понедельник, 28 декабря 2015 г.

Оффтоп. Подвожу итоги года. С наступающим!

Добрый вечер, дорогие читатели! В конце года принято подводить итоги и строить планы на будущий год, я всецело поддерживаю эту традицию. 

Хочу сказать, что 2015-й был замечательным и очень насыщенным. Удалось увидеть лично многих людей, которых раньше знала лишь виртуально: Андрея Прозорова, Максима Степченкова, Дмитрия Мананникова, Сергея Вахонина, Андрея Брызгина, Александра Германовича. Надеюсь в следующем году пополнить этот список :) 
Выделить однозначное событие года в плане карьеры я не могу, запоминающихся моментов было несколько. В личной жизни - это, конечно, переезд в собственное жилье. Желаю каждому, у кого пока нет своего дома, обрести его в следующем году!
В 2015м я стала автором Делового Квартала Красноярск и сайта Росконтроль, на одном я пишу для бизнеса, на другом - для субъектов ПДн. Это очень полезный опыт, помогает не зацикливаться на точке зрения оператора. 
За этот год я увидела новые города: Череповец, Юбилейный (Королев), Енисейск, Лесосибирск, Томск, Иркутск, каждый из них оставил о себе приятное впечатление и желание путешествовать по России дальше, мечта следующего года - Санкт-Петербург, если повезет, еще Казань и Владивосток. Ну и обязательно проездом в Москву, уж очень она красивая :)
В плане диссертации за год сделано много, формально - опубликована одна статья ВАК (третья), а по факту работа приобрела целостность и начала складываться в единую картину. Самая главная мечта в плане карьеры на следующий год - защититься и получить свою степень кандидата технических наук. Всем учащимся желаю успешных сессий, защиты дипломов и диссертаций!
Кроме научной статьи вышла в этом году и одна международная статья со специалистом из Узбекистана Антоном Ракитским, надеюсь, в следующем году сотрудничать с авторами разных стран. Сам процесс совместной подготовки материала и дискуссии вокруг него - это полезный опыт. 
В 2015м году мне посчастливилось выступить в качестве спикера 4 раза: на кафедре Безопасности информационых технологий СибГАУ с личным семинаром, на Антитерроре в качестве эксперта по защите информации и два раза на конференции Код ИБ (в Новосибирске и Иркутске). Выступать мне нравится, и я с удовольствием возьму эту часть жизни с собой в новый год, особенно жду Код ИБ в Красноярске 8 сентября. Мероприятия такого уровня в нашем городе еще не проводилось, будет круто!
Ну и как же не упомянуть о моей первой книге, посвященной персональным данным, на ее написание ушло больше полугода и я рада, что могу предоставлять ее всем желающим бесплатно и в электронном виде. В следующем году буду вносить в нее изменения по мере выхода новых нормативных документов, на сегодняшний момент приведенные в книге данные актуальны. 
Также в этом году я повышала квалификацию в ЦБИ, об этом учебном центре была наслышана, и он оправдал свои ожидания. Весело провела время на Квесте по ИБ в СибГАУ. А на прошлой неделе заняла второе место за длинную косу. Все остальное время года занимали любимая работа, семья и друзья, ну и, конечно же кот :) Вот такой был год, спасибо ему за все хорошее! 

А вам спасибо, что читаете, пишете мне свои вопросы и пожелания, это очень приятно! Хочу пожелать вам, чтобы мечты исполнялись и чудеса происходили! Всего самого доброго! С наступающим!
Код ИБ Иркутск
Код ИБ Новосибирск

Страница ВК: vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.

четверг, 24 декабря 2015 г.

План разработки документов ФСТЭК на 2016 год

Добрый день, дорогие читатели! Алексей Лукацкий поделился ссылкой на Выписку ФСТЭК о планах по разработке документов на 2016 год, не смотря на то, что я уже говорила об этом в своей группе ВК, хотелось бы еще раз обратиться к этой теме. В следующем году нас ждут следующие документы:
  1. Проект постановления Правительства Российской Федерации «О внесении изменений в Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации»;
  2. Проект постановления Правительства Российской Федерации «О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации»;
  3. Проект приказа ФСТЭК России «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17»;
  4. Проект приказа ФСТЭК России «Об утверждении требований к межсетевым экранам»;
  5. Проект приказа ФСТЭК России «Об утверждении требований безопасности информации, предъявляемым к операционным системам»;
  6. Проект приказа ФСТЭК России «Об утверждении требований безопасности информации, предъявляемым к системам управления базами данных».

