Личные блоги Евгений Царев
Персональные данные, Информационная безопасность и ИТ-инновации
-
Поиск
15.05.2012
Система противодействия мошенничеству в ДБО по-русски
Как обещал в посте про форум директоров ИБ,P подготовил небольшую заметку про защиту ДБО.Системы дистанционного банковского обслуживания активно развиваются последние 10 лет. Системы Банк-Клиент, Интернет-Банк и набирающий обороты мобильный-банкинг стали неотъемлемым атрибутом любой серьезной кредитной организации. Однако вопросам безопасности в ДБО уделялось крайне мало внимания, как самими банками, так и их клиентами. В результате, по состоянию на сегодняшний день, оборот российского криминаль...
07.05.2012
"Дайте денег на паяльник" или "Попов воскрес!"
Немногие читатели понимают смысл этих слов, поэтому поясню.Дело в том, что ваш покорный слуга закончил Радиотехнический факультет ТУСУР (в прошлом ТИРиЭТ/ТИАСУР/ТАСУР) в Томске. 7 мая (День Радио) я считаю своим профессиональным праздником.Так уж сложилось, что День Радио в Томске – это по-настоящему большой праздник, не только в масштабах университета, но и всего города. Каждый год этот праздник проходит примерно одинаково с соблюдением всех многочисленных ритуалов. Вообще 7 мая это оди...
03.05.2012
Юридически значимые комментарии к новым Постановлениям Правительства по персональным данным
Появление новых Постановлений Правительства по ПДн, безусловно, событие. Обязательный промежуточный этап выкладка проектов на сайте ФСБ “Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных”, и “О требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенност...
23.04.2012
Защита мобильных устройств по-русски. Часть 2
Вторую часть следует начать с небольшой преамбулы. Дело в том, что как в предыдущей, так и сегодняшней заметке мы не будем говорить о теории, коей на просторах интернета много. Мы будем отталкиваться от конкретной задачи чем обеспечить безопасность при использовании мобильных устройств сотрудниками компании? В первой части мы говорили про реализацию VPN. Очевидно, что VPN это далеко не все, но именно с криптографии у нас все начинается и ей же заканчивается .Тема сегодняшней заметки – MDM...
18.04.2012
Форум директоров по информационной безопасности 2012
Вот и прошел очередной форум директоров по информационной безопасности, настало время подготовить короткий отчет. Для начала пройдемся по некоторым докладам, а потом подведем итог по мероприятию в целом. Сразу добавлю, что далеко не все доклады мне удалось послушать, поэтому упоминания также будут выборочными.Итак,Первый деньПленарка запомнилась выступлениями регуляторов ФСТЭК и ФСБ (Роскомнадзор отсутствовал).ФСБ (Олег Залунин):Постановления Правительства в части ПДн уже подготовлены и согласов...
13.04.2012
Защита мобильных устройств по-русски. Часть 1
То, что сделали ИТшники вчера, ИБшники защищают сегодня. Понятно, что “по книжкам” нужно проектировать и создавать подсистему ИБ параллельно с основной системой. Однако на деле часто получается иначе. Причин такого положения вещей много, но идея проста тема ИТ превращается в тему ИБ с запозданием.В полной мере это справедливо и для мобильных устройств.Не так давно службы ИТ выполняли задачу бизнеса по предоставлению доступа в локальные сети с мобильных устройств. И вот сегодня все н...
05.04.2012
Как выиграть суд у Роскомнадзора?
В России крайне трудно выигрывать суды с органами государственной власти. По статистике менее 10% судебных разбирательств с государством заканчиваются победой физических лиц. Что касается статистики по частным компаниям, то я ее не нашел, но знаю пример, когда за 10 лет крупная компания из 400 дел с государством выиграла 0 (ноль). Факт существования такой статистики говорит сам за себя.Ваш покорный слуга несколько раз сталкивался с проверками Роскомнадзора и хорошо знаком с этой процедурой. Особ...
02.04.2012
Дикий DLP
Наверное, многие уже прочитали новость DLP-вендора, который благодаря своему собственному продукту зафиксировал попытку ханта своего сотрудника. Не хочу обсуждать, по меньшей мере, странные посты на сайте компании и в блоге. Обращу внимание на другой момент. Переписка между сотрудником и HR-ом одного из интеграторов велась через личную почту сотрудника. Со стороны сотрудника опрометчиво читать такую почту с рабочего компьютера, но суть дела не меняется. Налицо факт нарушения тайны переписки, что...
27.03.2012
Безопасность виртуализации и облаков. Что мы имеем на сегодняшний день?
