среда, 17 ноября 2010 г.

Обучение. Infosecurity

Вот я и посетил наконец это мероприятие.
Запомнилась 20-ти минутная прогулка по парку до здания экоцентра.
Было много докладов хороших и не очень.

Много разговоров про проблему ИБ виртуализации и облачных вычислений.
Соответствено много повторений.

Понравились доклады Лукацкого и специалистов TrendMicro.

На стендах интеграторов (Элвис, РНТ, и тд) идут свои секции докладов по впариванию клиентам своих услуг.

Из приятного:
Check Point и КС2 - уже делали, так что это реально
Check point Endpoint Protection планируется сертификация по МЭ и ТУ (в начале 2011)
Check point 7.1 - будет серийным сертифицированным производством
Stonesoft - в январе заканчивают сертификацию на СКЗИ. Есть вероятность что им удастся договорится с ФСБ на КС2 без электронных замков
TrendMicro - сертифицируют производство по антивирусу и Deep Protection.

Из веселого:
Алексей Лукацкий в своем докладе говорит что надо впаривать стекхолдерам/бизнесу на его языке, чтобы объяснить им необходимость проекта, а потом доказать что он получился успешным.
Следующий докладчик из PricewaterhouseCoopers говорит "я считаю что ИБ не должна ничего впаривать бизнесу. С ним надо дружить и ему помогать" :)

воскресенье, 14 ноября 2010 г.

Общее. Сравнение лицензиатов ФСТЭК по ИБ Краснодарского края

Чтобы немного оправдать название, решил провести небольшое сравнение лицензиатов ФСТЭК России в Краснодарском крае в сфере информационной безопасности. (По данным из http://www.fstec.ru/_doc/per_org_at/_orgat.xls). Так как в наше время web сайт это лицо компании, то выбрал методику сравнения компаний на основе информации размещенной на публичном web портале.
Перечень компаний имеющих лицензию ФСТЭК России:
· ООО "Евромост-Защита", г. Краснодар, адрес web сайта http://evromost.ru/zashita/page.php?id=7.
· ЗАО "Орбита", г. Краснодар, адрес web сайта http://www.orbitacom.ru/
· Краснодарский филиал ФГУП "ЦентрИнформ", г. Краснодар, адрес web сайта http://www.atlas-west.aaanet.ru/
· ООО "РосИнтеграция", г. Краснодар, адрес web сайта http://www.rosint.net
В перечне так-же значатсяся но не попали в дальнейший анализ:
· ФГУП "Научно-технический центр "Атлас" (Краснодарский филиал). Но по по информации с сайта ФГУП "Научно-технический центр "Атлас" http://web.stcnet.ru/subsidiaries/ , филиал в Краснодаре отсутствует. Срок лицензии закончился.
· ООО Научно-технический центр "Сонар-Плюс", г. Краснодар, адрес web сайта http://www.sonarplus.ru/. По информации с сайта основной дейтельностью компании является разработка ПО. Среди разрабатываемого по отсутствуют средства защиты информации.
· Василиади Станислав Иванович, г Новороссийск. Отсутствует web сайт.

Сравнение лицензиатов ФСТЭК России в Краснодарском крае в сфере информационной безопасности:
Характеристики
ООО "Евромост-Защита"
ЗАО "Орбита"
Краснодарский филиал ФГУП "ЦентрИнформ"
ООО "РосИнтеграция"
Свидетельство активности компании
Дата последней новости о компании на сайте.
Web сайт скорее мертв чем жив. Последняя новость от 08-04-2010.
Новости активно обновляются.
Последння новость от 12.11.2010.
Есть анонсы о будующих мероприятиях - на 19.11.2010
Последння новость от 17.10.2010.
Последння новость от 12.10.10
Информация об активном участии в мероприятия по ИБ в 2010 году
Информацияо мероприятиях в 2010 году отсутствует
Большое количество мероприятий. Последяя информаци на 19.11.2010 – Совместное проведение семинара «Решения Cisco в области информационной и физической безопасности, беспроводных сетей и информационно-телекоммуникационных систем»
Информацияо мероприятиях в 2010 году отсутствует
Проведен ряд мероприятий. Последняя новость от 12.10.2010 -
Участие в совещании ГУ ЦБ по теме внедрения комплекса БР ИББС Банка России
Наличие свидетельств легальной деятельности в сфере ИБ (лицензий, сертификатов и т.п.)
Копия лицензии по ТЗКИ отсутствует на web сайте. По информации с сайта ФСТЭК лицензия выдана на срок до 28.11.2010
Есть раздел посвяещенный лицензиям. Все выложенные копии лицензий - актуальны
Копия лицензии по ТЗКИ отсутствует на web сайте.
Есть раздел посвяещенный лицензиям. Все выложенные копии лицензий - актуальны
Информация о членстве в профессиональных ассоцияциях по ИБ
Отсутствует информация об участии в ассоциациях

