понедельник, 28 декабря 2015 г.

Оффтоп. Подвожу итоги года. С наступающим!

Добрый вечер, дорогие читатели! В конце года принято подводить итоги и строить планы на будущий год, я всецело поддерживаю эту традицию. 

Хочу сказать, что 2015-й был замечательным и очень насыщенным. Удалось увидеть лично многих людей, которых раньше знала лишь виртуально: Андрея Прозорова, Максима Степченкова, Дмитрия Мананникова, Сергея Вахонина, Андрея Брызгина, Александра Германовича. Надеюсь в следующем году пополнить этот список :) 
Выделить однозначное событие года в плане карьеры я не могу, запоминающихся моментов было несколько. В личной жизни - это, конечно, переезд в собственное жилье. Желаю каждому, у кого пока нет своего дома, обрести его в следующем году!
В 2015м я стала автором Делового Квартала Красноярск и сайта Росконтроль, на одном я пишу для бизнеса, на другом - для субъектов ПДн. Это очень полезный опыт, помогает не зацикливаться на точке зрения оператора. 
За этот год я увидела новые города: Череповец, Юбилейный (Королев), Енисейск, Лесосибирск, Томск, Иркутск, каждый из них оставил о себе приятное впечатление и желание путешествовать по России дальше, мечта следующего года - Санкт-Петербург, если повезет, еще Казань и Владивосток. Ну и обязательно проездом в Москву, уж очень она красивая :)
В плане диссертации за год сделано много, формально - опубликована одна статья ВАК (третья), а по факту работа приобрела целостность и начала складываться в единую картину. Самая главная мечта в плане карьеры на следующий год - защититься и получить свою степень кандидата технических наук. Всем учащимся желаю успешных сессий, защиты дипломов и диссертаций!
Кроме научной статьи вышла в этом году и одна международная статья со специалистом из Узбекистана Антоном Ракитским, надеюсь, в следующем году сотрудничать с авторами разных стран. Сам процесс совместной подготовки материала и дискуссии вокруг него - это полезный опыт. 
В 2015м году мне посчастливилось выступить в качестве спикера 4 раза: на кафедре Безопасности информационых технологий СибГАУ с личным семинаром, на Антитерроре в качестве эксперта по защите информации и два раза на конференции Код ИБ (в Новосибирске и Иркутске). Выступать мне нравится, и я с удовольствием возьму эту часть жизни с собой в новый год, особенно жду Код ИБ в Красноярске 8 сентября. Мероприятия такого уровня в нашем городе еще не проводилось, будет круто!
Ну и как же не упомянуть о моей первой книге, посвященной персональным данным, на ее написание ушло больше полугода и я рада, что могу предоставлять ее всем желающим бесплатно и в электронном виде. В следующем году буду вносить в нее изменения по мере выхода новых нормативных документов, на сегодняшний момент приведенные в книге данные актуальны. 
Также в этом году я повышала квалификацию в ЦБИ, об этом учебном центре была наслышана, и он оправдал свои ожидания. Весело провела время на Квесте по ИБ в СибГАУ. А на прошлой неделе заняла второе место за длинную косу. Все остальное время года занимали любимая работа, семья и друзья, ну и, конечно же кот :) Вот такой был год, спасибо ему за все хорошее! 

А вам спасибо, что читаете, пишете мне свои вопросы и пожелания, это очень приятно! Хочу пожелать вам, чтобы мечты исполнялись и чудеса происходили! Всего самого доброго! С наступающим!
Код ИБ Иркутск
Код ИБ Новосибирск

Страница ВК: vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.

четверг, 24 декабря 2015 г.

План разработки документов ФСТЭК на 2016 год

Добрый день, дорогие читатели! Алексей Лукацкий поделился ссылкой на Выписку ФСТЭК о планах по разработке документов на 2016 год, не смотря на то, что я уже говорила об этом в своей группе ВК, хотелось бы еще раз обратиться к этой теме. В следующем году нас ждут следующие документы:
  1. Проект постановления Правительства Российской Федерации «О внесении изменений в Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации»;
  2. Проект постановления Правительства Российской Федерации «О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации»;
  3. Проект приказа ФСТЭК России «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17»;
  4. Проект приказа ФСТЭК России «Об утверждении требований к межсетевым экранам»;
  5. Проект приказа ФСТЭК России «Об утверждении требований безопасности информации, предъявляемым к операционным системам»;
  6. Проект приказа ФСТЭК России «Об утверждении требований безопасности информации, предъявляемым к системам управления базами данных».

 Какие выводы можно сделать? Изменится порядок лицензирования в отношении разработки и производства СЗИ, а также деятельности по ТЗКИ, поменяется 17 приказ ФСТЭК, будут утверждены требования к межсетевым экранам (думаю, по аналогии с антивирусами), появятся требования безопасности информации для операционных систем и баз данных. А это значит, что постепенно происходит стандартизация и упорядочивание по всем направлениям информационной безопасности, разрабатываются требования для различных видов средств защиты. Также с появлением требований к механизмам защиты ОС и СУБД отпадет большая часть вопросов к разделению доступа встроенными средствами при проведении процедуры аттестации. Какие изменения будут в 17 приказе, я могу пока только гадать, но что-то мне подсказывает, что они как раз коснутся новых требований к межсетевым экранам. Поживем, увидим.

