понедельник, 22 июня 2015 г.

Информационное. Загружен архив статей

Добрый вечер, дорогие читатели! В связи с техническими проблемами портала sec.ru размещаю новые ссылки на свои статьи (2012-2015 гг.). Будем надеяться, что сайт реанимируют, а пока все материалы доступны в pdf:
  1. ЗИ: ИТ или СБ? Ссылка
  2. О новом Постановлении Правительства в области защиты персональных данных.Ссылка
  3. Поиски иголки в стоге сена. Ссылка
  4. 21 Приказ ФСТЭК: что делать оператору персональных данных? Ссылка
  5. Химеры информационной безопасности. Ссылка
  6. Современные виды мошенничества и возможная самозащита от них. Ссылка
  7. Персональные данные: что было, что будет, на чем сердце успокоится… Часть 1. Обзор законодательной базы. Ссылка
  8. Персональные данные: что было, что будет, на чем сердце успокоится… Часть 2. Закон «О персональных данных». Ссылка
  9. Персональные данные: что было, что будет, на чем сердце успокоится… Часть 3. Классификация информационных систем персональных данных. Ссылка
  10. Персональные данные: что было, что будет, на чем сердце успокоится… Часть 4. Криптография. Ссылка
  11. Персональные данные: что было, что будет, на чем сердце успокоится… Часть 5. Меры защиты... Часть 5. Меры защиты. Ссылка
  12. Персональные данные: что было, что будет, на чем сердце успокоится… Часть 6. Основные проблемы. Заключение. Ссылка
Страница блога ВК: https://vk.com/kshudrova - ссылки на свежие посты блога и интересные материалы других авторов.

вторник, 9 июня 2015 г.

Замечания к методике определения угроз

Здравствуйте, дорогие читатели! Как вы, наверное, помните, ФСТЭК принимает замечания к проекту Методики определения угроз безопасности информации в информационных системах до 10 июня, а так как я люблю откладывать все на последний момент, то я отправила свои предложения сегодня.

Здравствуйте! Направляю свои предложения по проекту "Методики определения угроз безопасности информации в информационных системах".


В Постановлении Правительства 1119 говорится о трех типах угроз, а в контексте данного документа понятие "типа" не рассматривается, хотя в Общих положениях сказано, что Методика может применяться для оценки угроз оператором персональных данных. Также в Постановлении 1119 сказано, что угрозы должны определяться с учетом оценки возможного вреда, а в Методике говорится о понятии ущерба (вред упоминается лишь косвенно). 
На мой взгляд, хорошим решением было бы выделение отдельного раздела для описания методологии определения типа угроз и вреда субъекту персональных данных в рамках Методики. 
Больше замечаний не имею, стиль и логика изложения документа достойны самой высокой оценки.

-- 
С уважением, Ксения Шудрова


На самом деле, написать замечания было довольно сложно и это скорее даже пожелание - выделить в отдельный раздел угрозы персональных данных. Документ очень целостный и по нему действительно можно работать, даже в том виде, в котором он сейчас, но предела совершенству нет. Теперь остается только ждать и гадать, каким же будет итоговый документ, будут ли в нем учтены предложения специалистов.

Страница ВК: http://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.


понедельник, 8 июня 2015 г.

Роскомнадзор в комиксах

Здравствуйте, дорогие читатели! Наверняка многие из вас следят за сайтом РКН, чтобы оперативно узнавать важные новости в сфере персональных данных. Сегодня я для себя открыла группу ВК (ссылка). Картинка, собственно, оттуда. Добавить мне нечего :)

Роскомнадзор спасает детей от порнографии. Источник

Страница блога ВК: https://vk.com/kshudrova - свежие посты и интересные материалы других авторов по ИБ.
Книга о защите ПДн (можно скачать бесплатно): ссылка.

среда, 3 июня 2015 г.

