Личные блоги 
13.04.2012
Так как же прочитать
- Товарищи солдаты, кто может починить рацию набронетранспортере?
-Для особо тупых повторяю: рация набронетранспортере.(анекдот)
Это выражается в изобретении системными администраторами различного рода писем и расписок о контрафактном софте. По некоторым данным, с точки зрения следствия, эти расписки служат отличным доказательством наличия преступного сговора между начальством и сисадмином. А в безопасности уже просто традицией стало желание отменить Конституцию.Как я уже ...
05.04.2012
Стоит ли открывать письма сотрудников?
Очень хотелось отделаться глубокомысленным молчанием о выдающимся пресс-релизе компании SearchInform, но не дали…
Ну, для начала, то, что там описано, IMHO, незаконно. Обоснование здесьи здесь. Ну, нет такой бумаги отменяющей конституцию. Не получается в отдельно взятой организации ввести рабство…
Опустим юридическую сторону вопроса и попробуем рассмотреть, как все это влияет на безопасность компании в целом? Я, до разумных пределов, являюсь сторонником теории разбитых окон, да простя...
11.03.2012
О высшем образовании.
Я преподаю предметы, связанные с защитой информации в нескольких ВУЗах г. Новосибирска. Очевидно, что у нас существуют учебные планы и программа курса, которые включают в себя в том числе обязательный и дополнительный списки литературы.
И тут в рамках борьбы за мир во всем мире за программы третьего тысячелетия, мне приходит требования к оформлению списка литературы:
Требования к основной литературе в магистратуре:
Издана за последние 5 лет
Наличие в библиотеке ...
26.02.2012
Безопасность в современном Internet?
На хабре идет обсуждение, возможно ли защитить передачу конфиденциальныхданных через облако механизмом коротких ссылоквида cl.ly/abcd(взято из публикации). В ходе обсуждения народ приходит к выводу, что «короткие» не обеспечиваютдолжного уровня приватности, в то время как «длинные» обеспечивают, т.к. их сложнееподобрать.Что меня беспокоит в этой статье, так базисные ошибки:1. Безопасность тождественна конфиденциальности, что плавноперетекает в приватность.2. Обеспечение конфиде...
24.02.2012
Трудности перевода и формирование образа противника
Наткнулся на забавный документ от United Nations Institute for Disarmament Research (UNIDIR) подговорящим названием «Cybersecurity and Cyberwarfare. Preliminary Assessment of National Doctrine and Organization»Прочитал… Вернулся к разделу про Россию, и прочитал еще раз.Решил перевести для публики не очень хорошо знающей английский язык.Тут следует отметить, что перевод штука интересная,поскольку взаимно-однозначного соответствия между словами найти часто довольносложно, именно поэтому...
13.02.2012
Эффективен ли «воздушный зазор»
Мы все знаем, что однимиз рекомендованных способов защиты информационных сетей, до сих пор остаётся "воздушный зазор ". Не рассматривая применимость "воздушногозазора " в географически распределенных сетях завязанных друг с другом VPNпопробуем разобраться в действенности этого метода на сегодняшний момент. Дляпростоты попытаюсь остаться в рамках РД контролирующих органов. Для начала представимсебе идеальный объект - изолированной предприятие, без дочерних и прочихструктур, которое не увлек...
24.01.2012
Сложные системы. Проблема сохранения знаний.
Натолкнулся на заметку «Institutiona lmemory andreverses muggling» определяющую следующуюпроблему сложной системы на примере химического завода:
Есть сложная система, созданная десятилетия назад. За этовремя команда создававшая систему распалась, часть людей вообще ушли избизнеса. Само предприятие, являющееся заказчиком, пережило ряд структурных изменений,в том числе поглощение. Далее можно представить все отягчающие последствия.
Нафоне этих процессов сама сложная система частями моде...
15.01.2012
Фишинг в livejournal
Вы будете таки смеяться, но в livejournalопятьпроблемы. При попытке вызова френд-ленты пользователь попадает на страницу ввода пароля.Далее независимо от того, что введено, идет переход на страницу с адресом ohtoenequ1.getenjoyment.net. Очень похоже на фишинг. ЕслиВы ввели логин-пароль рекомендуется немедленно заменить.Картинкавзята у Экслера.
