среда, 11 мая 2011 г.

10 рекомендаций для надежных паролей

Прочитав «10 Steps to a more security password» JOHN MARK IVEY в Global Knowelege решил отметиться в теме.
В целом пароль играет чрезвычайно важный элемент в современных информационных системах. Если посмотреть на информационную систему как на виртуальный мир, моделирующий мир физический, который нас окружает, то мы заметим, что в огромном большинстве случаев, только пароль позволяет «убедиться» программному обеспечению, что человек создающий процессы и данные является легитимным пользователем. Фактически пароль защищает ваши персональные данные Вконтакте, почту, аккаунт в World of Warcraft и доступ к вашему счету в банке. Ни какой другой элемент защиты информации не позволит нам, защитникам информации, защитить вашу информацию, если вы используете слабый пароль.

Ниже предлагается 10 простых рекомендаций.

1 – длинна пароля. Каждый символ, который вы добавляете к вашему паролю увеличивает его безопасность примерно в 1000 раз. И так Вш пароль только из 4 символов? Тогда вы очень ленивы. Надеюсь вы не удивитесь если незнакомец будет читать вашу электронную почту. Сегодня очень популярны 8-ми символьные пароль, но если вы хотите по настоящему усложнить жизнь хакеру используйте 12-14 символьные пароли.

2 – Не используйте имена. Если я когда-нибудь буду пытаться угадать ваш пароль, мои первые попытки будут ваше имя, имя вшей жены, имя ваших детей, имя вашего домашнего питомца, если я буду знать вас достаточно хорошо или буду иметь доступ к публичной части вашего аккаунта на Facebook или Вконтакте.

3- используйте заглавные буквы. Используя, по меньшей мере, оду заглавную букву, вы увеличиваете безопасность вашего пароля. Если вы сделаете заглавной еще одну букву кроме, первой, как в большинстве случаев, то ваш пароль будет еще безопаснее.

4 – Используйте специальные символы. Вы будете удивлены насколько усложняется жизнь хакера при использовании специальных символов. Используйте пароли на подобии “linux+Penguin,” “BigB@ngTheory”.

5 – используйте сложные пароли. Это как игра в слова. Простые слова не обеспечивают требуемой защиты. Не используйте «123456», «qwerty», «password», «internet», «security» and «letmein». Так же не стоит использовать русские слова в латинской раскладке например «gfhjkm»( пароль) или «bynthytn» (интернет). Так же довольно популярен пароль p@sswword или passw0rd. Если вы использовали такие пароли, ничего страшного, большенство людей использует эти пароли. Просто убедитесь, что они остались в прошлом.

6 – вы никогда не должны использовать названия мест. Вы родились в прекрасном, городе, неплохо отдохнули прошлым летом в красивом городе под названием Краснодар, но это делает их плохими паролями. Слова длиннее 8-ми символов искушают, но они очень опасны при использовании в качестве паролей. Эта информация легко добывается из социальных сетей.

7 – Подходите к делу творчески. Создавайте пароли из слов логически не связанных между собой, но имеющие логическую связь для вас. Например можно использовать имя любимого композитора и футбольной команды.

8- Числа стали такими безопасными как раньше. Было время, когда дата вашего рождения возможно и делала пароль более безопасным, но и то не всегда. Сейчас эту информацию можно собрать в Internet. Тем не менее использование цифр в вашем пароле вместе с заглавными буквами будет хорошей традицией.

9 – Создавайте запоминающиеся пароли. Довольно часто пользователи боятся забыть свои пароли и поэтому выбирают их очень простыми, запоминающимися. Хотя есть отдел в задачи которого входит, в том числе сброс забытых паролей. Это делается довольно просто. Тем не менее используйте пароли имеющие значения для вас и ассоциирующиеся с пустым полем для ввода пароля на экране.

10 – акронимы могут помочь. Как вы думаете насколько безопасен пароль «zydgl8c» это просто фраза - «я не могу придумать пароль длиннее 8 символов». Хорошой практикой будет создание запоминающихся бессмысленных фраз тип «синий барон ждет гравий». Так же можно брать пары или тройки начальных символов.

Адрес исходной статьи.

четверг, 5 мая 2011 г.

Новый закон о лицензировании

Дмитрий Медведев подписал Федеральный закон "О лицензировании отдельных видов деятельности".
Здесь я рассматриваю законопроект принятый Государственной Думой 22 апреля 2011 года. Не думаю, что потом внесены изменения.
Первое что посмотрел, любимая мозоль по защите персональных данных:

Статья 12
"1. разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)".

Я так понимаю, что вопрос о лицензировании поликлиники в ФСБ на эксплуатацию криптографии для собственных нужд решен – не надо.

Статья 12:
"4) разработка и производство средств защиты конфиденциальной информации;
5) деятельность по технической защите конфиденциальной информации"
.

А вот здесь ситуация стала хуже. Поскольку законодатель в п.1. ввел понятие "собственные нужды", то все мысли и слова о трактовке понятия деятельность уходят в прошлое. Для оператора остается два пути: получать лицензию самому или отдавать на outsourcing. По комментариям товарищей из Новосибирского ФСТЭК рекомендуется второй путь. Если есть лазейки, было бы неплохо обнародовать.

