вторник, 28 июня 2016 г.

Все мне ясно стало теперь

Добрый вечер, дорогие читатели! Сегодня я хочу поделиться с вами отличной новостью (спасибо за ссылку Алексею Лукацкому) - ФСБ опубликовала на своем сайте сообщение об отмене двух документов в области защиты персональных данных.

Сообщение ФСБ России от 21.06.2016 (с сайта ФСБ) - ссылка.
Потеряли актуальность документы:
1. "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации".
2. "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных".

В настоящее время в области обеспечения безопасности персональных данных действуют:
1. Приказ ФСБ от 10 июля 2014 года № 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
2. Приказ ФСБ РФ от 09.02.2005 N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)".
3. Приказ ФАПСИ от 13.06.2001 N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну".
4. "Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности" (утв. ФСБ России 31.03.2015 N 149/7/2/6-432).


О чем нам все это говорит? О том, что, наконец, не нужно гадать, как классифицировать нарушителей - по старым требованиям или по новым? Теперь мы достигли определенной ясности.
Об отмененных документах и приказе 378 можно почитать здесь
* - Четвертая часть моей книги будет отредактирована в связи с новыми изменениями. 
Наталия Р. (shaykina). Цветущий сад. Источник
Страница ВК: http://vk.com/kshudrova - ссылки на новые посты и интересные материалы других авторов.

вторник, 14 июня 2016 г.

PHDays. Отзыв. Безопасность бумажная и техническая: им не жить друг без друга

Добрый вечер, дорогие читатели! Гордо шествуя под гербом прокрастинации, я могу с радостью сообщить, что наконец-то подготовила отзыв о докладе на PHDays. Открытым голосованием в группе ВК (39,1% голосовавших) победил доклад "Безопасность бумажная и техническая: им не жить друг без друга" от Михаила Емельянникова (все доклады есть в открытом доступе).
Доклад довольно объемный - 52 минуты, но посмотреть его лучше одним разом, чтобы не вспоминать, что там было вначале. Вы услышите множество интересных примеров про то, как можно пострадать, неправильно выстроив режим коммерческой тайны. Мне очень понравился пример с выбросами на заводе. К сожалению, наиболее интересные примеры обезличены (по понятным причинам), но покопаться в сети и поискать похожие случаи можно. По-крайней мере байки подкидывают пищу для размышлений перед разговором с руководством на тему того, зачем вообще нужна информационная безопасность. Всего баек 11 и они разбросаны по всему докладу, так что посмотреть нужно всё, попутно отмечая карандашом интересные мысли. 
Но есть и минусы. Мне не очень понравилось структура доклада, казалось, что презентация состоит из совершенно не связанных друг с другом частей. Также я бы не сказала, что в полной мере была раскрыта тема единства бумажной и технической безопасности. Вопросы, которые поднимались, ставили меня в ступор: для кого этот доклад? Вначале говорится о карьере специалиста, и о том как происходит трудоустройство молодого работника, затем о том, какие неприятности могут произойти если пренебрегать бумажной безопасностью. Все-таки на мой взгляд, доклад предназначен в основном для студентов и технарей (системных администраторов, к примеру); тот, кто уже пишет документы по ИБ, нового для себя не откроет. 
Однако если отбросить всевозможные схемы и диаграммы, перечисление статей УК и КоАП, то можно найти очень ценную информацию, которая содержится в виде баек. Не зря название дополнено и звучит как "Безопасность бумажная и техническая: им не жить друг без друга. Байки из ИБункера". Также интересна вечная тема легитимности подсматривания и подслушивания за своими работниками, она раскрыта и в блоге Михаила Емельянникова: ссылкаВ общем, послушать доклад будет полезно. А как считаете Вы?


Для тех, кому интересно: какой он безопасник - бумажный или технический есть шуточный тест моего авторства (ссылка)

Страница ВК: https://vk.com/kshudrova - ссылки на новые посты и интересные материалы других авторов

среда, 1 июня 2016 г.

Современные системы безопасности – Антитеррор 2016

Добрый вечер, дорогие читатели! С 25-27 мая в Красноярске прошла очередная выставка-форум "Антитеррор" (мой отзыв о том. как это было в 2015м, можно прочитать здесь). В этом году я не участвовала, зато муж там побывал и подготовил отзыв. Ниже привожу заметку от Романа Лебедева. 

