суббота, 31 декабря 2016 г.

Письмо деду морозу по ИБ

Здравствуй, дорогой Дедушка Мороз! Пишет тебе Ксюша Шудрова, 29 лет. В этом году я вела себя хорошо: стала руководителем сибирского отделения RISC, была куратором код ИБ в Красноярске, выступала на местном телевидении, общалась с читателями, вела проект Лица ИБ, участвовала в квестах по ИБ, завела аккаунт в инстаграм (@boyarinya_marshmelova), писала для Росконтроля. 
В этом году в отечественной ИБ отрасли было много чего интересного! В том числе:

  • Вышла новая Доктрина.
  • Отменили старые документы ФСБ по ПДн.
  • Заблокировали Linkedin и анонимайзеры.
  • Вышло положение ЦБ № 552-П (ссылка).
  • Законопроект о штрафах в сфере ПДн (ссылка).
  • Президент высказался о льготах ИТ-отрасли (ссылка).
  • Государственный сегмент Интернет (ссылка).
  • Пакет Яровой (ссылка).
  • ФСТЭК сообщила об уязвимостях в сертифицированных СЗИ (SecretNet, Dallas Lock).
  • В 2016м исполнилось 10 лет закону "О персональных данных".
  • Покемоны :)

Чего бы я хотела в следующем году:
1. Персональные данные - собственность субъекта (ссылка).
2. Много интересных конференций в регионах, в том числе в рамках сообщества RISC.
3. Методику определения угроз безопасности в информационных системах (от ФСТЭК).
4. Больше информации об инцидентах для того, чтобы учиться на ошибках.
5. Меньше блокировок Интернет-ресурсов.
6. Упрощение процедуры отнесения к ГИС (ссылка).
7. Анонимность в сети Интернет, свободный доступ к мировым ресурсам информации.
Источник
Также подтверждаю, что данное письмо написано в соответствии с рекомендациями РКН к таким письмам и не включает моих персональных данных (кроме имени и возраста).

Дорогие читатели с наступающим Новым годом! Крепкого здоровья и успеха в делах, а также большого личного счастья! Спасибо, что были со мной в 2016 году, давайте дружить дальше!

https://vk.com/kshudrova - свежие посты и интересные материалы других авторов, а также новости мира ИБ.

четверг, 1 декабря 2016 г.

Общественные персональные данные

Добрый вечер, дорогие читатели! Хочу обсудить с вами сегодня одну животрепещущую тему. В последнее время из-за дефицита времени я меньше слежу за новостями, просматриваю их по диагонали. Но за вот эту новость глаз зацепился (оригинал здесь). "Большие данные россиян должны принадлежать государству". "Пользователь отпустил их в информационное пространство, и утекло все, что он там написал. Значит, это не их принадлежность", - заявила Касперская. Мы все, конечно, понимаем какие "общественные интересы" здесь преследуются, далее речь идет о сертификатах и принудительном хранении на территории государства. Потребуются новые инструменты и т.д. 
Давайте попытаемся рассмотреть эту идею с нескольких сторон.
Субъект
Итак, что же значит для субъекта - передать персональные данные в собственность государства (речь шла о больших данных, но это не так уж важно). Начнем с ФЗ № 152 "О персональных данных". В законе прямо не сказано, кто владеет своими персональными данными, но то, что это субъект вытекает из контекста. У субъекта в законе права, у оператора - обязанности. На этом строится молодая еще судебная практика по персональным данным - у субъекта есть возможность свои права отстоять, в том числе в суде, получить компенсацию морального вреда. 
Персональные данные, которые оказываются в Интернете весьма многообразны, здесь вам и платежи в онлайн-магазинах, денежные переводы, анкеты на сайтах знакомств, результаты медицинских анализов, оценки школьников, да что угодно. Хочу ли я, чтобы все это надежно хранилось в одном месте? Не очень. Сама фраза "отпустил - утекло" странно не согласуется с недавним правом на забвение. Ну утекло, а теперь я хочу убрать, удалить информацию о себе. Что делать? У государства просить разрешения, видимо.
Оператор
Каждый раз когда проходит конференция, обсуждение, вебинар, да что угодно по персональным данным, поднимается тема отличия персональных данных от других сведений конфиденциального характера. Государственную тайну защищаем по требованиям государства (владелец), коммерческую - по требованиям предприятия (владелец), а персональную - на усмотрение оператора (не владелец!). Из-за этого возникают проблемы. Оператору сложно найти деньги и мотивацию на защиту персональных данных, штрафы маленькие, проверки редкие, коммерческой выгоды никакой, да и не посадят. Если с этой точки зрения смотреть, передача данных в ведение государства теоретически должна защищенность повысить. Практически мы уже наблюдаем это повышение защищенности на примере 242-ФЗ. 
Регулятор
Регуляторам будет удобнее. Государство - хозяин, государство требования выдвинуло, оператор выполнил, государство проверило.

А как считаете Вы?
Винсент Ван Гог. Арена в Арле. Источник
https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.
@boyarinya_marshmelova -  по тэгу #иблокнот можно найти зарисовки на тему защиты информации.

пятница, 25 ноября 2016 г.

Видео. Субъектам о персональных данных

Добрый вечер, дорогие читатели! Как и у многих 29-летних людей, у меня есть список дел, которые нужно успеть сделать до 30. Сроки сжаты - нужно торопиться, пока паровоз молодости несется к станции Зрелость :) К счастью, недавно на один пункт стал меньше. Представляю Вам мое первое выступление на телевидении в качестве эксперта и блогера (аж 20 минут!). Так что наливайте себе чаек или чего покрепче и устраивайтесь поудобнее. Как говорил Мосс из Компьютерщиков - "Пристегните Ваши уши, их ждет незабываемое путешествие!" (Цитата неточная)
Хороших выходных!


https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.

среда, 2 ноября 2016 г.

Отзыв читателя. Код ИБ в Тюмени

Добрый вечер, дорогие читатели! Сегодня я хочу представить Вашему вниманию отзыв Андрея Андреевича Бочарова, руководителя проектов в сфере информационной безопасности АУ "Югорский НИИ информационных технологий" (https://twitter.com/a_a_bocharov) о конференции Код ИБ в Тюмени.