Из интересного про электронный документооборот и понятии электронной лицензии:

Ст. 3 Основные понятия, используемые в настоящем Федеральном законе:
2) лицензия - специальное разрешение на право осуществления юридическим лицом или индивидуальным предпринимателем конкретного вида деятельности (выполнения работ, оказания услуг, составляющих лицензируемый вид деятельности), которое подтверждается документом, выданным лицензирующим органом на бумажном носителе или в форме электронного документа, подписанного электронной подписью, в случае, если в заявлении о предоставлении лицензии указывалось на необходимость выдачи такого документа в форме электронного документа;

Ст.13 Порядок представления соискателем лицензии заявления и документов, необходимых для получения лицензии, и их приема лицензирующим органом:
6. Заявление о предоставлении лицензии и прилагаемые к нему документы соискатель лицензии вправе направить в лицензирующий орган в форме электронного документа, подписанного электронной подписью.
11. В случае, если в заявлении о предоставлении лицензии указывается на необходимость предоставления лицензии в форме электронного документа, лицензирующий орган направляет соискателю лицензии в форме электронного документа, подписанного электронной подписью, копию описи с отметкой о дате приема указанного заявления и прилагаемых к нему документов или уведомление о необходимости устранения выявленных нарушений и (или) представления документов, которые отсутствуют.


Данные пункты вступают в силу с 1 июля 2011 г., сам закон вступает в силу через 180 дней с момента его опубликования. Ждем выхода РГ.

Ветер перемен и ПД...

Есть такое пожелание злейшему врагу у китайцев: «Чтоб ты жил в век перемен!»
Похоже, таки ветер перемен начал дуть в сторону защиты ПД. 29 апреля состоялась встреча президента с представителями интернет-сообщества. Вообще читать надо полностью и внимательно.
Сейчас я перевру со своей колокольни. Кратенько так.
Все началось с обсуждения авторского права и эпоху электронных коммуникаций, и читать было интересно, до момента пока Якушев не сказал:
"Меня просили коротко рассказать про проблему персональных данных, здесь есть прямой мостик к тому, о чём уже говорили до сих пор [прим: авторское право]. Идут дискуссии о том, кто должен отвечать за незаконный контент… Это всё упирается в то, что в принципе трудно найти виновного, кто реально чем занимается".
А я-то думал, что 152-ФЗ защищает права гражданина, но ни как не авторские права.
Еще пара фраз Якушева:
"Мелкие же операторы персональных данных, которых десятки тысяч, сотни тысяч, просто закладывают в бюджеты взятки тем, кто будет приходить их проверять, что, конечно, некорректно".
Об анонимности в сети: "…абсолютная анонимность – это всегда криминал. То есть нужно опять-таки эти совершенно нормальные офлайновые правила перенести на интернет".
Конец анонимайзерам?

А вот слова Президента: "Насчёт законодательства о защите. В принципе, мне кажется, надо посмотреть вообще на тот опыт, который у нас сейчас есть. Может быть, нам вообще от чего-то отказаться. Мы принимали этот закон. Я не знаю, Вы сами сказали, что он технологический, он ведомственный. Может быть, есть смысл что-то пересмотреть, потому что на меня он всегда производил малоубедительное впечатление. Не знаю, как на Вас как на профессионала. Я сейчас этим не занимаюсь, поэтому в комментариях буду более или менее осторожен. Это набор понятий, весьма далёких от реальной среды. Может быть, проще его поменять или вообще, так сказать, какой-то новый подготовить?"

На фоне затишья по законопроекту Резника и приближающихся сроков вступления в силу требований 152-ФЗ к информационным системам слова Президента выглядят, скажем так, настораживающими.
К сожалению, у нас есть пример зарегулированного закона у нас есть – 94-ФЗ о госзакупках. В первой его редакции объем закона составлял 46 листов, в последней редакции 115. За последние 24 месяца был выпущен 21 федеральный закон, вносящий изменения. Сейчас можно смело утверждать, что как закупать товары государству РФ на планете Земля не знает никто.
Как бы подобная судьба не ждала и защиту персданных.

вторник, 3 мая 2011 г.

О понятии "персональные данные".

Довольно часто возникает вопрос: являются ФИО персональными данными? 152-ФЗ признает, безусловно, что ФИО это персональные данные (ст.3. п.1).
Но так же существует масса примеров, с одной стороны, что по ФИО идентифицировать человека не возможно, с другой стороны взять не сильно распространенное сочетание ФИО, то идентификация возможна 100%.
В действительности здесь есть некоторое непонимание трактовок. Персональные данные не перестают быть ими, если нет возможности идентифицировать конкретного субъекта, которому они принадлежат. В законе на этот случай предусмотрена специальная процедура - обезличивание (Ст.3 п.8).
И с практической точки зрения спрашивающего волнует, являются ли ФИО обезличенными ПД. Меня восхищает сама постановка вопроса: является атрибут именования субъекта обезличенным! Но если оставить в стороне саму несколько тавтологическую трактовку вопроса и обратиться к практике мы получим довольно интересный результат.
В качестве примера возьмем все тот же многострадальный СКУД [1],[2]. Предположим, что фотографию и должность из системы убрали, оставили только ФИО мы получим сферического коня в вакууме ту самую систему, в которой обрабатывается исключительно только ФИО. Теперь можно задавать вопрос об обезличенности этих данных. Но сначала надо определиться зачем на в системе ФИО? Для идентификации проходящего мимо нас работника? Тогда ФИО четко идентифицирует человека, просто по смыслу работы системы. Вы продолжаете утверждать , что ФИО не идентифицирует человека? Хорошо! Давайте уберем из СКУД ФИО! Не готовы, поскольку смысл системы при этом теряется? Тогда приходим к утверждению, что в данном, конкретном случае, исходя из логики работы системы, ФИО вполне себе идентифицируют проходящего мимо человека.