="text-align: justify;">
<br />
<div style="text-align: justify;">
Это же самое и с СОРМ. При добропорядочной и законопослушной жизни человек для государства просто обычный элемент общества. Однако, при нарушении закона этого человека надо найти. И если новые правила дадут соответствующим органам больше возможностей для поимки криминальных элементов в сети - то это только плюс.</div>
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
У каждого на слуху сейчас ситуации с доверчивыми людьми и СМСками из "банков" о "блокировании карты". То, что бдительный гражданин не будет переводить свои кровные неизвестно кому и куда - это очевидно. А не бдительный? Он не гражданин? Ну да, понял гражданин, что <strike>лохонулся</strike> опрометчиво поступил, не проверил. Но от этого факт мошенничества не исчезает и деньги не обратно не возвращаются. А новые правила СОРМ помочь может быть и смогут. Плюс преступления расследуются по месту совершения. А в данном случае местом совершения будет банкомат, где произошел факт получения денег. А если потерпевший во Владивостоке, а злоумышленник в Калининграде? Как долго будут бумаги гулять... За это время концов точно не найти. И, от части, потому, что люди живут в онлайне, а полиция работает в офлайне.<br />
<div style="text-align: justify;">
<br />
<div style="text-align: justify;">
А если бы полиция наша могла узнать, что за номер, как передвигается, какие еще номера рядом (в физическом смысле) чаще других находятся и дальше распутывать клубок, то было бы проще.</div>
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
Многие читали политику конфиденциальности Google? Не думаю. Однако Google собирает о нас много разной информации. Что-то сами отдаем, что-то Google берет сам из журналов устройств под благовидным предлогом персонализации поиска и рекламы. Вот некоторые данные, выписанные из политики конфиденциальности:</div>
<ul style="text-align: left;">
<li><div style="text-align: justify;">
имя человека; </div>
</li>
<li><div style="text-align: justify;">
адрес электронной почты; </div>
</li>
<li><div style="text-align: justify;">
реквизиты кредитной карты; </div>
</li>
<li><div style="text-align: justify;">
модель телефона;</div>
</li>
<li><div style="text-align: justify;">
версия операционной системы;</div>
</li>
<li><div style="text-align: justify;">
уникальные идентификаторы устройства;</div>
</li>
<li><div style="text-align: justify;">
данные о мобильной сети; </div>
</li>
<li><div style="text-align: justify;">
номер телефона;</div>
</li>
<li><div style="text-align: justify;">
номера телефонов для входящих вызовов; </div>
</li>
<li><div style="text-align: justify;">
номера телефонов для исходящих вызовов;</div>
</li>
<li><div style="text-align: justify;">
номера телефонов для переадресованных вызовов; </div>
</li>
<li><div style="text-align: justify;">
дата и время телефонных вызовов;</div>
</li>
<li><div style="text-align: justify;">
тип телефонных вызовов;</div>
</li>
<li><div style="text-align: justify;">
продолжительность телефонных вызовов;</div>
</li>
<li><div style="text-align: justify;">
информация о маршруте SMS;</div>
</li>
<li><div style="text-align: justify;">
IP-адреса;</div>
</li>
<li><div style="text-align: justify;">
данные об аппаратных событиях на устройстве;</div>
</li>
<li><div style="text-align: justify;">
данные о сбоях на устройстве; </div>
</li>
<li><div style="text-align: justify;">
данные о действиях в системе;</div>
</li>
<li><div style="text-align: justify;">
данные о настройках, типе и языке браузера; </div>
</li>
<li><div style="text-align: justify;">
данные о дате и времени запроса и URL перехода;</div>
</li>
<li><div style="text-align: justify;">
сведения о местоположении;</div>
</li>
<li><div style="text-align: justify;">
...</div>
</li>
</ul>
<div style="text-align: justify;">
Что можно сказать? Google знает все...в том числе и о нас.<br />
<br /></div>
<div style="text-align: justify;">
