Сообщения

Сообщения за Август, 2011

СЗПДн. Анализ. Новое в 152-ФЗ 2.0

На просторах сети Интернет коллеги активно проводят анализ определенных статей ФЗ-152 2.0.
У меня так-же стояла задача провести постатейный анализ изменений в ФЗ-152, поэтому интересно было выбрать публикации, в которых указывалось конкретные пункты, части и статьи закона, а так-же проводился их анализ. Подобралась следующая таблица, которую я в дальнейшем планирую пополнять: Автор заметки Анализируемые статьи Основная цель заметки Михаил Емельянников http://emeliyannikov.blogspot.com/2011/08/blog-post_03.html ч.3 ст.6 ч.5 ст.6 ч.2 ст.18 ЛООПДППО Михаил Емельянников http://emeliyannikov.blogspot.com/2011/08/blog-post_08.html ст. 5 ст. 6 ст. 9

СЗПДн. Анализ. iPad, iPhone и обработка ПДн

Рассмотрим задачу, когда Компании необходимо обрабатывать (просматривать) на устройствах типа iPadперсональные данные. Пусть это будут не критичный набор персональных данных, но и не обезличенный. Следовательно, необходимо обеспечить безопасность обработки ПДн на iPad.
Особенности такой обработки, которые повлияют на оценку угроз: ·Обработка ПДн ведется чаще всего в виде просмотра через web-браузер. ·Хранение ПДн на устройстве не производится. ·Объем обрабатываемых на устройстве ПДн минимальный. ·Устройство чаще всего находится за пределами контролируемой зоны. ·В виду нетрадиционности и новизны ОС iOS, вероятность заражения вирусами небольшая, но в виду набора популярности iOSвероятность ненулевая – определим как «низкая». Если немного упрощенно, то для данных условий получаем следующую модель угроз: Наименование угрозы Вероятность Потенциальный ущерб от угрозы Актуальность угрозы Требования к мерам защиты, необходимым для нейтрализации актуальной угрозы Организационные

СОИБ. Анализ. Сертификация Интернет-магазинов

Как сообщает ИТАР-ТАСС, на встрече Национальной ассоциации дистанционной торговли на встрече с Роскомнадзором было решено создать экспертный технический совет, которому предстоит: ·выработать и довести до участников рынка Интернет-торговли первоочередные технические меры, позволяющие не допустить утечку персональных данных; ·разработать систему добровольной сертификации безопасности Интернет-магазинов. Собственно подобные идеи приходили мне уже давно, но останавливались в звязи со сложностью создания и регистрации в ФСТЭК системы добровольной сертификации. Деятельность Интернет-магазинов должна соответствовать следующим требованиям в области ИБ: ·требованиям ФЗ-152 «О персональных данных» и его подзаконным актам; ·требованиям международного стандарта PCI DSS. При необходимости определения детальных мер защиты Интернет-магазин может руководствоваться следующими методиками международных специализированных на webорганизаций: ·OWASP Development Guide; ·OWASP Secure Coding Practices; ·OWASP AppSec F…