вторник, 3 октября 2017 г.

Код ИБ в Красноярске

Добрый день, дорогие читатели! В этот четверг (5 октября) в Красноярске пройдет конференция "Код информационной безопасности". В прошлом году это мероприятие у нас провели впервые, я выступала куратором. Прочитать как это было можно здесь. К сожалению, в этом году поучаствовать лично у меня не получится, но я очень рекомендую это событие к посещению. 
Так как Красноярское отделение RISC оказывает информационную поддержку Коду ИБ, расскажу Вам немного о мероприятии.
В Красноярске события по информационной безопасности такого масштаба пока не проводятся, так что есть прекрасная возможность не только послушать интересные доклады, но и увидеть старых друзей, а также завести полезные знакомства.
В этом году изменилась площадка проведения конференции. Теперь это IBIS KRASNOYARSK CENTER, начало все также в 10 утра. Также я помню, что вы спрашивали про видео записи выступлений. В этом году можно зарегистрироваться платно и получить все необходимые файлы. Стоимость расширенного пакета до конференции составляет всего 1250 рублей. В него входят как видеозаписи выступлений, так и презентации, видео- и письменный конспекты, а также фирменный сувенир. Если решите купить записи после - цена составит 2500. Какую бы форму участия вы не выбрали, платную или бесплатную, необходимо обязательно зарегистрироваться заранее (не забываем про вкусные кофе-брейки и обед). 
Программа конференции уже доступна. Я очень рада, что в этом году нас снова радует своим участием Владимир Бабин (начальник отдела технической защиты информации), а также впервые выступает Константин Михайлов (эксперт по ИБ). Видеозапись семинара Константина в клубе RISC вы можете посмотреть у меня в блоге. Еще я очень рекомендую Вам послушать Илью Шабанова. Портал anti-malware.ru является одним из главных источников новостей мира ИБ, так что Илья личность практически легендарная. В общем, со всех сторон получается, что нужно идти! Ну а в следующем году я обязательно к вам присоединюсь :)


Вступайте в группу блога ВК, сегодня стартовал розыгрыш фирменной кружки - https://vk.com/kshudrova.

пятница, 29 сентября 2017 г.

Молодежная палата Роскомнадзора

Добрый вечер, дорогие читатели! Сегодня я хочу поделиться новостью с сайта Роскомнадзора. Вчера прошло заседание Молодежной палаты Консультативного совета при Уполномоченном органе по защите прав субъектов персональных данных (ссылка). Было анонсировано проведение дебатов по тематике защиты персональных данных на базе Московского государственного университета им М.В. Ломоносова и Российского государственного университета нефти и газа им. И.М. Губкина. Также на сайте указано, что обсуждался вопрос создания дискуссионных клубов на базе высших учебных заведений страны (ссылка)
Информацию о Молодежной палате Консультативного совета можно найти на сайте РКН (ссылка), положение находится здесь. Чем занимаются ребята? Ну, например, при их участии были разработаны рекомендации по составлению политики обработки персональных данных (ссылка). Возраст участников 18-30 лет. 
По этому поводу у меня две мысли - первая о том, что на вступление в их юные ряды у меня осталось где-то дней 30 (жаль), а вторая - имеет ли смысл создавать такие клубы? 
Как вы уже хорошо знаете, я руковожу красноярским отделением RISC и занимаюсь проведением семинаров по персональным данным, участие в которых принимают в основном студенты и молодые специалисты. Мы стараемся привлекать в качестве докладчиков людей взрослых, занимающих руководящие должности. На мой взгляд, именно такая дискуссия молодости и опыта имеет смысл. 
Мне кажется, что дебаты, которые проводят студенты для студентов очень поверхностны. Что можно обсуждать на таких собраниях? Идеи, мнения. Это очень здорово, но зачастую не имеет никакого отношения к реальной жизни. Все кто занимается защитой персональных данных на практике знают типовые проблемы и спорные вопросы. Это биометрия, моделирование угроз, судебная практика, данные о здоровье и т.д. Для дискутирования на эти темы недостаточно прочитать несколько нормативных актов, нужно также знать об ограниченности бюджета, времени, персонала и целесообразности выполнения тех или иных мероприятий. Молодого человека в 18-20 лет вопросы экономии денег оператора волнуют мало, это можно увидеть в экономическом обосновании дипломных работ.
В то же время если собирать людей, занятых исключительно практической деятельностью, дискуссия будет неполноценной. Мы получим простое перечисление проблем. Нужен свежий взгляд, который можно получить от молодежи. Лично я за баланс, а как считаете вы?
А.М. Герасимов. После дождя. Источник
https://vk.com/kshudrova - присоединяйтесь к клубу ВК! Здесь я размещаю свежие новости из мира ИБ, интересные посты других авторов и отвечаю на вопросы.

вторник, 19 сентября 2017 г.

Судебная практика в информационной безопасности

Добрый вечер, дорогие читатели! Вышел в свет Журнал IT-Manager: № 08/2017. Получить электронную версию можно бесплатно. Моя статья в номере доступна по ссылке - Судебная практика в информационной безопасности. Приятного чтения!

ЗЫ. В октябрьском номере вас ожидает статья про проверки Роскомнадзора.

Покидова Галина. Рябина. Источник


https://vk.com/kshudrova - подписывайтесь на официальную группу блога ВК.

пятница, 8 сентября 2017 г.