Недавно посетил небольшое мероприятие, где центральными темами были [облакаk и виртуализация. Организаторами выступали поставщики решений по виртуализации, а среди присутствующих около 50% безопасники, поэтому диссонанс был налицо. Аудиторию беспокоили вопросы безопасности, а доклады, в основном, были про целесообразность перехода в облако с точки зрения бизнеса.Суть же моего доклада сводилась к тому, что виртуализация и облака с точки зрения безопасности принципиально иные среды, нежели физичес...
16.03.2012
Иран отключают от SWIFTа
С завтрашнего дня крупнейшая система международных финансовых платежей SWIFT отключает иранские банки от своей системы.Новость для иранской банковской системы неприятная, но катастрофы не случится. Платежи не остановятся, а пойдут по другим каналам. Ситуация похожа на эмбарго нефти. Любые эмбарго нефти приводят лишь к незначительному сокращению поставок, основная часть нефти переводится на посредников, что в свою очередь увеличивает издержки и еще непонятно кто от этого больше проигрывает, прода...
11.03.2012
Возможности Китая в проведении киберопераций и шпионаже. Как это видит Конгресс США?
По теме информационной безопасности все чаще появляются разного рода отчеты от общественных и правительственных организаций по всему миру.1) Вот недавно Руслан Пермяков писал про весьма странный документ, опубликованный от имени The United Nations Institute for Disarmament Research (UNIDIR) (являющейся независимым институтом Организации Объединенных Наций и базирующейся в Швейцарии). Однако разработан этот документ был The Center for Strategic and International Studies (CSIS) некой некоммерческо...
06.03.2012
Про НД ФСТЭК по IPS
Прочитал я тут на днях документы ФСТЭК по IPS, а именно:Системы обнаружения вторжений. Показатели безопасности и требования к системам обнаружения вторженийСистемы обнаружения вторжений уровня сети. Класс защиты первый. Профиль защиты ИЗД_ИТ.СОВ.С1.П3Названия многообещающие Содержание не подвело.Про второй документ даже говорить не хочу, а вот про первый пару слов сказать можно и нужно. Суть его сводится к описанию процедуры выработки требований по безопасности к СОВ (Система обнаружения втор...
29.02.2012
Как посадили человека за отказ предоставить данные в расшифрованном виде
Довольно странная новость пришла из США. Суть дела в следующем: агенты ФБР в ходе следственных действий конфисковали у некого гражданина два компьютера и пять внешних дисков, но не смогли получить доступ к находящимся на них данным. Данные были зашифрованы с помощью TrueCrypt. В ходе уже судебного разбирательства присяжные постановили, чтобы подсудимый предоставил данные в расшифрованном виде. Подсудимый ответил отказом, сославшись на 5-ю поправку к Конституции США, которая гласит, что лицо, обв...
27.02.2012
Впоминаем про забытый законопроект по ПДн
Еще с 2005-го года в ГД [пылитсяk законопроект 217355-4. Разрабатывали его еще до принятия 152-ФЗ. Суть законопроекта сводится к гармонизации законодательства в связи с принятием 152-ФЗ и ратификацией Конвенции Совета Европы по ПДн.Законопроект был принят в 1-м чтении еще в ноябре 2005 года. А потом о нем забыли. Вернее дату предоставления поправок ко второму чтению переносили дважды с интервалом примерно в 2 года.Очевидно, что [пациент скорее мертв, чем живk, однако на прошлой неделе ответстве...
20.02.2012
Неужели приходит осознание необходимости развития военного потенциала в киберпространстве?
Буквально на днях писал о документе Минобороны по киберпространству, Не так давно Президент упомянул об информационной безопасности на заседании коллегии ФСБ, и вот в очередной статье Путина про национальную безопасность появилась строчка:[Большое, если не решающее, значение в определении характера вооружённой борьбы будут иметь военные возможности стран в космическом пространстве, в сфере информационного противоборства, в первую очередь – в киберпространствеkНемного, но еще не так давно о...
20.02.2012
Про трастовость ресурсов или почему люди читают блоги?
Времена, когда информации не хватало, когда ее с трудом и упорством приходилось искать и обобщать, остались в прошлом. Сейчас проблемы другие. Информации много и из всего объема нужно вычленять наиболее сжатый, оперативный, актуальный и трастовый материал.Все это в той или иной степени актуально для формата блога.Из всего перечня характеристик наиболее неоднозначно такое свойство как ТРАСТОВОСТЬ. Непонятно как измерить трастовость того или иного интернет-ресурса. Вон Google, и тот, не может опре...
