Век живи – век учись

В ноябре, в далекой заокеанской многомиллионной стране, произошли события, которые активно обсуждались в англоязычной блогсфере посвященной ИБ. К моему глубочайшему удивлению русскоязычные эксперты уделили данному событию очень мало внимания.

Да, я понимаю, может и не актуально описывать историю, когда «директор ЦРУ  подает в отставку из-за любовной интрижки». Во-первых, у нас нет ЦРУ, во-вторых, да разве интрижка у нас это повод, а может это и не интрижка, а  задание такое…

Мне же, некоторая информация получившая огласку и приведшая к отставке директора ЦРУ Дэвида Петреуса (David Petraeus) показалась очень и очень интересной, потому как иллюстрирует ошибки часто встречаемые на практике…

Интересные вопросы на тему ИБ

Не люблю я всякие конкурсы, но вот «НОВОГОДНИЙ КОНКУРС ОТ «DLP-ЭКСПЕРТ» показался интересным. Ребята реально постарались с вопросами. Второй немного слабоват, но что делать  – «исторический факт»…
Интересно, какие ответы будут на первый и второй.
Тем кому интересны мои варианты должен нажать на «дальше» ;-)

С праздничком (ли)?!

Сегодня, включив компьютер и подключившись к чему надо, первое, что увидел, была фраза: «А вас с праздничком коллеги!»

Управление Риском: почему не работает? Проблема периметра - Часть ІІ

Когда я писал пост Управление Риском: почему не работает? Проблема периметра
я еще не знал, что буду удостоен чести выступить с докладом на UISGCON8.

Теперь, когда Конференция состоялась и обработаны все презентационные материалы (огромное спасибо коллегам за их прекрасную работу), я хочу продолжить начатую тему анализа типовых ошибок, допускаемых в ходе процесса управления рисками, и возможных путей их предотвращения и предложить ознакомится с материалами моего доклада на 8-ой Конференции по Информационной Безопасности UISGCON8:

UISGCON8: Программа Конференции

Программный комитет 8-ой Конференции по Информационной Безопасности UISGCON8 закончил свою работу и обьявил победителей удостоенных чести предложить аудитории свой взгляд на вопросы, вызовы, проблемы стоящие перед отраслью!

Список докладов опубликован на сайте конференции: http://www.8.uisgcon.org/program/

До встречи в Киеве! 

Управление Риском: почему не работает? Проблема периметра

Есть очень много причин, почему все наши потуги в управлении риском не работают.

Одну из таких причин я назвал проблемой периметра.

Законы vs Мошенников

Замечательный пост опубликовал Михаил Емельянников. Очень рекомендую к прочтению и распространению среди знакомых.

UISGCON8: За 45 дней до начала

Продолжается подготовка международной конференции UISGCON8, посвященной практическим вопросам Информационной Безопасности.

RA: Единицы Измерения

Энтузиастам ISRA посвящается

Почему-то чаще всего сталкиваюсь с людьми, которые убеждены, что правильным ответом на вопрос: «В каких единицах измеряется Риск?» - является ответ  «в деньгах» (ведь для Бизнеса считаем).
Всегда ли данное утверждение справедливо?

О сильных паролях замолвите слово: Пример от LinkedIN

Наверное самая яркая новость недели – это информация о похищении базы данных паролей достаточно популярной социальной сети LinkedIN.
Новость, конечно, неприятная, я сам участник нескольких групп, но мне было любопытно как в рамках «свободного интернет сообщества» идет реагирование на инцидент.
Хочется сразу ограничить контекст и темы «наплевательское отношение» и «как же так» оставить для анализа другим.

RA: Риски при управлении Рисками

Сей краткий пост, адресован, тем кто, так или иначе  интересуется вопросами управления рисками и для кого fair – это в первую очередь Factor analysis of information risk.

DLP: Применять? Не применять? Как применять?

Если рассматривать построение технической системы защиты ПД, то одно из возможных решений, направленное на предотвращение несанкционированной передачи ПД третьим лицам, есть использование сиcтем DLP (Data Leak Prevention), т е сиcтем созданных для предотвращения утечек конфиденциальных данных.

OCEG GRC Maturity Survey

Вчера, 17 мая, OCEG (неприбыльная организация, развивающая современные методы эффективного управления предприятием через концепцию GRC) начала сбор данных в рамках исследования 2012 GRC Maturity Survey текущего состояния использования  GRC в управлении предприятиями.

Верить или не верить? Вот в чем вопрос

Пару дней назад, просматривая блоги экспертов в области информационной безопасности, натолкнулся на http://personal-data.livejournal.com/319360.html . Что привлекло? Ну конечно заглавие. Ведь о Украине речь.