Оффтоп. RSS блога - как решить проблему с feedburner

Добрый день, дорогие читатели! Вчера совершенно случайно обнаружила, что не работают зеркала блога на Securitylab и Bis-expert. И все это продолжается с июня. Выяснилось, что возникла ошибка на моей стороне - был переполнен файл фида (более 1024Кб). За 6 с лишним лет ведения блога предел-таки был достигнут :) Как решить эту проблему было непонятно, так как feedburner просто предлагал обратиться на технические форумы. Я нашла следующее решение - не загружать весь архив блога в файл фида, а ограничиться последними 15ю публикациями (значение выбиралось методом тыка - 20 уже не пролазило, 3 - было маловато и т.д.). Для того, чтобы показывались последние 15 постов, нужно заполнить значение Original Feed следующим образом:

http://shudrova.blogspot.com/feeds/posts/default?max-results=15


Минусом моих экспериментов стала замена файла фида (как одна из проб найти решение), а, следовательно, потеря всех подписчиков RSS, но это дело наживное :)

ЗЫ. Если вы следили за моим блогом по зеркалам, то наверняка пропустили вот эти посты:

Приятного чтения!

https://vk.com/kshudrova - ссылки на свежие посты, новости мира ИБ и интересные статьи других авторов. Подписывайтесь!

среда, 6 сентября 2017 г.

Вопросы читателей по ПДн

Добрый день, дорогие читатели! Мне приходит множество интересных вопросов на тему защиты информации, а особенно - персональных данных. Ответы на некоторые из них являются достаточно универсальными. Сегодня представляю вашему вниманию пять вопросов с моими ответами на них. 

Вопрос  1
Подскажите минимальный комплект документов которые необходимы при обработке ПДн физ лицом (ИП).
Ответ
Из Фейсбука Алексея Лукацкого шаблоны документов по персональным данным. Аж 318 страниц! Автора, к сожалению, идентифицировать не могу.

Вопрос 2
Спасибо, что опубликовали свою презентацию с Paymentsecurity. Не могли бы вы ответить на те вопросы которые обозначили в конце презентации. 
1. Насчет цели обработки ПДн родственников работников. Правильно ли я понимаю что это - соблюдение требований трудового законодательства? На Ваш взгляд, обязательно ли выделять родственников работников в отдельную категорию субъектов? 
2. Интересно Ваше мнение по вопросу легализации обработки ПДн родственников заемщиков банков, которые они указывают в своих анкетах без взятия согласия. Единственное что приходит в голову это поручение заемщиком обработки ПДн своих родственников согласно ч.3 ст.6 ФЗ-152. Соответственно обязанность брать согласие в таком случае лежит на заемщике. Как к этому относится Роскомнадзор?

3. Если информация о судимости работника представляет собой только сведения о наличии или отсутствии судимости, без указания статьи УК, являются ли данные сведения персональными данными?

Ответ
1. Родственников нужно стараться не выделять отдельно, лучше попробовать обозначить их через привязку к субьекту. Например, назвать - информация о семье. 
2. По родственникам заемщиков сложная ситуация. Первое, что приходит в голову - обрабатывать вне информационной системы, на бумаге, но на деле это будет реализовать сложно или даже невозможно. РКН считает такую обработку без согласия нарушением. Также обратите внимание на п. 3, ст. 18:

Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных;
5) источник получения персональных данных.

3. Думаю, являются. Можно посмотреть комментарий РКН, который в виде книги, там должно быть про судимость (Научно-практический комментарий Роскомнадзора к закону «О персональных данных»).

Вопрос 3
Здравствуйте Ксения. Я пишу работу по социальной инженерии, не могли бы вы подсказать где можно наткнуться на статьи по новым тенденциям в этом направлении?
Ответ
Добрый вечер! Могу порекомендовать вот эти материалы: Социальная инженерия: сущность и парадигмальная методологияСоциальнаяинженерия как дисциплинарно-организованное знание. Также оставлю ссылку на свою статью на эту тему.

Вопрос 4
Вопрос по ИСПДн. Допустим создана информационная система в которой будут обрабатываться ПДн. Можно ли на ней обрабатывать ПДн, если не проводились мероприятия по защите информации (даже не определен тип угроз и уровень защищенности)? И какие могут быть наказания за это? Спасибо.
Ответ
Согласно статье 19 оператор обязан принимать меры для защиты ПДн при обработке - с самого начала такой обработки. Если посмотреть статью 22 про уведомление, то там написано, что уведомление подаётся до начала обработки и в нем указываются принятые меры защиты. Штрафы по статье 13.11 КоАП, с 1 июля повышены.

Вопрос 5
Кто и как определяет подразделения в организации, которые обрабатывают ПДн (это должно быть зафиксировано документом (актом или приказом и т.п.))?
Ответ
Подразделения определяет оператор, закон здесь ничего нам не говорит. Ст. 18.1 п. 6 говорит о том, что нужно проводить ознакомление работников, осуществляющих обработку, значит такой круг лиц должен быть закреплен документом.

Андреев Александр. Сентябрь. Источник

Группа ВК: 
https://vk.com/kshudrova - подписывайтесь на официальную страницу блога!

среда, 30 августа 2017 г.