ЗЫ. Интересное понимание понятия: <em><strong>Анонимность в интернете</strong> - городская легенда конца 90-х, начала 2000-х (см. НЛО, Атлантида, полтергейст и т..п)</em></div>
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
Что еще почитать:<br />
<div style="text-align: justify;">
<a href="http://ryndinvs.blogspot.ru/2013/06/blog-post_19.html">О соцсетях, цензуре и музыке</a></div>
<div style="text-align: justify;">
<div style="text-align: justify;">
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-9669911865171690902013-10-10T12:04:00.000+04:002013-10-10T12:04:10.837+04:00DLP-Russia 2013. Как это было<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
Прошло некоторое время с момента проведения DLP-Russia. Эмоции немного улеглись и остались, если так можно сказать, чистые впечатления. Ими я и поделюсь. Если говорить об организации мероприятия, то она была на должном уровне.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
В первой, <u>пленарной</u>, части выступали "мамонты" информационной безопасности (да простят эти люди мне это вольнословие). </div>
<div style="text-align: justify;">
<em>Наталья Касперская</em> рассказала про Большие Данные (Big Data), про их понятие в бизнесе, особенности угроз и защиты. </div>
<div style="text-align: justify;">
<em>Алексей Лукацкий</em> держал слово про <a href="http://lukatsky.blogspot.ru/2013/09/dlp-russia-2013.html">динамику развития нормативных актов в области ИБ</a>. Например, про то, что за 20 лет в нашем законодательстве "появилось" порядка 200 нормативных документов в области ИБ, а за последние 2 года уже более, чем за эти самые 20 лет. Также Алексей рассказал об ожидаемых «новинках» от ФСТЭК в сфере нормотворчества, и что если эти документы будут выпущены в том виде, в котором они запланированы, то наше законодательство в области ИБ выйдет на новый уровень. Это приятно. </div>
<div style="text-align: justify;">
<em>Нильс Пульман</em> говорил о семимильных шагах информационных технологий и о том, как в этом непростом со стороны информационной безопасности и простом со стороны рядового пользователя мире защищать информацию. </div>
<div style="text-align: justify;">
<em>Алексей Волков</em> с долей юмора донес до участников свою мысль (которую он активно и двигает): DLP-это не панацея от всех болезней, а лишь один из инструментов. <a href="http://anvolkov.blogspot.ru/2013/10/dlp-russia-2013.html">Доклад очень интересный</a>. </div>
<div style="text-align: justify;">
Интересен был и доклад <em>Михаила Емельянникова</em> о границах доверия сотрудникам, о допусках и доступах. </div>
<div style="text-align: justify;">
<em>Павел Гениевский</em> рассказал о законодательстве в сфере НПС и защите информации в кредитной сфере.</div>
<div style="text-align: justify;">
Сказать, что было интересно - не сказать ничего. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
После мне посчастливилось присутствовать на <u>пресс-конференции</u>.</div>
<div style="text-align: justify;">
<em>Илья Шабанов</em>, представляющий аналитический центр Anti-Malware.ru, рассказал о динамике развития рынка DLP систем и основных тенденциях, а <em>Наталья Касперская</em> представила отчет об утечках данных от компании InfoWatch. После <em>Наталья Мутель</em> вместе с <em>Рустемом Хайретдиновым</em> рассказали о ребрендинге, в ходе которого сообщество DLP-Expert трансформируется в Business Information Security Association (BISA), а DLP-Russia сответственно в Business Information Security Summit. По словам Натальи и Рустема связано это с тем (и я согласен), что защита деловой информации это уже не только DLP. Здесь, опять-таки, можно вернуться к докладу Алексея Волкова. ;)</div>
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
По <u>секциям</u> погулять у меня особо не получилось, полноценно послушал лишь доклад Андрея Прозорова про <a href="http://80na20.blogspot.ru/2013/09/dlp-russia.html">стандарты и "лучшие практики" в ИБ</a>. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