27 октября в деловом доме «Петр Столыпин» г. Тюмень прошел очередной «Код информационной безопасности», о проведении которого я узнал за два дня до его начала, успел оформить командировку и рвануть вместе с нашим экспертом за 700 км от дома.
Первое что стоит отметить, это конечно же эпический рэп про Код ИБ с котом в главной роли https://www.periscope.tv/3dwave/1zqJVNkPZVmJB?t=8
По сессиям, говорили про внешние угрозы, количество которых растет и как следствие больше атак и нанесенного ущерба (была приведена статистика в презентации Андрея Прозорова, там сотни миллионов), неадекватное время реагирования на инциденты и то что в некоторых случаях безопасности 8/5 уже недостаточно и нужно переходить на 24/7. Максим Степченко привел пример, для коллекторского агентства достаточно безопасности во время проведения транзакций три раза в неделю, а для компании у которой есть веб-портал и постоянный доступ удаленных сотрудников безопасность должна быть обеспечена круглосуточно. Кстати, самыми защищенными признали порно-сайты, так как в случае подхвата вредоноса пользователь туда уже не вернется и это может стоить бизнеса.
Также, говорили о том, что НДВ 4 не нужен для ИСПДн, и будет не нужен для ГИС пока не обновят 17 приказ ФСТЭК, то что помимо реестра российского ПО появится еще и реестр иностранного ПО, ждем правки в 149-ФЗ «Об информации, информационных технологиях…». 

Обсудили тему импортозамещения, кстати, в некоторых учреждениях Тюмени уже запустили пилоты российских операционных систем и прикладного ПО с целью подготовки к полному импортозамещению, я даже не представляю количество жалоб и пользовательского гнева при переходе на *unix системы и Libreoffice, но все равно молодцы, у нас в ХМАО пока про такое не слышал. 

Много времени уделили антивирусным решениям Kaspersky, Dr.Web и ESET, архитектуре защиты информационных систем и практике их применения.

Отдельно поговорили про прохождение проверок Роскомнадзора, оформление документов в соответствии с требованиями 152-ФЗ, направлению уведомлений и когда этого лучше не делать.

Некоторые спикеры говорили «Как», но не совсем было понятно «Зачем», пока выясняли плавно перешли к DLP, проблемам документирования положений для легализации системы в организации, процедурам управлениями инцидентами, практика применения (в том числе судебная практика) и ответам на ключевой вопросы.

Организация в целом на очень высоком уровне, регламенты выступающих соблюдали практически минута в минуту, спикеры отвечали на все вопросы из зала, масса подарков ну и конечно же очень вкусно кормили. 

В нашей сфере, особенно в регионах не так много мероприятий в сфере информационной безопасности (их нет), по этому всем, у кого есть возможность посетить «Код информационной безопасности» очень рекомендую, а тем у кого возможности нет, крайне рекомендую ее найти :)

https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов

понедельник, 31 октября 2016 г.

Заметка читателя. KrasCTF-2016

Добрый вечер, дорогие читатели! Сегодня я хочу поделиться с Вами заметкой инженера программиста АО "ИСС", аспиранта СФУ - Павла Шипулина о KrasCTF. Соревнования продолжались целых три дня, за это время успело произойти много всего интересного (ссылка, ссылка, ссылка). Как это было читайте ниже.