Страница ВК: vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.

пятница, 18 декабря 2015 г.

Квест по ИБ в Красноярске или как я была проверяющей

Добрый день, дорогие читатели! 12 декабря в Сибирском государственном аэрокосмическом университете прошел 2-й Квест по ИБ. 
Участвовали студенты СибГАУ, студенты СФУ и команда специалистов по защите информации СибГАУ. Сразу скажу, мероприятие мне очень понравилось и превзошло мои ожидания, наверное, сказалось, что проводили не первый раз и все недостатки были учтены. Квест представлял собой сочетание заданий по социальной инженерии и взлому информационных систем с элементами логических задач.

История
Есть страховая компания ООО «Кристалл», которая занимается махинациями и тайные агенты, собирающие доказательства противоправных действий фирмы по заданию органов, замаскированные под клиентов и соискателей. Офис работает в обычном режиме, есть страховщики (Евгений Кушко, Ольга Булатова, Екатерина Кальдина), системный администратор (Дмитрий Волков), директор (Ксения Олейник), охранник (Тамара Катасанова), секретарь (Антон Пятков) и андеррайтер (Арина Неб). Выясняется также, что как раз сейчас проходит проверка Роскомнадзора (проверяющего играю я).
Тайные агенты (команды) изображают клиентов и ходят на собеседования. Самое классное то, что жесткого сценария не было. Поэтому все развивалось само и достаточно органично. Причем было видно, как ребята вжились в роль, да и я с удовольствием занималась проверкой.




Локации
Кабинет директора (собеседования, совещания с офисом), приемная (место, где команды совещаются и «ломают сеть», ноутбуком пользоваться можно и нужно), серверная (здесь проходит стажировка на помощника системного администратора, офис (принимают клиентов), коридор (здесь бродит охранник и есть подсказка для задания с котиком).
команда студентов СибГАУ
команда специалистов СибГАУ
команда студентов СФУ

События
Действо длилось три часа, за это время произошло:
1. Совещание офиса и объявление: «К нам приехал РКН».
2. Работа с клиентами.
3. Проведение собеседований.
4. Проведение стажировки.
5. Отключение света (чтобы команды дособирали доказательства в конце игры).
5. Совещание офиса по поводу отключения света.
6. Итоговый конкурс танцев и награждение.
Задания на техническую часть включали подключение к Wi-fi, вскрытие архива и т.д. Логические задания - найди изображение кота, реши задачу Эйнштейна. Социальная инженерия - найди, укради, сфотай документы.

Впечатления
Запомнились некоторые забавные моменты, например, собеседования. Директор отлично исполнила свою роль. Стоит отметить, что организаторы нашли человека с реальным опытом работы руководителя в страховой организации. Я присутствовала на нескольких собеседованиях и видела, как Ксения то была жесткой, то очень доброй, выдавала интересны задания для кандидатов. Участники погрузились полностью, тушевались, путались и в конце собеседования некоторые не смогли даже сказать, как зовут директора.
Я думаю, что это полезный опыт для молодых специалистов, нужно учиться подавать себя. Очень понравился парень, который в ответ на стандартное в сфере продаж "продай мне эту папку с документами" просто забрал ее, написал номер своего телефона и ушел. В конце игры, так и не дождавшись звонка, пришел сам и шантажировал директора полученной информацией.
Еще очень крутой была девушка, которая предложила менеджеру в офисе помочь с прохождением проверки РКН, заявив, что у нее есть в этом опыт. Когда не получилось добыть информацию таким образом, переместилась к другому сотруднику и стала звать его на свидание.


Во время отключения света утащили все документы и даже пытались выдернуть шнур роутера.
Был еще момент, когда один участник сказал системному администратору, что прошел собеседование и прошел стажировку – социальная инженерия в чистом виде.
Иногда я развлекала себя проведением проверки персональных данных. Но я была очень ленивым проверяющим, который поверил, когда администратор сказал, что электронной базы нет, и все документы обрабатываются на бумаге.
Хочу отметить активность участников. Постоянно ходили на собеседования, пытались заключить договора на страхование (кстати, страховали информационные ресурсы, это круто!), тащили что могли, ломали точку доступа. 3 часа пролетели! Выиграла команда молодых специалистов из СибГАУ: Иван Земцов, Татьяна Саламатова и Людмила Полякова. С чем я их и поздравляю, а также две другие команды – соперники были достойные!

Организатор мероприятия Вячеслав Золотарев, к нему можно обратиться по вопросам участия в следующих квестах.
Спасибо за фотографии Полине Рыжовой.
Отзывы участников о квесте есть здесь и здесь.

страница блога ВК: http://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.

четверг, 10 декабря 2015 г.

Что требует предоставить Роскомнадзор при проверке?