05.01.2012
План проверок на 2012 год
Прокуратура опубликовала сводный план проверок субъектов предпринимательства на 2012 год. Если зайти на сайт прокуратуры субъекта федерации можно найти планы проверок проверяющих органов, коих аж 47 шт. Смотрим и планируем финансовый и календарный год, сообщаем друзьям, коллегам и конкурентам. Что называется с Новым годом.
30.11.2011
Виды персональных данных в 152-ФЗ
Под классификацией здесь я буду понимать процесс группировкиобъектов исследования или наблюдения в соответствии с их общими признаками. Всечто сказано ниже не относится к классам К1-К4.До недавнего времени мне казалось, что уж с классификацией всеустаканилось давно. Оказалось, как подсказали старшие товарищи из НовосибирскогоРКН, нет. После некоторых размышлений решил все собрать в одну кучу ограничившисьуровнем 152-ФЗ.Во-первых, в 152-ФЗ, прослеживается как минимум два подходак классификации да...
28.11.2011
В порядке бреда по лицензированию ТЗКИ и персональных данных
Постановление Правительства № 781 от 17 ноября 2007 г. перечитанное вдоль и поперек, смотрим п.4 Положения:4. Работы по обеспечению безопасности персональных данныхпри их обработке в информационных системахявляются неотъемлемой частью работпосозданию информационных систем.Зная нашего законодателя приходят разные интересные и не очень мысли вроде того, что если проект по созданию ИС не включает в себя требования по защите и там есть ПД, то проект не полный, а договор фиктивный. А если...
18.11.2011
Коммерческая тайна, патенты и интеллектуальная собственность.
Неожиданно для себя попал надвухдневный семинар по защите интеллектуальной собственности. Предельно интересное событие и дало хороший толчок в развитии. В частности понялдля себя три вещи:1. Нет такого объекта в мире какмеждународный патент, есть несколько международных систем патентования,например PCT(около150 стран), но патентование идет на национальном уровне. И естественно естьмеждународная заявка.2. Патент за рубежом охраняеттебя только тогда, когда у тебя есть силы/возможность/д...
11.11.2011
Позиция Новосибирского РКН
Вчера на одном мероприятии с интересом выслушалпредставителя Новосибирского РКН. Что запомнилось-удивило (привожу смыслсказанного,как я услышал-записал, а не цитирую, так что могут быть ошибки):1. Есть мнение уважаемых товарищей, что уведомление в РКНдолжны подавать все предприятия с численностью более 4 человек. Случаев, когда компания попадает исключительно под действие 22 статьи части 2 в природе встречается очень мало. Обычновсегда находится что-то еще, так как бизнес штука...
30.10.2011
Какие тайны есть в России на основании наших законов?
Случайно наткнулся на документ "Перечень нормативных актов, относящих сведения к категорииограниченного доступа " от Консультанта-Плюс.Я подозревал, что у нас много работы, но что бы на столько...
30.10.2011
Персональные данные и Архивное дело.
В середине октября суд Архангельска начал рассмотрениедела М.Супруна.Опуская эмоциональную окраску связанную с тем что дело связанно с репрессированнымилюдьми, можно сказать, что два гражданина РФ, один профессор, заведующийкафедрой отечественной истории Поморского государственного университета, другойначальник информационного центра при УВД по Архангельской области на, какговорят юристы, возмездной основе, а по простому говоря, продали информацию оболее чем 5000 человек иностранной организации ...
25.10.2011
Командостроение или стоит ли копировать западные процедуры
Взято с сайта "Деловой квартал ":Сергей Якушин: Построй команду – разрушь бизнес! Автор: Сергей Якушин, основатель «Сибирской ярмарки» и Новосибирского крематорияНовосибирскУ городского лета есть характернейшая деталь: каждый выходной все более-менее приличные пансионаты и санатории заполняют корпоративные клиенты— персонал, собранный на выработку командного духа. «Командостроителей» даже на пригородных шоссе узнать легко— по «пионерлагерным» автобусам, где вместо детей— радостно галдящие ...
23.10.2011
Роскомнадзор хочет новых полномочий.
С момента моего первого знакомства с Роскомнадзором, как с регулятором в области защиты персональных данных, у меня, да и не только у меня, вызывал своей деятельностью положительные эмоции как адекватный и профессиональный новый игрок в области безопасности. Иногда, конечно вспоминалась история с генераторами шума, в основном коснувшаяся Москвы…И вот РИА НОВОСТИ в пятницу сообщает, что РКН обратился в Думу с предложением передать ему от прокуратуры полномочия по возбуждению дел в области нарушен...
