вторник, 3 октября 2017 г.

Код ИБ в Красноярске

Добрый день, дорогие читатели! В этот четверг (5 октября) в Красноярске пройдет конференция "Код информационной безопасности". В прошлом году это мероприятие у нас провели впервые, я выступала куратором. Прочитать как это было можно здесь. К сожалению, в этом году поучаствовать лично у меня не получится, но я очень рекомендую это событие к посещению. 
Так как Красноярское отделение RISC оказывает информационную поддержку Коду ИБ, расскажу Вам немного о мероприятии.
В Красноярске события по информационной безопасности такого масштаба пока не проводятся, так что есть прекрасная возможность не только послушать интересные доклады, но и увидеть старых друзей, а также завести полезные знакомства.
В этом году изменилась площадка проведения конференции. Теперь это IBIS KRASNOYARSK CENTER, начало все также в 10 утра. Также я помню, что вы спрашивали про видео записи выступлений. В этом году можно зарегистрироваться платно и получить все необходимые файлы. Стоимость расширенного пакета до конференции составляет всего 1250 рублей. В него входят как видеозаписи выступлений, так и презентации, видео- и письменный конспекты, а также фирменный сувенир. Если решите купить записи после - цена составит 2500. Какую бы форму участия вы не выбрали, платную или бесплатную, необходимо обязательно зарегистрироваться заранее (не забываем про вкусные кофе-брейки и обед). 
Программа конференции уже доступна. Я очень рада, что в этом году нас снова радует своим участием Владимир Бабин (начальник отдела технической защиты информации), а также впервые выступает Константин Михайлов (эксперт по ИБ). Видеозапись семинара Константина в клубе RISC вы можете посмотреть у меня в блоге. Еще я очень рекомендую Вам послушать Илью Шабанова. Портал anti-malware.ru является одним из главных источников новостей мира ИБ, так что Илья личность практически легендарная. В общем, со всех сторон получается, что нужно идти! Ну а в следующем году я обязательно к вам присоединюсь :)


Вступайте в группу блога ВК, сегодня стартовал розыгрыш фирменной кружки - https://vk.com/kshudrova.

пятница, 29 сентября 2017 г.

Молодежная палата Роскомнадзора

Добрый вечер, дорогие читатели! Сегодня я хочу поделиться новостью с сайта Роскомнадзора. Вчера прошло заседание Молодежной палаты Консультативного совета при Уполномоченном органе по защите прав субъектов персональных данных (ссылка). Было анонсировано проведение дебатов по тематике защиты персональных данных на базе Московского государственного университета им М.В. Ломоносова и Российского государственного университета нефти и газа им. И.М. Губкина. Также на сайте указано, что обсуждался вопрос создания дискуссионных клубов на базе высших учебных заведений страны (ссылка)
Информацию о Молодежной палате Консультативного совета можно найти на сайте РКН (ссылка), положение находится здесь. Чем занимаются ребята? Ну, например, при их участии были разработаны рекомендации по составлению политики обработки персональных данных (ссылка). Возраст участников 18-30 лет. 
По этому поводу у меня две мысли - первая о том, что на вступление в их юные ряды у меня осталось где-то дней 30 (жаль), а вторая - имеет ли смысл создавать такие клубы? 
Как вы уже хорошо знаете, я руковожу красноярским отделением RISC и занимаюсь проведением семинаров по персональным данным, участие в которых принимают в основном студенты и молодые специалисты. Мы стараемся привлекать в качестве докладчиков людей взрослых, занимающих руководящие должности. На мой взгляд, именно такая дискуссия молодости и опыта имеет смысл. 
Мне кажется, что дебаты, которые проводят студенты для студентов очень поверхностны. Что можно обсуждать на таких собраниях? Идеи, мнения. Это очень здорово, но зачастую не имеет никакого отношения к реальной жизни. Все кто занимается защитой персональных данных на практике знают типовые проблемы и спорные вопросы. Это биометрия, моделирование угроз, судебная практика, данные о здоровье и т.д. Для дискутирования на эти темы недостаточно прочитать несколько нормативных актов, нужно также знать об ограниченности бюджета, времени, персонала и целесообразности выполнения тех или иных мероприятий. Молодого человека в 18-20 лет вопросы экономии денег оператора волнуют мало, это можно увидеть в экономическом обосновании дипломных работ.
В то же время если собирать людей, занятых исключительно практической деятельностью, дискуссия будет неполноценной. Мы получим простое перечисление проблем. Нужен свежий взгляд, который можно получить от молодежи. Лично я за баланс, а как считаете вы?
А.М. Герасимов. После дождя. Источник
https://vk.com/kshudrova - присоединяйтесь к клубу ВК! Здесь я размещаю свежие новости из мира ИБ, интересные посты других авторов и отвечаю на вопросы.