Добрый день, дорогие читатели! Сегодня я хочу поделиться с Вами перечнем документов, которые были переданы в Роскомнадзор оператором при проведении одной из проверок по ПДн. Большое спасибо за предоставленную информацию Павлу Ишмаеву!
  1. Исх. №. О направлении документов – 1 лист, оригинал.
  2. Приказ №. «О назначении ответственного лица при проведении проверки Управлением Роскомнадзора по Пензенской области» – 1 лист, копия.
  3. Приказ №. «О назначении ответственного лица за организацию обработки и обеспечение безопасности персональных данных» с должностной инструкцией ‑  3 листа, копия.
  4. Приказ №. «О проведении мероприятий по защите персональных данных» – 1 лист, копия.
  5. Приказ №. «Об утверждении Правил осуществления внутреннего контроля…» с Правилами –  3 листа, копия.
  6. Приказ №. «Об организации режима обеспечения безопасности помещений…» – 4 листа, копия.
  7. Приказ №. «Об утверждении перечня персональных данных…» – 4 листа, копия.
  8. Приказ №. «Об утверждении Положения…» - 1 лист, копия.
  9. Положение о порядке обработки персональных данных работников – 6 листов, копия.
  10. Приказ №. «Об утверждении типовых форм…» и образцы типовых форм – 6 листов, копия.
  11. Приказ №. «Об утверждении типовой формы…» и образец типовой формы согласия на раскрытие персональных данных для внутрикорпоративной деятельности – 2 листа, копия.
  12. Приказ №. «О проведении внутренней проверки…» - 1 лист, копия.
  13. Отчет о проведении внутреннего контроля – 4 листа, копия.
  14. Положение об использовании информационных и телекоммуникационных ресурсов – 8 листов, копия.
  15. Журнал учета хранилищ – 3 листа, копия.
  16. Журнал учета ключей от хранилищ – 6 листов, копия.
  17. Журнал учета печатей – 2 листа, копия.
  18. Журнал учета запросов о получении информации, содержащей персональные данные – 3 листа, копия.
  19. Журнал учета обращений субъектов персональных данных по вопросам обработки персональных данных – 2 листа, копия.
  20. Фотографии сейфов, ключей, колб, устройства для опечатывания, шредера  – 7 листов.
  21. Политика в отношении обработки персональных данных, опубликованная на официальном сайте - 2 листа, копия.
  22. Исх. №. Об отсутствии передачи данных заграницу – 1 лист, оригинал.
  23. Условия предоставления услуг в рамках «зарплатных» проектов… - 4 листа, копия.
  24. Заявление о присоединении к Условиям…- 4 листа, копия.
  25. Заявление на банковское обслуживание - 2 листа, копия.
  26. Доверенность на открытие счета - 1 лист, копия.
  27. Регламент Удостоверяющего центра - 25 листов, копия.
  28. Типовая форма заявления на создание квалифицированного сертификата электронной подписи ‑ 1 лист, копия.
  29. Договор № о присоединении к Правилам ЕПСС УЭК - 4 листа, копия.
  30. Приложение №ПС-13 «Защита информации» к Правилам ЕПСС УЭК - 18 листов, копия.
  31. Договор возмездного оказания услуг №ОЭП/УЭК000060 - 9 листов, копия.
  32. Типовая форма заявления на выдачу универсальной электронной карты ‑ 2 листа, копия.
  33. Типовая форма заявления на отказ от универсальной электронной карты ‑ 1 лист, копия.
  34. Исх. Информационное письмо о внесении изменений в сведения в реестре операторов… – 2 листа, оригинал.
  35. Пояснительная записка ‑ 3 листа, оригинал.
ЗЫ. Проверялись три системы: Бухгалтерия и кадры, Удостоверяющий центр и Универсальная электронная карта.

Понятно, что это частный случай и некоторые документы очень специфичны, но в целом картина схожая. А что проверяли у Вас?

Источник

https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.

вторник, 8 декабря 2015 г.

Вебинар Group-IB. Мои впечатления

Добрый вечер, дорогие читатели! Только что закончился вебинар по продукту Bot-Trek Intelligence от компании Group-IB. Я довольно давно не посещала вебинары, в силу особенностей работы – могу смотреть их только в вечерние часы, но тут все сошлось (15 ч. по Москве – 19 ч. по Красноярску). Сам вебинар длился чуть больше часа, вел его руководитель отдела расследований и сервиса киберразведки Bot-Trek Intelligence Дмитрий Волков.
Речь шла о подписке на информацию об атаках, угрозах, скомпрометированных учетках и других инцидентах безопасности, адаптированной под конкретного заказчика. Для банка, например, это будет информация о номерах украденных карточек клиентов. В принципе, информацию можно собирать и самому (используя тот же сайт ФСТЭК по угрозам), но суть подписки в том, что все уже собрано из разных источников и обновляется в автоматическом режиме. Некоторые данные получают «вручную», путем общения с хакерами, проведения собственных расследований, что делает услугу уникальной для каждой предоставляющей ее компании (в вебинаре прозвучала информация, что подобный сервис есть у ЛК). Мне понравилось, что система модульная и можно оформить подписку на отдельный контент, исходя из своих потребностей.
Цели вебинара, которые были заявлены:
  • Углубленные знания о функционировании ботнетов. В части получения новых знаний о функционировании ботнетсети я бы поспорила, да и не так много времени было, чтобы читать лекцию на эту тему.
  • Системное понимание современных возможностей киберразведки. Были перечислены некоторые пути реализации угроз.
  • Знания о новом методе противодействия хакерам. Здесь вебинар справился со своей задачей по полной, мне понравилось решение, предоставляющее агрегацию данных об угрозах, атаках, хакерских группировках, похищенных учетных записях и т.д. Все в одном месте, информация постоянно обновляется, существует возможность импортировать данных в свои СЗИ, есть встроенные элементы анализа (сортировка по отраслям, например), система оповещений.
  • Ответы на актуальные для вас вопросы от эксперта. На все вопросы были даны исчерпывающие ответы (ну кроме вопроса о цене, это понятно).