 Какие выводы можно сделать? Изменится порядок лицензирования в отношении разработки и производства СЗИ, а также деятельности по ТЗКИ, поменяется 17 приказ ФСТЭК, будут утверждены требования к межсетевым экранам (думаю, по аналогии с антивирусами), появятся требования безопасности информации для операционных систем и баз данных. А это значит, что постепенно происходит стандартизация и упорядочивание по всем направлениям информационной безопасности, разрабатываются требования для различных видов средств защиты. Также с появлением требований к механизмам защиты ОС и СУБД отпадет большая часть вопросов к разделению доступа встроенными средствами при проведении процедуры аттестации. Какие изменения будут в 17 приказе, я могу пока только гадать, но что-то мне подсказывает, что они как раз коснутся новых требований к межсетевым экранам. Поживем, увидим.

Страница ВК: vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.

пятница, 18 декабря 2015 г.

Квест по ИБ в Красноярске или как я была проверяющей

Добрый день, дорогие читатели! 12 декабря в Сибирском государственном аэрокосмическом университете прошел 2-й Квест по ИБ. 
Участвовали студенты СибГАУ, студенты СФУ и команда специалистов по защите информации СибГАУ. Сразу скажу, мероприятие мне очень понравилось и превзошло мои ожидания, наверное, сказалось, что проводили не первый раз и все недостатки были учтены. Квест представлял собой сочетание заданий по социальной инженерии и взлому информационных систем с элементами логических задач.

История
Есть страховая компания ООО «Кристалл», которая занимается махинациями и тайные агенты, собирающие доказательства противоправных действий фирмы по заданию органов, замаскированные под клиентов и соискателей. Офис работает в обычном режиме, есть страховщики (Евгений Кушко, Ольга Булатова, Екатерина Кальдина), системный администратор (Дмитрий Волков), директор (Ксения Олейник), охранник (Тамара Катасанова), секретарь (Антон Пятков) и андеррайтер (Арина Неб). Выясняется также, что как раз сейчас проходит проверка Роскомнадзора (проверяющего играю я).
Тайные агенты (команды) изображают клиентов и ходят на собеседования. Самое классное то, что жесткого сценария не было. Поэтому все развивалось само и достаточно органично. Причем было видно, как ребята вжились в роль, да и я с удовольствием занималась проверкой.




Локации
Кабинет директора (собеседования, совещания с офисом), приемная (место, где команды совещаются и «ломают сеть», ноутбуком пользоваться можно и нужно), серверная (здесь проходит стажировка на помощника системного администратора, офис (принимают клиентов), коридор (здесь бродит охранник и есть подсказка для задания с котиком).
команда студентов СибГАУ
команда специалистов СибГАУ
команда студентов СФУ

События
Действо длилось три часа, за это время произошло:
1. Совещание офиса и объявление: «К нам приехал РКН».
2. Работа с клиентами.
3. Проведение собеседований.
4. Проведение стажировки.
5. Отключение света (чтобы команды дособирали доказательства в конце игры).
5. Совещание офиса по поводу отключения света.
6. Итоговый конкурс танцев и награждение.
Задания на техническую часть включали подключение к Wi-fi, вскрытие архива и т.д. Логические задания - найди изображение кота, реши задачу Эйнштейна. Социальная инженерия - найди, укради, сфотай документы.