Удались ли KrasCTF-2016?
Вот и закончились очередные межвузовские соревнования по информационной безопасности – KrasCTF-2016. Соревнования проводились в стенах Сибирского федерального университета с 15.10.2016 по 17.10.2016.
Неоднократные победители KrasCTF, команда из Новосибирского государственного университета (SUSlo.PAS), вновь оказалась на вершине пьедестала. Второе и третье места заняли команды из Национального исследовательского ядерного университета «МИФИ» (8bit) и Томского государственного университета систем управления и радиоэлектроники (Keva) соответственно. Кроме того, необходимо поздравить гостевую команду «/DEV» из Сибирского федерального университета, которая заняла третье место в общем зачёте.
Отличительной чертой соревнований этого года является их «география». Команды из Красноярска, Новосибирска, Омска, Томска и Барнаула – являются уже привычными гостями (друзьями – ведь главное в движении CTF – это дружба) наших соревнований. Команда разработчиков, организаторы и участники соревнований рады были видеть команды из далеко не сибирских уголков нашей страны: Таганрога, Москвы и Владивостока! О трудностях, которые пришлось преодолеть этим командам, чтобы «убедить руководство в необходимости этой поездки», можно только догадываться... Поэтому хочется сказать им особое Спасибо!
Надо отметить, что из университета, замыслившего эти соревнования, за победу в общем зачёте боролись целых три команды. При том это не были исключительно студенты пятого и шестого курса, а силы «космохакеров» (в этом году команда разработчиков предпочла космическую тематику мотивам Комитета госбезопасности, если вы следите за KrasCTF ;-) ) были равномерно распределены между студентами от второго до шестого курсов. Данный факт очень радует команду разработчиков (Ёжики I), так как сами они являются «динозаврами» CTF для своего университета. Они начали играть, когда об этом виде соревнований ещё мало кто знал в университете и городе Красноярске (да и знал ли вообще?). Со временем нашлись приверженцы данного вида освоения практических навыков в области информационной безопасности и среди преподавателей – без морально-технически-организационной поддержки Шитова Юрия Александровича и Шниперова Алексея Николаевича, пожалуй, не так много бы получилось. Хотя времена были весёлые: когда ребята (компания из 5 парней), снимая квартиру на двое суток, объясняли хозяйке квартиры, что мы собираемся «решать олимпиаду».
Так-с, с официальной частью «отстрелялся», далее моё эссе как личные мысли и впечатления, связанные с этим мероприятием.
Безусловно, мне все очень понравилось! Пожалуй, ярчайшие впечатления от соревнований остаются не от самого мероприятия как олимпиады по тем или иным знаниям в компьютерной безопасности, а от «климата» вокруг тебя ...не уверен, что смогу точно объяснить, в чем это выражается. Но это как-то связано со всеми людьми, которые тебя окружают: разработчики, участники, люди, которые не имеют отношения к CTF, но понимают, что сейчас ты занят ответственным делом. Может их связывает общая идея? Не знаю...
Притом окружающий воздух максимально пропитан духом CTF-а где-то в крайние недели подготовки соревнований. Когда сроков, чтобы отложить и подумать уже нет, заявки от некоторых команд уже получены и «обратного пути просто нет», вы собираетесь после работы, пьёте кофе (да, да, сердце, нервная система, etc) и дописываете легенду соревнований, собираете задания в одну историю («подтачиваете» под легенду), общим разумом додумываете дизайн сайта, табличек, кнопочек, бейджиков и всего остального. В это время каждое утро ты проклинаешь этот CTF, этих «товарищей» по команде и саму задумку организации каких-то игр – «Оно вообще тебе самому надо?» ...но время близится к вечеру, ты едешь с работы и безусловно ощущаешь (да простит меня Жена!), что домой ты приедешь поздно!
Обычно участники благодарят организаторов за задания, организаторы участников за участие. Участников я поблагодарил выше, хотя могу ещё много раз говорить им «Спасибо!». Здесь я хотел бы сказать большое Спасибо команде организаторов, которые со мной «плечо к плечу» боролись за подготовку этих соревнований. Мы знаем друг друга уже много лет, но с каждым годом командная работа становится все более сплочённой и дружеской! Искренне верю, что заботы будних дней ещё долго не захлестнут нас настолько, что не останется возможности все отодвинуть и провести очередной KrasCTF-N.
«Фишкой» KrasCTF-2016 должна была стать автоматизированная система управления (АСУ) Электростанцией (Power station). Задумана она была вследствие повышенного интереса в нашей стране к защите АСУ ТП и КСИИ. Предполагалось, что игроки должны решить достаточно простое задание для проникновения в АСУ, а затем, решив три разных задания, вывести три контура охлаждения станции, что привело бы к неминуемому взрыву. Полев Александр при помощи «движка» HalfLife организовал реалистичную анимацию виртуальной электростанции, Лалетин Павел сделал весьма интригующий командный пункт АСУ. Но большинство стараний пришлось показывать на разборе заданий после закрытия соревнований... в чем-то из-за меня. Начитавшись «Криптономикона» Нила Стивенсона мы с Ольгой Булатовой предложили командам по колоде карт, сказав: «Ваш напарник попал в ситуацию, где нет возможности использовать ПК, вот сообщение от него: ...».
Казалось, игроки с интересом будут раскладывать карты, оторвав усталые взгляды от ПК, и смогут аккуратно повторить все операции, необходимые для расшифровки сообщения при помощи криптоалгоритма Понтифик (такое название дано в книге, на самом деле этот алгоритм называется Солитер, и был разработан Б. Шнаером по просьбе Стивенсона специально для этой книги). Но мы ошибались... Где-то не хватило энтузиазма, где-то аккуратности, но первый контур охлаждения Электростанции так и не был выведен их строя. Не могу утверждать, что я видел действия всех команд, но на моих глазах с азартом раскладывали по всему полу карты только участники команды «\dev». Спасибо им за это!
Подводя черту, хочу ещё раз поблагодарить нашу команду: Александра Полева, Александра Менщикова, Ольгу Булатову, Павла Лалетина, Никиту Третьякова и Алексея Николаевича Шниперова, всех остальных организаторов, участников, гостей и всех, кому дороги эти соревнования! В этом году они точно удались!

P. S. Напоследок шутка, которая родилась в комнате жюри во время 40-минутного отключения электроэнергии в начале соревнований: «На Krasctf-2017 помимо ноутбуков, маршрутизаторов и патч-кордов каждой команде необходимо иметь свой ДИЗЕЛЬГЕНЕРАТОР! ;-)»
Группа ВК: http://vk.com/krasctf2016
Сайт: http://krasctf.ru/

https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов, а также новости мира ИБ.

@boyarinya_marshmelova - инстаграм, по тегу #иблокнот можно найти мои зарисовки на тему ИБ.

АНОНС: следующий пост будет также заметкой читателя - отчетом с посещения Код ИБ Тюмень.

вторник, 11 октября 2016 г.

Профили защиты межсетевых экранов

Добрый день, дорогие читатели! Хорошо находиться в отпуске, даже если всего неделю и с утра до ночи делаешь диссертацию. Однако я стараюсь сохранять связь с внешним миром  - вот сегодня открыла для себя профили защиты межсетевых экранов, выложенные в открытом доступе на сайте ФСТЭК еще месяц назад. Профили разработаны в соответствии с Требованиями к межсетевым экранам, утвержденными приказом ФСТЭК России от 9 февраля 2016 г. Сами требования в открытом доступе не встречаются, но есть Информационное сообщение об утверждении требований к межсетевым экранам от 28 апреля 2016 г. № 240/24/1986, согласно которому:
  1. С 1 декабря 2016 г. разрабатываемые, производимые и поставляемые межсетевые экраны должны соответствовать Требованиям.
  2. С 1 декабря 2016 г. сертификация, а также инспекционный контроль серийного производства межсетевых экранов будут осуществляться только на соответствие Требованиям.
  3. Межсетевые экраны, установленные до 1 декабря 2016 г., могут эксплуатироваться без проведения повторной сертификации на соответствие Требованиям.
Святослав Брусилов. Источник
 https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.

пятница, 7 октября 2016 г.

Подкаст с открытия RISC

Добрый день, дорогие читатели! Благодаря Александру Зотову у нас с Вами появилась возможность послушать аудиозапись моего доклада на открытии RISC.
Прощу прощения за неровную речь, всем хороших выходных!
Любец. Осенний полдень. Источник

https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.

четверг, 6 октября 2016 г.

Открытие Красноярского отделения RISC

Добрый вечер, дорогие читатели! 24 сентября мы открыли Красноярское отделение RISC. Презентацию с выступления можно посмотреть здесь: ссылка. Фотографии можно взять здесь. Мне очень понравилось, как все прошло. Была небольшая официальная часть, на которой мы с Вячеславом Владимировичем Золотаревым (СибГАУ) рассказали о товариществе и задачах Красноярского отделения. Был мой доклад о персональных данных, точнее о тенденциях этого года в их защите. А после доклада были вопросы, которые не заканчивались несколько часов. Мы говорили о законодательстве по ИБ в России и странах СНГ, проблемах трудоустройства молодых специалистов, перспективах создания сообщества специалистов в Красноярске, о будущем Интернета.
Видео записать, к сожалению, не получилось. Поэтому оставлю здесь видео-поздравление товарищества с двухлетием :) 
А еще у меня возникла идея проведения вебинара о тенденциях. Как Вам такая идея?

https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.

