Сообщения

Сообщения за август, 2014

СЗПДн. Эксплуатация. Интересные проверки по персональным данным

Изображение
Сегодня в своем блоге Артем Агеев привел примеры 5-ти интересных типов проверок по персональным данным. Видно что закончится они могут непредсказуемым последствиями, поэтому такие случаи нужно изучать, делать выводы и готовится к ним. Хочу поделится ещё одним интересным случаем, когда ПДн могут существенно затруднить или нарушить деятельность компании (с фотографиями, поэтому привожу в своем блоге). В свое время, по городу Краснодару было развернуто большое количество комплексов видеофиксации правонарушений в области дорожного движения, а краснодарским автолюбителям быстрой езды очень не хотелось оплачивать ежедневно зарабатываемые штрафы. В результате одним профессиональным пользователем ФЗ о персональных данных на популярном форуме kuban . ru была написана инструкция c формой заявления в Роскомнадзор по поводу нарушения законодательства в области ПДн. Дескать, требования законодательства по защите данных не выполняются, следовательно этим данным доверять нельзя. В резул

Общее. Учеба в УЦ по ИБ

Блогерские войны – занятие, которым можно заниматься бесконечно и получать удовольствие. Поэтому подолью немного масла в огонь бушующий вокруг учебы на курсах по ИБ. В блогосфере некопилось некоторое количество статей с критикой курсов УЦ Информзащита, в том числе Артем Агеев написал статью с очень внятной критикой преподавателя курса ЭБ06: Система противодействия незаконным методам конкурентной разведки: “слушать тихую и монотонную речь компетентного специалиста но бездарного докладчика было тяжело …диалога с аудиторией совсем не было. Практических занятий, обсуждений, видеороликов или ещё чего-нибудь, способного хоть как то разнообразить учебный процесс, тоже не было. Было только монотонное чтение текста с перекурами и перерывами на обед” На это последовал эмоциональный ответ УЦ Информзащита : “Бывает так, что конкретный преподаватель не нравится конкретному слушателю. Вы, наверное, удивитесь, но это  - нормально… преподаватели тоже имеют много что рассказать про слушателей

Общее. О CTF и не только

Изображение
Компании нанимающие на работу свежих выпускников вузов по специальностям связанным с ИБ жалуются на отсутствие у этих выпускников практического опыта, а так-же знаний именно в той области, которая нужна для выполнения служебных обязанностей. В результате новых сотрудников поИБ приходится отправлять на доп. обучение и долгое время доращивать  до нужного состояния. Что-бы хоть как-то исправить эту ситуацию в свое время в ВУЗах были придуманы соревнования по ИБ типа CTF - Capture the Flag . Соревнования обычно проводятся раз в год разными организаторами, но кроме этого есть ещё командные тренировки, индивидуальные практики и изучение технического материала. В результате, студенты получают необходимый опыт, учатся работать в команде, получают обратную реакцию в виде результатов соревнований и наборе ошибок, которые были на этих соревнованиях не-/допущены. На мировой сцене основоположниками CTF соревнований в области ИБ были DefCon CTF и UCSB iCTF . В России первыми CTF, о кото

СОИБ. Анализ. Рекомендации по жизненному циклу приложений, тестированию и каталог уязвимостей

31 июля 2014 г. Банк России опубликовал документ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014)», который вводится в действие с 1 сентября 2014 г. Не часто нас балуют рекомендациями по ИБ подобного типа, поэтому давайте его рассмотрим подробнее. Есть основной стандарт СТО БР ИББС-1.0-2014, в котором есть раздел требований “7.3. Общие требования по обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла” . Логично что рекомендации со сходным названием должны уточнять требования, содержать варианты их выполнения и т.п. Поэтому и наименования 7 стадий жизненного цикла АБС в документах совпадают: “ 1) разработка технического задания (ТЗ); 2) проектирование; 3) создание и тестирование; 4) приемка и ввод в действие; 5) эксплуатация; 6) сопровождение

СОИБ. Проектирование. Сертифицированное производство решений Cisco живо?!

Изображение
Регулярно слежу за новостями, анонсами, вебинарами по новым продуктам ИБ от Cisco Systems , а вот новость про окончание продаж одного из решений Cisco NME - RVPN как-то пропустил и столкнулся с этим очень неожиданно. Компания Cisco Systems всегда заявляли что в российской ИБ они в серьез и надолго. В подтверждение этому приводится наличие в решениях Cisco криптографии, сертифицированной не кем-нибудь, а ФСБ России. Эти самые решения с крипографией, по заявлению Cisco , являются совместной разработкой Cisco и С-терра и включают: модуль NME - RVPN ( MCM ) для маршрутизаторов Cisco и С-терра CSP VPN Gate на платформе Cisco UCS C -200. В различных презентациях, вебинарах, семинарах   эти решения позиционировались так: VPN на базе Cisco UCS C -200 для центральных объектов, NME - RVPN ( MCM ) для удаленных офисов. Для меня модули NME - RPN всегда были на отдельном счету, потому что единственные в линейке С-терра закупались не через Cisco , также и с регистра