Личные блоги Владимир Гнинюк
Не всегда удается писать, когда думаешь, и думать, когда пишешь. Посему, то хронология нарушена, то мысли путаются…
-
Поиск
18.05.2012
OCEG GRC Maturity Survey
Вчера, 17 мая, OCEG (неприбыльная организация, развивающая современные методы эффективного управления предприятием через концепцию GRC) начала сбор данных в рамках исследования 2012 GRC Maturity Surveyтекущего состояния использования GRC в управлении предприятиями.Такое исследование проводится раз в два года и к участию приглашаются все желающие кто так или иначе играет роль в реализации GRC у себя в компании.В исследовании рассматриваются такие вопросы, как:Уровень интеграции рисков, комп...
29.04.2012
Верить или не верить? Вот в чем вопрос
Пару дней назад, просматривая блоги экспертов в области информационной безопасности, натолкнулся на http://personal-data.livejournal.com/319360.html. Что привлекло? Ну конечно заглавие. Ведь о Украине речь.Когда после прочтения, вынужденно вернулся к началу, то увидел, что это репост http://www.dancor.sumy.ua/news/newsline/78070.Прочтя несколько раз, я понял, что ничего не понял. И так по порядку…«План обогащения мужчины был достаточно простым. Через мобильный телефон Сергей входит в интернет и ...
03.03.2012
В пятницу после работы: Хотите стать Гуру Инфосек-а?
Следуйте опыту тех, кто им уже стал http://www.tripwire.com/state-of-security/it-security-data-protection/25-information-security-blunders/
21.02.2012
Размышления к Размышлениям
Читал много разных постов разных авторов о использовании «планшетов» в корпоративной среде особенно в контексте проблем ИБ, но сегодня после прочтения поста-размышления Владимира Безмалого (http://bezmaly.wordpress.com/2012/02/21/tablet-2/) о роли и месте «планшетов» в нашей жизни, пришла в голову шальная мысль:«Использование «планшетов» – это не ослабление системы безопасности, а метод ее укрепления» Все верно: «планшет» - это удобное средство эффективного потребления контента. Точк...
10.02.2012
О сильных паролях замолвите слово: Введение
Данный пост не предполагает обсуждение техник придумывания и запоминания безопасных паролей, а направлен обозначить основные моменты которые должны помочь понять, чем определяется «безопасность пароля» и почему в одном случае достаточно 4 цифры, а в ином и 20 мало …Аутентификационной триаде: «что я знаю», «что я имею»и«кто я есть»уже не одна тысяча лет и за это время ни один из этих принципов не вырвался вперед, более того эффект получается сильнее если их использовать вместе.Но мне сегодн...
28.01.2012
В пятницу после работы: Безопасные пароли
Несколько месяцев назад коллега на страницах своего блога опубликовал замечательный пост, который начинался фразой: «Спор о том, какие пароли следует называть безопасными, старше самой дисциплины информационной безопасности.»А действительно, какой пароль необходимо считать безопасным?Какой самый короткий, но надежный пароль, Вы можете привести в качестве примера?
21.01.2012
В пятницу после работы: "Знеособлена" история
Ввиду того, что самые жаркие дискуссии, на этой неделе*, у нас происходили вокруг Закона о защите ПД решил задать вопрос который меня гложет с первого дня прочтения и дискуссию вокруг которого я не разу не встретил за ПОЛТОРА года. Речь пойдет о пункте 9 статьи 6:«Використання персональних даних в історичних, … цілях може здійснюватися лише в знеособленому вигляді»Это как? Упоминая создателя нашей группы в ЛинкидИН-е, мы должны обезличить его ПД и добиться эффекта, когда никто не поймет, кто это...
20.01.2012
От виртуальности к реальности: Новый игрок на украинском пространстве информационной безопасности
На рубеже 2011 и 2012 годов в жизни украинских профессионалов в области информационной безопасности, образовавших на страницах Linkedin-а сообщество Ukrainian Information Security Group (UISG), произошло два очень важных, я бы сказал эпохальных события: нас стало более тысячи человек и мы смогли материализовать виртуальное сообщество в реальную Общественную организацию «Украинская группа информационной безопасности».Немного историиУкраинская группа информационной безопасности (Ukrainian Informat...