среда, 28 сентября 2016 г.

Код ИБ Красноярск. Как это было (8 сентября 2016)


Добрый вечер, дорогие читатели! 8 сентября в Красноярске в первый раз прошел Код ИБ, а я была куратором конференции. Это было здорово! Стоит отметить, что мультибрендовые конференции у нас не проходят, поэтому формат мероприятия для города уникальный. Все, что у нас сейчас есть - это пара докладов на Антитерроре весной и на Айтикоме осенью, ну и роадшоу различные. Поэтому Код ИБ ждали все. Особенность красноярского сообщества ИБ специалистов - все друг друга знают. Поэтому атмосфера была почти домашней, я встретила коллег, знакомых, однокурсников.
В прошлом году мне посчастливилось выступать в Иркутске и Новосибирске, и как это будет в итоге, я примерно представляла. Надежды оправдались! Безусловно есть определенные недочеты, которые нужно будет учесть в следующий раз, но их не так уж много.


Организация мероприятия
1. Большой зал для конференции очень вместительный, а людей пришло действительно много. Все разместились комфортно. МВДЦ "Сибирь" - солидное место, здесь у нас проходит экономический форум, всевозможные слеты промышленников. 8 сентября, к слову, собирались представители лесопереработывающей отрасли. В маленьком зале я не была (секции шли параллельно), поэтому судить могу лишь по фотографиям. Возможно зал действительно маловат.

2. Кофе-брейки и обед были красиво сервированы. Еда была вкусной, хотя, на мой субъективный взгляд, формат Хилтона лучше (там шведский стол). 
3. Было очень много конкурсов и подарков, практически никто не ушел без приза, хотя бы и символического. Это мотивировало многих досидеть до последнего доклада.

Выступления
Спикеры были хороши. На пленарной части выступали Максим Степченков (IT-Task), Евгений Климов (президент RISSPA) и начальник отдела технической защиты информации ГУВД по Красноярскому краю Владимир Владимирович Бабин. В университете я проходила у него в отделе производственную практику, где и познакомилась впервые с темой персональных данных. В такой приятной компании мы провели на сцене чуть больше часа. Этого было очень мало! К сожалению, участники не задавали нам вопросов, только внимательно слушали. Думаю, на следующий год нужно больше работать с залом, задавать вопросы участникам, выводить их на диалог. Мне кажется, было бы правильно либо увеличить время пленарной части, либо добавить в послеобеденную часть конференции секцию ответов на вопросы. 
После пленарной части были две параллельные сессии: Внутренние угрозы и Внешние угрозы. Мы с супругом выбрали внешние, не пожалели, было интересно (про внутренние угрозы отзывы такие же хорошие). Очень понравилась работа модератора (Максима Степченкова). Держал наше внимание, направлял обсуждение. Традиционно ярким было выступление Доктор Веб (Вячеслав Медведев). Очень понравился спикер от Check Point Сергей Чекрыгин.
После обеда интересным было выступление представителя Ростелекома (Тимура Ибрагимова). Радует, что в докладе присутствовала не только реклама, но и небольшой ликбез на тему ддос атак. Стоит отметить, что в каждом докладе на конференции было много интересного, совсем уж голимой рекламы не было. 
От мастер-класса представителя Оracle осталось двоякое впечатление. С одной стороны тема 242-ФЗ всегда вызывает жаркие дискуссии, да и презентация была наполнена полезной информацией. Но сам доклад был подан довольно скучно. Мне показалось странным, что ведущий технический специалист рассказывал о нормах законодательства в сфере ПДн. Да и со стороны докладчика не было заметно особого интереса к теме. Поэтому он в основном показывал нам слайды с огромным количеством текста.
Мысли, которые интересно подумать
1. Очень многие атаки являются целевыми. Нужно почитать больше про АРТ.
2. Вы украли бы деньги у своей компании (при условии гарантированной безнаказанности)? (Максим Степченков о выполнении норм ИБ сотрудниками)
3. Центры очистки от Лабаратории Касперского (поизучать вопрос).
4. СТАР - бесплатная программа от Fortinet.
5. По Красноярску - низкий процент установки антивируса на почтовый сервер (Dr Web). 
6. Более 80% шифровальщиков проникают через почту (ESET)
7. У выступающего из Check Point был вирус на флешке с презентацией :).
8. Дерзкое заявление представителя Касперского в зал: "Кому нужна маленькая компания в Красноярске, думаете Вы?" Эм, мы здесь не считаем себя окраиной мира, у нас будет Универсиада :)
9. Трансграничная передача как альтернатива хранения по 242-ФЗ? (Oracle).

Вот и все впечатления, если кратко. Что хотелось бы изменить? Думаю, стоит уделить больше внимания ответам на вопросы в начале и конце конференции и поменять концепцию мастер-класса в конце - проводить в формате дискуссии. В остальном все было просто здорово! Аудитория состояла из специалистов самых разных отраслей, вопросы после докладов лились рекой. Первый раз прошел отлично, будем ждать Код ИБ в 2017!
Материалы конференции можно взять здесь.
Фото взяты с сайта codeib.ru

https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов







пятница, 23 сентября 2016 г.

Открытие RISC в Красноярске 24 сентября 2016

Доброе утро, дорогие читатели! Приглашаю завтра всех желающих на открытие отделения RISC в г. Красноярске
Место проведения: г. Красноярск, пр. Красноярский рабочий, 48б.