Впечатления
Запомнились некоторые забавные моменты, например, собеседования. Директор отлично исполнила свою роль. Стоит отметить, что организаторы нашли человека с реальным опытом работы руководителя в страховой организации. Я присутствовала на нескольких собеседованиях и видела, как Ксения то была жесткой, то очень доброй, выдавала интересны задания для кандидатов. Участники погрузились полностью, тушевались, путались и в конце собеседования некоторые не смогли даже сказать, как зовут директора.
Я думаю, что это полезный опыт для молодых специалистов, нужно учиться подавать себя. Очень понравился парень, который в ответ на стандартное в сфере продаж "продай мне эту папку с документами" просто забрал ее, написал номер своего телефона и ушел. В конце игры, так и не дождавшись звонка, пришел сам и шантажировал директора полученной информацией.
Еще очень крутой была девушка, которая предложила менеджеру в офисе помочь с прохождением проверки РКН, заявив, что у нее есть в этом опыт. Когда не получилось добыть информацию таким образом, переместилась к другому сотруднику и стала звать его на свидание.


Во время отключения света утащили все документы и даже пытались выдернуть шнур роутера.
Был еще момент, когда один участник сказал системному администратору, что прошел собеседование и прошел стажировку – социальная инженерия в чистом виде.
Иногда я развлекала себя проведением проверки персональных данных. Но я была очень ленивым проверяющим, который поверил, когда администратор сказал, что электронной базы нет, и все документы обрабатываются на бумаге.
Хочу отметить активность участников. Постоянно ходили на собеседования, пытались заключить договора на страхование (кстати, страховали информационные ресурсы, это круто!), тащили что могли, ломали точку доступа. 3 часа пролетели! Выиграла команда молодых специалистов из СибГАУ: Иван Земцов, Татьяна Саламатова и Людмила Полякова. С чем я их и поздравляю, а также две другие команды – соперники были достойные!

Организатор мероприятия Вячеслав Золотарев, к нему можно обратиться по вопросам участия в следующих квестах.
Спасибо за фотографии Полине Рыжовой.
Отзывы участников о квесте есть здесь и здесь.

страница блога ВК: http://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.

четверг, 10 декабря 2015 г.

Что требует предоставить Роскомнадзор при проверке?

Добрый день, дорогие читатели! Сегодня я хочу поделиться с Вами перечнем документов, которые были переданы в Роскомнадзор оператором при проведении одной из проверок по ПДн. Большое спасибо за предоставленную информацию Павлу Ишмаеву!
  1. Исх. №. О направлении документов – 1 лист, оригинал.
  2. Приказ №. «О назначении ответственного лица при проведении проверки Управлением Роскомнадзора по Пензенской области» – 1 лист, копия.
  3. Приказ №. «О назначении ответственного лица за организацию обработки и обеспечение безопасности персональных данных» с должностной инструкцией ‑  3 листа, копия.
  4. Приказ №. «О проведении мероприятий по защите персональных данных» – 1 лист, копия.
  5. Приказ №. «Об утверждении Правил осуществления внутреннего контроля…» с Правилами –  3 листа, копия.
  6. Приказ №. «Об организации режима обеспечения безопасности помещений…» – 4 листа, копия.
  7. Приказ №. «Об утверждении перечня персональных данных…» – 4 листа, копия.
  8. Приказ №. «Об утверждении Положения…» - 1 лист, копия.
  9. Положение о порядке обработки персональных данных работников – 6 листов, копия.
  10. Приказ №. «Об утверждении типовых форм…» и образцы типовых форм – 6 листов, копия.
  11. Приказ №. «Об утверждении типовой формы…» и образец типовой формы согласия на раскрытие персональных данных для внутрикорпоративной деятельности – 2 листа, копия.
  12. Приказ №. «О проведении внутренней проверки…» - 1 лист, копия.
  13. Отчет о проведении внутреннего контроля – 4 листа, копия.
  14. Положение об использовании информационных и телекоммуникационных ресурсов – 8 листов, копия.
  15. Журнал учета хранилищ – 3 листа, копия.
  16. Журнал учета ключей от хранилищ – 6 листов, копия.
  17. Журнал учета печатей – 2 листа, копия.
  18. Журнал учета запросов о получении информации, содержащей персональные данные – 3 листа, копия.
  19. Журнал учета обращений субъектов персональных данных по вопросам обработки персональных данных – 2 листа, копия.
  20. Фотографии сейфов, ключей, колб, устройства для опечатывания, шредера  – 7 листов.
  21. Политика в отношении обработки персональных данных, опубликованная на официальном сайте - 2 листа, копия.
  22. Исх. №. Об отсутствии передачи данных заграницу – 1 лист, оригинал.
  23. Условия предоставления услуг в рамках «зарплатных» проектов… - 4 листа, копия.
  24. Заявление о присоединении к Условиям…- 4 листа, копия.
  25. Заявление на банковское обслуживание - 2 листа, копия.
  26. Доверенность на открытие счета - 1 лист, копия.
  27. Регламент Удостоверяющего центра - 25 листов, копия.
  28. Типовая форма заявления на создание квалифицированного сертификата электронной подписи ‑ 1 лист, копия.
  29. Договор № о присоединении к Правилам ЕПСС УЭК - 4 листа, копия.
  30. Приложение №ПС-13 «Защита информации» к Правилам ЕПСС УЭК - 18 листов, копия.
  31. Договор возмездного оказания услуг №ОЭП/УЭК000060 - 9 листов, копия.
  32. Типовая форма заявления на выдачу универсальной электронной карты ‑ 2 листа, копия.
  33. Типовая форма заявления на отказ от универсальной электронной карты ‑ 1 лист, копия.
  34. Исх. Информационное письмо о внесении изменений в сведения в реестре операторов… – 2 листа, оригинал.
  35. Пояснительная записка ‑ 3 листа, оригинал.
ЗЫ. Проверялись три системы: Бухгалтерия и кадры, Удостоверяющий центр и Универсальная электронная карта.

