Личные блоги Хромов Михаил
proprie communia dicere
-
Поиск
04.05.2012
Казенный инструмент
Организация всегда закупала авторучки, авторучки были обыденностью. Когда работник получал авторучку, никто не брал с него расписок, не доводил политики использования, а коллеги не поздравляли и не требовали проставиться. Так шли годы.
Потом на стол руководству начали ложиться отчеты:
Мардаилова, когда говорит по телефону, рисует цветочки, а чернила – ресурс организации;
Ларисенко часто забывает закрывать колпачок, что однажды приведет к порче;
больше всех роняла авторучку Ка...
28.04.2012
Преемники ПП-781 и приказа трёх
ФСБ выложила проекты постановленийоб уровнях/требованиях – видимо, хочет услышать мнения.
Ну, так себе.
Безопасность ими рассматривается как защита от угроз НСД (пункт 2 в "Требованиях "), наступившее по любой другой причине превращение в неполные или неточные – не проблема.
Уровень защищенности персональных данных (пункт 2 в "Уровнях ") – это не насколько они защищены, оказывается, а ссылка на набор предписанных мер. Поэтому уровень защищенности персональных да...
27.04.2012
Говорящее название
Однажды к нему пришли и спросили:– Кого нам сделать ответственным за организацию обработки персональных данных? На него будут возлагаться: внутренний...– Это примеры, - сказал он.– Ну, да, наверно. Мы все никак не можем выбрать, у нас есть...Были названы ответственный за осуществление обработки, ответственный за автоматизацию обработки, ответственный за защиту обрабатываемой информации, ответственный за юридическое сопровождение обработки.– Назначьте ответственным за организацию обработки того,...
05.04.2012
Кони, люди
Кто давно занимается ИБ, тот знает, что бывают несоответствия и инциденты. И даже, возможно, что инциденты бывают разной степени тяжести, а их названия обратныИТ-шной практике. Но это нам во второй раз не интересно.Несоответствие – это расхождение между писаным требованием и реализацией. Ходит себе внутренний аудитор с внутренними себе аудитами и записывает: "не стоят критические патчи за три месяца, а по регламенту можно за один – несоответствие ", "не назначен ответственный за хранение резер...
01.04.2012
О школах
Немножко дурацкая ситуация, поэтому специально придержал до календарного повода.
Еще до Нового года попали в руки два варианта одного сборника. Не знаю, та ли это еще инициатива, когда народ опрашивали на iso27000.ru (кстати, продолжают распространять мой любимый дайджест!), или аналогичная, но смысл следующий: профессионалам от ИБ предлагалось назвать свои музыкальные ассоциации с теми или иными понятиями и явлениями из области информационной безопасности.
Вся фигня в том, что я у...
26.03.2012
Психология обоснования
Положительная мотивация заинтересовывает получением профита (если постараешься, получишь новую игрушку, назначат начальником отдела, украсится резюме), отрицательная сулит неполучение ущерба (не отнимут еду, не оштрафуют, не выгонят из школы), и вторая плохо работает в случае свободных существ.Вы с чем к директору за ресурсами ходите - "в целях недопущщения "? Попробуйте какой-то позитив. Вместо "а давайте купим DLP для предотвращения утечек " - "давайте купим DLP для перманентного оздоровлен...
14.03.2012
Словно полужесткие крепления
Трудолюбиво затушевываемый кризис конференций и выставок ИБ-тематики – это кризис формы. Когда-то информация стоила дороже, а время дешевле. Через полстраны на ВДНХ, чтобы узнать, что ты не один придавлен проблемой профилактики пневмонии у откормочного поголовья, и лучшие умы уже бьются – это в порядке вещей. Две недели караулить песню по радио, чтобы записать – норма. Фраза "Я целый день потратил, разыскивая по библиотекам такую-то цифирь " вообще невозможна: один день – это только подбор карт...
27.02.2012
Весенние постановления о персданных: 1.1 или 2.0?
Пока есть возможность пофантазировать о хорошем, пофантазирую о хорошем.В обеспечение закона "О персональных данных " 2006 года в 2007-2008 были приняты 781-ое и 687-ое постановления, а также т.н. приказ трех, который № 55/86/20. Под обновленный в прошлом году закон "О персональных данных " сейчас будут изданы новые постановления, 781-ое, 687-ое и приказ трех заменяющие.Как могло бы быть у нормальных парней: постановления 2012 обслуживают закон 2011. Как иногда бывает у других: постановления 2...
14.02.2012
Эффект Домодедово
Один из моих любимых аэропортов имеет интересный обычай: досмотреть все технологические отверстия авиапассажира для недопущения проноса пилочки для ногтей и через минуту предоставить ему самый широкий выбор колющих и режущих – от готовых (стальные ножи и вилки в кафе) до всевозможных "сделай сам " (пивные кружки и некоторые виды тарелок в тех же кафе, стеклотара в дьюти якобы фри и т.п.). Борьба с попаданием потенциально проблемного контента в периметр, но не с присутствием, встречается и в ИБ...
