Лаборатория информационной безопасности

Лицензия на ТЗКИ: нужна ли она оператору ПДн?

Рейтинг:   / 3

Доброго дня, уважаемые читатели!

Сегодня впервые за долго время я снова решил поднять тему работы с персональными данными, так как считаю, что далеко не все вопросы разъяснены ранее, да и нововведения в нашем динамичном законодательстве не заставляют себя долго ждать. Особенности действительно есть и их много. В частности, появился Приказ ФСТЭК "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн" №21 от 18.02.2013, появились очередные поправки в 152-ФЗ "О ПДн", ну и конечно, как следствие, снова встал вопрос о трактовке тех или иных требований нашей нормативной базы. Всё это, конечно, требует некоторого пересмотра имеющихся вглядов на защиту персональных данных и действия операторов перс. данных. В особенности в совокупности с также постоянно меняющимися взглядами на это дело регуляторов - ФСТЭК и Роскомнадзора. Многие из подобных вещей я писал в статье о новом порядке действий оператора вот здесь.

А сейчас мы поговорим о насущном в наше время и ещё мною не освещённом вопросе: нужна ли оператору ПДн лицензия на техническую защиту конфиденциальной информации? И если да, то в каких случаях и почему? Если нет или сильно не хочется, то как правильно объясниться с регуляторами. Вопросы, согласитесь, весьма актуальные и весьма важные. Ибо получение такой лицензии даже в самом её упрощённом формате стоит ой как не дёшево как с финансовой точки зрения, так и с точки зрения потраченных нервов и сил.

Подробнее: Лицензия на ТЗКИ: нужна ли она оператору ПДн?

Построение модели угроз и модели нарушителя (лекция 5)

Рейтинг:   / 0

Данная лекция призвана систематизировать понимание процесса построения системы обеспечения информационной безопасности на предприятии и подробно описывает процесс построения модели угроз для коммерческих и государственных предприятий, а также построение модели нарушителя. Данные модели оказывают непосредственное влияние на выбор защитных мер и реальную эффективность Вашей системы защиты информации.

Кроме того, построение приведённых моделей регламентировано современным федеральных законодательством в области защиты персональных данных.

Подробнее: Построение модели угроз и модели нарушителя (лекция 5)

Зачем Сноуден приехал в Россию или что знают российские спецслужбы

Рейтинг:   / 3

В последнее время у рядовых граждан (и не только) всё чаще возникает вопрос о соблюдении их гражданских прав и свобод, которые вроде бы как должна гарантировать им Конституция. В свете недавних событий, связанных с небезызвестным именем Эдварда Сноудена, данные вопросы ставятся чуть более, чем остро. Впрочем, происходящие события касаются далёких США, и во многих из нас тлеет надежда, что в нашей-то стране всё безоблачно и честно: строго соблюдается  закон «Об оперативно-разыскной деятельности», закон «О ФСБ», «О полиции», Конституция, наконец. В это хотелось бы верить. Но как же обстоят дела на самом деле? Чем отличается ФСБ и СВР от АНБ и ЦРУ? Почему вообще Сноуден приехал именно в Россию? Вопросов много, а ответов меньше, чем хотелось бы. Попробуем разобраться.

Начнём с истории. В далёком 1996-ом году, когда телефонная связь в России только начала завоёвывать популярность граждан, доблестные правоохранители решили, что неплохо бы ввести контроль за разговорами граждан, ведь там иногда можно услышать много интересного. Так появилась система прослушивания телефонных разговоров СОРМ-1. Цель, конечно, была благая – борьба с преступными элементами, коих в 90-ые, как известно, было немало.  Ввели соответствующие поправки в закон «О связи» и "Об оперативно-разыскной деятельности": обязали всех операторов связи устанавливать соответствующее оборудование за свой счёт (необходимое условие получения лицензии), поддерживать его и хранить/предоставлять информацию по первому зову от человека в форме и с бумажкой (судебной; впрочем, бумажка, как потом выяснилось, в этом алгоритме совсем не обязательна). Впоследствии, те же правила распространились и на операторов сотовой связи.

