вторник, 19 сентября 2017 г.

Судебная практика в информационной безопасности

Добрый вечер, дорогие читатели! Вышел в свет Журнал IT-Manager: № 08/2017. Получить электронную версию можно бесплатно. Моя статья в номере доступна по ссылке - Судебная практика в информационной безопасности. Приятного чтения!

ЗЫ. В октябрьском номере вас ожидает статья про проверки Роскомнадзора.

Покидова Галина. Рябина. Источник


https://vk.com/kshudrova - подписывайтесь на официальную группу блога ВК.

пятница, 8 сентября 2017 г.

Оффтоп. RSS блога - как решить проблему с feedburner

Добрый день, дорогие читатели! Вчера совершенно случайно обнаружила, что не работают зеркала блога на Securitylab и Bis-expert. И все это продолжается с июня. Выяснилось, что возникла ошибка на моей стороне - был переполнен файл фида (более 1024Кб). За 6 с лишним лет ведения блога предел-таки был достигнут :) Как решить эту проблему было непонятно, так как feedburner просто предлагал обратиться на технические форумы. Я нашла следующее решение - не загружать весь архив блога в файл фида, а ограничиться последними 15ю публикациями (значение выбиралось методом тыка - 20 уже не пролазило, 3 - было маловато и т.д.). Для того, чтобы показывались последние 15 постов, нужно заполнить значение Original Feed следующим образом:

http://shudrova.blogspot.com/feeds/posts/default?max-results=15


Минусом моих экспериментов стала замена файла фида (как одна из проб найти решение), а, следовательно, потеря всех подписчиков RSS, но это дело наживное :)

ЗЫ. Если вы следили за моим блогом по зеркалам, то наверняка пропустили вот эти посты:

Приятного чтения!

https://vk.com/kshudrova - ссылки на свежие посты, новости мира ИБ и интересные статьи других авторов. Подписывайтесь!

среда, 6 сентября 2017 г.

Вопросы читателей по ПДн

Добрый день, дорогие читатели! Мне приходит множество интересных вопросов на тему защиты информации, а особенно - персональных данных. Ответы на некоторые из них являются достаточно универсальными. Сегодня представляю вашему вниманию пять вопросов с моими ответами на них. 

Вопрос  1
Подскажите минимальный комплект документов которые необходимы при обработке ПДн физ лицом (ИП).
Ответ
Из Фейсбука Алексея Лукацкого шаблоны документов по персональным данным. Аж 318 страниц! Автора, к сожалению, идентифицировать не могу.

Вопрос 2
Спасибо, что опубликовали свою презентацию с Paymentsecurity. Не могли бы вы ответить на те вопросы которые обозначили в конце презентации. 
1. Насчет цели обработки ПДн родственников работников. Правильно ли я понимаю что это - соблюдение требований трудового законодательства? На Ваш взгляд, обязательно ли выделять родственников работников в отдельную категорию субъектов? 
2. Интересно Ваше мнение по вопросу легализации обработки ПДн родственников заемщиков банков, которые они указывают в своих анкетах без взятия согласия. Единственное что приходит в голову это поручение заемщиком обработки ПДн своих родственников согласно ч.3 ст.6 ФЗ-152. Соответственно обязанность брать согласие в таком случае лежит на заемщике. Как к этому относится Роскомнадзор?

3. Если информация о судимости работника представляет собой только сведения о наличии или отсутствии судимости, без указания статьи УК, являются ли данные сведения персональными данными?

Ответ
1. Родственников нужно стараться не выделять отдельно, лучше попробовать обозначить их через привязку к субьекту. Например, назвать - информация о семье. 
2. По родственникам заемщиков сложная ситуация. Первое, что приходит в голову - обрабатывать вне информационной системы, на бумаге, но на деле это будет реализовать сложно или даже невозможно. РКН считает такую обработку без согласия нарушением. Также обратите внимание на п. 3, ст. 18:

Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных;
5) источник получения персональных данных.

3. Думаю, являются. Можно посмотреть комментарий РКН, который в виде книги, там должно быть про судимость (Научно-практический комментарий Роскомнадзора к закону «О персональных данных»).