Оффтоп. Как все успевать в работе и в жизни

Добрый день, дорогие читатели! Сегодня хотелось бы поговорить с вами на тему организации своего времени. Мне кажется, перед началом нового делового сезона и учебного года многих из нас волнуют мысли об организации своего труда и отдыха.
Начну с того, что у меня частенько спрашивают о том, где я нахожу время на блог, статьи, конференции, диссертацию и тому подобные дела. Ответ достаточно простой - есть огромная куча дел, которые я делать не успеваю или же делаю очень и очень медленно. Для примера приведу вам список того, что не делаю (или делаю крайне редко):

рукоделие (хотя иногда бывает, когда хочется занять чем-то руки), рисование (закончила когда-то художественную школу), спорт (заменила на пешие прогулки, в плохую погоду - степпер, так что опять же ходьба), клубы и бары (очень редко и по случаю), прослушивание музыки в плеере (забивает мысли, а при ходьбе как раз можно хорошенько обдумать новые идеи), селфи и прочее фотографирование (кроме семейных сьемок), разговоры по телефону (только семья, с друзьями - встречи), встречи с подругами (их нет, общение только с семейными парами и родственниками, а также встречи по делам, что касается работы и учебы), прослушивание радио (забивает мысли), поиск новой музыки и исполнителей (хватает того, что было найдено в период обучения в школе/институте), шоппинг (по необходимости), ношение сложной в уходе одежды (гладить, брр) и многое другое. 

Как можно видеть, в этом списке достаточно дел, которыми многие люди заняты чуть ли не ежедневно, поэтому времени у меня освобождается достаточно. А его как раз можно довольно эффективно потратить на те немногие вещи, которые являются приоритетными для меня: семья и дом, информационная безопасность и наука, красота и здоровье. 
Может показаться, что такая жизнь достаточно однобока и скучна, ведь довольно сложно отказываться от многих таких классных вещей. На самом деле нет. Основная идея заключается в том, чтобы как можно больше времени тратить на дела, которые тебя зажигают, вызывают страсть. На мой взгляд, таких вещей для человека обычно совсем немного. Невозможно любить все и сразу, что-то определенно будет нравиться больше. С практической точки зрения это даже проще, когда все интересы направлены в одну точку (например, ИБ), так развитие происходит достаточно быстро. По-крайней мере быстрее, чем если сегодня ты пробуешь себя на курсах подводного плавания, завтра - кулинарии, а послезавтра превращаешься в нумизмата. 
Есть и обратная сторона такого направленного подхода. У меня довольно-таки узкий кругозор. Это касается литературы, музыки, истории, биологии и много чего еще. Но спросите меня про персональные данные - мы проговорим с вами очень много часов (или дней). 
Идеально, если еще будучи студентом (совсем идеально - с первого курса) человек понимает, что ему интересна специальность . Тогда в свободное время он может читать/смотреть видео/подрабатывать по профессии. К моменту окончания института такой студент станет неплохим специалистом. Именно так я и воспринимала свою учебу в университете - как 5,5 лет погружения в материал. Хотелось дотянуться до всего, что касается такой молодой еще отрасли - защиты информации. С Интернетом и его скоростью были определенные проблемы (50 МБ на месяц), поэтому приходилось много бывать в библиотеке, читальном зале, покупать книги и журналы. В субботу после занятий - на научный кружок. Со старших курсов - подрабатывала, сначала бесплатно, потом за копейки. Было очень интересно. Иногда вызывает безумную ностальгию та радость получения первых знаний по специальности, сравнимая сейчас по силе только с выходом нового толкового нормативного документа.
Еще один важный момент в организации своего времени (кроме отбрасывания второстепенного) - оптимизация. Любое периодически повторяющееся дело нужно стремиться сделать быстрее, чем в прошлый раз, придумывая себе вспомогательные инструменты. Так в работе специалиста по информационной безопасности неоценимую роль играют всевозможные сводные таблицы и базы данных. Все должно быть учтено: пользователи, компьютеры, помещения, обучение работников. Тогда составление нового отчета не займет много времени. 
Нельзя забывать и о планировании. Хотя на работе большинство из нас придерживается четкого плана, домашние дела часто пускаются на самотек. Так поступать не нужно. Гораздо проще разгрузить голову и хранить списки дел, покупок, важных встреч, памятных дат, заметок, новых идей в ежедневниках. К тому же очень приятно вычеркивать выполненные дела. Уже много лет, еще со школы, у меня всегда под рукой записные книжки, обычно бумажные, в том числе содержащие идеи для новых постов.
Возвращаясь к вопросу, обозначенному в названии поста, хочу еще раз повторить: успевать все невозможно, но в наших силах потратить время на действительно стоящие вещи. 
Успешного всем начала учебного/рабочего/делового года! С наступающим первым сентября! А я пойду мыть пол, потому что писать и делать уборку одновременно пока еще не научилась :)

Источник
Р.S. Готовится к выходу новая статья о проверках Роскомнадзора, в ней будут полезные таблицы-шпаргалки, не пропустите.

https://vk.com/kshudrova - подписывайтесь на официальную группу блога ВК. Свежие посты, интересные материалы других авторов, новости, обсуждение актуальных вопросов ИБ.

пятница, 4 августа 2017 г.

