вторник, 30 августа 2011 г.

Восприятие информации...


Когда я был системным администратором, меня забавлял примерно такой диалог:

Пользователь: у меня тут окошко выскочило и я нажал кнопку «Ok». Я правильно сделал?
Я: А что было написано?
Пользователь: Ой, а я не прочитал…

Одним из важных параметров взаимодействия человека и информационной системы (компьютера) является то, на сколько человек понимает сообщение, появляющееся на экране. По сути, этот элемент будет краеугольным для любого общения или информационного обмена.
Мы говорим об осведомленности персонала в вопросах информационной безопасности, но если пользователи игнорируют любые системные сообщения системы или, что еще хуже, читают их «по диагонали» любая осведомленность будет бессмысленна. Для начала необходимо людей приучить читать выскакивающие окна, а не предполагать, что там написано. Как в прочем, слушать, а не предугадывать.

среда, 24 августа 2011 г.

Образование в области информационной безопасности.

Мы много говорим о том, что одним из важных элементов информационной безопасности является осведомленность сотрудников... К сожалению сегодня, в России понятие об информационной безопасности довольно часто пребывает в двух состояниях:
1. Информационная безопасность? Зачем? У меня нет секретов!
2. Информационная безопасность? У меня все сделано, я установил антивирус и firewall… Список можно продолжить.

пятница, 19 августа 2011 г.

Проект о ПП лицензировании деятельности ТЗКИ - первые мысли

Проект постановления о лицензировании деятельности по технической защите конфиденциальной информации:
Вопросы после первого "диагонального" прочтения:
1. Как понимаю в лицензии предполагается указывать виды работ, на которые выдается лицензия. В принципе ожидаемо, особенно в свете дискуссий о стоимости лицензии ТЗКИ.
2. Появился "контроль защищенности конфиденциальной информации от утечки по техническим каналам в средствах и системах информатизации… не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается…"
3. Защита персональных данных, IMHO в том числе для собственных нужд, попадает видимо под пункт 4 подпункты:
д) проектирование объектов в защищенном исполнении: средств и систем информатизации; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для ведения конфиденциальных переговоров;
е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
При этом требования по оборудованию пункт 5 подпункт в: наличие на праве собственности или ином законном основании испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку… для пункта е.
И спрашивается что поменялось?
UPD: в пп е нет эксплуатации...

понедельник, 15 августа 2011 г.

Категории персональных данных… в последний раз.


В очередной раз, столкнувшись с результатом жизнедеятельности одной из контор под громким названием "консалтинговая компания"  не могу молчать: "в зоопарке тигру не докладывают мяса" ну не бывает ИСПДн обрабатывающих историю болезни классом К-4. Ну, ни как, ни бывает, даже если очень хочется, даже если начальник сказал.

вторник, 9 августа 2011 г.

Грибники нашли в лесу ворох недоставленных писем (видео) — НГС.НОВОСТИ

На минувшей неделе, во вторник, 2 августа, в лесу в районе Новосибирского завода искусственного волокна в городе Искитиме (Новосибирская область) была обнаружена недоставленная корреспонденция — в основном простые письма... Далее

Я даже сбился сколько всего нарушено почтой и журналистами (см. видео). А Вы говорите yandex, google... Или здесь то же про robot.txt забыли?


воскресенье, 7 августа 2011 г.

Сбор персональных данных в Internet


Одним из этапов создания системы защиты информации, у хорошего интегратора, будет анализ обрабатываемых данных и предложения по сокращению их объема в системе и приведение перечня обрабатываемых ПД в соответствие с целями обработки. Делается это для: оптимизации расходов на систему защиты (хотя срабатывает редко), оптимизации самой ИС, минимизации ущерба в случае реализации угроз и т.п. В любом случае шаг полезный.

суббота, 6 августа 2011 г.

Согласие субъекта и клубные/дисконтные карты

Сегодня в магазине предложили участвовать в дисконтной программе. Условием участия в программе было заполнение анкеты, которую можно посмотреть здесь.