Вопрос 3
Здравствуйте Ксения. Я пишу работу по социальной инженерии, не могли бы вы подсказать где можно наткнуться на статьи по новым тенденциям в этом направлении?
Ответ
Добрый вечер! Могу порекомендовать вот эти материалы: Социальная инженерия: сущность и парадигмальная методологияСоциальнаяинженерия как дисциплинарно-организованное знание. Также оставлю ссылку на свою статью на эту тему.

Вопрос 4
Вопрос по ИСПДн. Допустим создана информационная система в которой будут обрабатываться ПДн. Можно ли на ней обрабатывать ПДн, если не проводились мероприятия по защите информации (даже не определен тип угроз и уровень защищенности)? И какие могут быть наказания за это? Спасибо.
Ответ
Согласно статье 19 оператор обязан принимать меры для защиты ПДн при обработке - с самого начала такой обработки. Если посмотреть статью 22 про уведомление, то там написано, что уведомление подаётся до начала обработки и в нем указываются принятые меры защиты. Штрафы по статье 13.11 КоАП, с 1 июля повышены.

Вопрос 5
Кто и как определяет подразделения в организации, которые обрабатывают ПДн (это должно быть зафиксировано документом (актом или приказом и т.п.))?
Ответ
Подразделения определяет оператор, закон здесь ничего нам не говорит. Ст. 18.1 п. 6 говорит о том, что нужно проводить ознакомление работников, осуществляющих обработку, значит такой круг лиц должен быть закреплен документом.

Андреев Александр. Сентябрь. Источник

Группа ВК: 
https://vk.com/kshudrova - подписывайтесь на официальную страницу блога!

среда, 30 августа 2017 г.

Оффтоп. Как все успевать в работе и в жизни

Добрый день, дорогие читатели! Сегодня хотелось бы поговорить с вами на тему организации своего времени. Мне кажется, перед началом нового делового сезона и учебного года многих из нас волнуют мысли об организации своего труда и отдыха.
Начну с того, что у меня частенько спрашивают о том, где я нахожу время на блог, статьи, конференции, диссертацию и тому подобные дела. Ответ достаточно простой - есть огромная куча дел, которые я делать не успеваю или же делаю очень и очень медленно. Для примера приведу вам список того, что не делаю (или делаю крайне редко):

рукоделие (хотя иногда бывает, когда хочется занять чем-то руки), рисование (закончила когда-то художественную школу), спорт (заменила на пешие прогулки, в плохую погоду - степпер, так что опять же ходьба), клубы и бары (очень редко и по случаю), прослушивание музыки в плеере (забивает мысли, а при ходьбе как раз можно хорошенько обдумать новые идеи), селфи и прочее фотографирование (кроме семейных сьемок), разговоры по телефону (только семья, с друзьями - встречи), встречи с подругами (их нет, общение только с семейными парами и родственниками, а также встречи по делам, что касается работы и учебы), прослушивание радио (забивает мысли), поиск новой музыки и исполнителей (хватает того, что было найдено в период обучения в школе/институте), шоппинг (по необходимости), ношение сложной в уходе одежды (гладить, брр) и многое другое. 