вторник, 19 сентября 2017 г.

Судебная практика в информационной безопасности

Добрый вечер, дорогие читатели! Вышел в свет Журнал IT-Manager: № 08/2017. Получить электронную версию можно бесплатно. Моя статья в номере доступна по ссылке - Судебная практика в информационной безопасности. Приятного чтения!

ЗЫ. В октябрьском номере вас ожидает статья про проверки Роскомнадзора.

Покидова Галина. Рябина. Источник


https://vk.com/kshudrova - подписывайтесь на официальную группу блога ВК.

пятница, 8 сентября 2017 г.

Оффтоп. RSS блога - как решить проблему с feedburner

Добрый день, дорогие читатели! Вчера совершенно случайно обнаружила, что не работают зеркала блога на Securitylab и Bis-expert. И все это продолжается с июня. Выяснилось, что возникла ошибка на моей стороне - был переполнен файл фида (более 1024Кб). За 6 с лишним лет ведения блога предел-таки был достигнут :) Как решить эту проблему было непонятно, так как feedburner просто предлагал обратиться на технические форумы. Я нашла следующее решение - не загружать весь архив блога в файл фида, а ограничиться последними 15ю публикациями (значение выбиралось методом тыка - 20 уже не пролазило, 3 - было маловато и т.д.). Для того, чтобы показывались последние 15 постов, нужно заполнить значение Original Feed следующим образом:

http://shudrova.blogspot.com/feeds/posts/default?max-results=15


Минусом моих экспериментов стала замена файла фида (как одна из проб найти решение), а, следовательно, потеря всех подписчиков RSS, но это дело наживное :)

ЗЫ. Если вы следили за моим блогом по зеркалам, то наверняка пропустили вот эти посты:

Приятного чтения!

https://vk.com/kshudrova - ссылки на свежие посты, новости мира ИБ и интересные статьи других авторов. Подписывайтесь!

среда, 6 сентября 2017 г.

Вопросы читателей по ПДн

Добрый день, дорогие читатели! Мне приходит множество интересных вопросов на тему защиты информации, а особенно - персональных данных. Ответы на некоторые из них являются достаточно универсальными. Сегодня представляю вашему вниманию пять вопросов с моими ответами на них. 

Вопрос  1
Подскажите минимальный комплект документов которые необходимы при обработке ПДн физ лицом (ИП).
Ответ
Из Фейсбука Алексея Лукацкого шаблоны документов по персональным данным. Аж 318 страниц! Автора, к сожалению, идентифицировать не могу.

Вопрос 2
Спасибо, что опубликовали свою презентацию с Paymentsecurity. Не могли бы вы ответить на те вопросы которые обозначили в конце презентации. 
1. Насчет цели обработки ПДн родственников работников. Правильно ли я понимаю что это - соблюдение требований трудового законодательства? На Ваш взгляд, обязательно ли выделять родственников работников в отдельную категорию субъектов? 
2. Интересно Ваше мнение по вопросу легализации обработки ПДн родственников заемщиков банков, которые они указывают в своих анкетах без взятия согласия. Единственное что приходит в голову это поручение заемщиком обработки ПДн своих родственников согласно ч.3 ст.6 ФЗ-152. Соответственно обязанность брать согласие в таком случае лежит на заемщике. Как к этому относится Роскомнадзор?