Программа семинара:
12:00-12:30  - Встреча и регистрация участников семинара, приветственный кофе
12:30-13:00 - Открытие семинара, приветственное слово руководителя Красноярского отделения товарищества RISC Ксении Шудровой и почетного члена товарищества RISC, к.т.н. кафедры Безопасности информационных технологий СибГАУ Вячеслава Золотарева
13:00-13:30 - «ПДн: Тенденции 2016 года. Что нас ждёт в будущем?» Ксения Шудрова, RISC
13:30-14.30 - Ответы на вопросы и неформальное общение
14:30-15.00 - Подведение итогов семинара

Участие в семинаре бесплатно. Приходите! Всех ждем!
https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.

среда, 14 сентября 2016 г.

Встреча с Антоном Ракитским (Узбекистан)


Добрый день, дорогие читатели! Сегодня я хотела бы рассказать Вам об интересной встрече со специалистом по ИБ из Узбекистана - Антоном Ракитским. Встреча, правда, прошла еще в середине июля, но руки до заметки дошли только сейчас. В прошлом году вышла моя совместная статья с Антоном - это был первый опыт международной публикации, да еще на профессиональную тему (надеюсь, такие проекты будут еще).
Мне очень нравится встречать людей, с которыми общаюсь в сети, в реальной жизни. Поэтому как только узнала, что Антон приехал в Красноярск, решила, что встретиться нужно обязательно. Мы с мужем уже имеем некоторые запасы пакетов с символикой Красноярска, точно знаем где купить магниты и сувениры - действуем быстро и четко, по заранее отработанной схеме :) Также у нас есть свой экскурсионный маршрут по городу. 


Пока смотрели достопримечательности много разговаривали, особенно интересно было узнать о жизни в Узбекистане, к стыду своему хочу сказать, что наши познания об этой стране ограничивались вкусными фруктами и овощами, да еще знанием столицы. Приятно было узнать, что в Узбекистане популярен тотальный диктант, православные праздники, и вообще сохраняется русская культура. Интересно было услышать об ограничении на наличные деньги и трудности их получения, о фотографировании с продавцом техники вместо получения чека. Восток - действительно, тонкое дело. Вот пытаюсь я Вам тут по памяти что-то пересказать интересное, и у меня ничего не получается :) Зато впечатления Антона от Красноярска приведу дословно.

В Красноярск прибыл поездом из Иркутска, и уже по пути с вокзала обратил внимание на активную подготовку к предстоящим выборам. При этом околополитическая жизнь в Красноярске была активной ещё в конце XIX века - мне посчастливилось жить по соседству с домом, в котором Ленин прожил около месяца перед отправкой в ссылку.
Город приятно удивил большим количеством спортсменов, есть даже целый остров Отдыха, на котором устроены разные турники, тренажеры, велодорожки и большое количество жителей всем этим активно пользуется.
Гостинцы из Ташкента

Очень впечатлил Енисей - огромные массы очень холодной воды несутся с большой скоростью, заметно это если спуститься к самой воде. Вообще Красноярску очень повезло с достопримечательностями. Прямо рядом с городом парк Столбы с замечательными видами, чистым воздухом и бросающимися под ноги бурундуками. Тут же большой парк флоры и фауны (отличие от зоопарка действительно есть), где я с час глазел на разных сов, а они на меня.
По рекомендации Ксении побывал и в областном краеведческом музее. Экспозиция рассказывает об истории края с древнейших времен, начиная с первобытных людей и мамонтов, и до наших дней. Временами казалось, что именно Красноярский край стал колыбелью цивилизации. С особой иронией составлена и часть, посвященная истории XX века, портреты и вещи Николая II тут выставлены рядом с фотографиями известных ссыльных того же времени, среди которых был и Сталин.
Из других открытий в городе - полуденный выстрел из пушки, собственный Биг-Бен и то, что в Красноярске делают очень вкусные шоколадные конфеты.

Красноярск был вторым городом путешествия Антона по России, дальше Урал, Москва, Санкт-Петербург и юг России. Но по словам Антона, наш город оставил наиболее яркие впечатления. А чтобы проверить правда ли в Красноярске так здорово, приезжайте, мы вам все покажем!

https://vk.com/kshudrova - ссылки на свежие посты, новости мира ИБ и интересные материалы других авторов.

вторник, 6 сентября 2016 г.

Руководитель Красноярского RISC, куратор Код ИБ в Красноярске - что дальше?

Мой значок
Добрый вечер, дорогие читатели! Сегодня хочу поделиться с Вами приятной новостью - теперь я не только блогер, но еще и руководитель Красноярского отделения RISC. О чем свидетельствует вот эта публикация. Что еще добавить по этой теме? А нечего!
В четверг (то есть уже послезавтра) пройдет Код ИБ в Красноярске. Начало в 10 утра в МВДЦ "Сибирь", но регистрация начнется немного раньше. Всех, кто еще не зарегистрировался - милости просим! В Красноярске конференция пройдет в первый раз, поэтому особенно приятно быть куратором исторического, можно сказать, мероприятия. Программа насыщенная, ее можно посмотреть здесь. Будет два потока выступлений, потому что докладов ну очень много! С 10:20 до 11:30 обсудим тренды и угрозы мира ИБ, здесь Вы сможете задать экспертам (в том числе и мне) интересующие Вас вопросы. Можете задать и неинтересующие, главное - не молчите :) У меня большие надежды на то, что мероприятие получится ярким и интересным, как для участников, так и для спонсоров, и Код ИБ будет проходить у нас каждый год. 
Думаю о России на фоне Саяно-Шушенской ГЭС
На этом официальные новости всё, закончились. Из личного - недавно побывали туристами в Абакане. Такой тур выходного дня, расстояние от Красноярска - чуть больше 400 км. В пятницу вечером выехали, в воскресенье вечером вернулись. В самом Абакане посмотрели Сады мечты - парк, в котором можно пофотографироваться на фоне красивых лавочек и беседок, а также покормить небольших животных. Многое в городе посвящено Аяну (ну вы поняли). Ехали изначально на день города, но дождь поменял наши планы. Погуляли по центру, поели во вьетнамской столовой, купили местных шоколадных конфет (фабрика Сладкарница - очень рекомендую). У конфет все вкусы были хороши, но мне лично больше всех понравились персик-пломбир. Другим гастрономическим удовольствием было посещение кафе грузинской кухни Мимино (хачапури, долма, шашлык и т.д. - все по-домашнему вкусное). Съездили на Саяно-Шушенскую ГЭС. Поражает воображение - мощь и красота, обязательно стоит увидеть. Больше ГЭС меня удивила только квартира, которую мы сняли для отдыха, причем в хорошем смысле этого слова. Заказывали жилье по телефону, поэтому перед отъездом я серьезно думала над тем, чтобы взять с собой бутылку доместоса и тряпки, ну и, конечно же, упаковала с собой постельное белье. Все-таки не в первый раз по России путешествуем! А оказалось, что мы сняли чистую и большую квартиру в новом районе с двумя гардеробными. Хорошо, когда опасения не подтверждаются.

https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов

понедельник, 29 августа 2016 г.