В конце мая в Красноярске прошла ежегодная выставка форум «Антитеррор, Современные системы безопасности». Мероприятие уже стало традиционным для края, в этом году его проводили 12-й раз. Я посещал его еще студентом, жаждущим прикоснуться к будущей профессии любым другим способом, кроме как через конспекты и лабораторные стенды, я бывал на ней будучи молодым инженером, гордо цепляя на лацкан пиджака бейджик «специалист»… Побывал я на ней и в этот раз, рыская между экспонатами и просиживая стулья на Круглых столах и конференциях в надежде найти что-то, способное утолить интерес искушенного посетителя. И таки нашел…
Обо всем по порядку. Выставка проходит три дня, программа очень насыщена, но, как это обычно бывает, основная часть развлекательных и деловых мероприятий укладывается в первые два. Тут и показательные выступления кинологов , и детские костюмированные представления (или конкурсы, не знаю), выставка техники, художественная экспозиция, демонстрационные (и рекламные) стенды, мастер-классы для школьников и, конечно, богатый список мероприятий для специалистов. Мне удалось посетить только первый день выставки. Еще полные сил и энтузиазма участники, со стопками еще не розданных визиток, с еще не пересохшими от бесконечных рассказов «о себе и о том, чем мы занимаемся и что представляем на выставке» языками; столы ломятся от брошюр и рекламных листовок; витрины музея МВД с невероятно крутыми штуками типа аппарата для составления фотороботов еще не заляпаны пальцами юных посетителей; оружейный арсенал демонстрационных стендов силовиков начищен и ждет первых вопросов и историй о том, как «я с таким, когда служил, да на марш-бросок!..» Уклон в первый день, конечно, в сторону развлекательного, основная часть форума начнется только завтра, а сегодня, в день открытия, пленарное заседание научно-практической конференции, круглый стол «Киберпреступность» и семинар по вопросам видеонаблюдения, для посещения которого формально я и вырвался с работы. По деловой программе не густо, прямо сказать, в перерывах, если природная скромность, помноженная на возраст, не позволяет напроситься посидеть за тренировочным стендом машиниста электровоза, что в развлекательном павильоне, и ты вынужден стоять за спиной этого пятнадцатилетнего счастливца и сохранять лицо, то может быть местами даже скучно. Но маститые охотники за бесплатной канцелярий найдут, чем себя развлечь, особенно на нетронутых угодьях первого дня выставки.
И так, как я уже сказал, на Антитерроре я не впервой, и за более чем десять лет что-то в этом мероприятии осталось прежним, а что-то претерпело заметные изменения. На площадке перед МВДЦ «Сибирь», где традиционно проходит Антитеррор, располагается спецтехника разных ведомств. Тут и пожарные машины МЧС, и бронированные джипы ФСО, внушительных размеров мобильный пункт переливания крови, даже пара БТРов (или чего-то типа них, не разбираюсь) ОМОНа – начищенные КУНГи на черных рамах, все очень внушительно и серьезно. Внутри выставка разделена на четыре локации: три тематических павильона и фойе. В последнем располагается сцена для представлений и конкурсов, пункт сдачи крови и выставка работ художника Игоря Башмакова.
И то, и другое, и третье – всё на любителя. Смотреть, как дети через сказку о трех поросятах знакомятся с проблемами терроризма, мне пока рановато; творчество сибирского художника довольно специфично, хоть и пропитано (если не сказать, нафаршировано) идеей патриотизма, но сюжетами и настроением бывает довольно мрачно, проникнутся и оценят не все (я не оценил). Хотя, если задуматься, очень правильный способ намекнуть пришедшим, что борьба с терроризмом это не только надевание костюма спасателя на время и езда на крутых Камазах по пересеченке. Среди работ – портреты министра обороны и президента (порадовала приписка «Вчера. Сегодня. Завтра» в названии картины с Путиным).
Теперь о павильонах. Первый полностью отдан под демонстрационные стенды, третий ориентирован на школьный контингент, тут полно интерактивных развлекательных и образовательных зон. Отметил для себя интересный прием от организаторов для привлечения юных посетителей к участию: при выполнении заданий на стендах ребятам давали жетоны, которые можно было обменять в пункте выдачи на памятные или съедобные призы. Так что дети стояли в очередь равно как на уроки первой помощи, так и мастер-классу самообороны от молодого удальца с волевым затылком. Во втором павильоне что-то типа солянки из того, что не смогли разместить в двух других, фойе и на улице. Тут и техника, и экспозиция детского рисунка, и несколько коммерческих стендов.
