вторник, 23 сентября 2014 г.

А в попугаях я длиннее... Как найти специалиста по информационной безопасности?

Добрый день, дорогие читатели! Осень - отличная пора для рефлексии, поэтому давайте порассуждаем, как оценить нашу с вами эффективность. Вы наверняка замечали, что на сайтах по поиску работы, запросы специалистов, обладающих даже примерно одинаковым опытом, сильно отличаются. Кто-то еще только диплом пишет, а уже видит себя ведущим специалистом с солидным окладом, а другой отработал пару лет по специальности, но все еще согласен на минимальную зарплату. Так как отрасль у нас довольно специфичная, то действует негласное правило - уходишь сам, приведи друга :) Учитывая, что сейчас я тружусь на четвертом месте работы - подбирать себе замену пару раз приходилось. Самое интересное, что руководство с недоверием относится к людям со скромными запросами, они настораживают больше, чем амбициозные студенты. Про то, как вести себя на собеседовании все и так знают, повторяться не буду, хотя мне всегда немножко смешно, когда люди говорят, при нашей-то редкой специальности работу не найти. Почему-то я сталкивалась с обратной ситуацией - невозможностью найти подходящего человека. 
Знаете, начинали мы с руководителем всегда с наполеоновскими планами - ищем с профильным образованием, опытом работы, человека горящими глазами. Казалось бы все располагает к успеху - каждый год два университета в Красноярске выпускают три группы специалистов, в каждой группе по 20 с лишним человек. Но на деле оказывалось, что еще студентами многие устраиваются на работу системными администраторами и программистами. Небольшое количество выпускников идет работать на крупные предприятия сразу после выпуска. Некоторые работают в небольших конторах, потом все же уходят из отрасли или получают повышение. Таким образом человек с опытом более трех лет либо получает неплохую зарплату, либо имеет очень свободный график, и им доволен. Можно, конечно, взять специалиста с непрофильным образованием и диким интересом к информационной безопасности, но в некоторых случаях закон требует наличие именно специалистов с профильным образованием (либо продолжительными курсами переобучения). Основная проблема на мой взгляд заключается в довольно небольшой оплате труда по отношению к другим ИТ-специалистам. 
Но мы отклонились от темы. Давайте попробуем выделить черты идеального специалиста по защите информации, чтобы установить формальные критерии эффективности.
1. Профильное образование. В случаях, установленных государством, такое образование обязательно, например, для работы на УЦ. Моя специальность к слову - Информационная безопасность телекоммуникационных систем.
2. Опыт работы. Здесь уже решать работодателю, но естественно на зарплату в 25 тысяч человек с трехлетним стажем работы претендовать будет вряд ли.
3. Наличие сертификатов. В нашем регионе на это не обращают особого внимания. Да и часто ли на курсах обучают чему-то действительно полезному в работе?
4. Практические навыки. Организационщик Вы или технарь? Легко можете найти дыру в настройках безопасности или лазейку в законе о персональных данных? К сожалению, не всегда руководитель службы безопасности представляет кто именно ему нужен, да и фронт работы часто бывает довольно размытым. Особенно приветствуются навыки в смежных областях, таких как экономическая и физическая безопасность. 
5. Возраст, пол, коммуникабельность, общее впечатление, даже наличие хобби. Требования к кандидату могут быть уменьшены, если человек производит впечатление человека, влюбленного в свою работу.
Если с пунктами 1, 2, 3 и 5 все понятно, то пункт 4 нужно как-то оценивать. В идеале, кандидаты должны проходить испытания, типа CTF, но этого не происходит (опять же оговорюсь, все, что написано  - мой личный опыт, касающийся Красноярского края). Обычно одного перечисления направлений работы достаточно. Лишь один раз мне пришлось отвечать на вопросы теста по защите информации, но вопросы были довольно общими - назовите несколько нормативных актов по ЗИ, как бы Вы составили модель угроз и т.д. 
А как оценивали Вас?

суббота, 20 сентября 2014 г.

