Сообщения

Сообщения за март, 2016

Общее. Конференция Код ИБ в Краснодаре 31 марта

Коллеги, помимо того, что я делюсь с вами опытом и полезной информацией в блоге, в последний год по инициативе работодателя также проводил достаточно много закрытых вебинаров и семинаров для заказчиков в Краснодарском крае по различным аспектам защиты ПДн.  Но наверняка мне ещё не удалось охватить всех желающих. Если у вас есть животрепещущие вопросы и желание получить на них ответ – то отличная возможность представляется 31 марта в Краснодаре на конференции Код ИБ . Постараюсь ответить на них на вводной экспертной дискуссии, в секции по безопасным ИТ-инфраструктурам, а также в перерывах и после сессий. Кроме меня будет отличная возможность поймать Андрея Прозорова, популярного блогера и признанного спеца по различным международным стандартам Cobit , 2700 x , эффективному развитию и последнее время по российскому ПО. Илью Шабанова, одного из учредителей anti-malware, известного web ресурса по ИБ, также будет интересно послушать. Он выступает не так часто и в гостях на красно

СЗПДн. Анализ защищенности

Изображение
В связи с тем, что меры контроля / анализа защищённости персональных данных входят в базовые наборы мер защиты начиная с УЗ4 – УЗ3, большинство операторов персональных данных обзавелось сканерами защищенности. Иногда сталкиваюсь со следующими вопросом: а нужно ли вообще запускать этот сканер, и если да, то с какой периодичностью и что именно проверять. Давайте попробуем разобраться : ·          сканеры используется для реализации группы мер по контролю (анализу) защищенности персональных данных (АНЗ) обязательных в соответствии с приказом ФСТЭК России №21 от 18 февраля 2013 г. ·          посмотрим, имеется ли в нормативно-правовых актах РФ какие-то обязательные требования к порядку или периодичности проведения сканирования защищенности: Приказ ФСТЭК России №21 “8.8. Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по ан

Общее. Не все поглощения полезны или инфо с вебинара по Secret Net Studio

Изображение
Не так давно, а именно в конце ноября 2015г. я писал об информации с пресс-релиза Кода Безопасности, на которой был представлено в том числе решение Secret Net Studio . В декабре 2015 вышла новость о том, что Яндекс приобретает компанию Agnitum . А в середине января 2016 Agnitum вывесил на официальном сайте информацию о том, что прекращает поставку решений своим заказчикам и партнерам. А ведь продукт А gnitum составлял ядро Security Studio Endpoint Protection (модули антивирусной защиты, обнаружения вторжений и межсетевого экранирования) и занимал значимое место в Secret Net Studio (один из двух модулей антивирусной защиты и модуль обнаружения вторжений). Несколько дней назад состоялся вебинар КБ по Secret Net Studio (SNS) , на котором в том числе упоминалась озвученная проблема. Из двух модулей антивирусной защиты остался один вариант - ядро Nod 32 от ESET . Причем модуль антивирусной защиты с Nod 32 не планируется сертифицировать в ФСБ, а также по высоким кл

СЗПДн. Анализ. Защита публичных информационных систем

Сегодня хотелось бы поговорить о защите публичных информационных систем. Есть большая проблема в том, что органы государственной власти, уполномоченные в области защиты информации, персональных данных, прав субъектов (ФСТЭК России, ФСБ России, Роскомнадзор) сами не выполняют те требования, которые заставляют выполнять обычные организации. А также попустительствуют нарушениям крупных корпораций. Давайте зайдем на сайт Минкомсвязи, ФСТЭК России, ФСБ России, ФНС России, РЖД, Госуслуги – на всех собираются и передаются персональные данные, при этом нет никакой информации о применяемых сертифицированных средствах защиты информации, данные передаются без какой-либо защиты. Получается, что там, где обычные организации тратят огромное количество средств и ресурсов –разрабатываю и внедряют документы, покупают сертифицированные СЗИ, избранные органы и корпорации могут ничего не делать?  Так давайте мы все не будем выполнять эти требования … … Так могли бы построить свою статью не