14.01.2012
RA: В поисках "формулы": часть I-я
Ее строгость, наглядность, простота настолько очевидна, что не просто радует глаз, но и затуманивает разумЧто может быть прекрасней формулырасчета ИТ рисковR = T x V x A, или более подробно Risk = Threat * Vulnerability * Asset ValueОчень красиво и наглядно. Не правда ли? Дело осталось за малым: понять, как ее использовать на практике.И так, перед нами формула предназначенная помочь определить величину Риска. Здесь и дальше под риском будем понимать Риск информационной б...
14.01.2012
В пятницу после работы: Цели и общедоступные источники
Красной нитью Закона Украины о Защите Персональных Данных есть требование, что обработка ПД должна осуществляется в рамках законных целей, но самое главное - цель обработки должна быть согласованна с Субьектом ПД (п 1 ст 6 и пп 1 п 2 ст .С моей точки зрения здесь появляется нюанс: цель с которой Субьект разместил данные в общедоступных источниках и цель, с которой эти данные были собраны и подвергнуты обработке, могут быть разными.Вопрос:Можете ли вы навести примеры таких ситуаций? Как необходим...
04.01.2012
Унификация защиты Персональных Данных: Классификация
Рано или поздно Базы персональных данных нужно будет не только регистрировать, но и защищать, а учитывая «вселенский охват», ой как помогли бы типовые рекомендации...Несколько месяцев, на сайте Державної служби України з питань захисту персональних даних был размещен Проект «РЕКОМЕНДАЦІЇ щодо забезпечення захисту персональних даних у базах персональнихданих від незаконної обробки, а також від незаконного доступу до них».В Приложении А к данному документу изложено видение авторов возмож...
31.12.2011
В пятницу после работы: В поисках формулы
ВыражениеRisk = Threat x Vulnerability x Impactчасто называют классической формулой для расчета риска ИБ.А как Вы относитесь к написанному?Как Вы считаете, эта формула правильная или нет? Почему?
29.12.2011
Восполняя пробелы: Неопределенность
Казалось бы, если мы говорим о «неопределенности», то, что еще обсуждать, какая уж тут конкретика? Как можно отличать то, что и так не определено?На самом-то деле неопределенность неопределенности рознь.Рассмотрим два примера связанные с необходимостью ввести контроли, снижающие наши риски до приемлемого уровня и для этого:Задача №1: определить адекватность условий SLA для сервера электронного магазинаЗадача №2: определить эффективность проведения (читай затрат) тренинга персонала по вопросам ре...
24.12.2011
В пятницу после работы: Неопределенность
При оценке рисков, часто для придания некой строгости процессу, считается, что неопределенность может быть определена количественно c определенной точностью, используя теорию вероятности, например, метод Монте-Карло (см. тот же FAIR). А в каких случаях такой подход не работает даже теоретически? Сталкивались ли вы с ситуацией, когда неопределенность бывает разной?
16.12.2011
Вопрос по пятницам: Кибероружие
Сегодня много говорится о кибервойнах, а следовательно и о возникновении соответствующих родов войск, но войска нужно вооружать. Стоит ли преследовать разработку malware или необходимо данный вид деятельности легализовать, но предусмотреть его лицензирование и правила распространения?
15.12.2011
В поисках взаимопонимания: ПД, паспорт, псевдоним…
«Либимого узнаю по походке»Нельзя построить эффективную защиту не понимая обьект защиты. Нельзя давать полезные советы, если люди понимают и толкуют одно и то же понятие по-разному.Идет дискуссия, потихоньку стороны начинают понимать друг друга, а тут бац «вторая смена», вновь подключившийся к дискуссии вносит сумятицу в еще не окрепшие умы: «если собранные персональные данные (ПД) не подтверждены документально, например, посредством предьявления оригинала паспорта, то нельзя такие да...