Современные системы безопасности – Антитеррор. Мои впечатления

Добрый день, дорогие читатели! С 27 по 29 мая в Красноярске прошел XI Всероссийский специализированный форум-выставка «Современные системы безопасности – Антитеррор». Я на этом мероприятии была уже много раз, сначала в качестве студента, потом специалиста, в этом году исполнилась моя давняя мечта - выступить на Антитерроре в роли эксперта. Мероприятий подобного масштаба для безопасников в Красноярске, на мой взгляд, нет. Жалко, конечно, что вопросам защиты информации уделяется на форуме не так много внимания, как хотелось бы, но все впереди, по-крайней мере, в этом году у нас была целая секция (осталось только заполучить большой зал для выступлений :)). 
Официальную информацию об Антитерроре можно посмотреть здесь. Все происходящее делится на доклады и показательные выступления, и непосредственно выставку, на которой фирмы, работающие в сфере безопасности представляют свои товары и услуги. Традиционно широко были представлены охранно-пожарные системы, также я заметила павильон своего первого работодателя-интегратора (приятная ностальгия). 
Хочу поделиться с вами своими впечатлениями от секции, в которой я выступила 28 мая: «Практика организации мероприятий по защите информационного пространства от распространения идеологии терроризма. Механизмы оценки результативности их реализации»
Так получилось, что мой доклад был самым последним и все волнение успело улечься :) Слушать доклады было очень интересно, с темой антитеррористической деятельности я знакома очень мало, поэтому открыла для себя много новой полезной информации. Наиболее запомнились своей простотой и лаконичностью следующие мысли:
1. Роскомнадзор закрывает сайты, но зеркала появляются гораздо быстрее.
2. Запрещенный контент переходит в закрытые группы в соцсетях, причем названия таких групп зачастую весьма невинны.
3. Существует правовой вакуум - нет четких определений основным понятиям, таким как Интернет и киберпреступность.
4. Эффект экрана - информация с экрана воспринимается менее критично, чем из газеты.
5. Инсайдера можно перевоспитать. 
Последнее допущение о том, что инсайдера можно перевоспитать, правильно подобрав ему сферу деятельности, заставило меня о многом задуматься. Раньше я считала, что инсайдеров нужно лишь выявлять и ограничивать в правах, а то и вовсе увольнять. Так что над этой интересной мыслью Краснова И.З. я еще хорошенько поразмышляю. Хочется отметить, что по подаче своей и умению заинтересовать аудиторию, Краснову (СФУ) равных не было. Очень интересно было слушать про 16 психотипов личности в контексте информационной безопасности. Может быть потому, что социальная инженерия и лояльность сотрудников - одна из самых горячо обсуждаемых тем. Также интересными были доклады Кушнира В.П. (СибГТУ) об организации защищенного канала связи и Золотарева В.В. (СибГАУ) о технологии защиты от уязвимостей.
Мой доклад был посвящен персональным данным (а кто бы сомневался):
За 15 минут осветить все практические вопросы защиты персональных данных невозможно, поэтому в процессе подготовки многое из доклада было убрано. Основной акцент я сделала на определение уровня защищенности и построение модели угроз в связи с выходом проекта документа от ФСТЭК. Обратная связь после мероприятия была, обменивались контактами с заинтересовавшимися, это очень приятно.
Могу сказать, что я полностью осталась довольна прошедшим мероприятием, узнала много нового, рассказала о том, что знаю. Было такое необычное чувство, когда все расселись за круглый стол: взрослые, солидные мужчины, в основном, представители правоохранительных органов и всего три женщины - одна и которых я. Здорово, что тема персональных данных прозвучала именно в формате данного форума, ведь безопасность общества начинается с безопасности личности.

С Вячеславом Золотаревым (СибГАУ, доцент кафедры БИТ)












Фотографии предоставлены организаторами Антитеррора (отдельное спасибо Молокову В.В.)

Страница ВК: https://vk.com/kshudrova - ссылки на новые посты и интересные материалы других авторов

вторник, 2 июня 2015 г.

Россия-Узбекистан. Совместная публикация с Антоном Ракитским

Добрый день, дорогие коллеги! Хочу представить Вашему вниманию свой первый опыт совместной публикации - статью с коллегой из Узбекистана Антоном Ракитским - "Совет экспертов: Как наладить информационную безопасность на предприятии" (ссылка). Публикацией на сайте дело не окончится, скоро выйдет расширенная версия статьи в бумажном варианте. Приятного вам чтения!
ЗЫ. Пост про впечатления от Антитеррора выйдет чуть позже :)

Страница ВК: https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.
Моя книга по защите персональных данных (скачать можно бесплатно): ссылка.