Что я вынесла для себя? Инструмент классный, хотелось бы поработать с ним, но чтобы его эффективно применять, нужно выделять силы и средства. 

А Вы используете такие подписки, насколько они себя оправдывают?

http://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.

понедельник, 30 ноября 2015 г.

Какой ты специалист по ЗИ? (тест-шутка)

Дорогие читатели, с праздником! С днем защиты информации! Желаю Вам всего самого лучшего и предлагаю пройти шуточный тест от меня - ссылка. Безопасности и надежности Вам и вашим семьям!
 
Страница ВК: http://shudrova.blogspot.ru/ - ссылки на свежие посты и интересные материалы других авторов.
 

четверг, 26 ноября 2015 г.

Перехожу на темную сторону: пишу для субъектов ПДн

Добрый день,  дорогие читатели! Я стала экспертом сайта Росконтроль.  Давно хотела писать не только для специалистов, но и для субъектов.  Оказалось, что это совсем непросто: каждое определение нужно пояснять своими словами, да и точка зрения субъекта и оператора в корне отличается. Мой первый просветительский опыт вы можете увидеть здесь. Приятного чтения! 
Источник


Страница ВК: http://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.                             

пятница, 20 ноября 2015 г.

Как быстро проверить согласие на обработку ПДн?

Добрый день, дорогие читатели! Думаю, что многим приходится проверять формы согласия на соответствие Федеральному закону "О персональных данных" (от контрагентов и при появлении новых задач). Такая работа достаточно монотонная и отнимает время. Чтобы ее немного упростить, я составила себе шпаргалку, чтобы проверять быстрее. Делюсь с вами:
 
1) КТО? фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) ЗА КОГО? фамилия, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) КОМУ? наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; 6) наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
4) ЗАЧЕМ? цель обработки персональных данных;
5) КАКИЕ? перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
7) ЧТО БУДУТ ДЕЛАТЬ? перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) НА СКОЛЬКО? срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) СОГЛАСЕН? подпись субъекта персональных данных.

И маленькое стихотворение для Вас, чтобы лучше запоминалось:

Кот принес сове листок,
Что еж согласен на учет:
Кто сколько яблок приволок.
Сова составила отчет:
Где ФИО, адрес, документ
И положила до зимы,
А если будет инцидент -
Совы прикрыты все тылы.
(с) Шудрова К.

Всем хороших выходных!

Страница ВК: http://vk.com/kshudrova - ссылки на все свежие посты и интересные материалы других авторов.

воскресенье, 15 ноября 2015 г.

Конференция Роскомнадзора

Добрый вечер, дорогие читатели! 10 ноября прошла VI Международная конференция "Защита персональных данных". Видеотрансляцию конференции можно увидеть, перейдя по ссылке (доступна только до 10 декабря, так что поторопитесь). Видео аж 6 часов, но справа есть удобное меню для переключения между сюжетами. Обратите внимание примерно в 02:20 представитель РКН рассказывает об итогах контроля в области ПДн (805 проверок за 2015 год, из них плановых - 746), в 02:23 он отмечает типичные нарушения, выявленные у операторов. Примерно в 02:36 выступает представитель ФСТЭК, в 02:52 - представитель ФСБ. На конференции выступал в качестве модератора М.Ю. Емельянников, его впечатления можно прочитать здесь и здесь.
 
Страница блога ВК: http://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.

понедельник, 26 октября 2015 г.

Вопрос читателя. Информация ограниченного доступа

Здравствуйте, дорогие читатели! Сегодня я хочу предложить Вашему вниманию два письма читателя Сергея Симонова об определении информации ограниченного доступа.
 
Добрый день. Озадачился я недавно вопросом что такое ИОД (информация ограниченного доступа). В ГИС помимо ПДн есть и коммерческая тайна, и служебная информация… да мало ли что ещё есть… НО! Требования по защите проработаны только для ПДн. Для служебной тайны вообще нет своего закона, хотя о нем говорят с 2004 года. Вот ФСТЭК и озаботился защитой всего (в том числе и ПДн) в ГИС запихав в понятие ИОД все виды конфиденциальной информации по УП №188. (абстрактно запихал) Однако, формулировки что такое ИОД я не нашёл. Так что же такое ИОД? В своих поисках выявил огромное количество формулировок: сообщения ограниченного доступа, служебные сведениями ограниченного распространения, сведения ограниченного доступа… Нашел ли я ответ? Думаю что да. Взгляните, может будет интересно. Возможно я упустил что-то. Что-то лежавшее на поверхности.
Поискав ещё немного обнаружил любопытное толкование ИОД на сайте http://www.wikisec.ru/
3. В составе информации ограниченного доступа различают сведения, составляющие государственную тайну, и конфиденциальную информацию. Информации ограниченного доступа подразделяется на секретную и конфиденциальную.

