воскресенье, 28 апреля 2013 г.

Приказ 21 фстэк и другие интересности по ПДн

Здравствуйте, дорогие читатели! В последнее время я совсем обленилась и забросила блог, к тому же перестала следить за темой защиты персональных данных. Мысль о том, что я совершенно "не в теме" сводила меня с ума и даже заставила сесть за изучение новостей в мире  ПДн в воскресенье в 7 утра :) Что же я обнаружила? Начнем с самого неинтересного 
1. Для тех, кто живет в Красноярском крае В соответствии с Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 7 декабря 2012 года № 1283 Управление Роскомнадзора по Красноярскому краю переименовано в Енисейское управление Роскомнадзора. Не забываем учитывать сей важный момент в официальных письмах.
2. Несмотря на введение Постановления 1119го, форма уведомления нисколько не поменялась и от нас по-прежнему требуют указать класс системы (с 1го по 4й). К тому же на форумах активно появляются сообщения, что с начала года Роскомнадзор активно занимается рассылкой грозных писем операторам о непредоставлении новых сведений... В Роскомнадзоре по Уральскому ФО поработали над этим вопросом - ссылка, мы видим, что требуется предоставить модель угроз и систему защиты в соответствии с ПП 1119, при этом новые НПА еще не вышли:
 Модель угроз безопасности персональных данных при их обработке определена, система защиты разработана. «(В соответствии с ПП РФ от 01.11.2012г № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и ПП РФ от 15.09.2008г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»)». (п. 11 введен Федеральным законом от 25.07.2011 N 261-ФЗ).
3. Переходим к десерту! 21 Приказ ФСТЭК, о нем много говорится в Интернете, например, в блоге Лукацкого: ссылка. Честно признаюсь, что не смотрю чужие обзоры на нормативные документы, пока не ознакомлюсь с оригиналом, поэтому начала активно искать данный приказ или его проект сначала на сайте ФСТЭК, затем в Интернете. Поиски мои поначалу приводили в тупик. Найти проект Приказа "Об утверждении состава и содержания организационных и технических мер по обеспечению персональных данных при их обработке в информационных системах персональных данных" все таки удалось - ссылка. Однако этот проект не имеет номера, поэтому до конца уверенной, что это именно 21 Приказ я быть не могу:) Уважаемые коллеги, если Вам все же удалось найти оригинал и узнать его судьбу (в Российской газете 21 приказ не опубликован...) поделитесь, пожалуйста, с нами этой ценной информацией! Жду Ваших комментариев! 

воскресенье, 7 апреля 2013 г.

Приключения сибиряка в Москве или как я изучала криптографию...

Ну вот наконец-то у меня дошли руки до рассказа о том, как я ездила повышать квалификацию. Надеюсь, Вам будет интересно! Итак, начнем.
Курсы проходили с 12 по 15 марта на базе МГТУ им. Баумана и носили название "Применение средств криптографической защиты информации в PKI-инфраструктуре организации банковской сферы", о чем свидетельствует удостоверение государственного образца, счастливым обладателем которого я и являюсь :) К слову сказать, с того момента, как я полюбила математику (примерно класса с 5го или 6го), я стала мечтать о том, чтобы поучиться в Бауманке, и вот моя мечта пусть на 4 дня, но сбылась. Что еще раз доказывает силу желаний и позитивного настроя :)
Курсы нам читали 8 преподавателей:
Алимов Роман Евгеньевич, Аносов Вячеслав Дмитриевич, Аникеев Геннадий Евгеньевич, Безручко Оксана Владимировна, Бонч-Бруевич Андрей Михайлович, Бочаров Юрий Григорьевич, Гальцев Борис Сергеевич и Тачков Юрий Владимирович. Наиболее интересными лекции были на мой взгляд у Безручко и Бонч-Бруевича. Первая большое внимание уделяла практическим вопросам защиты банкоматов, а второй преподаватель рассказывал интересные, с точки зрения науки вещи. Например, о том, как взламывать етокены, поливая их кислотой:)
Если говорить о курсах в целом, то на мой взгляд они были слишком теоретическими и мало затрагивали насущные вопросы повседневной работы с удостоверяющим центром. Зато удалось пообщаться с представителями 39 филиалов нашего банка и узнать, как они решают рабочие задачи, так что курсы в данном случае дело второстепенное - главное Москву посмотрела и с коллегами пообщалась :)
Но перейду опять к содержанию курсов. Очень много давалось общих понятий, выдержек из нормативной документации, если кому интересно начать изучать информационную безопасность с нуля, то эти курсы для вас!:) С другой стороны, для тех, кто по 5-6 лет отучился в ВУЗе на специалиста по защите информации будет немного скучновато. Однако были и полезные сведения. Например, нам посоветовали поискать словарь терминов по защите информации, выпущенный одним из регуляторов, кажется, ФСБ. Коллеги, если Вам попадался данный документ, а как я поняла, его можно найти в свободном доступе, поделитесь, пожалуйста, ссылкой, буду Вам очень благодарна! 
Автор методических рекомендаций по криптографической защите персональных данных обратил наше внимание на две существующие проблемы применения средств электронной подписи:

  1. Сложность оценки влияния программной и программно-аппаратной среды функционирования на СКЗИ (огромное разнообразии криптографических средств, в том числе и иностранных) - п. 35 и 36 ПКЗ 2005.
  2. Необходимость отображения подписываемого документа (огромное разнообразие форматов данных) - п. 8 и п. 9.
Говорили также и о защите персональных данных, не забыли о такой проблеме законодательства, как понятие "конфиденциальной информации", в общем ничего шокирующего и нового, зато освежили университетский курс, ну и можно было немножко блеснуть имеющимися знаниями перед коллегами. Как это обычно бывает, каждый слушатель основную часть времени находится в легком анабеозе, но когда слышит о своей "наболевшей" теме (для меня это персональные данные и стеганография (эх, диссертация, как мало времени я тебе уделяю :)), сразу же оживляется и начинает выкрикивать с места, задавать каверзные вопросы и т.д. Так что немножко почувствовала себя школьником в летнем лагере, поучилась, посмотрела город и пообщалась с людьми, в общем, здорово провела время :)
Дальше можно не читать - оффтоп о Москве глазами "провинциала". В Москве постоянно фотографировала все на свою мыльницу, чтобы во-первых запечатлеть каждый момент, а во-вторых в случае, если я потеряюсь, показать по фотографиям найти дорогу до гостинницы (еще можно было крошки рассыпать по дороге, но, боюсь, вороны их бы склевали). Кстати о воронах - они серые и огромные, наши сибирски вороны черные и маленькие, как галки, так что, увидев серое огромное чудовище на снегу, я даже слегка напугалась. Это был первый плюс Красноярска, который я для себя выделила :) Вторым плюсом было метро. В Новосибирске тоже есть метро, но метро в Москве в час-пик (а нас отпускали около 6 и хочешь-не хочешь экскурсии мы себе устраивали в самое горячее время), это ад на земле, точнее, под землей. При моей боязни высоты, с огромной скоростью лететь вниз на эскалаторе то еще удовольствие, однако, москвичам этой скорости явно не хватает, поэтому они по ступенькам бегут. Единственные мысли, которые были у меня в голове, когда я находилась в метро: "Хочу домой" и "Только бы не украли паспорт, чтобы я все-таки смогла попасть домой". Большое счастье, что электронные билеты на самолет позволяют хотя бы не беспокоиться о том, что билеты тоже будут потеряны - слава научно-техническому прогрессу!:) 
Ну вот опять надо куда-то бежать, поэтому про Москву еще будет продолжение для тех, кому понравилось, для тех, кому не понравилось - не читайте :)
ЗЫ. Вышла моя новая статья в апрельском номере журнала "Директор по безопасности" - "Как быстро и ненавязчиво контролировать большие потоки посетителей?" Там Вам будет рассказано о пропускном режиме, который не нагружает посетителей, о RFID и многом другом, надеюсь, будет интересно. Спасибо, что дочитали, жду Ваших комментариев :)