Лица ИБ. Наталья Храмцовская

Добрый вечер, дорогие читатели! Сегодня я хотела бы представить вашему вниманию интервью с экспертом Натальей Храмцовской. Автор довольно необычный, так как основная сфера деятельности Натальи Александровны связана с управлением документацией, но тем интереснее читать ее посты, посвященные защите данных. 

Храмцовская Наталья Александровна
Кандидат исторических наук, ведущий эксперт по управлению документацией компании «Электронные Офисные Системы», эксперт ИСО, член Международного совета архивов.
Сфера интересов: Проблематика электронного и открытого правительства, обеспечение непрерывности деловой деятельности и восстановление после катастроф, управление бумажными и электронными документами, бумажное и электронное архивное дело (включая обеспечение длительной сохранности аутентичных электронных документов), вопросы использования электронных подписей, вопросы информационной безопасности и защиты персональных данных. По перечисленным вопросам веду мониторинг и анализ законодательно-нормативной базы в области управления документацией и информацией, провожу анализ судебной практики, изучаю зарубежный и отечественный опыт. 
По образованию я историк, закончила Московский Государственный Университет. Свою карьеру начинала как архивист, а затем освоила и управление документами и консультационную работу.
В 2010 году защитила в Российской академии государственной службы при Президенте Российской Федерации диссертацию на соискание ученой степени кандидата исторических наук «Понятие «электронное правительство» в англо-американской историографии». 
Мой блог «Кто не идет вперед, тот идет назад» (http://rusrim.blogspot.com/ ) насчитывает почти 5500 постов и является в настоящее время крупнейшим в мире по тематике управления документами и архивного дела. 
С 2009 года являюсь экспертом Международной организации по стандартизации ISO (International Organization for Standardization).
Член Гильдии Управляющих Документацией (Россия), Международной ассоциации специалистов по управлению документацией - ARMA International, Международного Совета архивов.
Сейчас я работаю ведущим экспертом по управлению документацией в компании «Электронные Офисные Системы». Меня интересует всё, что относится к этой области: традиционные и электронные технологии; как вопросы управления документами и архивного дела, так и проблемы информационной безопасности, а также роль всех этих дисциплин в проектах построения «электронного» и «открытого правительства». Много сил трачу на продвижение современных методов работы, в том числе на написание статей, число которых, кажется, перевалило за три сотни, на преподавание, на перевод зарубежных стандартов и нормативных документов.



1.   Наталья, расскажите немного о себе. Какими проектами Вы занимаетесь сейчас?
Я – специалист в области современного управления документами и архивного дела. Немногие понимают, что представители моей профессии большую часть своего времени занимаются обеспечением информационной безопасности, делая акцент на исполнение законодательно-нормативных требований и удовлетворение потребностей своих организации в документированной информации, на обеспечение сохранности, в том числе длительной, документов и информации без ущерба для их юридической значимости и доказательной силы, на их своевременное уничтожение по истечении установленных сроков хранения. В общем, я работаю «на пересечении» права, ИТ, ИБ и «обычного» делопроизводства и архивного дела.
Кстати говоря, именно на плечи моих коллег по профессии традиционно ложится решение большинства задач ИБ в отношении ставших сейчас непопулярными, но по-прежнему существующих и создаваемых в больших объёмах бумажных и других неэлектронных документов.
Есть много интересных вопросов, которые чисто техническими мерами не решаются – например, очень актуальный сейчас вопрос о том, как обеспечить долговременную сохранность юридически значимых документов, подписанных усиленными электронными подписями, в том числе после того, как истекут сроки действия всяких сертификатов, уйдут в небытие выдавшие их УЦ и даже будут скомпрометированы ныне используемые криптоалгоритмы.
В последнее время я много работаю в консультационных проектах для крупных государственных ведомств и коммерческих организаций. Я вхожу в число национальных экспертов Международной организации по стандартизации (ИСО), занимаюсь переводами на русский язык стандартов по своему направлению.

2.   Какие темы в ИБ Вам больше всего интересны?
Мне в первую очередь интересны актуальные комплексные темы, которые не сводятся к выбору и внедрению технических мер защиты и требуют решения сложных организационно-правовых вопросов. Среди них такие, как
  • Решение задач управления документированной информацией в новых правовых и технологических условиях – это проекты «электронного» и «открытого» правительства, открытых данных, использования аутсорсинга и облачных технологий, инновационных решений типа «блокчейн» и т.д.;
  • Защита персональных данных;
  • Э-раскрытие – поиск и представление электронной информации в рамках судебных процессов и расследований. Внутри России пока этот вопрос неактуален, а вот на международной арене это очень больная тема;
  • Обеспечение долговременной сохранности пригодных к использованию и сохраняющих юридическую значимость документов и информации в условиях быстрого устаревания технологий и изменения законодательства. Меня интересует не только организационно-распорядительная документация, которой предпочтительно интересуются мои коллеги по профессии, но и, например, научно-техническая и медицинская документация, вопросы управления информацией в базах данных и других информационных системах.
  • Создание полноценных государственных и коммерческих электронных архивов.

3. Всегда очень интересно читать Ваши посты о судебных решениях, сложно ли найти интересные случаи в практике, например, по персональным данным?
По сравнению с тем, что было менее десяти лет назад, резко выросли объёмы доступных судебных решений, особенно решений арбитражных судов. Соответствующие поисковые системы пока ещё оставляют желать лучшего, но, в принципе, при известной ловкости позволяют достаточно легко находить интересные дела.