3. Если информация о судимости работника представляет собой только сведения о наличии или отсутствии судимости, без указания статьи УК, являются ли данные сведения персональными данными?

Ответ
1. Родственников нужно стараться не выделять отдельно, лучше попробовать обозначить их через привязку к субьекту. Например, назвать - информация о семье. 
2. По родственникам заемщиков сложная ситуация. Первое, что приходит в голову - обрабатывать вне информационной системы, на бумаге, но на деле это будет реализовать сложно или даже невозможно. РКН считает такую обработку без согласия нарушением. Также обратите внимание на п. 3, ст. 18:

Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных;
5) источник получения персональных данных.

3. Думаю, являются. Можно посмотреть комментарий РКН, который в виде книги, там должно быть про судимость (Научно-практический комментарий Роскомнадзора к закону «О персональных данных»).

Вопрос 3
Здравствуйте Ксения. Я пишу работу по социальной инженерии, не могли бы вы подсказать где можно наткнуться на статьи по новым тенденциям в этом направлении?
Ответ
Добрый вечер! Могу порекомендовать вот эти материалы: Социальная инженерия: сущность и парадигмальная методологияСоциальнаяинженерия как дисциплинарно-организованное знание. Также оставлю ссылку на свою статью на эту тему.

Вопрос 4
Вопрос по ИСПДн. Допустим создана информационная система в которой будут обрабатываться ПДн. Можно ли на ней обрабатывать ПДн, если не проводились мероприятия по защите информации (даже не определен тип угроз и уровень защищенности)? И какие могут быть наказания за это? Спасибо.
Ответ
Согласно статье 19 оператор обязан принимать меры для защиты ПДн при обработке - с самого начала такой обработки. Если посмотреть статью 22 про уведомление, то там написано, что уведомление подаётся до начала обработки и в нем указываются принятые меры защиты. Штрафы по статье 13.11 КоАП, с 1 июля повышены.

Вопрос 5
Кто и как определяет подразделения в организации, которые обрабатывают ПДн (это должно быть зафиксировано документом (актом или приказом и т.п.))?
Ответ
Подразделения определяет оператор, закон здесь ничего нам не говорит. Ст. 18.1 п. 6 говорит о том, что нужно проводить ознакомление работников, осуществляющих обработку, значит такой круг лиц должен быть закреплен документом.

Андреев Александр. Сентябрь. Источник

Группа ВК: 
https://vk.com/kshudrova - подписывайтесь на официальную страницу блога!

среда, 30 августа 2017 г.

Оффтоп. Как все успевать в работе и в жизни

Добрый день, дорогие читатели! Сегодня хотелось бы поговорить с вами на тему организации своего времени. Мне кажется, перед началом нового делового сезона и учебного года многих из нас волнуют мысли об организации своего труда и отдыха.
Начну с того, что у меня частенько спрашивают о том, где я нахожу время на блог, статьи, конференции, диссертацию и тому подобные дела. Ответ достаточно простой - есть огромная куча дел, которые я делать не успеваю или же делаю очень и очень медленно. Для примера приведу вам список того, что не делаю (или делаю крайне редко):

рукоделие (хотя иногда бывает, когда хочется занять чем-то руки), рисование (закончила когда-то художественную школу), спорт (заменила на пешие прогулки, в плохую погоду - степпер, так что опять же ходьба), клубы и бары (очень редко и по случаю), прослушивание музыки в плеере (забивает мысли, а при ходьбе как раз можно хорошенько обдумать новые идеи), селфи и прочее фотографирование (кроме семейных сьемок), разговоры по телефону (только семья, с друзьями - встречи), встречи с подругами (их нет, общение только с семейными парами и родственниками, а также встречи по делам, что касается работы и учебы), прослушивание радио (забивает мысли), поиск новой музыки и исполнителей (хватает того, что было найдено в период обучения в школе/институте), шоппинг (по необходимости), ношение сложной в уходе одежды (гладить, брр) и многое другое. 

