пятница, 27 июля 2012 г.

С днем системного администратора!

В незапамятные времена довелось и мне побыть несколько месяцев системным администратором на кафедре (как вспомню, так вздрогну :) Специфика работы сводилась к тому, что приходилось постоянно что-то чинить и переустанавливать - ох уж эти шаловливые ручки студентов, которые знают, как лучше настроить компьютеры в классе ;) Но сейчас не об этом:)

Люди, которые имеют мужество быть системными администраторами и выполнять такую работу каждый день, многие годы действительно уникальны! Спасибо за Ваш труд! Отдельно хочется поздравить женщин-системных администраторов, рушьте стереотипы ;)

ЗЫ. Сереге - старому школьному товарищу отдельный привет и пожелание всяческих успехов! Ты профессионал!


среда, 25 июля 2012 г.

Роскомнадзор о проблемах облаков и альтернатива паролям

Добрый день! Сегодня хочу поделиться с вами двумя любопытными, на мой взгляд, ссылками.

  1. На сайте Роскомнадзора решили осветить проблему облаков ссылка, сам текст, как указано, взят отсюда
  2. Учеными предложен новый метод аутентификации:  ссылка

четверг, 19 июля 2012 г.

Мое резюме


Иногда нужно что-то изменить в жизни, поэтому размещаю здесь:

Профессиональный опыт
Опыт работы
сентябрь 2010 — настоящее время
Специалист по защите информации — Газоснабжающая компания (Добывающая отрасль/энергетика/ГСМ)
Обязанности, функции, достижения:
создание системы защиты информации с нуля — единственный специалист в данной области на предприятии, в том числе системы защиты персональных данных. Прохождение проверки Роскомнадзора без предписаний. Разработка документации по защите информации, участие в совещаниях с руководством организации. Обеспечение безопасной работы с электронной подписью, в том числе на госзакупках. Пропускной режим: настройка электронных проходных (Орион, Perco S-20), оформление электронных пропусков. Другие задачи по защите информации, в том числе участие в проверках в области безопасности.
октябрь 2009 — март 2010
Техник по защите информации — РТК-Сибирь (Информационные технологии/системная интеграция)
Обязанности, функции, достижения:
создание документации по защите персональных данных, работа с клиентами над заказами в области информационной безопасности, обследование информационных систем, подбор и установка специализированного программного обеспечения (ФИКС, Терьер, Ревизор 1,2, SexcretNet и другие)
Профессиональные навыки, умения, компетенции
Организационная защита информации: документация, планы, проверки, отчеты. Техническая защита информации: установка и настройка специализированного ПО, в том числе SecretNet, Орион, Ревизор, ФИКС, Терьер, Perco S-20 и др. Участие в совещаниях с руководством, презентация результатов работы. Опыт ведения лекций.
Участие в проектах
Создание системы защиты информации с нуля в организации.
Сведения об образовании
2011 — 2015 (неоконченное высшее)
Сибирский государственный аэрокосмический университет им. М. Ф. Решетнева
Факультет: Аспирантура — заочная форма обучения
Специальность: Системный анализ, управление и обработка информации
Квалификация: кандидат наук
2005 — 2011 (высшее)
Сибирский государственный аэрокосмический университет им. М. Ф. Решетнева
Факультет: Институт информатики и телекоммуникаций — дневная форма обучения
Специальность: информационная безопасность телекоммуникационных систем
Квалификация: специалист
Знание языков
Английский (могу проходить интервью)
Прочая информация
Хобби, спорт
живопись
Дополнительная информация
Ответственность за принимаемые решения, творческий подход к решению задач, умение быстро реагировать в сложных ситуациях, способность выполнения долгосрочных проектов, умение представлять результаты работы в отчетах и на совещаниях, стремление к высоким результатам в работе.
Стипендиат Королева за успехи в научной и учебной деятельности (2010)
Имею опыт ведения лекций — курс по организационной защите персональных данных для администрации Губернатора Красноярского края (июнь, 2012).