Также Сергей прислал майнд-карту: ссылка (не обращайте внимание, если браузер ругается, это не вирус :))
 
2 письмо
Обсудил с коллегами свою схему. Принял критику. Судя по моей схеме в ГИС обрабатывается только ПДн, служебная информация ограниченного распространения, Комм.Т. Но это не так. Так же присутствует общедоступная информация (скажем, о деятельности организации публикуемая в виде отчетов на офф сайте) и согласно ФЗ-149 ст.8. п.4. «Не может быть ограничен доступ к: 3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну)».
Согласно тому же 149 ФЗ ст5. п2. «Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)».
Вот и получается что доступ к ПДн/КоммТ ограничен ФЗ-152/ ФЗ- 98.
Однако не понятно, что делать со служебной информацией ограниченного распространения. Отдельного ФЗ по ней нет. Однако несть целая россыпи приказов ФСТЭК\ФСБ по необходимости её защиты. Но это приказы и методические рекомендации, а не федеральные законы. Получается что служебная информация ограниченного распространения это не ИОД?
Но согласно 149-ФЗ ст.9, п.4. конфиденциальность служебной информация соблюдать надо.
 
В качестве своего комментария могу сказать, что ситуация со служебной тайной действительно неоднозначная. Несмотря на то, что данную пометку повсеместно используют, на уровне законов требования защиты не закреплены. Как мы знаем, термин "конфиденциальная информация" хоть и часто встречается в жизни, но в законодательстве определены "сведения конфиденциального характера". Неоднозначность понятийного аппарата в информационной безопасности приводит к различным спорам и вызывает недопонимание специалистами друг друга.
 

среда, 14 октября 2015 г.

17 мгновений законодательства

Добрый день, дорогие читатели! До сих пор продолжаю разбирать свои заметки, сегодня на глаза попался доклад с Код ИБ :) В процессе подготовки к выступлениям, я выделила наиболее интересные документы в области персональных данных за последнее время, думаю, что этот список может оказаться Вам полезным.
Федеральные законы:
1. Федеральный закон от 21.07.2014 N 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях";
2. Федеральный закон Российской Федерации от 13 июля 2015 г. N 264-ФЗ "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и статьи 29 и 402 Гражданского процессуального кодекса Российской Федерации" (право забвения);
3. Федеральный закон от 29 июня 2015 г. N 193-ФЗ "О внесении изменений в статью 183 Уголовного кодекса Российской Федерации".
Постановления Правительства:
4. Постановление Правительства РФ от 06.07.2015 N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации";
5. Постановление Правительства РФ от 19.08.2015 N 857 "Об автоматизированной информационной системе "Реестр нарушителей прав субъектов персональных данных" (вместе с "Правилами создания, формирования и ведения автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных").
Приказы Роскомнадзора:
6. Приказ Роскомнадзора от 22.07.2015 N 85 "Об утверждении формы заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства РФ в области персональных данных";
7. Приказ Роскомнадзора от 22.07.2015 N 84 "Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи" (Зарегистрировано в Минюсте России 14.08.2015 N 38532).
Инициативы ФСТЭК и ФСБ:
8. ФСБ Методические рекомендации по разработке НПА, определяющих угрозы безопасности ПДн, актуальные при обработке ПДн в ИСПДн, эксплуатируемых при осуществлении соответствующих видов деятельности 31.03.2015 149/7/2/6-432;
9. Банк данных угроз безопасности информации (Информационное сообщение о банке данных угроз безопасности информации от 6 марта 2015 г. N 240/22/879).
Другое:
11.  Комиксы про Роскомнадзор;
 Проекты:
13. Методика определения угроз безопасности информации в информационных системах.
14. Проект Постановления Правительства РФ «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки ПДн требованиям законодательства Российской Федерации».
15. О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части уточнения положений, устанавливающих ответственность за нарушение законодательства о персональных данных).
16. Проект отраслевой модели угроз безопасности персональным данных от Банка России.
17. Проект Новая редакция доктрины информационной безопасности.
И, напоследок, картинка от Роскомнадзора, который сегодня празднует год в соцсетях.
 
Страница ВК: http://vk.com/kshudrova - свежие посты блога и интересные материалы других авторов.

вторник, 6 октября 2015 г.

Вопрос читателя. Передача персональных данных в военкомат

Добрый вечер, дорогие читатели! Сегодня хочу поднять тему передачи персональных данных в военкомат. Представляю Вашему вниманию вопрос читатели и мой ответ на него.
 