20.10.2011
Так ли конфиденциальны некоторые персональные данные?
В связи с широким внедрением в жизнь требований 152-ФЗ и вдалбливанием в неокрепшие головы российского малого бизнеса, что персональные данные это есть секрет, за разглашение которого может теоретически наступить уголовная ответственность, меня все чаще посещает вопрос: «А в каких случаях претензия субъекта персональных данных будет морально обоснована?».В новой редакции Закона заложена идея оценки вреда человеку. Но если человек сам, без посторонней помощи, публикует свои ПД, а потом выявив оши...
20.10.2011
Программисты и защита информации или нужен ли команде программистов юрист.
Во времена моей бытности разработчиком АСУ (было и такое) старшие и умудренные опытом товарищи вбивали мне в голову одну не хитрую мысль: до начала разработки ТЗ, не говоря уже о кодировании надо уточнить следующие вопросы:Цели работы программы.Перечень пользователей программы.Нормативная (правовая, справочная) база, на которую опираются процессы, алгоритмизируемые в программе.Возможность и необходимость дальнейшего развития программы.Контактное лицо, уполномоченное реша...
19.10.2011
О безопасности банковских карточек Visa/MasterCard
Вспоминая почти месячной давности историю с очередной эпидемией краж денежных средств с банковских карт, обнаружил еще один возможныйканал, который может помочь мошенникам получить реквизиты карточки, хорошо хоть не клон карты.Фото сделано на кассе обычного магазина...Выделенное - это web камера системы наблюдения службы безопасности магазина, изображение с которой записывается и хранится некоторое время, обычно более суток. От кассира требуется просто провести картой перед web камерой. Ра...
09.10.2011
Безопасность начинается с вахтера.
Если театр начинается с вешалки, то безопасность начинается с вахтера. И первое, на что я обращаю внимание при аудите – как работает охрана/вахта. Своего рода индикатор того как относится компания к безопасности.В одном из ВУЗов, где я читаю лекции, меня неизменно радует служба безопасности. За последний год я предъявлял пропуск не более десяти раз. За это время я придумал несколько способов, как проходить без пропуска. Есть просто классическая иллюстрация к социальной инженерии. Если на входе в...
25.09.2011
Американские власти ограничат мобильные и online-приложения
Американская Федеральная Торговая комиссия выступила с предложением ввести более жесткие требования к защите личных данных, относящихся к детям, которым еще не исполнилось тринадцати лет. Новые правила будут распространяться на сбор личной информации не только веб-сайтами, но также мобильными приложениями. Теперь для осуществления этих действий ресурсам потребуется получить разрешение от родителей пользователей до 13 лет.Предыдущий акт по защите персональных данных детей в глобальной сети был пр...
15.09.2011
Защита персональных данных в CRM церкви Пресвятой Троицы?!
Не могу не удержаться: NaviCon Group завершила проект внедрения Microsoft Dynamics CRM в церкви Пресвятой Троицы. CRM в церкви… Хм… Нет слов… Ну да ладно. Честно скажу – ждал этого, когда не логичность ситуации с философией и религией вылезет наружу… CRM, как я понимаю это Customer relationship management? В церкви управление клиентами…Т.е. на руках имеем ИСПДн. Как я понимаю К1 (сведения касающиеся религиозных или философских убеждений)? Даже представив отмазку, что не факт, чт...
13.09.2011
Поздравим коллег с денем программиста
Сегодня день программиста.Коллеги, примите поздравления с, надеюсь пока еще не официальным, праздником. Успехов, уникальных и гениальных продуктов, хороших тестеров и любящих пользователей.
08.09.2011
А должна ли стоимость защиты не превышать стоимость активов?
Довольно часто можно услышать, что защита должна быть адекватной. "Другими словами, если данные никому не нужны - то не надо их защищать. Если данные стоят 10 рублей - то нет смысла тратить 11 рублей на систему их защиты ". Так ли это в современном мире?Ущербность подхода заметна, если задать ровно один вопрос: зачем домашнему пользователю антивирус? Современные вирусы: с одной стороны разрушают инфицированные системы довольно редко и во-вторых, в общем случае, не блокируют компьютер поль...
Подписка
Вирусы