Увидела свет новая "СТРАТЕГІЯ національної безпеки України".
Обсуждать очевидное не люблю, поэтому хочу выделить два момента.
Показ дописів із міткою законодательство. Показати всі дописи
Показ дописів із міткою законодательство. Показати всі дописи
четвер, 28 травня 2015 р.
четвер, 26 березня 2015 р.
Ласточка реформ в сени к нам летит
Многие, кто серьезно размышлял о ИБ-бизнесе в Украине, знают, что первым вопросом было: лицензирование: "защита информации" всегда попадала под вид деятельности, который в том или другом виде требовал получение лицензий. (см. редакции разных лет ЗУ "Про ліцензування певних видів господарської діяльності").
пʼятницю, 4 липня 2014 р.
Постановление о обеспечении развития информационного общества в Украине
Верховна Рада Украины, 3 июля 2014, приняла Постановление о принятии Рекомендаций парламентских слушаний на тему: "Законодательное обеспечение развития информационного общества в Украине"
середу, 10 квітня 2013 р.
Не всяк Бонус в радость
Увидел свет отчет «Первого экспертного исследования российского рынка ИБ». Название, первые страницы заинтриговали и дали надежду на то, что материал будет интересным. Пробежав глазами Содержание и увидев раздел «Bonus. Рынок информационной
безопасности Украин ы (обзор)».
Решил ознакомится с отчетом «с конца». Вот лучше бы я этого не делал…
безопасности Украин ы (обзор)».
Решил ознакомится с отчетом «с конца». Вот лучше бы я этого не делал…
пʼятницю, 22 березня 2013 р.
Парадокс парадоксов
Интересное эссе о парадоксах, которые могут возникать у рекрутеров в связи с требованиями действующих положений Закона Украины «О защите персональных данных», связанных с обязательным получением согласия Субьекта на обработку его ПД, даже для тех случаев, когда данные собираются из открытых публичных источников, более того, представлены самим Субьектом.
Предлагая такой подход законодатель явно руководствовался самими благими намерениями, для того, что бы максимально защитить личность от вмешательства в его жизнь.
Но давайте посмотрим на данную защиту более внимательно…
Предлагая такой подход законодатель явно руководствовался самими благими намерениями, для того, что бы максимально защитить личность от вмешательства в его жизнь.
Но давайте посмотрим на данную защиту более внимательно…
четвер, 23 серпня 2012 р.
Законы vs Мошенников
Замечательный пост опубликовал Михаил Емельянников. Очень рекомендую к прочтению и распространению среди знакомых.
пʼятницю, 20 січня 2012 р.
В пятницу после работы: "Знеособлена" история
Ввиду того, что самые жаркие дискуссии, на этой неделе*, у нас происходили вокруг Закона о защите ПД решил задать вопрос который меня гложет с первого дня прочтения и дискуссию вокруг которого я не разу не встретил за ПОЛТОРА года. Речь пойдет о пункте 9 статьи 6:
«Використання персональних даних в історичних, … цілях може здійснюватися лише в знеособленому вигляді»
Это как? Упоминая создателя нашей группы в ЛинкидИН-е, мы должны обезличить его ПД и добиться эффекта, когда никто не поймет, кто это был? Потому как «знеособлення персональних даних - вилучення відомостей, які дають змогу ідентифікувати особу»…
Кто-то может пояснить, что имел ввиду Законодатель?
* - в первую очередь имеется ввиду дискуссии в группе UISG на LinkedIN-е
четвер, 3 листопада 2011 р.
RA: Считаем Риски правильно
Соответствие требованиям законодательства, один из самых важных моментов в работе любого Бизнеса.
Законодатель выдвигает требования и определяет ответственность за их нарушение, а Бизнес обрабатывая риски, связанные с этим, принимает для себя взвешенное решение: выполнять требования закона или нести ответственность за его нарушение.
Абсолютно стандартная процедура, применяемая во всем мире и во всех сферах деятельности, а значит применяемая и в Украине в отношениях законодательства затрагивающего вопросы Информационной Безопасности.