Вопрос:
Добрый день, Ксения! Военкомат, ссылаясь на закон о воинской обязанности, п1.ст4. по-моему (организации обязаны предоставлять сведения на призывников необходимые для деятельности военкомата по призыву) запрашивает то одни, то другие ПДН в нужном им формате, зачастую даже не имеющиеся в делах без дополнительного сбора информации. Закон от 98 года, указанная статья в последующих редакциях изменений не претерпела, где то защищаем, требуем согласия, даже в милицию по мотивированному запросу только, а тут вынь да положь, и вроде как законно, но....как говорится меня терзают смутные сомнения, задал вопрос на форум ПДН, но ни одного ответа, написал письмо в РКН, но ждать месяц ответа. Очень бы хотелось услышать Ваше мнение по данному вопросу.
 
Ответ:
Здравствуйте! Пункт 2 статьи 6 Федерального закона № 152-ФЗ "О персональных данных" подразумевает обработку персональных данных без согласия в случае осуществления и выполнения оператором, возложенных на него функций и обязанностей. Обрабатывать данные воинского учета нужно по Федеральному закону № 53-ФЗ "О воинской обязанности и военной службе", как Вы и указали. Передача данных - частный случай обработки, значит передавать можно. К тому же, согласно статьи 7 ФЗ № 152 операторы не должны передавать данные, если иное не предусмотрено законом. А законом, как мы уже выяснили, предусмотрено данные передавать. Мое мнение - все законно.
 
А как считаете Вы?
 
Страница ВК: http://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.

четверг, 1 октября 2015 г.

Всероссийский кейс-чемпионат по информационной безопасности

Добрый вечер, дорогие читатели! На мой взгляд, знаний, полученных в ВУЗе все-таки недостаточно, чтобы стать полноценным специалистом, раньше приходилось "добирать" чтением книг, журналов и подработкой, а теперь у современных студентов появилась возможность участвовать в практических конференциях и соревнованиях (тот же CTF, к примеру).
Сегодня открывается регистрация на всероссийский кейс-чемпионат по информационной безопасности от сообщества RISC.
Всероссийский кейс-чемпионат по информационной безопасности — единственное в своём роде мероприятие, которое собирает в одном месте лучших cтудентов, интересующихся организационной составляющей информационной безопасности и практикующих специалистов, настоящих CISO (Chief information security officer). Командные соревнования, которые позволяют в короткие сроки отработать практические навыки. Никакой теории, только реальные ситуации!
Информацию о мероприятии можно найти здесь, зарегистрироваться здесь. Участвовать могут студенты второго курса и выше, магистранты и аспиранты специальностей по информационной безопасности, конкурс командный (по 4 человека). Первый этап заочный, финал 28 ноября в Санкт-Петербурге. Чтобы примерно представлять, какие будут задания, можно ознакомиться с прошлогодними. В числе организаторов известные личности в сфере ИБ: Мария Сидорова и Евгений Родыгин. Вот кратко и все, от себя могу добавить - если есть возможность, примите участие, мероприятие того стоит!

Страница ВК: http://vk.com/kshudrova - ссылки на свежие посты и новые материалы других авторов.

вторник, 29 сентября 2015 г.

Код информационной безопасности в Иркутске: мои впечатления

Добрый день, дорогие читатели! Почти две недели назад (17 сентября) в Иркутске прошел Код информационной безопасности. В СМИ по этому поводу писали здесь и здесь. На официальном сайте конференции вчера опубликовали отчет об итогах конференции, также на сайте можно посмотреть презентацию и фотоотчет.
Изображение взято со страницы организатора
Изображение взято со страницы организатора
Изображение взято со страницы организатора
 Ну а теперь собственно о моих впечатлениях :) В Иркутске я раньше не была и наивно полагала, что поезд поедет мимо Байкала, чьим прекрасным видом я и буду наслаждаться из своего купе. Оказалось, нет, это в другую сторону :) Природа такая же, как в Красноярске, в этом плане ничего нового я не увидела. Зато порадовала погода - было очень тепло и солнечно. Те несколько часов, что мне удалось погулять по Иркутску, были очень приятными. Удивили автобусы, во-первых потому что по 12 рублей (в Красноярске 19 и скоро повысят), во-вторых потому что нет кондуктора и оплату нужно передавать водителю, в-третьих потому что остановки не объявляют. С помощью подсказок других пассажиров, я вышла на нужной остановке, это порадовало - охотно объясняли и подсказывали все, к кому я обращалась. Затем я направилась в гостиницу, которая оказалась деревянным двухэтажным домом, очень колоритным, внутри стоял очень приятный запах дерева, вокруг отеля живописный сад.

 
 
Сам город я посмотрела совсем немножко: была на улице Ленина, сходила в Художественный музей (очень понравился). Красивый, аккуратный город, мне показалось, что похож на Томск.
 