12.12.2011
Какая База ПД самая главная?
На прошлой неделе, провел краткую встречу-консультацию для любимых клиентов о необходимых действиях во исполнение ЗУ «Про захист персональних даних», где мы установили, что изречения «У нас Баз персональных данных НЕТ» и «В СССР Секса НЕТ» принадлежат перу одного автора и что закон действует даже там где «СУБД не стоит на балансе» (из уст финансиста это звучало сногсшибательно) вернулся к размышления о «РЕКОМЕНДАЦІЯХ щодо забезпечення захисту персональних даних…»Находясь под...
10.12.2011
Вопрос по пятницам
Утрата (не утеря) какой базы Персональных Данных может вызвать самые большие неприятности для владельца/распорядителя ПД?
03.12.2011
Вопрос по пятницам
Можно ли нарушить подлинность не нарушая достоверности и/или целостности?
26.11.2011
Пятничный вопрос: СОУ Н НБУ 65.1 СУІБ 2.0:2010 гласит
"Інформаційна безпека - це захист інформації від широкого діапазону загроз з метою забезпечення безперервності бізнесу, мінімізації бізнес-ризику і отримання максимальних рентабельності інвестицій і бізнес-можливостей. "Google Translate: "Информационная безопасность - это защита информацииот широкого диапазона угроз с целью обеспечения непрерывности бизнеса, минимизации бизнес-риска и получения максимальных рентабельности инвестиций и бизнес-возможностей "Вопрос: Какую информацию необходи...
17.11.2011
В поисках взаимопонимания: ИБ vs ИТ-безопасности
На этой неделе столкнулся в разных источниках на подчеркнутое разделение и противопоставление ИТ-безопасностии Информационной Безопасности (ИБ), мне казалось, что это деление уже кануло в Лету, а тут снова и из уст авторитетных людей… Я воспринимаю такое деление, как источник снижения уровня защищенности, так как оно вносит дезориентацию в систему управления Предприятием, плохо отражается на корпоративной культуре, приводит к неэффективному финансированию и внедрению сред...
09.11.2011
Best Practice(?)!
Как то в последние дни, просматривая различные статьи о трендах ИБ в головах государственных мужей, поймал себя на мысли, что я как-то неадекватно воспринимаю написанное. Интересно это люди в растерянности и не знают че б еще такое сотворить или я уж сильно отстал и надо бы восполнять пробелы…Например вчера на ночь глядя, позабавила http://www.theregister.co.uk/2011/11/02/sys_admins_should_help_cybercrime_probes/Буквально несколько цитат:«System administrators should be the detectives in c...
03.11.2011
RA: Считаем Риски правильно
Соответствие требованиям законодательства, один из самых важных моментов в работе любого Бизнеса.Законодатель выдвигает требования и определяет ответственность за их нарушение, а Бизнес обрабатывая риски, связанные с этим, принимает для себя взвешенное решение: выполнять требования закона или нести ответственность за его нарушение.Абсолютно стандартная процедура, применяемая во всем мире и во всех сферах деятельности, а значит применяемая и в Украине в отношениях законодательства затрагивающего ...
27.10.2011
Самая страшная тайна
Какая информацияна предприятии должна охраняться сильнее всего?Ради интереса напишите список ну или хотя быприкиньте. Можно идти дальше?А есть в спискеинформация о пройденных тренингах по ИБ? Фамилии консультантов?Каждый раз меняпрошибает холодным потом когда я задумываюсь о угрозах которые таит непонимание выше приведенного. Каким бы талантливым не был консультант, ноколичество предлагаемых им подходов и приемов в реализации системы защитыограничено. Более того, сокращая время консультации (все...