Как можно видеть, в этом списке достаточно дел, которыми многие люди заняты чуть ли не ежедневно, поэтому времени у меня освобождается достаточно. А его как раз можно довольно эффективно потратить на те немногие вещи, которые являются приоритетными для меня: семья и дом, информационная безопасность и наука, красота и здоровье. 
Может показаться, что такая жизнь достаточно однобока и скучна, ведь довольно сложно отказываться от многих таких классных вещей. На самом деле нет. Основная идея заключается в том, чтобы как можно больше времени тратить на дела, которые тебя зажигают, вызывают страсть. На мой взгляд, таких вещей для человека обычно совсем немного. Невозможно любить все и сразу, что-то определенно будет нравиться больше. С практической точки зрения это даже проще, когда все интересы направлены в одну точку (например, ИБ), так развитие происходит достаточно быстро. По-крайней мере быстрее, чем если сегодня ты пробуешь себя на курсах подводного плавания, завтра - кулинарии, а послезавтра превращаешься в нумизмата. 
Есть и обратная сторона такого направленного подхода. У меня довольно-таки узкий кругозор. Это касается литературы, музыки, истории, биологии и много чего еще. Но спросите меня про персональные данные - мы проговорим с вами очень много часов (или дней). 
Идеально, если еще будучи студентом (совсем идеально - с первого курса) человек понимает, что ему интересна специальность . Тогда в свободное время он может читать/смотреть видео/подрабатывать по профессии. К моменту окончания института такой студент станет неплохим специалистом. Именно так я и воспринимала свою учебу в университете - как 5,5 лет погружения в материал. Хотелось дотянуться до всего, что касается такой молодой еще отрасли - защиты информации. С Интернетом и его скоростью были определенные проблемы (50 МБ на месяц), поэтому приходилось много бывать в библиотеке, читальном зале, покупать книги и журналы. В субботу после занятий - на научный кружок. Со старших курсов - подрабатывала, сначала бесплатно, потом за копейки. Было очень интересно. Иногда вызывает безумную ностальгию та радость получения первых знаний по специальности, сравнимая сейчас по силе только с выходом нового толкового нормативного документа.
Еще один важный момент в организации своего времени (кроме отбрасывания второстепенного) - оптимизация. Любое периодически повторяющееся дело нужно стремиться сделать быстрее, чем в прошлый раз, придумывая себе вспомогательные инструменты. Так в работе специалиста по информационной безопасности неоценимую роль играют всевозможные сводные таблицы и базы данных. Все должно быть учтено: пользователи, компьютеры, помещения, обучение работников. Тогда составление нового отчета не займет много времени. 
Нельзя забывать и о планировании. Хотя на работе большинство из нас придерживается четкого плана, домашние дела часто пускаются на самотек. Так поступать не нужно. Гораздо проще разгрузить голову и хранить списки дел, покупок, важных встреч, памятных дат, заметок, новых идей в ежедневниках. К тому же очень приятно вычеркивать выполненные дела. Уже много лет, еще со школы, у меня всегда под рукой записные книжки, обычно бумажные, в том числе содержащие идеи для новых постов.
Возвращаясь к вопросу, обозначенному в названии поста, хочу еще раз повторить: успевать все невозможно, но в наших силах потратить время на действительно стоящие вещи. 
Успешного всем начала учебного/рабочего/делового года! С наступающим первым сентября! А я пойду мыть пол, потому что писать и делать уборку одновременно пока еще не научилась :)

Источник
Р.S. Готовится к выходу новая статья о проверках Роскомнадзора, в ней будут полезные таблицы-шпаргалки, не пропустите.

https://vk.com/kshudrova - подписывайтесь на официальную группу блога ВК. Свежие посты, интересные материалы других авторов, новости, обсуждение актуальных вопросов ИБ.