Сегодня эксперты в области ИБ при анализе рисков в первую очередь обращают внимание на нарушения законов защищающих права на обьекты интеллектуальной собственности (например, программное обеспечение) и персональные данные граждан.
Поддерживаю такие акценты, но сожалею, что коллеги (до не давнего времени и я) часто делают одну и ту же ошибку: неправильно указывая размер возможного штрафа. Причиной такой ошибки, есть не правильное использование величины Неоподатковуваного мінімуму доходів громадян для расчета ущерба в контексте административного и уголовного законодательства Украины в части квалификации преступлений и правонарушений.
Для правильного расчета ущерба, а следовательно и наказания необходимо принимать во внимание пункт 5 Підрозділу 1 Розділу XX Податкового кодексу України, который гласит:
«Якщо норми інших законів містять посилання на
неоподатковуваний мінімум доходів громадян, то для цілей їх
застосування використовується сума в розмірі 17 гривень, крім норм
адміністративного та кримінального законодавства в частині
кваліфікації злочинів або правопорушень, для яких сума
неоподатковуваного мінімуму встановлюється на рівні податкової
соціальної пільги, визначеної підпунктом 169.1.1 пункту 169.1
статті 169 розділу IV цього Кодексу для відповідного року.»
Таким образом для расчета размера ущерба в 2011 году необходимо использовать 470.50 грн, а для расчетов штрафов 17.00 грн.
Хочу выразить особую благодарность Dmytro Melnychenko за указание на принципиальные ошибки допущенные при подготовке первой версии данного поста.
понеділок, 13 грудня 2010 р.
Методика оценки рисков ИБ от НБУ
На выходных просмотрел проект «Методики оценки рисков информационной безопасности» изданный Национальным Банком Украины.
Хорошо, что у нас не принято указывать автора документа, не то можно было бы смело «ставить крест» на карьере методиста столь замечательного опуса.
При разработке Методики авторы руководствовались стандартом ISO/IEC 27005:2008 "Information technology - Security techniques - Information security risk management". Стандарт представляет собой высокоуровневый документ, который хорош как некое концептуальное ядро, требующее методологического сопровождения, чего, откровенно говоря, не получилось:
крайне плохой (а часто некорректный) перевод текста стандарта, абсолютно неудачное сокращение текста (из более 50 страничного стандарта была создана 17 страничная методичка со шрифтом мене убористым, чем в оригинале) привел к результату, когда есть много сомнений возможности практического использования документа, особенно в организациях, где оценка рисков информационной безопасности будет проводиться впервые.
Первичное прочтение вызвало много эмоций, в массе своей - отрицательных. Но все таки хочется быть конструктивным, так как все таки НБУ предпринимает реальные шаги по изменению украинского infosec-ландшафта.
Что не понравилось и что бы хотелось бы исправить:
1. Убила первая фраза Методики, оказывается, что внедрение в банках Украины стандартов ИБ продиктован требованиями Базельского комитета. Даже если это правда, ни ужели на сегодняшний день нет других причин внедрять стандарты ИБ? Нужна более сильная мотивация.
2. Ввиду того, что обсуждается Методика (а не, например, стандарт) и идет ссылка на нормативные требования Basel II, следовало бы, более подробно остановится на рисках, которые могут возникать в результате нарушений ИБ. Потому как операционные риски, в данном случае могут вызывать - юридические и репутационные риски. А согласно §732 (Базеля): В процессе оценки достаточности капитала должны учитываться все существенные риски, с которыми сталкивается банк.
3. Обязательно должен присутствовать раздел терминологии, который, в свою очередь должен согласовываться с ранее принятыми НБУ стандартами (СОУ Н НБУ 65.1 СУІБ).
4. Проиллюстрировать процессы оценки и обработки рисков графически, сопроводив более подробным описанием.
5. Отдельным пунктом вынести требования по организации необходимого обмена информацией связанной с Рисками ИБ (см ISO/IEC 27005:2008 - §11 Information security risk communication)
6. Количественные оценки требуют формул. Решение, авторов Методики, о замене формулы ее словесным описанием мне кажется крайне неудачным.