Вебинар Алексея Волкова

26 июля пройдет Вебинар Алексея Волкова, известного специалиста в области защиты информации, по следующим темам:

Темы, которые будут обсуждаться: 

  • Кто, кого, и для чего проверяет; 
  • Правовые основания для проведения плановых и внеплановых проверок; 
  • Что может Роскомнадзор в соответствии с законодательством и как реализует свои полномочия на практике; 
  • Как определить степень готовности к проверке и что делать, если она близка к нулю; 
  • Как отстоять свои права во время проверки и после нее, при этом не ударить в грязь лицом и сохранить хорошие отношения с регулятором; 
  • Проверка без замечаний – это реально? 

Зарегистрироваться можно здесьРадиотрансляция состоится 26.07.12 в 10.30. 

Я буду слушать, а Вы?:)

пятница, 13 июля 2012 г.

Мое уведомление об обработке

Сегодня появились дополнения в уведомлении в части ответственного лица. Но удивило больше другое - опять проявились меры, которые я указывала в 2010 году в уведомлении, теперь они вписаны в графу ст. 18.1 и 19. Ранее они исчезали, см. здесьЗначит эта информация по смыслу подходит. Также проявилась старая информация о трансграничной передаче. Итого осталось сделать лишь один пункт - обеспечение безопасности по нормам, установленным Правительством РФ. 
Вывод: уточнения необходимо подавать только в части контактов ответственного лица и требований Правительства (687 и 781 Постановления). Однако с последним, думаю, спешить не нужно, так как до конца года могут выйти новые Постановления.

вторник, 10 июля 2012 г.

Поиск судебных решений

Специалисты по защите информации в своей работе часто используют судебные решения, но найти нужные бывает не так-то просто. На сайтах судов обычно есть поиск только по номеру дела, в лучшем случае по статье. Поэтому часто есть необходимость воспользоваться сторонним ресурсом с поиском по ключевым словам. Ранее я писала про сайт Актоскоп, сегодня нашла еще один источник судебных решений: Росправосудие. Попробовала - поиск по словам работает, не всегда выдает корректные результаты (в некоторых решениях почему-то не встречалась искомая комбинация), однако найти кое-что интересное для себя можно.

понедельник, 9 июля 2012 г.

ЗИ: ИТ или СБ?

С сегодняшнего дня я автор Интернет-портала sec.ru. Моя первая статья о подчиненности специалиста по защите информации здесь.


пятница, 6 июля 2012 г.

ЭП и ЭЦП

Когда публиковала заметку об электронной подписи, не задумывалась, что не все так просто. Будут ли иметь юридическую силу документы, подписанные ЭЦП после 1 июля?..
Обсуждение здесь: http://shudrova.blogspot.com/2012/06/blog-post_27.html.

Анонс августовской статьи

Доброе утро! В августе выйдет две мои статьи в журнале "Директор по безопасности" одна из них о судебной практике в защите информации:
Судебная практика по информационной безопасности
Судебная практика может служить хорошим обоснованием необходимости проведения мероприятий по защите информации. Хороший специалист должен уметь использовать судебные решения как инструмент воздействия на мнение руководства. Когда нужно срочно принять защитные меры, важность которых неочевидна и основная причина, почему это нужно сделать – возможное наказание, а, к сожалению, в нашем законодательстве есть такие ситуации, необходимо показать, что статья рабочая и прецеденты по ней есть.
Статья-путеводитель по наиболее интересным или типичным случаям нарушения законодательства в различных сферах деятельности предприятий. Подробно разобраны на конкретных примерах методы сбора и предоставления информации по судебным решениям.


среда, 4 июля 2012 г.

Мой поход в Роскомнадзор

В связи с тем, что необходимо подавать данные об ответственном за обработку персональных данных лице, решила я сходить в Роскомнадзор и отнести им информационное письмо об изменениях в уведомлении. Как составить такое письмо я писала ранее здесь. Однако я допустила ошибку в связи с тем, что наивно полагала аналогичными пункты: 
7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
Как мне объяснила специалист из Росконадзора - это разные вещи и указывать необходимо разную информацию. Причем, если Вы ранее посылали информацию о мерах защиты и она была указана в Вашем уведомлении в реестре, то сейчас ситуация изменилась и эти данные не отображаются, зато появились пустые поля, которые необходимо заполнить до января 2013 года. 