В <u>демо-зоне</u> вендоры показали, кто во что горазд. Был здесь и SafePhone от НИИ СОКБ (а он мне был особо интересен в связи с регулярно поднимаемым мной вопросом Mobile Device Management). Кстати, <a href="http://ryndinvs.blogspot.ru/2013/09/nist-800-124.html">недавно я писал</a> про переведенный этим самым НИИ СОКБ NIST 800-124 по безопасности мобильных устройств. Был и Центр Речевых Технологий, и Symantec, InfoWatch. Можно было не просто посмотреть, а своими руками "пощупать" решения вендоров. Для формирования полного мнения о продукте этого, конечно, недостаточно, но для того, чтобы хотя бы иметь представление - вполне.</div>
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
<u>Круглый стол</u> порадовал своей разносторонностью. Конечно жаль, что представители от регулятора не смогли порадовать аудиторию свои присутствием, но участники дискуссии и модерирование Михаила Емельянникова оставили только хороший осадок и ответы на вопросы. А тема круглого стола была более, чем интересная: «Контроль информационных потоков и защита предприятия от внутренних угроз».</div>
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
<u>Ужин</u> в лучших традициях. Шведский стол дал возможность не привязываться к определенному месту, а «побродить» по залу с бокалом и пообщаться с более, чем парой интересных собеседников. А таких было достаточно. </div>
<div style="text-align: justify;">
По завершении мы веселой компанией еще немного погуляли по вечерней Москве, а ночью поезд отвез меня обратно в Петербург. В общем, «DLP-Russia прошла на ура, как и AfterParty» </div>
</div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-87455725100230078492013-10-09T16:40:00.000+04:002013-10-09T16:40:47.551+04:00Проект приказа ФСБ по применению СКЗИ для защиты ПДн<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
Наконец-то у меня дошли руки и голова ознакомиться с этим замечательным проектом приказа. Про него уже написали <a href="http://lukatsky.blogspot.ru/2013/10/blog-post_4.html">Алексей Лукацкий</a> и <a href="http://shaurojen.blogspot.ru/2013/10/blog-post_4.html">Евгений Шауро</a>. Пересказывать сих авторов не буду, однако некоторыми мыслями поделюсь.</div>
<div style="text-align: justify;">
Сказать, что документ лёгок в прочтении у меня не получается. Лично я брался за его чтение 3 раза, однако первые два раза результата не принесли. Есть впечатление, что документ как-то специально усложнен. В этом ФСБ нужно взять пример со ФСТЭК. У этих ребят и понятнее будет, и пояснения есть (точнее, скоро будут).А у ФСБ чего только стоит пункт 22 (подобными формулировками приказ изобилует):</div>
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
<em>...Для выполнения требования, указанного в подпункте «г» пункта 5 настоящего документа, необходимо вместо мер, предусмотренных подпунктом «в» пункта 9 и пунктом 19 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе:...</em></div>
<em></em><div style="text-align: justify;">
<br />И это учитывая то, что п.5 и п.9 описывают меры для четвертого уровня защищенности, п.19 меры для третьего уровня, а п.22 для второго. </div>
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
Описание классов СКЗИ тоже растянуто на весь приказ, хотя можно было сначала дать классификацию, а после расписать, какие классы для чего применяются.</div>
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
Если говорить о самой соли документа, а именно о сертифицированных СКЗИ для защиты ПДн, то оно вполне оправдано. Но ФСБ говорит: уж если шифровать, так всё! Во многих случаях, на мой взгляд, можно хотя бы не требовать сертифицированных. Ведь если учитывать те поправки в штрафы, которые могут появиться, то операторы сами будут стараться защититься "по уму", а не на бумаге. </div>
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
Сам проект был <a href="http://regulation.gov.ru/project/7847.html">здесь</a>, но сейчас удален, к моему великому сожалению.</div>