7. Может оказаться полезным введением и пояснением терминов Single Loss Expectancy (SLE), Annual Rate of Occurrence (ARO), Annual Loss Expectancy (ALE), Risk On Security Investment (ROSI), и т.п. Потому как, при выборе банком иностранной методики оценки информационных рисков, желательно не допускать разночтений в терминах при аудите.
8. Почему не анализируются риски связанные с нарушениями в части "автентичності" та "спостержності"?
9. Проиллюстрировать примерами качественную и количественную оценку рисков.
10. Еще раз критически посмотреть на неиспользованный материал ИСОшного Стандарта.
11. …
Методика оценки рисков ИБ является одним из сложнейших этапов построения СУИБ и за одну-две итерации разработать качественную методику никому не удавалось, тем более в условиях «поля непаханого», каким сегодня выглядит нива ИБ в Украине.
Так, что : «В добрый час».
На выходных просмотрел проект «Методики оценки рисков информационной безопасности» изданный Национальным Банком Украины.
Хорошо, что у нас не принято указывать автора документа, не то можно было бы смело «ставить крест» на карьере методиста столь замечательного опуса.
При разработке Методики авторы руководствовались стандартом ISO/IEC 27005:2008 "Information technology - Security techniques - Information security risk management". Стандарт представляет собой высокоуровневый документ, который хорош как некое концептуальное ядро, требующее методологического сопровождения, чего, откровенно говоря, не получилось:
крайне плохой (а часто некорректный) перевод текста стандарта, абсолютно неудачное сокращение текста (из более 50 страничного стандарта была создана 17 страничная методичка со шрифтом мене убористым, чем в оригинале) привел к результату, когда есть много сомнений возможности практического использования документа, особенно в организациях, где оценка рисков информационной безопасности будет проводиться впервые.
Первичное прочтение вызвало много эмоций, в массе своей - отрицательных. Но все таки хочется быть конструктивным, так как все таки НБУ предпринимает реальные шаги по изменению украинского infosec-ландшафта.
Что не понравилось и что бы хотелось бы исправить:
1. Убила первая фраза Методики, оказывается, что внедрение в банках Украины стандартов ИБ продиктован требованиями Базельского комитета. Даже если это правда, ни ужели на сегодняшний день нет других причин внедрять стандарты ИБ? Нужна более сильная мотивация.
2. Ввиду того, что обсуждается Методика (а не, например, стандарт) и идет ссылка на нормативные требования Basel II, следовало бы, более подробно остановится на рисках, которые могут возникать в результате нарушений ИБ. Потому как операционные риски, в данном случае могут вызывать - юридические и репутационные риски. А согласно §732 (Базеля): В процессе оценки достаточности капитала должны учитываться все существенные риски, с которыми сталкивается банк.
3. Обязательно должен присутствовать раздел терминологии, который, в свою очередь должен согласовываться с ранее принятыми НБУ стандартами (СОУ Н НБУ 65.1 СУІБ).
4. Проиллюстрировать процессы оценки и обработки рисков графически, сопроводив более подробным описанием.
5. Отдельным пунктом вынести требования по организации необходимого обмена информацией связанной с Рисками ИБ (см ISO/IEC 27005:2008 - §11 Information security risk communication)
6. Количественные оценки требуют формул. Решение, авторов Методики, о замене формулы ее словесным описанием мне кажется крайне неудачным.
7. Может оказаться полезным введением и пояснением терминов Single Loss Expectancy (SLE), Annual Rate of Occurrence (ARO), Annual Loss Expectancy (ALE), Risk On Security Investment (ROSI), и т.п. Потому как, при выборе банком иностранной методики оценки информационных рисков, желательно не допускать разночтений в терминах при аудите.
8. Почему не анализируются риски связанные с нарушениями в части "автентичності" та "спостержності"?
9. Проиллюстрировать примерами качественную и количественную оценку рисков.
10. Еще раз критически посмотреть на неиспользованный материал ИСОшного Стандарта.
11. …
Методика оценки рисков ИБ является одним из сложнейших этапов построения СУИБ и за одну-две итерации разработать качественную методику никому не удавалось, тем более в условиях «поля непаханого», каким сегодня выглядит нива ИБ в Украине.
Так, что : «В добрый час».
Підписатися на:
Дописи (Atom)