Понятно, что это частный случай и некоторые документы очень специфичны, но в целом картина схожая. А что проверяли у Вас?

Источник

https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.

вторник, 8 декабря 2015 г.

Вебинар Group-IB. Мои впечатления

Добрый вечер, дорогие читатели! Только что закончился вебинар по продукту Bot-Trek Intelligence от компании Group-IB. Я довольно давно не посещала вебинары, в силу особенностей работы – могу смотреть их только в вечерние часы, но тут все сошлось (15 ч. по Москве – 19 ч. по Красноярску). Сам вебинар длился чуть больше часа, вел его руководитель отдела расследований и сервиса киберразведки Bot-Trek Intelligence Дмитрий Волков.
Речь шла о подписке на информацию об атаках, угрозах, скомпрометированных учетках и других инцидентах безопасности, адаптированной под конкретного заказчика. Для банка, например, это будет информация о номерах украденных карточек клиентов. В принципе, информацию можно собирать и самому (используя тот же сайт ФСТЭК по угрозам), но суть подписки в том, что все уже собрано из разных источников и обновляется в автоматическом режиме. Некоторые данные получают «вручную», путем общения с хакерами, проведения собственных расследований, что делает услугу уникальной для каждой предоставляющей ее компании (в вебинаре прозвучала информация, что подобный сервис есть у ЛК). Мне понравилось, что система модульная и можно оформить подписку на отдельный контент, исходя из своих потребностей.
Цели вебинара, которые были заявлены:
  • Углубленные знания о функционировании ботнетов. В части получения новых знаний о функционировании ботнетсети я бы поспорила, да и не так много времени было, чтобы читать лекцию на эту тему.
  • Системное понимание современных возможностей киберразведки. Были перечислены некоторые пути реализации угроз.
  • Знания о новом методе противодействия хакерам. Здесь вебинар справился со своей задачей по полной, мне понравилось решение, предоставляющее агрегацию данных об угрозах, атаках, хакерских группировках, похищенных учетных записях и т.д. Все в одном месте, информация постоянно обновляется, существует возможность импортировать данных в свои СЗИ, есть встроенные элементы анализа (сортировка по отраслям, например), система оповещений.
  • Ответы на актуальные для вас вопросы от эксперта. На все вопросы были даны исчерпывающие ответы (ну кроме вопроса о цене, это понятно).


Что я вынесла для себя? Инструмент классный, хотелось бы поработать с ним, но чтобы его эффективно применять, нужно выделять силы и средства. 

А Вы используете такие подписки, насколько они себя оправдывают?

http://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.