Как можно видеть, в этом списке достаточно дел, которыми многие люди заняты чуть ли не ежедневно, поэтому времени у меня освобождается достаточно. А его как раз можно довольно эффективно потратить на те немногие вещи, которые являются приоритетными для меня: семья и дом, информационная безопасность и наука, красота и здоровье. 
Может показаться, что такая жизнь достаточно однобока и скучна, ведь довольно сложно отказываться от многих таких классных вещей. На самом деле нет. Основная идея заключается в том, чтобы как можно больше времени тратить на дела, которые тебя зажигают, вызывают страсть. На мой взгляд, таких вещей для человека обычно совсем немного. Невозможно любить все и сразу, что-то определенно будет нравиться больше. С практической точки зрения это даже проще, когда все интересы направлены в одну точку (например, ИБ), так развитие происходит достаточно быстро. По-крайней мере быстрее, чем если сегодня ты пробуешь себя на курсах подводного плавания, завтра - кулинарии, а послезавтра превращаешься в нумизмата. 
Есть и обратная сторона такого направленного подхода. У меня довольно-таки узкий кругозор. Это касается литературы, музыки, истории, биологии и много чего еще. Но спросите меня про персональные данные - мы проговорим с вами очень много часов (или дней). 
Идеально, если еще будучи студентом (совсем идеально - с первого курса) человек понимает, что ему интересна специальность . Тогда в свободное время он может читать/смотреть видео/подрабатывать по профессии. К моменту окончания института такой студент станет неплохим специалистом. Именно так я и воспринимала свою учебу в университете - как 5,5 лет погружения в материал. Хотелось дотянуться до всего, что касается такой молодой еще отрасли - защиты информации. С Интернетом и его скоростью были определенные проблемы (50 МБ на месяц), поэтому приходилось много бывать в библиотеке, читальном зале, покупать книги и журналы. В субботу после занятий - на научный кружок. Со старших курсов - подрабатывала, сначала бесплатно, потом за копейки. Было очень интересно. Иногда вызывает безумную ностальгию та радость получения первых знаний по специальности, сравнимая сейчас по силе только с выходом нового толкового нормативного документа.
Еще один важный момент в организации своего времени (кроме отбрасывания второстепенного) - оптимизация. Любое периодически повторяющееся дело нужно стремиться сделать быстрее, чем в прошлый раз, придумывая себе вспомогательные инструменты. Так в работе специалиста по информационной безопасности неоценимую роль играют всевозможные сводные таблицы и базы данных. Все должно быть учтено: пользователи, компьютеры, помещения, обучение работников. Тогда составление нового отчета не займет много времени. 
Нельзя забывать и о планировании. Хотя на работе большинство из нас придерживается четкого плана, домашние дела часто пускаются на самотек. Так поступать не нужно. Гораздо проще разгрузить голову и хранить списки дел, покупок, важных встреч, памятных дат, заметок, новых идей в ежедневниках. К тому же очень приятно вычеркивать выполненные дела. Уже много лет, еще со школы, у меня всегда под рукой записные книжки, обычно бумажные, в том числе содержащие идеи для новых постов.
Возвращаясь к вопросу, обозначенному в названии поста, хочу еще раз повторить: успевать все невозможно, но в наших силах потратить время на действительно стоящие вещи. 
Успешного всем начала учебного/рабочего/делового года! С наступающим первым сентября! А я пойду мыть пол, потому что писать и делать уборку одновременно пока еще не научилась :)

Источник
Р.S. Готовится к выходу новая статья о проверках Роскомнадзора, в ней будут полезные таблицы-шпаргалки, не пропустите.

https://vk.com/kshudrova - подписывайтесь на официальную группу блога ВК. Свежие посты, интересные материалы других авторов, новости, обсуждение актуальных вопросов ИБ.

пятница, 4 августа 2017 г.