Думаю, что сейчас самая благодатная пора для изучения судебной практики – просто потому что очень мало специалистов систематически этим занимается, и, как в невытоптанном лесу, «грибов» хватает на всех «грибников» :)
Судебная практика огромна (это миллионы дел каждый год), поэтому я стараюсь фокусировать внимание на нескольких конкретных темах. Меня в первую очередь интересует вопрос о том, как стороны и суды используют для аргументации своей позиции представленные в качестве доказательств документы, в том числе электронные; при каких условиях суд признает их надлежащими доказательства и по каким причинам отвергает. Судебная практика важна тем, что позволяет убеждать руководство организаций в необходимости вкладывать деньги в надлежащее управление документами и в информационную безопасность, поскольку при этом защищаются не только интересы организации, но и «они любимые». Кроме того, судебная практика часто показывает, где сегодня проходят границы допустимого в части внедрения современных технологий, и в какую сторону они сдвигаются.

4. В последние годы в области защиты информации сильно поменялось законодательство, какие тренды Вы бы выделили?
Законодатель осознал, что электронная информация открывает огромные возможности для эффективного государственного управления и деловой деятельности. Одновременно внедрение информационных технологий создает и большие новые риски. Сегодня многие страны можно поставить на колени уже не ядерными ударами, а путем атак на ключевые информационные ресурсы и инфраструктуру. По мере распространения «умных» устройств и особенно с приходом интернета вещей информационная безопасность становится критически-важной частью национальной безопасности и безопасности деловой деятельности.
Соответственно, законодательство, с одной стороны, снимает оставшиеся барьеры на пути внедрения ИКТ, поощряет отказ от неэлектронных документов и информации в пользу электронных. Одновременно идет централизация государственных информационных ресурсов и создается – будем называть вещи своими именами – система всеобъемлющего оперативного контроля и слежки. Требования в отношении защиты информации будут непрерывно ужесточаться по мере неизбежного роста угроз, а, например, законодательство по защите персональных данных будет, наверное, пытаться оставить человеку хотя бы видимость неприкосновенности личной жизни.
В сфере своих профессиональных интересов я наблюдаю не только уход бумажных документов, но и начавшийся процесс отказа от обмена бумагоподобными документами в пользу коллективного использования различных баз данных, реестров, регистров и иных информационных систем. Государственные информационные ресурсы становятся главным «источником истины», при этом падает значение документов личного хранения, даже таких, как паспорт – они превращаются в своего рода гиперссылки на электронные информационные ресурсы. Соответственно резко обостряется вопрос обеспечения точности, сохранности и защищённости этих ресурсов, в том числе на длительных интервалах времени.
Думаю, что настоящая электронная революция ещё только начинается, равно как и по-настоящему радикальные перемены в законодательстве :)

5.  Что является вдохновением для написания статей, где Вы черпаете идеи?
Мы живём в эпоху революционных перемен. Достаточно поднять голову и оглядеться вокруг, чтобы увидеть массу интересных непростых проблем. Кроме того, как всегда, полезно следить за тем, что обсуждают специалисты «моей» и смежных дисциплин. Я трачу много времени на изучение передового зарубежного опыта (кстати, и отечественного тоже – но до него сложнее «добираться»), и в идейном плане эти усилия с лихвой окупаются. Наконец, я всегда охотно отвечаю на вопросы коллег и читателей блога, и некоторые из таких вопросов подталкивают меня к изучению новых тем.

6.  Что на Ваш взгляд сложнее - выступать или писать?
Писать, как мне кажется, сложнее, поскольку в этом случае выше требования к логике, способам подачи материала, да и просто к качеству русского языка.

7.  Какие вопросы Вам чаще всего задают читатели?
С учетом специфики моей работы, меня сейчас чаще всего спрашивают:
  • Как правильно установить сроки хранения конкретных видов документов;
  • Как создавать электронные архивы, как хранить появившиеся новые виды документов или, скажем, научно-техническую и медицинскую документацию;
  • Что делать с электронными документами, подписанными усиленными подписями, после того, как истекли сроки действия сертификатов – как вообще их хранить;
  • Можно ли перевести бумажные документы в электронный вид, а затем уничтожить оригиналы;
  • Стоит ли пользоваться простой электронной подписью;
  • Как вообще устроено российское законодательство в плане регламентации использования электронных документов и ИКТ – что можно и что нельзя делать;
  •  Как доказать высшему руководству, что служба управления документами, архив и т.д. - не затратный «аппендицит» для организации, и что их деятельность обеспечивает безопасность организации и её руководства, защиту информационных активов, а также помогает основным деловым подразделениям зарабатывать деньги.
Впрочем, по-прежнему задается много вопросов по управлению бумажными документами. ИКТ и здесь многое поменяли в реальной практике, а вот нормативно-методическая литература так и осталась в 1980-х годах, несмотря на отдельные попытки косметического ремонта …

8.  Кого из авторов/блогеров по ИБ Вы читаете и почему?
Регулярно отслеживаю блоги Лукацкого, Емельянникова, Царева и ряда других специалистов, имеющих собственную точку зрения и оперативно делящихся свежей информацией. Я не гоняюсь, однако, за конкретными фамилиями – если мне где-то попадается интересный пост, я ставлю соответствующий блог, Твиттер и т.д. «на контроль» в используемую мною программу-агрегатор.
Должна сказать, что самостоятельно мыслящих людей мало и, соответственно, не так уж много публикаций, на которые стоит тратить всё время. Но каждый день я трачу пару часов на мониторинг потока новостей.

9.  Самая интересная прочитанная Вами книга или статья по ИБ?
Для меня любая попавшаяся интересная идея и ссылка (пусть даже в сомнительном источнике) – это повод «закопаться» в интернет в поисках дополнительной информации и первоисточников, поэтому мне трудно выделить кого-то в качестве «самого интересного». Когда регулярно отслеживаешь поток новостей, большинство идей и событий так или иначе «на слуху», поэтому, наверное, мне пока не попадались публикации по тематике ИБ, которые бы перевернули мои взгляды.