Сообщество ABISS, Ассоциация защиты информации

Отсутствует информация об участии в ассоциациях
Отсутствует информация об участии в ассоциациях
Деятельность в сфере ИБ
Комплекс узлуг по защите персональных данных
Да
Да
Нет
Да
Аудит ИБ
Да
Да
Нет
Нет
НИОКР (научно-исследовательские и опытно-конструкторские работы
Нет
Да
Нет
Нет
Проектирование систем защиты информации
Да
Да
Нет
Да
Проведение монтажных и пусконаладочных работ СЗИ
Да
Да
Нет
Да
Техническая поддержка и сервисное обслуживание СЗИ
Нет
Да
Нет
Нет
Аутсорсинг
Да
Да
Нет
Да
Услуги удостоверяющего центра
Нет
Да
Да
Да
Аттестация
Да
Да
Нет
Да
Помощь в получении лицензий ФСТЭК
Да
Да
Нет
Нет
Продажа СЗИ
Да
Да
Да
Да
Типовые решения и проекты ИБ
Предлагаемые компанией типовые решения
Защита от утечек по техническим каналам;
Построение DLP-систем;
Построение защищенных сетей (VPN);
Антивирусная защита;
Криптографическая защита информации;
Защита от несанкционированного доступа
Управление доступом пользователей;
Антивирусная защита;
Межсетевое экранирование;
Системы обнаружения вторжений;
Построение виртуальных частных сетей;
Обеспечение юридически значимого документооборота;
Защита мобильных мест;
Контроль использования сервисов обмена информацией;
Централизованное управление системой защиты информации
Отправка отчености
Защита Пдн;
Защита от НСД;
Защищенные мультисервисные сети;
Решения «Кода Безопаности»
Информация о выполенных проектах в сфере ИБ и отзывы заказчиков
Информация о выполенных проектах в сфере ИБ и отзывах заказчиков отсутствует
Выделенный раздел по выполненным проектам по ИБ отсутствует.
Есть информация о комплексных проектах включающих в себя различне сферы деятельности.
Отсутствуют сроки начала и завершения проектов.
Информация о выполенных проектах в сфере ИБ и отзывах заказчиков отсутствует
Информация о выполенных проектах в сфере ИБ и отзывах заказчиков отсутствует

Собственно можно сделать вывод, что ИБ компании недостаточно внимания уделяют своим публичным web сайтам.
Наполнение лучше всего представлена у компании ЗАО "Орбита". Но и на её сайте отсутствует информация о ключевых реализованных проектах. А ведь эта информация может иметь решающее значение для потенциальных заказчиков.


среда, 10 ноября 2010 г.

СЗПДн. Анализ. Документация по ПДн нижнего уровня

В сети есть достаточно большое количество аналитики с примерами по комплекту документов которые необходимо вести в связи с обработкой ПДн.
Прямо какое-то соревнование идет - кто больше документов придумает.

В то же время не видел, чтобы кто-то обосновывал необходимость по каждому документу, а так-же необходимость ведения этих документов в бумажном виде.

Проведя анализ нормативных и методических документов связных с обработкой и защитой ПДн, не нашел требований по ведению документов нижнего уровня (актов, журналов, реестров, списков, описаний, заявок на доступ) именно в бумажном виде. Исключение - журнал учета СКЗИ (его форма определена в явном виде).

Соответственно почему бы не вести документы нижнего уровня в электронном виде, ведь это может существенно снизить трудо-зартраты связанные с требованиями по ПДн?