26.12.2008

Одноклассники, как угроза нарушения конфиденциальности

Когда-то уже была шумиха по поводу того, что с помощью "одноклассников" можно составить карту базирования воинских формирований Советского Союза и РФ, а также время передислокации воинских частей по территории нашей необъятной. И вот новый поворот...

Недавно в "одноклассниках" появился новый (НИКЕМ НЕЗАПРОШЕННЫЙ) сервис - "лента активности". Он показывает, что делают ваши друзья на данном портале - с кем знакомятся, с кем расходятся, в какие группы вступают, какие комментарии оставляют и т.п. Это лакомый кусок для людей, желающих покопаться в чужом нижнем белье и нарыть какую-нибудь конфиденциальную информацию. Например, некто присоединился к группе "Интим общение" или "18+ BEZ COMPLEXOV...". Хотя есть и смешные моменты ;-) Например, один мой товарищ присоединился к группе "Сила в СИСЬКАХ". Я думал это о моем работодателе, ан нет... совсем о другом ;-)

Что характерно, включают вам этот сервис по умолчанию вне зависимости от вашего желания. А вот, чтобы выключить его надо заплатить около 100 рублей. И боюсь, что многие будут платить, желая сохранить инкогнито в своих действиях. Пока не найдется какой-нибудь подкованный в юридических аспектах человек, который захочет доказать свое право на защиту персональных данных.

25.12.2008

Инцидент, как драйвер безопасности

Все-таки, как ни крути, а из 10-ти драйверов, движущих безопасностью, самым простым (при работе с руководством) является произошедший инцидент. В такой ситуации после получения по шапке можно без каких-либо дополнительных усилий реализовывать проекты по ИБ. Обосновывать и доказывать почти ничего не нужно - все понимают, зачем это надо.

В качестве примера можно взять "надежный и удобный" Альфа-банк. За последние 2 года этот банк неоднократно становился мишенью для злоумышленников (другие тоже становились, но не всегда об этом узнавала пресса):
- взлом Интернет-банка Альфа-банка - в течение нескольких месяцев 2007-ого года
- фишинговая атака на клиентов Альфа-банка - весна и осень 2007-го года
- банкомат "подарил" 20 миллиардов рублейтут) - лето 2006-го года
- сотрудник Альфа-банка взломал процессинг - в течение 2007-го года.

Всего "несколько" инцидентов ИБ и ситуация стала изменяться - например, недавно Альфа-банк прошел аудит на соответствие стандарту PCI DSS.

К сожалению, данный драйвер, в отличие от остальных, практически неуправляем ;-(

23.12.2008

Система видеофиксации нарушении, ГИБДД и персональные данные

По этой теме уже прошлись многие и я не стал писать про нее, но меня спросили и я решил отписать свое мнение. Суть дела такова: на форуме BMW появился пост (еще один, с описанием самой системы, есть тут) о том, что один джентльмен направил запрос в прокуратуру о законности использования широко разрекламированной системы видеофиксации нарушении ПДД с точки зрения 152-ФЗ. Ему пришел ответ, что система не создана и не эксплуатируется, а следовательно, штрафы, выписанные в результате "действия" такой системы незаконны.

Ну что можно сказать по сему факту? Наши регуляторы, желая срубить бабла, подставили сами себя и своих коллег "по цеху". Теперь смело (если есть силы и желание) можно почти любой запрос/документ/постановление в отношении вас со стороны властей опротестовать, ссылаясь на его незаконность и несоответствие 152-ФЗ. Т.е. закон, который многим мешает, можно использовать и для защиты своих интересов.

22.12.2008

Антивирусный фэн-шуй

Без комментариев:


Взято отсюда...

12.12.2008

О квалификации ФСТЭК ;-(

Был я давеча на конференции, на которой выступал заместитель начальника управления ФСТЭК по одному из регионов и рассказывал он, как ни странно, про персональные данные. Послушав его доклад (забавно, что свою презентацию после доклада он потребовал удалить с компьютера), я лишний раз убедился, что даже главный регулятор по ИБ в России не знает законодательства, инициированного ими же. Я даже не говорю про ляпы по части четверки документов, но когда представитель ФСТЭК с высокой трибуны заявил, что помимо лицензии на ТЗКИ каждая организация должна получить лицензию на ПРАВО ОБРАБОТКИ персональных данных. Его даже переспросили, не ошибся ли он, на что он утвердительно повторил, что нет и надо ДВЕ лицензии. Попытка выяснить, кто эту лицензию выдает, успеха не принесла ;-)

05.12.2008

Информзащита купила ОКБ САПР

Ну вот и случилось то, о чем так давно ходили слухи - Информзащита купила ОКБ САПР. Не совсем очевидное решение, учитывая что у ОКБ САПР нет продуктов, по которым бы у Информзащиты не было прямых аналогов. Аккорд похож на SecretNet, Шипка похожа на Security Studio и M-506 (разница только в том, что Шипка реализует шифрование на аппаратном уровне). Скорее всего приобретение было сделано из-за клиентской базы и наработок в области аппаратной защиты. Да и продавался ОКБ САПР в условиях непростой экономической ситуации видимо недорого.

04.12.2008

Как составить резюме специалисту по ИБ

Сейчас некоторые специалисты по ИБ ищут работу ;-( Но учитывая, что многие рекрутинговые агентства и сотрудники HR-отделов завалены горами резюме необходимо выделиться на фоне остальных. Да и в условиях сокращения в первую очередь именно ИТ/ИБ-персонала необходимы иные подходы при написании резюме и собеседований.

Что бы я написал в резюме? Не знания и навыки, которые у многих очень сильно похожи - все ходят на одни и те же курсы и имеют одни и те же сертификации (за редким исключением). Но в любом случае то, чем обладаете вы, ничего не говорит о том, что вы можете дать компании и что вы дали своему прошлому работодателю. Именно на это надо делать акцент в резюме. Сокращенные издержки, предотвращенный ущерб, сертификация по ISO 27001 или успешный аудит по PCI DSS, аттестация ФСТЭК, иные значимые проекты.

Парадоксально, но уже после написания этой заметки Amazon прислал очередной update книг по безопасности и одна из них оказалась в тему - "IT Security Interviews Exposed", посвященную тому как писать резюме специалисту по ИБ и как проходить резюме в условиях кризиса.