PaymentSecurity - как это было, материалы докладов, фото, видео

Добрый день, дорогие читатели! Чуть больше месяца назад я принимала участие в конференции PaymentSecurity. Международная конференция по информационной безопасности состоялась с 29 по 30 июня в Санкт-Петербурге. Было очень приятно снова увидеть Андрея Прозорова, Алексея Лукацкого, а также многих интернет-знакомых. Перечень спикеров был настолько хорош, что приходилось постоянно перебегать из зала в зал (доклады шли в три потока). И все равно много полезного мы с мужем пропустили. Радует, что все презентации сейчас можно посмотреть на сайте. Там же можно поискать себя на фотографиях, которых очень много. Обычно мне не особо нравятся фотоотчеты с таких мероприятий, но в этот раз по-крайней мере свои изображения мне нравятся.
Мне удалось послушать доклады Джереми Кинга, Владимира Комлева, Кристины Андреевой, Рустэма Хайретдинова, Алексея Лукацкого и Андрея Дроздова. К сожалению, из-за пересечения с матер-классом не видела доклады Андрея Прозорова, Моны Архиповой и Юлии Омельяненко. 
Конечно, за те три года, что не работаю в банковском секторе, многое подзабыла (а еще больше не знала), поэтому информация в докладах по большей части была для меня новой (и часто не совсем понятной). Выводы для себя сделала - нужно поизучать "МИР", машинное обучение в ИБ может быть опасным, а криминальный бизнес неплохо организован.
Отдельно хочу выразить благодарность всем, кто был на моем мастер-классе по защите персональных данных. Коллеги, спасибо вам, что слушали, задавали вопросы и выдержали целых три часа выступления! А это было нелегко, ведь тема законодательства довольно тяжелая, особенно в конце насыщенного дня. Мне было очень приятно, когда вы не отпускали меня на перерыв и забрасывали вопросами. Многие из них до сих пор крутятся у меня в голове и заставляют задуматься, еще раз поискать ответы.
О моем выступлении организаторы начали договариваться еще в начале марта - это просто растопило мое сердце :) Люблю, когда все по плану и тщательно подготовлено. Спикеры, доклады, еда, место - все было на уровне. На сегодняшний день лично для меня - это была лучшая конференция. Если говорить о недостатках (ведь всегда есть куда расти), то можно отметить отсутствие видеозаписи в двух залах (записи из основного зала здесь). То, что мы пытались записать на видео самостоятельно, было к сожалению засвечено и для публичного выкладывания не годится. Иногда доклады немного наползали друг на друга, и становилось сложно рассчитать время начала следующего доклада в другом зале. Но с этим сложно бороться - спикеров буквально закидывали вопросами и никак не хотели отпускать. Кратко о том, как все прошло можно почитать в итоговом отчете, который представлен здесьСтоит отметить, что вообще все было организовано отлично - спасибо Сергею Шустикову и Ирине Лонкиной! 
Также не могу не отметить, что благодаря конференции удалось еще раз повидаться с руководителем RISC-клуба Марией Сидоровой. Маша, мы отлично провели время и вспоминаем вас с Сергеем каждый раз, когда пьем чай из фирменных кружек :) Санкт-Петербург просто прекрасен, в этом году удалось воплотить некоторые экскурсионные планы, не сбывшиеся в прошлом - прогулку по Неве, Петергоф, посещение Александро-Невской лавры и знаменитой пышечной. В некоторые места, например, в кафе "Север" заглянули повторно. В общем, эти неполных четыре дня прошли просто замечательно. Привет из Красноярска! :)

https://vk.com/kshudrova - ссылки на свежие посты, интересные материалы других авторов и новости из мира ИБ. Присоединяйтесь!

среда, 12 июля 2017 г.

Презентация мастер-класса с конференции Paymentsecurity 2017

Добрый день, дорогие читатели! Выкладываю презентацию своего мастер-класса с конференции Paymentsecurity 2017. О том, как прошла сама конференция расскажу в следующий раз.


Безопасность платежей 2017 from Ksenia Shudrova


https://vk.com/kshudrova - ссылки на свежие посты блога, новости и интересные материалы других авторов.

четверг, 6 июля 2017 г.

Информационное сообщение ФСТЭК от 2 июля 2017

Добрый вечер, дорогие читатели! Сегодня благодаря Валерию Комарову и FB узнала о свежем информационном сообщении ФСТЭК. Спешу с Вами поделиться ссылкой. В сообщении речь идет о вредоносном ПО типа WannaCry, Petya или Misha. 
Предлагаю Вам краткий пересказ. 
Для ГИС/ИСПДн/АСУ ТП нужно применять 17/21/31 приказы ФСТЭК соответственно.
Основные меры защиты:
  • обновление программного обеспечения до актуальных версий;
  • выявление и анализ уязвимостей и их оперативное устранение;
  • обнаружение и реагирование на поступление незапрашиваемых электронных сообщений (электронных писем, документов);
  • периодическое резервное копирование информации на резервные машинные носители информации и обеспечение возможности восстановления информации;
  • защита периметра информационной системы (исключение доступа к ТСР-портам 139 и 445).
Также нужно применять ситемы антивирусной защиты, в которых реализованы эвристические методы выявления вредоносного программного обеспечения, системы обнаружения (предупреждения) вторжений (атак) и системы управления и корреляции событий с настроенными индикаторами.
Все)

Галимов Азат. Летний сад. "Времена суток". Источник

В следующем посте я расскажу Вам о прошедшей конференции Paymentsecurity в Питере. 

https://vk.com/kshudrova - группа ВК, присоединяйтесь!