23.01.2012
Существует риск
Примерно в половине случаев идиоты-начальники, спуская безопасника с лестницы, безраздельно и неосторожно неправы. А в половине этой половины они его просто не так поняли. Но он, правда, и сам недостаточно постарался выразиться. Нам, однако, интересна не первая половина, и не та вторая, которая первая половина этой первой половины, и не третья, которая вторая половина первой половины, а вторая первая половина.Среди тех случаев, когда спуск с лестницы глубоко и бесспорно заслужен, к явным лидерам...
29.12.2011
Вундервульф
В "Криминальном чтиве " есть такой персонаж – мистер Вульф, которого Марселас посылает выручать Винса и Джулса в ситуации с Бонни. Джулс не верит своим ушам – дали самого Вульфа! Тот разруливает их проблему, и двое бывших крутых в строгих костюмах, уподобленные теперь пляжным бездельникам, выражают ему свое неподдельное восхищение.
А ведь он, казалось бы, не сделал ничего невозможного, чего ребята принципиально не могли бы: выяснил то, что у нас называют RTO, стрельнул у Джимми тр...
07.12.2011
Контрольный в голову
Куплено три зажигалки:образец 1 – Zippo;образец 2 – Cricket (если читателю лучше знаком BiC – пусть будет BiC);образец 3 – китайская "стекляшка " noname.Вопрос: что из этого качественная зажигалка?Опрос не провожу. Правильный ответ: мы не знаем. В задаче недостаточно данных для ответа. И вовсе не потому, что нет сведений об исправности – допустим, что все три новенькие и рабочие. А просто качество зажигалки не определяется свойствами зажигалки. Поэтому будет ошибкой сказать, что качественна та,...
24.11.2011
Снова о главном
Сколько существует этот блог, столько в нем повторяется тема ИБ!=ЗИ. Буду считать, что периодически облекаю ее в новые краски.Позапритча. Хотя старое название стоматолога – дантист ( "зубник "), задача стоматологии не в том, чтобы помогать зубам. Она в том, чтобы помогать пациентам. В проблемах, связанных с зубами. Во-первых, это ведь не всегда сохранение/восстановление свойств собственно зубов – лечить могут десну или прикус. Но главное: зубу могут сделать и хуже – его могут подпилить, лишить н...
10.11.2011
Triple predictable threat
В английском слов больше, ибо соответствующий супостат что-то новое и называл по-новому, а не искал подходящее слово меж имеющихся. Поэтому у них key, spring и wrench, а у нас ключ, ключ и ключ, чтоб никто не догадался.Американцы дальше пошли - определяют новое в известных терминах и преобразуют определение в аббревиатуру. Кабы англичане в свое время не подсуетились, инструмент для закручивания болтов звался бы сейчас T.F.M.B.S. (tool for a manual bolt screwing), уж будьте уверены. Порой, кстати...
25.10.2011
Годные литераторы из НИИ "СОКБ"
За чаем взялся почитать проект ГОСТ Р ИСО/МЭК 27003, ссылка на который мелькнула в твиттере Алексея Лукацкого.Цели внедрения СМИБ можно определить, ответив на следующие вопросы:как может СМИБ улучшить управление рисками информационной безопасности? как может СМИБ улучшить управление информационной безопасностью? как может СМИБ создать конкурентные преимущества для организации? Чтобы ответить на эти вопросы, необходимо рассмотреть приоритеты и требования организации на основе следующих факторов:...
20.10.2011
О русском фатализме
Устроено это так: приемлются все риски, кроме максимального, а он признается необрабатываемым.Т.е. каковы бы ни были последствия и вероятность реализации некоторой угрозы, о ней не стоит беспокоиться, если существует угроза с бо
06.10.2011
Красота
У нас как возьмутся переносить на родную почву лучшие иноземные практики, так сразу все. Не было ни гроша, и вдруг алтын. Сейчас вон прайвеси в Гражданский Кодекс вписывают - статья 1522, неприкосновенность информации о частной жизни. Ну, круто, чё. Конституция и УК давно упоминают.Информация о частной жизни шире персональных данных, включает в себя персональные данные среди еще до фига чего. А персональные данные включают любую относящуюся к субъекту информацию, значит и о его частной жизни. Во...
28.09.2011
Чикагцы от персданных
Хоть ИБшники и не производят впечатления нормальных людей, но тоже делятся на два типа. Некоторые не нацело, но это дела не меняет.Интроверты и экстраверты, либералы и консерваторы, славянофилы и западники, а также умные и красивые остроконечники и тупоконечники по любви и по расчету великодушно подтверждают, что стоит где-нибудь завестись людям, как они найдут повод поделиться на два типа.Традиционные ИБшники vs латентные ЗИшники, а также организаторы vs технари ещебудут в другие разы, а в этот...