PaymentSecurity - как это было, материалы докладов, фото, видео

Добрый день, дорогие читатели! Чуть больше месяца назад я принимала участие в конференции PaymentSecurity. Международная конференция по информационной безопасности состоялась с 29 по 30 июня в Санкт-Петербурге. Было очень приятно снова увидеть Андрея Прозорова, Алексея Лукацкого, а также многих интернет-знакомых. Перечень спикеров был настолько хорош, что приходилось постоянно перебегать из зала в зал (доклады шли в три потока). И все равно много полезного мы с мужем пропустили. Радует, что все презентации сейчас можно посмотреть на сайте. Там же можно поискать себя на фотографиях, которых очень много. Обычно мне не особо нравятся фотоотчеты с таких мероприятий, но в этот раз по-крайней мере свои изображения мне нравятся.
Мне удалось послушать доклады Джереми Кинга, Владимира Комлева, Кристины Андреевой, Рустэма Хайретдинова, Алексея Лукацкого и Андрея Дроздова. К сожалению, из-за пересечения с матер-классом не видела доклады Андрея Прозорова, Моны Архиповой и Юлии Омельяненко. 
Конечно, за те три года, что не работаю в банковском секторе, многое подзабыла (а еще больше не знала), поэтому информация в докладах по большей части была для меня новой (и часто не совсем понятной). Выводы для себя сделала - нужно поизучать "МИР", машинное обучение в ИБ может быть опасным, а криминальный бизнес неплохо организован.
Отдельно хочу выразить благодарность всем, кто был на моем мастер-классе по защите персональных данных. Коллеги, спасибо вам, что слушали, задавали вопросы и выдержали целых три часа выступления! А это было нелегко, ведь тема законодательства довольно тяжелая, особенно в конце насыщенного дня. Мне было очень приятно, когда вы не отпускали меня на перерыв и забрасывали вопросами. Многие из них до сих пор крутятся у меня в голове и заставляют задуматься, еще раз поискать ответы.
О моем выступлении организаторы начали договариваться еще в начале марта - это просто растопило мое сердце :) Люблю, когда все по плану и тщательно подготовлено. Спикеры, доклады, еда, место - все было на уровне. На сегодняшний день лично для меня - это была лучшая конференция. Если говорить о недостатках (ведь всегда есть куда расти), то можно отметить отсутствие видеозаписи в двух залах (записи из основного зала здесь). То, что мы пытались записать на видео самостоятельно, было к сожалению засвечено и для публичного выкладывания не годится. Иногда доклады немного наползали друг на друга, и становилось сложно рассчитать время начала следующего доклада в другом зале. Но с этим сложно бороться - спикеров буквально закидывали вопросами и никак не хотели отпускать. Кратко о том, как все прошло можно почитать в итоговом отчете, который представлен здесьСтоит отметить, что вообще все было организовано отлично - спасибо Сергею Шустикову и Ирине Лонкиной! 
Также не могу не отметить, что благодаря конференции удалось еще раз повидаться с руководителем RISC-клуба Марией Сидоровой. Маша, мы отлично провели время и вспоминаем вас с Сергеем каждый раз, когда пьем чай из фирменных кружек :) Санкт-Петербург просто прекрасен, в этом году удалось воплотить некоторые экскурсионные планы, не сбывшиеся в прошлом - прогулку по Неве, Петергоф, посещение Александро-Невской лавры и знаменитой пышечной. В некоторые места, например, в кафе "Север" заглянули повторно. В общем, эти неполных четыре дня прошли просто замечательно. Привет из Красноярска! :)

https://vk.com/kshudrova - ссылки на свежие посты, интересные материалы других авторов и новости из мира ИБ. Присоединяйтесь!

среда, 12 июля 2017 г.

Презентация мастер-класса с конференции Paymentsecurity 2017

Добрый день, дорогие читатели! Выкладываю презентацию своего мастер-класса с конференции Paymentsecurity 2017. О том, как прошла сама конференция расскажу в следующий раз.


Безопасность платежей 2017 from Ksenia Shudrova


https://vk.com/kshudrova - ссылки на свежие посты блога, новости и интересные материалы других авторов.

четверг, 6 июля 2017 г.

Информационное сообщение ФСТЭК от 2 июля 2017

Добрый вечер, дорогие читатели! Сегодня благодаря Валерию Комарову и FB узнала о свежем информационном сообщении ФСТЭК. Спешу с Вами поделиться ссылкой. В сообщении речь идет о вредоносном ПО типа WannaCry, Petya или Misha. 
Предлагаю Вам краткий пересказ. 
Для ГИС/ИСПДн/АСУ ТП нужно применять 17/21/31 приказы ФСТЭК соответственно.
Основные меры защиты:
  • обновление программного обеспечения до актуальных версий;
  • выявление и анализ уязвимостей и их оперативное устранение;
  • обнаружение и реагирование на поступление незапрашиваемых электронных сообщений (электронных писем, документов);
  • периодическое резервное копирование информации на резервные машинные носители информации и обеспечение возможности восстановления информации;
  • защита периметра информационной системы (исключение доступа к ТСР-портам 139 и 445).
Также нужно применять ситемы антивирусной защиты, в которых реализованы эвристические методы выявления вредоносного программного обеспечения, системы обнаружения (предупреждения) вторжений (атак) и системы управления и корреляции событий с настроенными индикаторами.
Все)

Галимов Азат. Летний сад. "Времена суток". Источник

В следующем посте я расскажу Вам о прошедшей конференции Paymentsecurity в Питере. 

https://vk.com/kshudrova - группа ВК, присоединяйтесь!


понедельник, 3 июля 2017 г.

Аттестация объектов информатизации (видео)

Добрый день, дорогие читатели! Разбирая архивы, наткнулась на видео с семинара, которое вы еще не видели. 22 апреля 2017 года региональное отделение товарищества RISC провело в Красноярске очный семинар «Аттестация объектов информатизации». В качестве основного докладчика на семинаре выступил специалист по защите информации 1 категории Владимир Жираков. 






Все видео с семинаров здесь.
https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов. Присоединяйтесь!

среда, 14 июня 2017 г.

Тезисы мастер-класса по защите персональных данных

Добрый день, дорогие читатели! В прошлом посте я уже рассказывала вам о своем участии в питерской конференции "Безопасность платежей", сегодня вашему вниманию предлагается краткое содержание предстоящего мастер-класса (3 часа).