пятница, 4 августа 2017 г.

PaymentSecurity - как это было, материалы докладов, фото, видео

Добрый день, дорогие читатели! Чуть больше месяца назад я принимала участие в конференции PaymentSecurity. Международная конференция по информационной безопасности состоялась с 29 по 30 июня в Санкт-Петербурге. Было очень приятно снова увидеть Андрея Прозорова, Алексея Лукацкого, а также многих интернет-знакомых. Перечень спикеров был настолько хорош, что приходилось постоянно перебегать из зала в зал (доклады шли в три потока). И все равно много полезного мы с мужем пропустили. Радует, что все презентации сейчас можно посмотреть на сайте. Там же можно поискать себя на фотографиях, которых очень много. Обычно мне не особо нравятся фотоотчеты с таких мероприятий, но в этот раз по-крайней мере свои изображения мне нравятся.
Мне удалось послушать доклады Джереми Кинга, Владимира Комлева, Кристины Андреевой, Рустэма Хайретдинова, Алексея Лукацкого и Андрея Дроздова. К сожалению, из-за пересечения с матер-классом не видела доклады Андрея Прозорова, Моны Архиповой и Юлии Омельяненко. 
Конечно, за те три года, что не работаю в банковском секторе, многое подзабыла (а еще больше не знала), поэтому информация в докладах по большей части была для меня новой (и часто не совсем понятной). Выводы для себя сделала - нужно поизучать "МИР", машинное обучение в ИБ может быть опасным, а криминальный бизнес неплохо организован.
Отдельно хочу выразить благодарность всем, кто был на моем мастер-классе по защите персональных данных. Коллеги, спасибо вам, что слушали, задавали вопросы и выдержали целых три часа выступления! А это было нелегко, ведь тема законодательства довольно тяжелая, особенно в конце насыщенного дня. Мне было очень приятно, когда вы не отпускали меня на перерыв и забрасывали вопросами. Многие из них до сих пор крутятся у меня в голове и заставляют задуматься, еще раз поискать ответы.
О моем выступлении организаторы начали договариваться еще в начале марта - это просто растопило мое сердце :) Люблю, когда все по плану и тщательно подготовлено. Спикеры, доклады, еда, место - все было на уровне. На сегодняшний день лично для меня - это была лучшая конференция. Если говорить о недостатках (ведь всегда есть куда расти), то можно отметить отсутствие видеозаписи в двух залах (записи из основного зала здесь). То, что мы пытались записать на видео самостоятельно, было к сожалению засвечено и для публичного выкладывания не годится. Иногда доклады немного наползали друг на друга, и становилось сложно рассчитать время начала следующего доклада в другом зале. Но с этим сложно бороться - спикеров буквально закидывали вопросами и никак не хотели отпускать. Кратко о том, как все прошло можно почитать в итоговом отчете, который представлен здесьСтоит отметить, что вообще все было организовано отлично - спасибо Сергею Шустикову и Ирине Лонкиной! 
Также не могу не отметить, что благодаря конференции удалось еще раз повидаться с руководителем RISC-клуба Марией Сидоровой. Маша, мы отлично провели время и вспоминаем вас с Сергеем каждый раз, когда пьем чай из фирменных кружек :) Санкт-Петербург просто прекрасен, в этом году удалось воплотить некоторые экскурсионные планы, не сбывшиеся в прошлом - прогулку по Неве, Петергоф, посещение Александро-Невской лавры и знаменитой пышечной. В некоторые места, например, в кафе "Север" заглянули повторно. В общем, эти неполных четыре дня прошли просто замечательно. Привет из Красноярска! :)

https://vk.com/kshudrova - ссылки на свежие посты, интересные материалы других авторов и новости из мира ИБ. Присоединяйтесь!