</div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-34041074669094397242013-10-04T17:07:00.000+04:002013-10-04T17:07:24.634+04:00NIST прекратил работу. Пока временно.<div dir="ltr" style="text-align: left;" trbidi="on">
Как сказано на официальном сайте NIST, работа прекращена до возобновления финансирования:<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEimMJVHF9JYS6M2a52-Vnv6IVQeNeKZpIcgfZic_pt_VGLxZI20FJYevHj2iXUZ6RDWO8j0bUzakvMflhZrgPK-EKK40GF5RBlOqVolQzmr8qENjvMg6iIfYZDiFAqX0-SCx90s_8nVUfc/s1600/NIST.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="152" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEimMJVHF9JYS6M2a52-Vnv6IVQeNeKZpIcgfZic_pt_VGLxZI20FJYevHj2iXUZ6RDWO8j0bUzakvMflhZrgPK-EKK40GF5RBlOqVolQzmr8qENjvMg6iIfYZDiFAqX0-SCx90s_8nVUfc/s320/NIST.PNG" width="320" /></a></div>
Пока неизвестно, что будет далее. Мне кажется, что финансирование все-таки возобновят. Хотя в Штатах сейчас и с NASA что-то происходит, не самое приятное. <br />
Как делятся коллеги в LinkedIn, пока можно вытащить то, что нужно, используя <a href="https://www.novainfosec.com/2013/10/01/nip-tip-find-nist-publications-during-government-shutdown/#!">описанный способ</a>.</div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-81142482801436474292013-09-30T09:45:00.001+04:002013-09-30T10:28:58.712+04:00NIST 800-124. Рекомендации по менеджменту и обеспечению безопасности мобильных устройств на предприятии<div dir="ltr" style="text-align: left;" trbidi="on">
Продолжаю освещать такую тему, как безопасность мобильных устройств. На этот раз делюсь NIST 800-124. Guidelines for Managing the Security of Mobile Devices in the Enterprise (Рекомендации по менеджменту и обеспечению безопасности мобильных устройств на предприятии) с переводом от НИИ СОКБ<br />
Оригинал: <a href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-124r1.pdf">Guidelines for Managing the Security of Mobile Devices in the Enterprise</a><br />
Перевод: <a href="http://www.niisokb.ru/news/documents/NIST_SP_800-124r1.pdf">Рекомендации по менеджменту и обеспечению безопасности мобильных устройств на предприятии</a><br />
<br />
Также рекомендую почитать материалы на эту тему от ISACA (Securing Mobile Devices Using COBIT® 5 for Information Security)<br />
</div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-66988438950324838892013-09-02T11:39:00.003+04:002013-09-02T11:40:27.908+04:00Биометрия. Разъясняет Роскомнадзор<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
На сайте Роскомнадзора появились <a href="http://www.rsoc.ru/news/rsoc/news21529.htm">разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных к биометрическим персональным данным и особенностям их обработки</a>.Что теперь ясно?</div>
<div style="text-align: justify;">
А то, что к <i>биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта</i>.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="http://dlp-expert.ru/blog/5140/42966">Подробнее на DLP-Expert</a></div>
</div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0tag:blogger.com,1999:blog-3862976709816172104.post-22970413077160728552013-08-20T15:14:00.001+04:002013-08-20T15:14:51.549+04:00О безопасности мобильных устройств. Заключение.<div dir="ltr" style="text-align: left;" trbidi="on">
Немногим ранее я уже написал 4 статьи, описывающих функцию антивора в мобильных приложениях. Мной были рассмотрены антивирусные продукты трех лидирующих на российском рынке компаний, а также проект Prey. В данной статье я приведу сравнение возможностей продуктов, а также порассуждаю на тему актуальности данной функции.<br />
<br />
В первой статье я сделал упор на личные данные. В данной статье я хочу направить вектор актуальности в сторону корпоративной политики, именуемой BYOD (Bring Your Own Device). Ведь все больше и больше компаний предоставляют своим сотрудникам доступ к корпоративным ресурсам с мобильных устройств.<br />
<br />
<a href="http://dlp-expert.ru/blog/5140/42874">Подробнее на DLP-Expert</a></div>
Владимир Рындинhttp://www.blogger.com/profile/00691130817080615998noreply@blogger.com0