30.08.2011
Враг хорошего
В тойарабеске я писал, что политика ИБ обязательно обманет ожидания, и почему. Однако, малоэффективная лучше никакой, так что иметь надо. В отечественных правилах пользования метрополитенами есть забавное требование: в ожидании поезда распределяйся по платформе равномерно. Равномерно - это одинаковое количество пассажирского вещества в каждой точке платформы. Видимо, пассажиры для автора – масса: были бы единицами, написал бы "периодично ". Или глуп.Политику ИБ более всего портит равномерность...
18.08.2011
О пользе зла
Помимо передачи пользователю контента (явной и неявной), телек выполняет еще одну функцию - отвлекает его от осмысления и/или решения реально существующих проблем. Вообще это не прерогатива именно эфирного телевещания: ровно по этой же причине в Советской империи печатали книги, в Римской строили цирки, а мои родаки не спешили покупать чаду магнитофон.Куда я клоню.В офисной среде есть развлекалочки: серфинг, чатинг, пиринг, гейминг и иже. Обычно безопасник видит в них только информационную, конт...
09.08.2011
Досужее
Покойный Гоголь беспокоился о России в Италии, Тургенев – в Германии, Бунин – во Франции, что-то и мне нездоровитсятак что и я опять позволил себе.И вот, просматривая ИБ-Рунет за ресторанным столиком на полупядевом дисплее через невесть откуда приключившуюся точку доступа и не будучи в достаточном всеоружии, чтобы привычно оборотиться в спорщика, внезапно вдруг поражаешься, каким он, оказывается, стал не просто живым, а бойко фонтанирующим искрящимся контентом. И приход в онлайн Емельянникова и ...
21.07.2011
Back in the U.S.S.R.
Лицо, ответственное за организациюобработки персональных данных, в частности, обязано:- осуществлять внутренний контрольза соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;ФЗ-152-NGТеория разделения властей - буржуазная политико-правовая доктрина, согласно которой власть понимается не как единое целое, а как совокупность различных властных функций, осуществляемых независимыми друг от друга го...
13.07.2011
Где снег башка попадет
В свете истории с запросом силовиками у Яндекса тайны жертвователей Роспила любопытно обсудить одну известную империю добра.Провайдер облачных услуг заявляет открытым текстом, что сольет Вашу информацию американским спецслужбам без Вашего ведома, если те попросят. Он обещает поинтересоваться, можно ли Вам сообщить, но шансы малы - антитеррористические мероприятия все-таки.Как это? Да элементарно: данные вдруг на какое-то время окажутся в той части облака, где у их кровавой аэнбни читательский аб...
10.07.2011
"А я один стою меж них"
Виртуальная клава смартфона недостаточно хороша, чтобы поговорить везде со всеми, оттого здесь.При всей благости намерений пламенная петиция действительно основывала свою патетику на аргументах, небрежно изложенных.Потому их критика была просто вопросом времени, и не стоит так уж нападать на записи в паспорте и трудовой у того, кто первый вчитался.
05.07.2011
Наивность как критерий
И опять 282499-5.Пытаешься кого-то опознать по фотографии размером один пиксель, вмятине от головы на подушке или словесному описанию походки - только с письменного согласия на обработку биометрических, а нет – обрабатывай как простые ПДн хоть дактилоскопические карты. Фигась.
01.07.2011
Как жить
Ну, давайте до кучи и я напишу о 282499-5 в редакции от 29.06.2011.В части 3 статьи 19 читаем: "Правительство в зависимости от вида деятельности, при котором обрабатываются ПДн, устанавливает уровни и требования ", для которых затем все ФСТЭКовские и ФСБшные прелести.Вспоминаем наличие таковых постановлений о том, что у нас в уставе написано, и не отравляем себе пятницу, лето, молодость.
29.06.2011
Десять ключей к сертификации по ISO 27001
Раз практикой ИБ называют перепечатку книг, практические советы давать как-то неловко. Пусть будут ключи.1. Если есть возможность, читайте стандарт в оригинале. Кто не знает старый одесский анекдот про Карузо, тот гуглит и знает. 2. Не перегружайте себя информацией - достаточно самих 27тыщ, это и так нехилый объем (и к ним потом 19011, и еще пару раз отправят подглядеть в 18044 и 13335). Чем больше будет вроде бы родственных источников, тем больше все будет только запутываться. 3. Если многократ...
15.06.2011
Чудеса случаются
Завтрашние поправки в 152ой закон - это революция. К сожалению, занят срочным написанием внутренних разъяснялок по смене курса (сотни обработок приводились в соответствие к 1 июля), так что развернутого комментария не будет - какой смысл делать это после вас всех.
10.06.2011
Зависть
Вот есть же защита прав потребителей у пищевиков и ТНП-шников: не доложил творога - пиши "творожный десерт ", не долил сока - "сокосодержащий напиток ", намутил из порошка - "сделано из порошка ".Не все инциденты ИБ случаются по вине отдельных граждан - может поставщик подвести (провайдер, скажем), могут силы природы вмешаться. И в обработку входит не только разбирательство. Бывают, кстати, инциденты без разбирательств - только регистрация и устранение или даже только регистрация (возня дорож...
Подписка
Вирусы