16.02.2012
Роскомнадзор набирает экспертов по персональным данным, но пока нашел только Кабест
Пропустил я как-то новость о том, что Роскомнадзор стал проводить аттестацию граждан и организаций в качестве экспертов и для участия в проверках Роскомнадзора по теме персональных данных.Что ж решение очень верное, как говорится: [Давно пораkОднако есть у этого мероприятия нюансы. В частности, что [участие экспертов и экспертных организаций в проводимых контрольно-надзорных мероприятиях будет осуществляться на БЕЗВОЗМЕЗДНОЙ ОСНОВЕk.Понятно, что “неоплачиваемость” работы отобьет жела...
10.02.2012
Концептуальные взгляды на деятельность Вооруженных сил Российской Федерации в информационном пространстве
Алексей Лукацкий тут нашел очень интересный документ, который лично для меня значительно интереснее разного рода постановлений по ТЗКИ.Документ вышел из-под пера специалистов Минобороны и называется: Концептуальные взгляды на деятельность Вооруженных сил Российской Федерации в информационном пространстве.Сразу скажу, документ очень простой. и понятный, даже странно … Не знаю, кто конкретно его писал, но у этих людей определенно хорошая подготовка в ИБ и, что особо приятно, светлая голова...
06.02.2012
Потерянный законопроект по ужесточению ответственности за мошенничество с персональными данными
Как часто бывает, законодатель в попытках решить одну проблему, решает сразу несколько старых проблем и создает ряд новых. Примером может служить (с трудом обнаруженный) законопроект, усиливающий ответственность за мошеннические действия с персональными данными.Законопроект 12389-6 [О внесении изменений в Кодекс Российской Федерации об административных правонарушенияхk предлагает дополнить КоАП статьей:Статья 13.111. Предоставление недостоверной информации о гражданах (персональных данных) опер...
27.01.2012
Евросоюз открыто объявил о реформировании законодательства в сфере защиты персональных данных
В среду Евросоюз открыто объявил о реформировании законодательства в сфере защиты персональных данных. Реформы готовились давно и вот о них объявили открыто. Суть изменений в первую очередь сводится к созданию единых правил по защите персональных данных во всей Европе. Однако помимо очевидных преимуществ интеграции, реформы несут в себе серьезные эволюционные изменения в плане регулировании этой темы.К слову, интересен подход европейцев к решению этой задачи. В частности они сделали ряд разъясня...
25.01.2012
"Сборщики" личной информации или 3 "вещи", которые уничтожили тайну личной жизни
В прошлом году на одном из мероприятий меня попросили сделать доклад об анонимности в Интернете. Изначально организаторы предполагали, что по завершению доклада будет вывод вроде: [найти злоумышленника в интернете невозможно, т.к. в сети есть анонимностьk и все в таком духе. На практике все оказалось с точностью да наоборот. Вывод после доклада был иным:Контролировать распространение своих личные данные в 21 веке НЕВОЗМОЖНОВ результате своего небольшого исследования я пришел к выводу, что корнев...
18.01.2012
Новая центровая тема ИБ. Какая?
Некоторые российские банки, а в особенности российские представительства европейских банков сокращают свои ИТ и ИБ бюджеты. Как это воспринимать? Как [второй 2008-й годk? Не похоже. Это что-то новое. Если раньше рынки валились быстро, а вместе с ними быстро таяли ИТ и ИБ бюджеты компаний, то сейчас тенденция негативная, но резких движений на рынке не так много.А вообще, 2008-2009 годы были очень необычными для нашей отрасли. Рынок ИБ падал значительно меньше, чем рынок ИТ в целом. Так в частност...
09.01.2012
Каким я вижу 2012 год если в 2-х словах
Как показывает практика, прогнозы в предновогодних постах имеют свойство сбываться, впору задуматься, что в жизни есть две беды: не получить того, чего хочешь и получить то, что хочешь . В этот раз я решил не подводить итоги уходящего года, тем более что невольно это сделал тут: Большой пост о власти, регуляторах, персональных данных, стандартах и о будущем российской информационной безопасности.Итак, на мой взгляд, этот год будет сложным и неоднозначным. Самая главная причина такого вывода о...
28.12.2011
Взлом GSM
Забавно наблюдать, как в СМИ появляется информация о [взломеk стандартов шифрования или уязвимостях в стандартах передачи данных. Все такие новости не содержат предметной информации, поэтому, что и как [обнаруженоk непонятно. Зато новость разлетается по миру и все начинают обсуждать эту тему. Чего только стоит история со взломом ГОСТового шифрования…Вот и недавно появилась информация об уязвимости в стандарте GSM. По мнению компании Security Research Labs, которая и заявила об открытии, эт...
