пʼятниця, 27 січня 2012 р.

В пятницу после работы: Безопасные пароли


Несколько месяцев назад коллега на страницах своего блога опубликовал замечательный пост, который начинался фразой: «Спор о том, какие пароли следует называть безопасными, старше самой дисциплины информационной безопасности.»

А действительно, какой пароль необходимо считать безопасным?
Какой самый короткий, но надежный пароль, Вы можете привести в качестве примера?

пʼятниця, 20 січня 2012 р.

В пятницу после работы: "Знеособлена" история


Ввиду того, что самые жаркие дискуссии, на этой неделе*, у нас происходили вокруг Закона о защите ПД решил задать вопрос который меня гложет с первого дня прочтения и дискуссию вокруг которого я не разу не встретил за ПОЛТОРА года. Речь пойдет о пункте 9 статьи 6:
«Використання персональних даних в історичних, … цілях може здійснюватися лише в знеособленому вигляді»

Это как? Упоминая создателя нашей группы в ЛинкидИН-е, мы должны обезличить его ПД и добиться эффекта, когда никто не поймет, кто это был? Потому как  «знеособлення персональних даних - вилучення відомостей, які дають змогу ідентифікувати особу»…

Кто-то может пояснить, что имел ввиду Законодатель?


* - в первую очередь имеется ввиду дискуссии в группе UISG на LinkedIN-е

От виртуальности к реальности: Новый игрок на украинском пространстве информационной безопасности


На рубеже 2011 и 2012 годов в жизни украинских профессионалов в области информационной безопасности, образовавших на страницах Linkedin-а сообщество Ukrainian Information Security Group (UISG), произошло два очень важных, я бы сказал эпохальных события: нас стало более тысячи человек и мы смогли материализовать виртуальное сообщество в реальную Общественную организацию «Украинская группа информационной безопасности».

пʼятниця, 13 січня 2012 р.

RA: В поисках "формулы": часть I-я


Ее строгость, наглядность, простота 
настолько очевидна, что не просто радует глаз
но и затуманивает разум


Что может быть прекрасней формулы расчета ИТ рисков

R = T x V x A, или более подробно Risk = Threat * Vulnerability * Asset Value

Очень красиво и наглядно. Не правда ли? Дело осталось за малым: понять, как ее использовать на практике.

В пятницу после работы: Цели и общедоступные источники


Красной нитью Закона Украины о Защите Персональных Данных есть требование, что обработка ПД должна осуществляется в рамках законных целей, но самое главное - цель обработки должна быть согласованна с Субьектом ПД (п 1 ст 6 и пп 1 п 2 ст 8).

С моей точки зрения здесь появляется нюанс: цель с которой Субьект разместил данные в общедоступных источниках и цель, с которой эти данные были собраны и подвергнуты обработке, могут быть разными.

Вопрос: Можете ли вы навести примеры таких ситуаций? Как необходимо оценивать сложившеюся ситуацию? Или проблема надумана?

Причина вопроса: сбор данных происходит без уведомления Субьекта ПД (п 3 ст 12)

середа, 4 січня 2012 р.

Унификация защиты Персональных Данных: Классификация

Рано или поздно Базы персональных данных нужно будет не только регистрировать, но и защищать, а учитывая «вселенский охват», ой как помогли бы типовые рекомендации...

Несколько месяцев, на сайте Державної служби України з питань захисту персональних даних  был размещен Проект «РЕКОМЕНДАЦІЇ щодо забезпечення захисту персональних даних у базах персональнихданих від незаконної обробки, а також від незаконного доступу до них».

пʼятниця, 30 грудня 2011 р.

В пятницу после работы: В поисках формулы



Выражение

Risk = Threat x Vulnerability x Impact

часто называют классической формулой для расчета риска ИБ.

А как Вы относитесь к написанному?
Как Вы считаете, эта формула правильная или нет? Почему?