Постановление Правительства 911 от 6 сентября 2014

Добрый день, дорогие читатели! Издано Постановление Правительства № 911 от 06 сентября 2014 г. "О внесении изменений в перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами ", которое вносит изменения в Постановление Правительства Российской Федерации от 21 марта 2012 г.  N 211  "Об утверждении  перечня   мер,   направленных   на обеспечение выполнения обязанностей, предусмотренных  Федеральным законом "О персональных данных" и принятыми в соответствии  с  ним нормативными    правовыми    актами,    операторами, являющимися государственными    или    муниципальными    органами".

Изменения внесены в пункт 1 (перечень мер защиты):
а) в подпункте "б":
     абзац  пятый  дополнить  словами   "в   случае   обезличивания персональных данных";
     абзац восьмой дополнить  словами  ",  в  случае  обезличивания персональных данных";
     б) подпункт "з" изложить в следующей редакции:
     "з) в случаях,  установленных  нормативными  правовыми  актами Российской Федерации,  соответствии  с  требованиями  и  методами, установленными уполномоченным  органом  по  защите  прав  субъектов персональных  данных,   осуществляют   обезличивание   персональных данных,  обрабатываемых  в  информационных  системах   персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ."

Ранее изменения вносились Постановлением Правительства 607 от 20 июля 2013 г. В 2012 году о Постановлении Правительства 211 я писала здесь. Комментарии излишни и даны самим Роскомнадзором - ссылка.

Мой блог: http://shudrova.blogspot.ru/
Страница ВК: http://vk.com/kshudrova

понедельник, 15 сентября 2014 г.

О безопасности Гугл, моем интервью на радио и приказе 378

Добрый вечер, дорогие читатели и читательницы! Хотела бы поговорить с Вами сегодня о безопасности облачных сервивов, таких, как Google Docs. По этой теме я давала комментарий на радио (ссылка на запись). В 2009 году писали о сбое настройки прав, в результате которого доступ к документам гугла был предоставлен посторонним. Сейчас эта уязвимость устранена, но осадок остался :) 
Распространение мобильных устройств и доступность сети Интернет практически из любой точки мира привели к возникновению сервисов удаленной работы с документами. Очень удобно, находясь в отпуске, просматривать протокол совещания, к тому же облачные сервисы позволяют организовать совместный доступ к этим документам. Кроме Google, сервисы хранения документов есть, например, у Яндекс (Мой Диск) и Мейлру (Облако). Преимущества облачных сервисов неоспоримы, но нельзя отрицать существование угроз безопасности. 
В случае получения доступа к сервису посторонним лицом, содержимое документов может быть уничтожено (доступность), скопировано (конфиденциальность) или изменено (целостность), что может привести как к финансовым рискам (в случае сбора данных конкурентами), так и к временным затратам на восстановление утраченных документов. В случае утечки персональных данных сотрудников или клиентов активизируются контролирующие органы. 
Есть одна важная деталь: все сервисы Google доступны по одному паролю. При его хищении злоумышленник получает доступ к почте, документам, yotube каналам, блогу и т.д. Чтобы этого не допустить, нужно следовать простым правилам:

  1. Использовать защищенное соединение https (указывается в настройках браузера).
  2. Менять пароль хотя бы раз в три месяца (такая периодичность не должна доставлять слишком много хлопот пользователю).
  3. Использовать телефон и дополнительный e-mail для двухфакторной аутентификации.
  4. Использовать сложные пароли. Существуют списки плохих паролей, к которым относятся последовательности цифр (123456, 654321), даты рождения, имена родственников, клички животных.
  5. Использовать антивирус постоянно.
  6. Обновлять операционную систему.
  7. Не использовать одинаковые пароли к разным сайтам.
  8. Не сообщать свой пароль.
  9. При возникновении угрозы подсматривания пароля - сменить его.
  10. Правильно выставлять права доступа к документам.
Правила можно посмотреть здесь, здесь или здесь. А у Сергея Сторчака можно посмотреть любопытный пост в тему: ссылка.