В пятницу после работы: Хотите стать Гуру Инфосек-а?

Следуйте опыту тех, кто им уже стал http://www.tripwire.com/state-of-security/it-security-data-protection/25-information-security-blunders/

Размышления к Размышлениям

Читал много разных постов разных авторов о использовании «планшетов» в корпоративной среде особенно в контексте проблем ИБ, но сегодня после прочтения поста-размышления Владимира  Безмалого (http://bezmaly.wordpress.com/2012/02/21/tablet-2/) о роли и месте «планшетов» в нашей жизни, пришла в голову шальная мысль:

«Использование «планшетов» – это не ослабление системы безопасности, а метод ее укрепления»

О сильных паролях замолвите слово: Введение

Данный пост не предполагает обсуждение техник придумывания и запоминания безопасных паролей, а направлен обозначить основные моменты которые должны помочь понять, чем определяется «безопасность пароля» и почему в одном случае достаточно 4 цифры, а в ином и 20 мало …

---

Аутентификационной триаде:  «что я знаю», «что я имею» и «кто я есть» уже не одна тысяча лет и за это время ни один из этих принципов не вырвался вперед, более того эффект получается сильнее если их использовать вместе.
Но мне сегодня хочется поговорить именно о принципе «что я знаю», оставив в покое многофакторную аутентификацию.

В пятницу после работы: Безопасные пароли

Несколько месяцев назад коллега на страницах своего блога опубликовал замечательный пост, который начинался фразой: «Спор о том, какие пароли следует называть безопасными, старше самой дисциплины информационной безопасности.»

А действительно, какой пароль необходимо считать безопасным?
Какой самый короткий, но надежный пароль, Вы можете привести в качестве примера?

В пятницу после работы: "Знеособлена" история

Ввиду того, что самые жаркие дискуссии, на этой неделе*, у нас происходили вокруг Закона о защите ПД решил задать вопрос который меня гложет с первого дня прочтения и дискуссию вокруг которого я не разу не встретил за ПОЛТОРА года. Речь пойдет о пункте 9 статьи 6:
«Використання персональних даних в історичних, … цілях може здійснюватися лише в знеособленому вигляді»

Это как? Упоминая создателя нашей группы в ЛинкидИН-е, мы должны обезличить его ПД и добиться эффекта, когда никто не поймет, кто это был? Потому как  «знеособлення персональних даних - вилучення відомостей, які дають змогу ідентифікувати особу»…

Кто-то может пояснить, что имел ввиду Законодатель?

---

* - в первую очередь имеется ввиду дискуссии в группе UISG на LinkedIN-е

От виртуальности к реальности: Новый игрок на украинском пространстве информационной безопасности

На рубеже 2011 и 2012 годов в жизни украинских профессионалов в области информационной безопасности, образовавших на страницах Linkedin-а сообщество Ukrainian Information Security Group (UISG), произошло два очень важных, я бы сказал эпохальных события: нас стало более тысячи человек и мы смогли материализовать виртуальное сообщество в реальную Общественную организацию «Украинская группа информационной безопасности».

RA: В поисках "формулы": часть I-я

Ее строгость, наглядность, простота 

настолько очевидна, что не просто радует глаз, 

но и затуманивает разум

Что может быть прекрасней формулы расчета ИТ рисков

R = T x V x A, или более подробно Risk = Threat * Vulnerability * Asset Value

Очень красиво и наглядно. Не правда ли? Дело осталось за малым: понять, как ее использовать на практике.

В пятницу после работы: Цели и общедоступные источники

Красной нитью Закона Украины о Защите Персональных Данных есть требование, что обработка ПД должна осуществляется в рамках законных целей, но самое главное - цель обработки должна быть согласованна с Субьектом ПД (п 1 ст 6 и пп 1 п 2 ст 8).

С моей точки зрения здесь появляется нюанс: цель с которой Субьект разместил данные в общедоступных источниках и цель, с которой эти данные были собраны и подвергнуты обработке, могут быть разными.

Вопрос: Можете ли вы навести примеры таких ситуаций? Как необходимо оценивать сложившеюся ситуацию? Или проблема надумана?

Причина вопроса: сбор данных происходит без уведомления Субьекта ПД (п 3 ст 12)

Унификация защиты Персональных Данных: Классификация

Рано или поздно Базы персональных данных нужно будет не только регистрировать, но и защищать, а учитывая «вселенский охват», ой как помогли бы типовые рекомендации...

Несколько месяцев, на сайте Державної служби України з питань захисту персональних даних  был размещен Проект «РЕКОМЕНДАЦІЇ щодо забезпечення захисту персональних даних у базах персональнихданих від незаконної обробки, а також від незаконного доступу до них».