27.10.2011
Анонс: UISG v7
2 декабря в Киеве состоится седьмая конференции UISG.Также начал работусайт конференцииhttp://7.uisgcon.org, целиком и полностью посвященный этому событию. На сайте можно удобно и быстро:зарегистрироватьсяв качестве участника конференции - http://7.uisgcon.org/attendeesподать заявку докладчика - http://7.uisgcon.org/speakersнайтиконтакты организаторовконференции - http://7.uisgcon.org/contactsпринять участие в формировании программыконференции, поделившись с организаторами интересными именно вам...
19.10.2011
В поисках взаимопонимания: Фальш-позитив или таки негатив?
На прошлой неделе произошел любопытный случай: при посещении одного из сайтов мой «браузер по умолчанию» выдал предупреждение, что страница сайта содержит опасное содержание и пользователь должен самостоятельно принять решение посещать данную страницу или нет.Когда я попытался попасть на сайт при помощи других браузеров, то никаких предупреждений не получил.В силу различных обстоятельств, я решил немного больше времени уделить данному событию.Первое, что я сделал, это информировал владельцев сай...
21.09.2011
Укращение строптивых
Недавно, приводя к эталонному размеру стопку «очень нужных» документов, в руки попала папочка цвета «хаки» со строгой и простой надписью Xylogics, Inc. , хранившая переписку, которую сегодня уже не прочесть, почему тогда о столь замечательном свойстве факсовой термобумаги я не задумывался…С первого дня своего существования удаленный доступ начал потихоньку «размывать» границу корпоративной сети, но слава Богу уровень «распространённости и проникновения ИТ», давал возможность ИБ-шникам в реальные...
20.09.2011
Эволюция безопасности: от трагедии к фарсу
Гегель когда-то написал, что история повторяются дважды: первый раз как трагедия, а второй — как фарс.Столкнувшись с проблемой, что человеческий дух слаби не редко, люди поставленные охранять, сами же, превращаются в воров, древние римляне обозначили серьезную проблему, возникающую перед каждым, кто пытается построить систему безопасности, подарив изречение ставшее крылатым «Quis custodiet ipsos custodes?».На фоне недавних проблем у COMODO, HBGary, RSA, сегодня, прочтя сообщение от Vasco,&...
26.08.2011
Незнание не освобождает
"Незнание угроз не освобождает нас от риска "Сегодня, просматривая новости, наткнулся, чтожителя Чебоксар оштрафовали за взлом учетной записи супруги. А это, как не говори, уже не далекая Америка…Особо и комментировать вроде нечего, но лишний раз для себя отметил:Хочешь иметь тайну - позаботься о ее защитеПервейший нарушитель - инсайдерИзменение контекста изменяет ландшафт угрозМы часто переоцениваем себя и недооцениваем оппонентаКиберпространство - виртуально по форме, но реально по сути
05.08.2011
Атака прошла успешно! Кто виноват?
Сегодня, все пользователи ИТ, в той или иной степени подвергаются опасности сами или подвергают опасности других. Умиляют настойчивые попытки в формировании мнения, что они (пользователи) чаще всего сами и виновны, если происходят неприятности.А кто может еще быть виновным, как не пользователи, ведь это они:используют «слабые» пароли и хранят их, где не попадя; «антивирусы» не устанавливают, а если устанавливают, то не обновляют;широко используют установки «по умолчанию», вместо того чтобы...
08.07.2011
Утечки и Конституция
Весьмирборетсяс утечками информации, по вине инсайдеров, внедряя очень и очень не дешевые, но очень умные DLP-системы, а у нас, понимаешь ли, «рукисвязаны»: Конституция запрещает! (см. Статью 31 Конституции Украины или Статью 23 Конституции Российской Федерации). Этоошибказаконодателя или свидетельство высшего проявления демократии? И как же быть? Что делать? Как изменить Конституцию?Насамом-тоделеменять нужно не Конституцию, а свое отношение к проблеме.Ачтоесть "тайна переписк...