Ну и про Приказ ФСБ № 378 напоследок. Честно говоря, и говорить ничего не хочется. Приведу Вам вопрос читателя с моим ответом (со страницы ВК):
Вопрос: Ксения, доброго времени суток! Что Вы думаете про приказ ФСБ от10.07.2014 №378? К примеру, банки сейчас для подключения к интернет-банкингу используют СКЗИ КС1, КС2. Они являются операторами ПДн и этот приказ обязывает их сменить СКЗИ на КВ1 и КВ2. Получается, что им придется переделывать всю систему и вкладываться в недешевые "поделки". Причем использовать их они вряд ли будут, т.е. приобретут только для соответствия нормативам. Не кажется Вам, что это очередной честный отъем денег? Мне интересен Ваш рецепт выхода из этой ситуации

Ответ: Спасибо за интересный вопрос! На класс СКЗИ влияет уровень защищенности персональных данных. Поменять категорию информации мы не можем, остается уровень актуальных угроз. Чем ниже уровень, ти ниже класс СКЗИ. Для второго и третьего уровня защищенности при актуальных угрозах третьего типа можно использовать СКЗИ класса КС1 и выше.

Обзоры и мнения о 378 приказе Вы можете почитать у Алексея Волкова (ссылка), Алексея Лукацкого (ссылка) и Сергея Борисова (ссылка). Если есть еще статьи в тему - пишите, добавлю.


Страница моего блога: http://shudrova.blogspot.ru/
Страница Вконтакте: http://vk.com/kshudrova

Гавриченков Павел Михайлович. Натюрмотр с самоваром. Источник

вторник, 9 сентября 2014 г.

Персональные данные: что было, что будет, на чем сердце успокоится…Часть 2

Добрый день, дорогие читатели! Хочу познакомить Вас со второй статьей из цикла "Персональные данные: что было, что будет, на чем сердце успокоится…", на этот раз статья посвящена закону "О персональных данных" - разобраны основные статьи, отмечены изменения, которым они подверглись за 8 лет существования закона. Статья находится в открытом доступе, ее можно прочитать здесь.
В первой части я рассказывала о законодательстве в сфере персональных данных, ее Вы можете прочесть здесь.
Третья часть будет посвящена классификации ИСПДн вчера и сегодня, а также моделированию угроз. Приятного Вам чтения

Блог Ксении Шудровой: http://shudrova.blogspot.ru
Страница моего блога Вконтакте: https://vk.com/kshudrova

Янаки Владимир Викторович  «Щедрая осень». Источник

воскресенье, 7 сентября 2014 г.

Анонс статьи на sec.ru

Во вторник (9 сентября) на портале sec.ru выйдет моя вторая статья из цикла, посвященного законодательству в области Персональных данных.

Персональные данные: что было, что будет, на чем сердце успокоится… Часть 2. Закон «О персональных данных»
Автор: Ксения Шудрова
В первой части статьи был приведен перечень нормативной документации по защите персональных данных, включающий в себя действующие и отмененные документы. Теперь настало время поговорить о самом важном документе в области безопасности персональных данных в российском законодательстве. Естественно, речь пойдет о законе «О персональных данных», который на момент написания статьи существует в 13-ой редакции.

Пока можете ознакомиться с первой частью здесь.

Мой блог: shudrova.blogspot.ru
Страница блога Вконтакте: https://vk.com/kshudrova

вторник, 2 сентября 2014 г.

Мое небольшое выступление на радио

Добрый день, дорогие читатели! Сегодня хочу поделиться с вами ссылкой на запись своего комментария к изменениям закона О персональных данных, который звучал на радио Бизнес ФМ сегодня. Мои слова звучат в эфире каждый четный час, примерно в 15-ю минуту, чуть раньше, чуть позже. То есть у красноярцев есть еще возможность послушать мой голос в 22:12 на частоте 104,2 fm. Для всех остальных выкладываю запись: ссылка.
Суть вопроса - Как отразятся на бизнесе поправки, вводимые законом 242-ФЗ. На тему нового закона я уже рассуждала вот здесь: ссылка. Могу сказать, что требования к размещению персональных данных на территории РФ, в том виде, в котором они представлены сейчас, повлекут определенные затраты операторов. Поживем, увидим, а пока - слушайте, читайте, очень рада буду Вашим комментариям.


Хорошего Вам дня!

Ссылка на страницу моего блога Вконтакте: http://vk.com/kshudrova