Подробнее: Зачем Сноуден приехал в Россию или что знают российские спецслужбы

Безопасность межмашинного взаимодействия или чем опасны электронные весы с подключением к Интернет

Рейтинг:   / 3

Наш современный мир продолжает свой путь развития и то, что считалось немыслимым 20 лет назад, сегодня уже ни у кого не вызывает удивления. Техника развивается и становится всё более умной. Весы с wi-fi, складывающие все данные в облаке и расшаривающие их через Facebook; тахографы со спутниковым / GSM подключением; счётчики, подключённые к IP-сетям (и передающие в некоторым смысле персональные данные), не говоря уже о банкоматах и POS-терминалах, которые сами продают товары, выполняют транзакции, обновляются – всё это реалии современного времени. Мир новых мини-гаджетов покоряет нашу жизнь с невероятной быстротой. Эти устройства со временем «учатся» выполнять всё новые и новые функции. И если раньше этот мир M2M-девайсов не находился под пристальным вниманием хакеров в силу простоты и примитивности заложенных в них алгоритмов, то в текущий момент с развитием M2M-мира, с появлением их массового взаимодействия и нового функционала, внимание злоумышленников концентрируется на них всё больше. Поговорим об информационной безопасности M2M-устройств, возможных угрозах и смысле их защиты.

Казалось бы, что ценного могут «сдать» хакерам фитнес-браслеты, которые хранят всю информацию в облаке или расшаривают её через facebook; управляемые через wi-fi наушники или телевизоры со SmartTV, которые ничего не хранят, зато активно используют Интернет. На самом деле, не так уж и мало. Как известно из деятельности всех разведывательных служб мира, всё ценное содержится в мелочах – в обрывках газет, в выбрасываемом мусоре, в развлечениях. Что может дать информация с Вашего телевизора? С первого взгляда: Ваши увлечения и предпочтения, гарантированное время пребывания/отсутствия дома. И если увлечения могут серьёзно ударить по имиджу (вдруг Вы увлекаетесь чем нетрадиционным), то времена присутствия/отсутствия может дать хорошее преимущество ворам, да и – чего скрывать – самим хакерам для взлома оставшейся части домашней сети. Кроме того, Ваш телевизор, если он снабжён веб-камерой, может дать как злоумышленникам, так и правоохранительным органам прекрасную возможность следить за Вашим домом. Я уж молчу про нарушение закона при просмотре пиратских фильмов, за что Вас наши доблестные правоохранители с лёгкостью привлекут (про законность таких доказательств деликатно умолчим). И это один лишь только подключённый к Интернету телевизор.

Подробнее: Безопасность межмашинного взаимодействия или чем опасны электронные весы с подключением к Интернет

Государственное регулирование в области информационной безопасности. Основные проблемы и угрозы.

Рейтинг:   / 1

Работая юристом в сфере ИБ (а современный безопасник, как известно, юрист как минимум на 33%), каждый специалист ИБ невольно наталкивается на множество актуальных проблем и конфликтов в правовой сфере, которые не разрешаются методом "почитать побольше законов и комментариев к ним". А в свете повсеместного введения процедур защиты персональных данных практически во всех компаниях (включая защиту ПДн в интернет-магазинах), вопросы правового регулирования сферы ИБ встают перед нами очень явственно. Как быть с постоянно меняющейся номративной базой? Как защищать ПДн в условиях постоянной динамики законодательства? Как решать проблемы с регуляторами ИБ в сфере их деятельности (ФСБ, Роскомнадзор, ФСТЭК)? Почему вообще у нас такое странное законодательство? Поговорим об этом подробнее. А за основу возьмём старое законодательство по защите ПДн (на нём хорошо видна суть; что же касается актуальных проблем ПДн, то сравнительный анализ старой и новой нормативной базы, а также новый порядок действия оператора приведены в соответствующих статьях). Продолжение следует...

Подробнее: Государственное регулирование в области информационной безопасности. Основные проблемы и угрозы.

Написание защищённого кода

Рейтинг:   / 3

Задача защиты программного кода от различных уязвимостей - очень важная проблема в современной быстро растущей индустрии IT. XSS, SQL-инъекции, переполнение буффера с последующими получением привилегий - всё это и многое другое следствия ошибок разработчиков, которые, к сожалению, совершают их с каждым днём всё больше и больше. Объясняется это просто: технологии движутся вперёд, объёмы кода сильно растут, а качество мозга людей и соответственно, написанного ими программного кода - не растёт. Или растёт, но не так быстро.

В нынешнее время очень хорошим результатом для гуру-программиста считается 1 серьёзная ошибка на 1000 строк кода. Для примера, в новомодной Windows 8 содержится 7 миллионов строк. Число критических ошибок подсчитать может 9-летний выпускник начальной школы.

Почему же ситуация столь плоха? Что надо делать, чтобы писать защищённый код и ограждаться от множества уязвимостей в собственном ПО? Об этом в сегодняшней статье, основанной на трудах ведущих разработчиков Microsoft М. Ховарда и Дж. ЛеБланка.

Подробнее: Написание защищённого кода