Часть 1. Законодательство в области персональных данных.
1. Краткая история защиты персональных данных в РФ.
2. Действующие НПА:
  • Федеральный закон РФ «О персональных данных» от 27.07.2006 № 152-ФЗ.
  • Постановление Правительства Российской Федерации[править «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 № 1119. 
  • «Об утверждении требований и методов по обезличиванию персональных данных» приказ Роскомнадзора от 05.09.2013 № 996 (Зарегистрировано в Минюсте России 10.09.2013 N 29935). 
  • "Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» утв. Роскомнадзором 13.12.2013. 
  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года. 
  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утв. ФСТЭК РФ 14 февраля 2008 года. 
  • «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» приказ ФСТЭК России от 18.02.2013 № 21 (Зарегистрировано в Минюсте России 14.05.2013 № 28375). 
  • «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» приказ ФСБ России от 10.07.2014 № 378.

3. Что поменялось за 2015-2017 годы? 242-ФЗ: хранение в РФ. Штрафы повышены. Отменены 2 ФСБ документа. Пакет Яровой.
4. Что мы ждем в будущем?

Часть 2. Практическая защита.
1. Судебная практика (в том числе о банках).
2. Вопросы внедрения системы защиты ПДн в банках. Типичные ситуации и их разбор.

3. Вопросы слушателей.

Напоминаю, что всем желающим послушать мастер-класс нужно зарегистрироваться заранее: http://paymentsecurity.ru/.

https://vk.com/kshudrova - вступайте в группу, посвященную блогу, здесь можно найти новости мира ИБ, ссылки на свежие посты и интересные материалы других авторов.

четверг, 8 июня 2017 г.

Мое участие в конференции Безопасность платежей 2017

Добрый день, дорогие читатели! Спешу поделиться с вами радостной новостью о предстоящем выступлении на конференции: 29-30 июня в г. Санкт-Петербурге пройдет II ежегодная международная конференция на тему безопасности платежей "Безопасность платежей 2017". На конференции будут интереснейшие доклады Алексея Лукацкого, Андрея Прозорова, Моны Архиповой, Андрея Дроздова, также среди докладчиков: Джереми Кинг - международный директор Совета PCI SSC и Владимир Комлев - генеральный директор АО НСПК. и многих других. Для представителей платёжной индустрии: банков, платёжных сервисов, магазинов, ресторанов, отелей, предприятий электронной коммерции, регуляторов отрасли, а также производителей платёжных решений и членов НП АБИСС регистрация БЕСПЛАТНАЯ (ссылка), для представителей поставщиков услуг в области информационных технологий и информационной безопасности, а также всех прочих компаний, не являющихся участниками платежной индустрии участие платное - 10000 рублей (ссылка). Материалы прошлой конференции можно посмотреть здесь.
Пара слов о моем участии. Я проведу для вас трехчасовой мастер-класс "Защита персональных данных". О чем буду рассказывать? О законодательстве: пробежимся по основным документам, еще раз вспомним, что изменилось за последнее время. Об июльском повышении штрафов, о том как проходят проверки, какие нарушения выявляют. О перспективах в области персональных данных, что нас ждет, к чему стоит готовиться. Ну и, конечно, все это в привязке к основной теме конференции - безопасности платежей. Несколько лет назад я работала старшим специалистом по безопасности в банке, так что не опасайтесь излишней «теоретичности» доклада, будем рассуждать с практической точки зрения. А чтобы мое выступление было максимально полезным – отправляйте интересующие вас вопросы, для связи можете использовать социальные сети, группу блога ВК. Приходите, будет интересно! И не забывайте зарегистрироваться заранее, чтобы всем хватило места J

В лесах под Красноярском
https://vk.com/kshudrova - ссылки на свежие посты, новости из мира ИБ и ПДн, интересные материалы других авторов. 

среда, 7 июня 2017 г.

Изменения в 17 Приказе ФСТЭК

Добрый день, дорогие читатели! Сегодня хочу поделиться с вами шпаргалкой по изменениям в 17 Приказе ФСТЭК (Приказ ФСТЭК России от 15.02.2017 N 27 "О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17").
1. Действие 17 Приказа теперь не распространяется на Высший Арбитражный Суд Российской Федерации.
2. Защита информации осуществляется не только в процессе эксплуатации, но и при выводе из эксплуатации.
3. Вместо 4 классов информационных систем - 3.
4. Угрозы берутся из bdu.fstec.ru.
5. Добавлены новые пункты в частное техническое задание:
  • стадии работ;
  • требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;
  • функции заказчика и оператора по обеспечению ЗИ в ИС;
  • требования к защите средств и систем.
6. Для определения требований к системе защиты информации ИС учитываются положения политик обеспечения ИБ только если политики разработаны по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
7. При проектировании системы защиты информации - вместо параметров настройки указываются требования к параметрам.
8. При макетировании и тестировании системы защиты информации исключена корректировка проектной и эксплуатационной документации.
9. По результатам анализа нужно подтвердить, что уязвимости отсутствуют или их использование невозможно.
10. Должностные лица, которые проектировали и внедряли систему защиты информации, не могут ее аттестовывать.
11. Перечислены методы аттестационных испытаний:
  • экспертно-документальный;
  • анализ уязвимостей системы;
  • осуществление попыток НСД.
12. Срок действия аттестата не может превышать 5 лет.
13.  ИС, функционирующие на базе общей инфраструктуры, подлежат аттестации в составе указанной инфраструктуры. Если ИС создана на базе ЦОД, класс ЦОД должен быть не ниже класса ИС.
14. Формулировку "Нейтрализация и блокирование" заменили на "защиту".
15. 
Было:

1 класс
2 класс
3 класс
4 класс
СВТ
Не ниже 5 класса
СОВ
Не ниже 4 класса
1. С Интернетом – не ниже 4 класса
Не ниже 5 класса
2. Без Интернета – не ниже 5 класса
САВЗ
Не ниже 4 класса
1. С Интернетом – не ниже 4 класса
Не ниже 5 класса

2. Без Интернета – не ниже 5 класса
МЭ
1. С Интернетом – не ниже 3 класса
Не ниже 4 класса
2. Без Интернета – не ниже 4 класса
НДВ
Не ниже 4 уровня
-

Стало:

1 класс
2 класс
3 класс
СЗИ
Не ниже 4 класса
Не ниже 5 класса
Не ниже 6 класса
СВТ
Не ниже 5 класса
НДВ
Не ниже 4 уровня
-

16. Состав мер защиты информации. Изменены меры УПД3 и ЗСВ10.
Было:
УПД3
4
3
2
1
-
-
+
+

Стало:
УПД3
3
2
1
+
+
+

Было:
ЗСВ10:
4
3
2
1
-
-
+
+

Стало:
ЗСВ10:
3
2
1
+
+
+
О. Ренуар. Дворец Дожей. Источник
https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов. Присоединяйтесь!

четверг, 1 июня 2017 г.

Отзыв читателя о Positive Hack Days 7

Добрый вечер, дорогие читатели! Сегодня я хочу поделиться с Вами заметкой инженера-программиста АО "ИСС", аспиранта СФУ - Павла Шипулина о Positive Hack Days. Форум проходил 23-24 мая, за это время успело произойти много всего интересного. Как это было читайте ниже.

Впечатления о Positive Hack Days 7

Positive Hack Days – это международный форум по информационной безопасности, который проходит каждую весну в Москве. Мероприятие организуется компанией Positive Technologies. Думаю, данная компания не нуждается в отдельном представлении для мира ИБ. Здесь на два дня собираются ведущие специалисты по ИБ нашей страны и дружественного зарубежья, представители госструктур, крупного бизнеса и молодые учёные. Как подсказывает сайт мероприятия (www.phdays.ru), главные принципы PHDays – это минимум рекламы и максимум полезных знаний в докладах и на семинарах, неформальное общение «пиджаков» и «футболок» на круглых столах, множество захватывающих конкурсов и энергичная атмосфера исследовательского полигона.
Ещё в студенческие годы возникла мечта посетить данное мероприятие, но судьба «улыбнулась» мне только сейчас (может раньше я был не готов?) и в качестве аспиранта Сибирского федерального университета при поддержке компании «Информационные спутниковые системы» я посетил эту «хакерскую сходку».


Чтобы понимать масштаб события, обратимся к статистике 2016 года: число участников достигло 4200 человек из разных стран. Не могу рационально оценить количество людей в этом году, но их было очень много. В общем схема точек интереса (мест, где что-то происходило) выглядела следующим образом: 7 залов различного масштаба для докладов и семинаров, главный зал, где развернулась основная кибербитва «Противостояние», всё свободное место в холлах заполнено выставкой достижений ИБ-индустрии, конкурсами от организаторов и точками «распространения» кофе и сока. Все точки интереса действуют параллельно: для того чтобы иметь хоть общее представление о происходящем, можно было спешно пробежаться по холлу со стаканчиком кофе в руках (или зубах), заглядывая через плечо других участников. А если хочешь посетить все интересные доклады, идущие в одно время, в голову пришла одна сумасшедшая идея: fork()-нуться и создать свои практически идентичные копии по числу докладов. Дальше расскажу обо всём по-маленьку. Сразу предупреждаю, что больше всего мне были интересны доклады, поэтому о них рассказ более подробный, и я оставлю его на конец заметки.


Противостояние
В центре большого зала расположилась модель города, в котором расположено множество объектов нападения/защиты: телеком-оператор, ТЭЦ, офисный центр, система управления автомагистралью, система регулировки движения поездов и так далее. Существуют три вида команд: атакующие, защитники и security operations centers (SOC), которые предоставляют защитникам информационную помощь. В каждой группе наличествовало от двух до девяти команд.

Необходимо отметить чрезвычайно детализированный макет, на котором соответствующие объекты движутся, крутятся, парят, перекачивают «нефть» и так далее. Рассматривать его было, действительно, очень интересно. Я припомнил детские годы, когда у меня была железная дорога, состоящая из кучи рельсов, одного паровоза (достаточно дорогая игрушка, поэтому один) и одного самодельного туннеля из папье-маше.


Само происходящее со стороны чем-то напоминало классический CTF, но больше красивого макета зрителю мало что сходу понятно, так как команды готовились к Противостоянию (вникали в суть систем) целый месяц, а зритель – считанные минуты.
Кроме того, мой интерес к Противостоянию охлаждался не самыми лестными отзывами о прошлогоднем Противостоянии, которое имело большие слабости с организационной точки зрения: отсутствие визуализации в режиме реального времени, наличие непонятной процедуры проверки решений (если я правильно понял, баллы зависели не от бинарного система сломана/устояла, а от методов, хода нападения и т. д.). Член одной из команд тогда сказал: «В результате у меня осталось такое впечатление – мы классно посидели-похакали, но что именно и сколько не понятно, «непонятно» – это самое частое, что я говорил всю игру». Если сами команды слабо понимают, что происходит на данный момент в игре, я не думаю, что зрителям это будет «виднее». Соглашусь, организаторы могли учесть этот недостаток и с 2016 года всё могло поменяться. Но большинство мне известных «сильных» CTF-команд в этом году участвовать отказались. Поэтому простите, «борьба» за моё внимание на этом форуме была приличная, и я пошёл дальше.