В итоге я получил пример того, как исполнение требований 152-ФЗ привело к ситуации, когда оператор начинает собирать данные, которые для меня являются уже чувствительными: серия и № паспорта, кем и когда выдан, да еще и настоятельно намекают на прописку для обработки информации чуть секретнее, чем моя визитка. Теперь подробнее.

пятница, 5 августа 2011 г.

среда, 3 августа 2011 г.

Понятие идентификации и взаимосвязь с ущербом...

Одним из важных элементов законодательства РФ в области персональных данных является вопрос идентификации личности. В тексте 152-ФЗ попадаются следующие словосочетания: " определенному или определяемому физическому лицу", "установить его личность", "удостоверяющего его личность", "установления личности". Кроме того, есть еще понятия идентификации, аутоинтефикации и т.д. В связи с утечкой sms с Мегафона засветилось мнение, что № телефона не идентифицирует личность.
Для определенности зададимся вопросом: Идентифицирует ли субъекта номер телефона?

Как у практика, у меня сложилось простое определение идентификации личности: если с этим набором персональных данных удастся, при случае, открыть уголовное дело с конкретным подозреваемым, то таки набор идентифицирует субъекта.
Попробуем, все таки, разобраться с установлением личности. В IT понятие идентификации определено как "присвоение субъектам и объектам идентификатора и / или сравнение идентификатора с перечнем присвоенных идентификаторов".
Есть еще процесс аутентификации - "проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности".
И здесь пока еще понятно. Однако мы, IT-шники, здесь вторгаемся в зону юристов, а по сравнению с законодательным полем федеральная мультисервисная ИС с тысячами хостов пример простого и предельно понятного объекта.

вторник, 2 августа 2011 г.

Цены на DDOS

В среднем, цена за «вышибание» сайта в офлайн приблизительно 5-10$ за час, 40-50$ за день, 350-400$ за неделю и свыше 1 200$ за месяц. «Невольными призывниками этой кибер-войны становятся ПК, взломанные предоставителями «услуги», которые находятся под контролем вредоносного программного обеспечения», объясняет эксперт по безопасности Браяна Кребса (Brian Krebs).
Взято из "Хакеры предлагают платные услуги по организации DDoS-атак".

Шесть советов тем, кто получил повестку на допрос в налоговую

Наткнулся на хороший материал по взаимоотношениям с налоговой инспекцией. Поскольку очень хочется сохранить копирую себе в блог.
Автор: Кира Гин-Барисявичене – управляющий партнер группы юридических и аудиторских компаний «Содействие бизнес-проектам».

Взято: с юридического блога.

Вызов на допрос свидетеля — одно из популярных мероприятий налоговых инспекторов. Для любого собственника бизнеса или наемного работника получить звонок от налоговиков или повестку о вызове на допрос — настоящий стресс. Как быть? Можно ли не приходить? Что говорить? Ответов на эти вопросы в Налоговом кодексе не найти — про допрос свидетеля в нем только коротенькая статья с минимумом информации. Вот несколько советов, проверенных на практике.

Автоматизированная обработка

Продолжая тему внимательного чтения новой редакции 152-ФЗ после подписания Президентом
В связи с принятием 261-ФЗ от 27.07.2011 неожиданно для меня получила новую трактовку ситуация с фотографиями в СКУД (системы контроля и управления доступом).

На сегодняшний день наиболее часто попадающийся мне функционал СКУД выглядит следующим образом:
1. В систему вносятся ФИО, фотография субъекта, иногда паспортные данные.
2. Система автоматически отмечает время входа на территорию и время выхода.
3. Данные передаются в бухгалтерию (чаще всего через механизм выгрузок) для учета в табеле рабочего времени и последующего начисления заработной платы.

понедельник, 1 августа 2011 г.

Что такое оценка соответствия? Это сертификация?

Алексей Волков, как мне кажется, провел отличное исследование этого вопроса и возможных направлений развития этого вопроса. Я бы не был столь категоричен эмоциональных оценках о "Кормушкином дворе", но в целом все сказанное верно, с учетом замечаний Вихорева в комментариях.
Рекомендовано к прочтению: Кормушкин двор. Часть 1.