Пример уведомления

Итак, что же нужно писать в пункте про меры (18.1, 19): это назначение ответственного лица, издание локальных документов, внутренний контроль, оценка вреда (?), ознакомление работников, определение угроз безопасности, применение средств защиты, прошедших процедуру оценки соответствия и т.д (см. ФЗ "О персональных данных").
Сведения об обеспечения безопасности персональных данных по требованиям Правительства - это не требования согласно планируемым документам, а как мне вчера объяснили - Постановление 687 и Постановление 781. Причем даже выдали памятку о том, что примерно нужно писать в этом пункте :)
Обязательного требования предоставлять информацию о классификации системы нет. На мой вопрос по поводу введения новых уровней был ответ, что этим занимается другая организация, они не в курсе дела. Так что мне посоветовали классифицировать ИСПДн по приказу трех. А еще сказали, что вносить изменения можно частями: определили ответственного - подали изменения в уведомление, такие изменения можно делать хоть каждый месяц.



вторник, 3 июля 2012 г.

Разграничение доступа и парольная политика

Доброе утро! Сегодня в журнале "Директор по безопасности" вышли две мои статьи, одна из них в открытом доступе: http://www.s-director.ru/magazine/archive/viewdoc/2012/7/583.html
Анонс статьи:

Первый рубеж, который должен преодолеть злоумышленник, заключается в подборе пароля для доступа к данным. Если пароль слабый или хранится в открытом виде, то попытка взлома информационной системы будет успешной, при этом неважно, какие средства защиты информации установлены в системе, так как авторизация с нужными правами уже произошла.

Специалист по защите информации ОАО «Красноярсккрайгаз» ответит на следующие вопросы:

• Как упорядочить доступ сотрудников к ресурсам корпоративной сети? 
• Почему разграничение доступа и парольная политика важны для любой компании? 
• Как узнать, сколько времени понадобится для взлома пароля? 
• Где и как лучше всего хранить пароли?


Вторая статья доступна только читателям журнала - ссылка.


понедельник, 2 июля 2012 г.

Внесение изменений в уведомление

Хочу напомнить операторам, что до 1 января 2013 года необходимо подать уведомление по новой форме: 


2.1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.
(часть 2.1 введена Федеральным законом от 25.07.2011 N 261-ФЗ)
(ст. 25, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 25.07.2011) "О персональных данных")

По ФЗ новая форма включает в себя:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных;
10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

[Отредактировано в связи с полученной информацией] О том, что хочет видеть Роскомнадзор в уведомлении можно прочитать в моем посте здесь. Для того, чтобы подать информацию об ответственном лице и принятых мерах, необходимо воспользоваться формой информационного письма о внесении изменений в уведомление - ссылка. Заполнять необходимо только те графы, которые необходимо изменить. Но есть и обязательные для заполнения сведения: 

  1. Наименование (фамилия, имя, отчество) оператора; 
  2. Адрес оператора;
  3. Регистрационный номер записи в Реестре; 
  4. Основания изменений;
  5. Регионы;
  6. ИНН;
  7. Коды: ОГРН. 
Дополнительная информация в нашем случае:
  1. Ответственный за организацию обработки персональных данных;
  2. Номера контактных телефонов, почтовые адреса и адреса электронной почты ответственного за организацию обработки персональных данных.

После формирования уведомления, его необходимо распечатать, заверить у руководителя организации, поставить печать, а затем отправить в региональное отделение Роскомнадзора. Это можно сделать как заказным письмом, так и лично. Следить за состоянием уведомления можно с помощью уникального номера и ключа, которые присваиваются документу автоматически. Страница для отслеживания состояния уведомления - ссылка.