 
 
 
На конференции многие доклады повторялись с Новосибирском (как и мой), но интересные мысли, которые я не услышала были. Хочу отметить, что зал был очень активным, если в Новосибирске на пленарной части темы мы задавали себе сами, пока зал раскачивался, то здесь вопросы посыпались сразу и градом. После каждого выступления также ждал шквал вопросов, были сложные и интересные. Чувствовалось, что специалисты изголодались по подобным мероприятиям и вопросы долго копили. Было очень много студентов, вообще зал был полным, организаторам пришлось даже принести дополнительные стулья, такой аншлаг порадовал!
Что же интересного мне запомнилось? Процитирую Вам из своей записной книжки:
1. В докладе Конфидента (Е. Мардыко) прозвучало, что у них есть сертификаты совместимости с другими СЗИ, мне кажется, это здорово. Помнится в бытность мою работником аттестующего органа приходилось такую совместимость определять "методом тыка".
2. В докладе С. Налетова были определены 4 блока безопасности: безопасность периметра, системного ПО, прикладного ПО, пользователя. Хорошая классификация, можно взять ее на заметку.
3. Также в докладе Налетова прозвучала информация о том, что лишь 13% сайтов не содержат уязвимостей. Можно поспорить, но я коллекционирую цифры в ИБ, так что записала.
4. Вячеслав Медведев задал аудитории вопрос о том зачем нужен антивирус. Ответы были разные, интересно было послушать мнения зрителей на эту тему. Ответ докладчика: антивирус выполняет уникальные функции.
5. Еще одна интересная мысль Медведева: ситуация с информационной безопасностью ухудшается в связи с увеличением вовлеченности в ИТ-технологии. Тут не поспоришь, и фраза красивая.
6. Список белых флешек не работает, так как номера флешек в одной партии одинаковые (с) В. Медведев. Записала, чтобы проверить :)
7. Понравился вопрос из зала опять же В. Медведеву (Dr Web): "Принимаете ли Вы участие в разработке вирусов?" Ответ был отрицательным.
8. Доклад Малевина мне понравился, как и в прошлый раз. Не понравилась анкета, которую просили заполнить за шоколадку. А в этой анкете нужно было указать рабочую почту и телефон, количество сотрудников организации, свою должность, роль в принятии решений по закупкам, планы организации в области ИТ. Понятно, что вопросы стандартные, но мы так долго говорили в приветственной части о социальной инженерии, что удивительно, как легко ее взялись заполнять зрители. Есть повод задуматься :)
9. Понравились вопросы из зала. Можно ли доверять сертифицированному ПО? Как посчитать эффективность СЗИ? Кто должен фильтровать контент для детей (провайдер)? Уязвимости flash. Проверки по 242 закону. Не противоречит ли импортозамещение задачам бизнеса? Что нужно учить студенту по ИБ? Тенденции ИБ. Проверки контролирующих органов. Русские дата-центры. Социальная инженерия и статус специалиста. Обучение пользователей. В общем, на этот год тем для постов хватит :)
10. Вопрос Малевину: Насколько можно доверять Microsoft в хранении персональных данных в том числе биометрии? Ответ: информация анонимна.
11. У Н. Сорокина была очень смешная шутка про DLP и словарь. О том, что слово "кокс" было найдено практически у всех на металлургическом комбинате.
12. Д. Мананников по-философски отметил, что в условиях кризиса оптимизация затрат понимается, как их сокращение. К сожалению, я с ним согласна.
 
Кратко это все мои записки, но зал был настолько активен, что зафиксировать все интересное просто не представлялось возможным. Зато понятно, что Код информационной безопасности в следующем году в Иркутске ждут :) 
 
Вот такие мои впечатления от города, от конференции. Про Новосибирск я уже рассказывала здесь. Выступать на Код ИБ мне понравилось, особенно отвечать на вопросы в приветственной части, есть диалог и вопросы из абсолютно разных областей постоянно сменяют друг друга - адреналин еще тот (а вдруг не знаю ответ? Обошлось, к счастью)! Все классно организовано, комфортная дорога до места проведения мероприятия, красивые отели, отличная еда и приятные залы для выступлений. Спасибо организаторам за приглашения, надеюсь, в следующем году снова к вам присоединиться!
 
Страница ВК: http://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.





суббота, 26 сентября 2015 г.

Как измерить блогера?

Добрый день, дорогие читатели! В последнее время активно обсуждается тема составления рейтингов блогеров по ИБ. 14 сентября свой рейтинг на основании количества подписчиков составил Александр Бодрик. Методика подсчета вызвала активные споры, в первую очередь о том, является ли количество подписчиков определяющим фактором. 17 сентября Алексей Комаров составил свой список блогеров, отсортировал их по алфавиту и разместил анкету для формирования будущего рейтинга. 25 сентября свои мысли на эту тему озвучил Алексей Лукацкий (ждем рейтинг его авторства). Ранее составляли свои рейтинги Сергей Борисов и сообщество BISA. Я тоже дважды составляла свой топ: в прошлом году и в этом. Думаю, есть еще публикации на тему рейтингов, киньте ссылки, если знаете :) 
Выскажу свое мнение. Мне кажется, что наиболее интересны рейтинги, составленные экспертами, журналами и сообществами на основании личных предпочтений, на втором месте - рейтинги по количеству подписчиков. И вот совсем неинтересно лично мне - рейтинг на основании голосования всех желающих, уж слишком напоминает это "Поставьте лайк моей дочери, она участвует в конкурсе". Цель изучения рейтинга для читателя - узнать основных авторов, читая которых, можно составить мнение о состоянии отрасли, здесь без экспертного мнения обойтись трудно. А как считаете Вы?