Кстати, на мой взгляд, техника в чем-то даже поинтересней: мобильная станция связи, беспилотники, дроны, полевой госпиталь. На описании первого павильона стоит остановиться поподробней. Его наполнение более всего претерпевало изменения из года в год. По ощущениям, какого-то ценза для участников нет, заплатил – располагайся, поэтому выставляться могут все желающие. А вот кто сегодня желает выставляться, вопрос очень занятный. Раньше через один стояли стенды по темам информационной безопасности: тут были и специалисты по ТЗИ (на вопрос «что это» врубали ГШ и во всем павильоне отрубалась мобильная связь), и представители рынка аутсорса ИБ, производители антивирусов, СЗИ НСД и многие другие. Человек приходил на выставку и видел, что безопасность - это не только охранник и сигнализация, но нечто куда более широкое. Но участие в выставке платное, а одной только просветительской работой сыт не будешь. Деньги надо отбивать. А отбиваются они, судя по всему, именно на стереотипах о безопасности. И сейчас подавляющее большинство стендов – это системы контроля доступа, видеонаблюдение и охрана. Есть пара торговых точек охотничьими ножами да спецодеждой цвета хаки (то ли для туризма, то ли для рыбалки). Из экзотики, досмотровое оборудование и прототипы направленных антенн сотовой связи разработки СФУ. Одинокая девушка, представляющая стенд завода по безопасной утилизации отходов, демонстрирует своим присутствием неординарный подход к представлению о безопасности в контексте мероприятия. Конечно, я не рассматриваю стенды от ведомств и подведомственных институтов, они тут были всегда. Так что на мой взгляд, довольно серо, не сказать, банально.
Набродившись по выставке, заручившись парой визиток и убедившись, что очередь в пункт сдачи крови не становится короче от «желающих» сделать доброе дело курсантов, я отправился на круглый стол по кибербезопасности. Доклады были разные, слушать было в целом интересно и приятно, наверное, прежде всего потому, что среди зрителей не предполагались заказчики, и представители вендоров убрали из презентаций почти весь рекламный контент. По итогу весьма интересная статистика по атакам от Infowatch, рассказ о борьбе с DDoS от местного хостинга, небольшой ликбез в тему UTM в срезе требований к фильтрации контента.
В процессе обсуждения был озвучен интересный вопрос: если школьник в поисковом запросе наберет «как отрубить голову», что он должен получить в итоге? По-хорошему, ссылки на роман о Раскольникове, но на деле, он вероятно получит пустой ответ, т. к. запрос просто не дойдет до поисковой машины. В принципе, почему бы нет, пусть учится правильно искать, но 149-й закон с этим тезисом не согласится. В общем, с одной стороны тема обязательного ограничения доступа к опасному контенту, и вопрос законного права к получению информации с другой. Развить дискуссию не позволил регламент, поэтому обсуждение перенесли в курилку.
Далее был интересный доклад от преподавателя СФУ И. Краснова о проблеме инсайдерства. Главный тезис: с инсайдером надо не бороться, а работать. Любимым делом человек готов заниматься бесплатно, так что поставьте его на работу, которая ему подходит, и он вас никогда не продаст. Доклад, собственно, описывал методику определения оптимального класса задач для работника на основе его психотипа. Рассказывал живо, энергично, слушать – одно удовольствие.
Промахнулся, на мой взгляд, с докладом представитель Лаборатории Касперского, рассказывал об их решениях для виртуальных сред. Рубрику «Импортозамещение» представляла молодая девушка с докладом об отечественной ОС Astra Linux, но зрителю было интересно несколько другое, и две третьи отведенного времени она рассказывала о плюсах Libre Office перед привычным нам «Вордом» (было забавно).
Пожалуй, этот Круглый стол произвел на меня наиболее положительное впечатление от всего, что я увидел на выставке. Семинар, ради которого я приехал, оказался пресным рекламным представлением, не отсидел и половины отведенного времени. Зато заглянул на пленарное заседание конференции по вопросам борьбы с терроризмом в информационном пространстве, послушал весьма интересный доклад о проблемах государственной пропаганды в СМИ и Интернете. Если кратко – ее нет. Зато есть западная. И вместо того чтобы бросать все силы на борьбу с «вредным» контентом, стоит задуматься о производстве своего «полезного». Довольно интересной мне показалась эта мысль, с удовольствием ее обдумывал по дороге домой.
Игорь Башмаков. Источник
Страница ВК: https://vk.com/kshudrova - ссылки на новые посты и интересные материалы других авторов