Выставка достижений ИБ-индустрии
Под выставкой достижений ИБ-индустрии понимается множество мини-локаций, расположенных в холле. В каждой мини-локации идёт презентация деятельности одного из представителей «мирового ИБ-сообщества» (другими словами, партнёра PHDays): Advantech, Axoft, IBM, ICL, Infotecs, Kaspersky Lab, Microsoft, Rostelecom, R-Vision, Solar Security, Wallarm, Web Control и другие.
Каждая презентация состояла из рассказа специалиста, печатной и маркетинговой продукции.
Лукавить не буду, я не проникся интересом к большинству из представителей «мирового ИБ-сообщества». Единственное «прихватил» Отчёт о текущей исследовательской деятельности Positive Technologis (пока не читал).


Конкурсы от организаторов и партнёров

Для развлечения публики, уставшей от докладов и семинаров (ни в коем случае не подумайте, что они были не интересными! Устать можно и от переизбытка интересной информации), организаторы приберегли с десяток конкурсов на площадке и пару конкурсов онлайн.
По причине моего крайнего интереса к докладам, я не успел вникнуть в конкурсы в достаточной мере. Могу сказать лишь, что выгладили технические средства весьма заманчиво и участники форума проявляли к ним интерес.
Достаточно эффектно выглядел стенд для конкурса «Automotive Village: CarPWN» – взлом системы защиты автомобиля.

Понаблюдать мне удалось за финалом конкурса «HackBattle». На отборочном этапе этого конкурса участникам нужно было выполнить несколько заданий (это происходило в первый день). На следующий день двое лучших хакеров сели за компьютеры, установленные на главной сцене друг напротив друга, чтобы сразиться в финальном поединке – взлом Web-сайта. Задание для участников было неожиданностью, поэтому в этом конкурсе была важна крепость нервов, скорость и умение искать решение новой задачи в режиме реального времени (ещё и на глазах у сотни человек, которые наблюдали за экранами проецируемыми на большой экран).
В сопровождении комментариев профессионалов конкурс стал самым популярным для зрителей.
Победу в баттле одержал Влад Росков (SpbCTF). Один из зрителей хорошо заметил: «Да я Ctr-C+Ctr-V дольше нажимаю, чем он вводит команды консоли...» Профессиональный уровень обоих участников вызывает глубокое уважение и стремление расти, развиваться, чтобы достигнуть хоть 10% «скила».

Доклады и семинары

Послушать доклады ведущих ИБ-специалистов было моей основной целью на этом форуме, поэтому в этой части мой рассказ будет красочнее и полнее. Как я уже говорил, количество докладов и принцип их проведения делали физически невозможным присутствие на всех и даже многих. Расскажу свои впечатления о лучших докладах, на мой взгляд (из тех, которые я слышал).

«Хакеры хотят ваш банк больше, чем ваших клиентов»

Дмитрий Волков (GroupIB) крайне любопытно рассказал об атаках на финансовую сферу: на банкоматы, платежные шлюзы, системы межбанковских переводов и так далее. Отметил изменение вектора атаки хакеров с клиентов банковской сферы на сами финансовые организации.


С его слов становились простыми и понятными ходы весьма продуманных бандитских организаций: на каком этапе деньги незаметно украсть, сколько денег украсть, чтобы получилось действительно «незаметно», где, как и кому обналичивать их потом.
Дмитрий рассказал грустно-весёлую историю про квалифицированного замученного работой специалиста по ИБ. Привожу рассказ с точностью до ключевых фактов.
Бывают совсем глупые до боли случаи. Например, штатный администратор не всегда может оценить вредоносность файла, но это и не его работа. Вот, антиспам «поймал» некоторый файл (троян, как оказалось в дальнейшем), администратор отправляет его безопаснику для более глубокого анализа. Безопасник сидит «по уши в работе», ему приходит письмо от администратора. «Адрес-то проверенный– видит безопасник и открывает приложение, не читая текста письма.
Вот так перегруженность работой сводит на нет и образование, и опыт.

«Анти-APT своими руками»

Доклад Данила БородавкинаИнформационные спутниковые системы») про средства борьбы с целевыми атаками слишком нахваливать мне зазорно, так как Данил является моим коллегой. Но промолчать тоже сложно.
Во-первых, возникает чувство большой гордости, когда среди докладчиков из-за рубежа и центральной России, среди профильных компаний, занимающихся ИБ, возникает докладчик из компании «Информационные спутниковые системы» (для большинства участников это где-то в глухой Сибири) и рассказывает участникам форума об опыте выявления целевых атак средствами «опенсорса, костылей и порядка».
Во-вторых, мне было приятно смотреть и слушать про мои любимые *nix-системы, которые можно успешно применять для реальной защиты информации. В силу немного другой области ИБ, которой я занимаюсь на работе, все Linux, Unix и прочие на -nix живут у меня исключительно в домашних компьютерах. У каждого настоящего юниксоида есть собственные большие или маленькие программные поделки, но далеко не все из них могут быть использованы для решения серьёзной коммерческой задачи – повод для уважения Данила и его команды!