Страница ВК: https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.

понедельник, 21 сентября 2015 г.

Код информационной безопасности Новосибирск: презентация, фотоотчет, итоги

Добрый вечер, дорогие читатели! Подведены итоги Кода ИБ в Новосибирске (ссылка). О своих впечатлениях я писала в предыдущем посте, сегодня хочу поделиться с вами презентацией и фотоотчетом. Чуть позже расскажу о том, как все прошло в Иркутске. Поделиться есть чем, но не все сразу :)
 
Страница ВК: http://vk.com/kshudrova - ссылки на новые посты и интересные материалы других авторов.
 

воскресенье, 13 сентября 2015 г.

Код информационной безопасности в Новосибирске: как это было

Добрый вечер, дорогие читатели! В четверг прошла конференция "Код информационной безопасности" в Новосибирске. Я выступала в качестве спикера. Подробнее о конференции можно прочитать здесь.
Расскажу о своих впечатлениях. Началось все в 9 утра с регистрации участников, кофе-брейка, неформальных знакомств. Затем было официальное слово организаторов и спикеров попросили сказать пару слов. Не готовилась, поэтому вышло довольно сумбурно, но от души :) С 10:10 утра началась пленарная часть (вводная дискуссия). Вчетвером: Максим Степченков, Максим Прокопов, я и представитель ФСТЭК (к сожалению, не знаю, кто именно) рассуждали о трендах ИБ. Поговорили об импортозамещении, обучении пользователей, АСУ ТП, BYOD, сертификации. Темы были животрепещущие, вызвали споры и живое обсуждение слушателями. Полтора часа пролетели незаметно.
После кофе-брейка мы разделились. Одна половина отправилась рассуждать о внешних угрозах, другая - о внутренних. Я примкнула ко второй, так как доклад мой был в этой секции. У нас было 5 докладов, больше всего мне запомнился доклад Сергея Вахонина о DeviceLock DLP. Подача была очень эмоциональная, а если учитывать, что это был последний доклад перед обедом и мы на обед задержались - было очень интересно!
После обеда мы все переместились в одну аудиторию и слушали доклады об интернет-банкинге, Windows 10, DDoS-атаках и другом. Запомнился Павел Малевин, интересно, по делу.
По хронологии все. Теперь немножко о мыслях из докладов, которые я отметила в записной книжке:
1. Новые технологии Searchinform: CloudSniffer, ViberSniffer (Н. Сорокин).
2. DLP помогает проверить деятельность системного администратора (Н. Сорокин).
3. Стахановец - много о ней говорить, почитать, поковырять.
4. DLP - это модно (Н. Сорокин).
5. Посмотреть отчеты: JSOC Security flash Q1 2015, ISACA State of Cybersecurity, PWC. Управление киберрисками во взаимосвязанном мире (Д. Бондарь).
6. Расследование инцидентов: недопущение, оперативное выявление, минимизация рисков (М. Прокопов).
7. Причины инцидентов: лентяи, злоумышленники, опасное ПО, уязвимости, аварии (М. Прокопов).
8. Инсайдер - это сотрудник компании (подмена понятий). (С. Вахонин).
9. Происходит смешение личной и рабочей жизни сотрудников (С. Вахонин).
10. У DLP должна быть функция предотвращения (С. Вахонин).
11. Чем сложнее правила аудита, тем реже они встречаются (С. Вахонин).
12. В 2014 году был спад инцидентов ДБО, с января по июнь этого года инцидентов стало больше на 50%. С июля число инцидентов выросло на порядок (А. Хафизов).
13. Сумма мошеннического платежа увеличилась (А. Хафизов).
14. Все платежи мошенников были проведены в режиме удаленного управления (А. Хафизов).
15. Почитать про fraudwall.
16. Угроза ДБО. 83% ущерба - юридические лица (Д. Калемберг).
17. Угроза ДБО. Часто заражаются порталы banki.ru, glavbuh.ru и т.д. Целевая аудитория "ловит" трояна, создается ботнет сеть. (Д. Калемберг).
18. Для физических лиц защищенный доступ к интернет-банкингу: sms на номер, скретч-карты, аппаратные генераторы паролей, MAC-токены, приложение (Paycontrol) (Д. Калемберг).
19. Почитать про банковский троянец "Зевс".
20. Почитать про Windows 10: Virtual Secure Mode, Passport, Enterprise Data Protection.
21. Почитать про сервер лицензий Dallas Lock.
 
ЦИТАТЫ НЕТОЧНЫЕ, это лишь мой конспект основных идей докладчиков (указаны в скобках).
Свою презентацию и доклад выложу позже. Пока могу сказать только, что я рассказывала о 14 трендах в защите персональных данных.
Вот и все, конференция прошла, принесла много новых идей, впечатлений. Надеюсь, в Иркутске будет еще лучше!
 
Страница ВК: http://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.
 
Фото взято со страницы организатора Ольги Поздняк

Фото взято со страницы организатора Ольги Поздняк
 
Фото взято со страницы организатора Ольги Поздняк