27.12.2011
Россия не производит ИТ-продукцию, а лишь потребляет чужие решения
В России отсутствует политическая сила, чьи действия были бы направлены на развитие в России полноценной постиндустриальной экономики. Как известно, информационные технологии дали мощный толчок развитию всей мировой экономики в последние 20-25 лет. За счет автоматизации большинства процессов повысилась не только скорость жизни, но и эффективность деятельности. Да-да, эффективность! Многих это удивляет, но именно желание повысить эффективность вынуждало всех внедрять информационные системы.По дан...
26.12.2011
Голосование на странице Партии
Коллеги, на странице Партии запущено первое голосование:Считаете ли вы, что название партии и Программа партии должны быть рассчитаны на привлечение сторонников из других технологичных отраслей?Прошу участвовать!
25.12.2011
Первые сутки после создания Партии развития информационных технологий
Менее чем за сутки страница на Facebook (FB) [Партия развития информационных технологийk получила более 120 лайков (и это в выходные!). Цифра большая и говорит о том, что сообществу реально интересна идея создания отраслевой партии.Сразу скажу, что площадка FB была выбрана по объективным причинам. Во-первых, создать и запустить страницу FB легко и быстро, во-вторых, на страницах FB очень удобно вести совместные обсуждения, и, в-третьих, все минимально значимые решения будут приниматься голосован...
24.12.2011
Создается Партия развития информационных технологий
Лично мне давно не нравится де-факто отсутствие на уровне государства реальной и понятной политики по развитию ИТ и ИБ. Совершенно непонятно куда мы идем и что хотим получить. В 21-м веке такой подход неприемлем. Сегодня зависимость от ИТ и ИБ только растет, а мы не обращаем на это внимание. Как гражданина и специалиста меня это не устраивает. Общественные организации, коих развелось немало, не выполняют функцию моста между властью и нашей отраслью. До последнего момента я не понимал как изменит...
22.12.2011
Обеспечить полноценную защиту детей от нежелательного контента на уровне государства невозможно
Решил перепостить свою заметку, которую вчера опубликовали на dlp-expert.ru:В целом, интересной мне кажется просьба Президента подготовить предложение по защите детей от [нежелательного контента в интернетеk, адресованная Наталье Касперской. Эту тему нашему рынку еще предстоит отыграть, поэтому решил предложить свое видение этой проблемы.Во-первых, [национальным фаерволомk такую работу можно назвать весьма условно, т.к. задача защиты детей от Интернет-угроз в большей степени не техническая, а ор...
21.12.2011
Как я использовал закон 152-ФЗ о персональных данных в реальной жизни или российский интернет-бизнес
Не люблю ходить по магазинам, поэтому большую часть своих покупок делаю через интернет. За последние 3 года сделал около 150 разных покупок на западных площадках. Проблем почти не возникало, но даже если появлялись, продавец всегда стремился решить их оперативно и в моем интересе.Российский интернет-бизнес имеет свои особенности. Причем, главная особенность следующая – чем [пафоснееk интернет-магазин, тем больше проблем у вас может с ним возникнуть. Лично я всегда стараюсь найти товар на з...
19.12.2011
День рождения ФСТЭК
18 декабря 1973 г. является днем основания Государственной технической комиссии СССР, так что вчера коллеги из ФСТЭКа отмечали 38 лет со дня образования службы.Хочется пожелать всей службе эффективной работы и все-таки найти свое место в изменяющемся мире. Также хочется и напомнить, что вокруг много людей радеющих за будущее российской ИБ и готовых всячески способствовать ее развитию.Предлагаю всем коллегам присоединиться к поздравлениям в комментариях.
14.12.2011
Очередное свидетельство медленной гибели WikiLeaks или иногда лучше жевать, чем говорить
Общеизвестный факт, что феномен WikiLeaks стал возможен “благодаря” архитектурной ошибке в хранении данных. Эту ошибку допустили сотрудники Госдепа США, после резкого увеличения объема разведданных ( после 11 сентября). Теперь Госдеп приступил к работе над ошибками, а WikiLeaks остался без своего главного актива информации. Возникло ощущение, что WikiLeaks как проект, постепенно погибает.Очередное подтверждение я увидел совсем недавно. Это их новый проект [The Spy Filesk. По словам ...
Подписка
Вирусы