10.  Ваш любимый автор художественной литературы?
Очень люблю хорошие детективы, особенно классику типа Агаты Кристи. Читаю и наших авторов, таких, как Маринина :)

11. Вас сложно назвать блогером, посты больше напоминают статьи - всегда детально проработаны и посвящены самым разнообразным темам. Как у Вас получается так много и так качественно?
Блог для меня – не только способ рекламировать себя и распространять определенные идеи, но и рабочий инструмент для накопления, систематизации и анализа информации. Я выкладываю на нем найденную информацию после её первичной обработки, и впоследствии мне легче её отыскивать именно там, а не у себя в компьютере :)
Конечно же, я не работаю в одиночку. У меня есть своя небольшая «семейная» группа поддержки, без которой я бы физически не справилась с постоянно возрастающими объёмами работы.

12. Что Вы можете посоветовать начинающим специалистам?
Молодым специалистам я бы посоветовала сделать то же, что я сама сделала когда-то (но, по-возможности, пораньше) – оглядеться вокруг и понять, как стремительно меняется окружающий мир и профессия. Это создает как проблемы, так и беспрецедентные возможности. Тот, кто способен «оседлать волну» новых идей, технологий и т.д., и удержаться на ней, через пять лет станет идейным лидером и экспертом в своей профессии – просто потому, что большинство коллег по тем или иным причинам не успевает обновлять свои знания и их отбрасывает назад.
Подобная возможность обогнать своих более именитых и опытных коллег бывает только в нечастые в истории периоды революционных перемен. За успех нужно заплатить цену – придётся вложить немало усилий, отдача на которые придёт не сразу. Понадобится также изучить смежные дисциплины, и в первую очередь – ряд вопросов права.
В современных условиях очень важно хорошо знать английский язык и выработать в себе привычку следить за новостями и работать с первоисточниками.

13. Есть ли какие-то хитрости или полезные советы о том, как искать и разбирать судебные решения? Часто представляет трудность даже просто собрать судебную практику, а ее еще нужно проанализировать!
В свое время я начинала с простого: отслеживала по ключевым словам любые судебные решения, в которых хоть как-то упоминались электронные документы или технологии (подумать только, десять лет тому назад это были единичные документы!). Навыки поиска материалов по любой конкретной тематике нарабатываются достаточно быстро.
Когда материалов стало больше, я переключилась на анализ судебных дел, которые прошли все инстанции. Эти решения более стабильны, и к тому же фактически используются в качестве прецедентов. Если мне попадается любопытный спор на стадии разбирательства в первой инстанции, я ставлю дело на контроль и терпеливо жду, когда будет принято окончательное решение.
Нужно сказать, что в судах редко напрямую рассматриваются, например, проблемы управления документами. Очень часто они лишь мельком упоминаются на фоне основной темы спора, т.е. готовенький материал попадается редко, и «золото» нужно намывать по крупицам. Иногда важно то, что какие-то документы и информацию суд и спорящие стороны просто приняли без вопросов в качестве надлежащих доказательств.
Вообще, труднее всего начать анализировать судебную практику. Но со временем привыкаешь к языку и логике судей, и там, где раньше судебные решения казались каким-то нелогичным хаосом, начинаешь видеть определенную систематичность.

14.  Расскажите самый забавный на Ваш взгляд случай в области судебной практики?
Ничто так меня не забавляет, как иногда по-детски наивное поведение судей наших высших судов, когда они пытаются «интерпретировать» простые и ясные требования законодательства о доступе к информации о деятельности государственных органов таким образом, чтобы избавить государственные органы от необходимости раскрывать информацию. То вдруг требуют доказать, что информация нужна гражданину или организации для отстаивания своих интересов (чего закон не требует), то ссылаются на служебную тайну (которой наше законодательство не знает), то «забывают», что содержащие конфиденциальную или секретную информацию документы могут и должны раскрываться в цензурированном виде…

15. Многие молодые специалисты имеют высокие требования к зарплате, даже не обладая минимальным опытом работы, другие напротив – согласны трудиться практически бесплатно ради получения опыта. Как научиться оценивать себя адекватно?
Мы живем при достаточно «диком» капитализме, и «цену» человека зачастую определяют не его объективная квалификация, а игра спроса и предложения, а также предпочтения работодателей. Нет смысла горевать о прошедших временах, когда зарплаты в основном определялись должностными обязанностями и стажем работы, а зеленая молодёжи зарабатывала существенно меньше ветеранов. Я не осуждаю молодых специалистов, которые требуют (и часто получают!) большую зарплату. Они действуют на свой страх и риск, и, между прочим, их высокие запросы приводят к тому, что понемногу «подтягивается» и зарплата их менее напористых коллег.
Я бы сказала, что сейчас те из молодых специалистов, кто склонен себя недооценивать, рискуют больше тех, у кого завышенные запросы. Работать за низкую зарплату имеет смысл лишь тогда, когда или вообще нет иного выбора, или если точно просчитан план карьеры на перспективу.
Для меня гораздо более неприятна распространенная в ИТ и смежных отраслях дискриминация по возрасту. Типичный работодатель любит и продвигает молоденьких девочек и мальчиков, и считает, что делает одолжение тем, кому за 40, уже просто тем, что он терпит их присутствие.
Оценивать себя важно с двух точек зрения. Во-первых, полезно понимать, сколько конкретный работодатель в принципе может заплатить за твой труд с учетом всех обстоятельств. Во-вторых, нужно уметь объективно оценивать себя как специалиста и организатора, видеть свои сильные и слабые стороны, перспективы и потенциальные сферы приложения своих сил – с тем, чтобы не впадать в депрессию в случае потери работы.

16.  Ваше любимое изречение про ИБ?
Если у Вас есть электронные данные и системы, вопрос не в том, будут ли они украдены и взломаны, а кем и когда :)

17.  Что бы Вы посоветовали начинающим специалистам?
Никогда не останавливаться в своем профессиональном росте, какую бы зарплату – большую или маленькую – они ни получали.

Вот такое интервью получилось, мне было очень интересно читать ответы, точка зрения Натальи Александровны мне близка. Большое спасибо ей за участие в проекте!
А кого Вы бы хотели увидеть в Лицах ИБ в следующий раз?

Другие Лица ИБ

https://vk.com/kshudrova - присоединяйтесь к моей группе ВК, здесь новости ИБ, ссылки на свежие посты и интересные материалы других авторов.