Взлом учетных записей в WhatsApp и Telegram

Доклад Романа Заикина (Check Point), содержание которого очевидно из названия, по мнению очень многих не стоил того, чтобы его пропустить. Мало того, что не хватило сидячих мест, мест на ступеньках, мест стоя в проходах, так мы в принципе не смогли зайти в зал!
Участников форума спасло то, что организаторы предусмотрели такую ситуацию и вели прямую трансляцию на большие экраны в холе, где можно сидя на диване или на кресле-мешке (если вам повезло), или просто стоя со стаканчиком кофе послушать столь интересующий публику доклад.
Надо отметить, что доклад был на английском языке. Посетители, попавшие на доклад, могли воспользоваться «мобильными переводчиками» (не уверен в правильности термина), которые всем желающим выдавали на входе в зал. Трансляция в холле уже велась с синхронным переводом. Не уверен, что это лучшая идея, так как доклад технический и воспринимался на языке оригинала весьма не сложно. Однако, с точки зрения продуманности «очко» организаторам.

«Как разработать DBFW с нуля»

Денис Колегов и Арсений Реутов (Positive Technologies) рассказали о технических аспектах разработки с нуля прототипа межсетевого экрана уровня СУБД Database Firewall. Интересный, можно сказать «фундаментальный» доклад (в сравнении с крайне прикладными теми других выступлений).
Учитывая тот факт, что web application firewall (WAF) от PT «засветился» в квадрате Гартнера и родственную близость WAF и DBFW, слушать господ разработчиков было в двойне интересно.

«Анализ атак на исчерпание энергоресурсов на примере устройств беспроводных сетей»
Владислав Александров (Positive Technologies, студент Университета ИТМО) рассказал о своих исследованиях совместно с Василием Десницким (СПИИРАН) по исследованию атак, направленных на исчерпание энергоресурсов устройств, работающих от автономных источников питания. Были продемонстрированы различные подвиды подобных атак, приведены результаты моделирования для отдельных платформ.
Цель атаки очевидна, но задумывались ли вы когда-нибудь, что злоумышленники могут искусственно «разрядить» ваш телефон в своих преступных целях?

«Хакеро-машинный интерфейс»

Одно представление Брайана Горенка и Фрица Сэндса утверждает человека в необходимости посетить их доклад. Брайан является руководителем департамента исследования уязвимостей компании Trend Micro, руководит Zero Day Initiative (ZDI), самой масштабной независимой программой поиска ошибок в программном обеспечении. Фриц сейчас работает исследователем проблем безопасности в ZDI, до 2014 года работал в компании Microsoft, где в его задачи входила проверка кода Windows и разработка инструментов динамического анализа.



В этом докладе была представлена популярная тема атак на АСУ ТП и КСИИ, подвергая удару SCADA-системы. Была представлена статистика по видам уязвимостей таких знаменитых производителей, как Schneider Electric, Siemens, General Electric и Advantech. Авторы доклада представили тенденции развития атак на SCADA и своё мнение о будущем этой области.
Я мало знаком с проблемой защиты SCADA-систем, но о потраченном времени я точно не жалею.

«Ты, а не тебя. Армии умных ботов в руках хакера»

По предварительному опроснику на сайте PHDays, этот доклад должен был стать самым популярным на форуме. Действительно, пришедшие послушать Андрея Масаловича (гендир «Лавина Пульс», кандидат физ.-мат. наук, подполковник ФАПСИ в отставке), участники форума сидели даже на ступеньках зала. Между прочим вполне удобно, мне показалось.
Автор развивал тему противодействия в сети не отдельных людей, а ботнет сетей, управляемых злоумышленниками, спецслужбами и прочими заинтересованными людьми. Интересы людей, использующих это оружие может варьироваться от массового взлома паролей до влияния на ход выборов президента.
К сожалению, опаздывая на самолёт, я не смог дослушать доклад до конца. Поэтому очень жду видео, которые, я надуюсь, будут выложены на сайте форума, как это было сделано с выступлениями 2015 и 16 годов.

Прочее

Доклады, которые мне не понравились, перечислять не буду, дабы никого не обидеть. Докладчики занимали должности в видных компаниях ИБ, предлагали интересные идеи, расставляли интересные акценты на современной ситуации в мире ИБ, по большому счёту, я уверен, что мне стоило бы поучиться очень многому у них. Но злую роль играл принцип «что-то хорошо умеешь – умей и не хуже рассказать об этом». При достаточно сложной информации, которую ты рассказываешь, плохо поставленная речь сводит на нет большую часть рассказа: пока слушатель стремится не упустить нить рассуждений и перевести винегрет из перемешанных русских и английских слов, приправленных жаргонизмами, ты уже успел подойти к заключительным словам доклада.


Заключение

Жаль, что в студенчестве не выдалось шанса добраться сюда. Так как мотивационную составляющую нахождения в «гуще» умных, успешных, квалифицированных специалистов можно смело сравнить по ценности с информацией, полученной на докладах и семинарах.



Ещё хотел рассказать об одном моменте. Понятное дело, что хакерское мероприятие не могло обойтись без выше_рекомендованного_минздравом количества кофе, который был, действительно, хорош и помогал держать мозги в тонусе. Кроме кофе был свежевыжатый «SOC».


В целом мне приятно было находиться в этой «точке сгущения» лучших специалистов области ИБ, теперь есть целый год на «переваривание» информации и плодотворную работу.

Павел Шипулин - крайний справа (примечание К. Шудровой)

https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов, а также новости мира ИБ.