12.04.2011
RA: В поисках "цифры"
Будучи скептиком в вопросе возможности количественной оценки рисков информационной безопасности, не смог пройти мимо факта, лишний раз иллюстрирующего природу моего "неверия ".Вспомним один из последних громких инцидентов: успешную атаку на RSA. Воспользуемся кратким описанием "анатомии " атаки и небольшим исследованием ее последствий.Возможно ли было заранее "просчитать " этот риск и получить цифру "694 млн. долларов "? Сторонники количественных оценок, для расчета Риска рекоменд...
25.03.2011
PC Security Checklist
Решили набросать небольшой checklistпо функциям требующим реализации для защиты ПК/ноутбуков.С большой благодарностью приму замечания и критику по данному списку.
16.03.2011
Парк развлечений и отдыха
Вы когда-нибудь замечали, как меняется поведение людей, когда они узнают, что их действия записывают?Представьте огромный Парк с различными аттракционами, кафе, кинотеатрами и разными прочими приятными заведениями. Парк огромен. Места много. Зеленая трава. Специальная крыша: никакого тебе дождя или снега. Всегда только солнце, тепло, а где надо приятная прохлада.Вы хотите отдохнуть? Провести деловые переговоры? Нет проблем, здесь всегда найдется удобное местечко в удобное для Вас время.А дети-то...
28.01.2011
Ответственность за "пиратство"
Свели воедино информацию об ответственность за нарушения в области права на интеллектуальную собственность (см. требования раздела 15.1.2 ISO/IEC 27 002, а, следовательно, и СОУ Н НБУ 65.1 СУІБ 2.0:2010).При нашей действительности при оценке рисков без этого не обойтись.Заранее благодарен, за найденные неточности и пожелания.
20.01.2011
Фальшивый банкомат. Советы по безопасности.
Две недели назад в Киеве в солидном торговом центре был обнаружен фальшивый банкомат, установленный мошенниками с целью кражи данных платежных карт, с последующим хищением денег.Эта новость, широко и подробно представлена в Интернете. Наряду с описаниями данного события, можно было встретить и рекомендации о том, как не попасться на удочку мошенников. В силу профессионального интереса эти рекомендации и привлекли мое внимание.Могу сразу сказать - мне не повезло, все что попадалось мне на глаза, ...
12.01.2011
Беспечности храбрых поем мы песню
Ну не бывает месяца, что бы от того или иного эксперта не услышать (прочесть), в сердцах сказанное "Ну как же так?! ". Речь идет не только о ИБ, а о любой сфере деятельности направленной на "заботу о человеке ".Так почему же так происходит? Первое, что приходит на ум:1.В одном из исследовании, социологами был установлен факт, что уровень доверия «себе равным», гораздо выше чем эксперту.А разве не так? Мы всегда способны провести грань и отделить где нас учат, а где поучают? А чем мы руко...
13.12.2010
Методика оценки рисков ИБ от НБУ
Методика оценки рисков ИБ от НБУНа выходных просмотрел проект «Методики оценки рисков информационной безопасности»изданный Национальным Банком Украины.Хорошо, что у нас не принято указывать автора документа, не то можно было бы смело «ставить крест» на карьере методиста столь замечательного опуса.При разработке Методики авторы руководствовались стандартом ISO/IEC 27005:2008 "Information technology - Security techniques - Information security risk management ". Стандарт предста...
18.11.2010
А что тут такого? Нам некогда
В течение месяца по внутренней почте Клиент-Банка от группы технической поддержки получаю ТРЕТЬЕ письмо о необходимости проверить версию ПО Клиента и обязательно, если она не последняя, обновить согласно приложенной инструкции.У меня версия правильная, причем правильная на момент первого сообщения. В связи с этим возникает два вопроса:А что Банк не видит версию моего клиента?Или он в соответствующих журналах не видит, что я обновился?Мало того, что Банк демонстрирует низкую управляемость процесс...
18.11.2010
Не корысти ради...
Поймал себя на мысли, что неплохо бы где-то в одном месте записывать отношение к происходящему. А то там написал, там дописал, а когда хочется все собрать воедино – не получается.Короче, решил как все, а что из этого получится – посмотрим…
Подписка
Вирусы