Европейцы пытаются при помощи технологий оградить детей от доступа к нежелательному контенту в сети.

Европейская комиссия рассматривает создание системы проверки возраста пользователя, которая ограничит доступ к некоторым online ресурсам для детей.

Система является частью серии Брюссельских предложений, призванных обезопасить Интернет для детей. В предложении сказано, что д ... Читать дальше »

Новая хакерская группировка, называющая себя "Неизвестные" – The Unknowns, громко заявила о себе, взломав сайты NASA, Европейского космического агентства и ВВС США. Название команды киберпреступников несколько напоминает знаменитых "Анонимов" – международную хакерскую сеть Anonymous.

The Unknowns начали с того, что выложили в открытый доступ имена и пароли сотрудников исследовательского центра NASA и ряда военных организаций США, Франции, Иордании и Бахрейна. Там же были размещены и скриншоты некоторых взломанных сайтов, п ... Читать дальше »

Проекты по защите персональной информации, в Европе и США делают с целью снижения операционных и правовых рисков. В России такие проекты выполняют с целью снижения рисков общения с «государством». Отсюда идут особенности российских проектов. Если бизнес реализует проект, стремясь снизить операционные риски, то критерий успешности проекта – реальное снижение операционных рисков. Если бизнес стремится снизить риски связанные с «государством», то где критерий успешности проекта? Очевидно успешное прохождение проверки регулятора. А что если регулятор не придет или придет не скоро, то как оценить качество выполнения работ? На сегодняшний день успешность проекта реально никто не оценивает. В лучшем случае какую-то оценку проведет руководитель проекта со стороны заказчика. Если он подтверждает, что проект успешен, то на этом и «порешили». Супер, но РП может сказать, что проект ему нравится, а регуляторы скажут, что это ерунда. Что тогда? Другими с ... Читать дальше »

В 2002-м году в Европе приняли Директиву 2002/58/EC относительно обработки ПДн и их защиты в секторе электронных коммуникаций (то чем у нас РАЭК занимается). 4-я статья этой директивы, которая так и называется "Безопасность", буквально гласит следующее:

"1. Провайдер публично доступных сервисов электронных коммуникаций обязан предпринимать соответствующие технические и организационные меры по обеспечению безопасности своих услуг; при необходимости привлекая оператора связи сети общего пользования в части обеспечения сетевой безопасности. Принимая во внимание актуальность и стоимость защитных мер, они должны обеспечить уровень безопасности, соответствующий выявленным рискам.


2. В особых случаях проявления риска нарушения безопасности сети, провайдер публично доступных сервисов электронных коммуникаций обязанпроинформировать своих абонентов о дан ... Читать дальше »

3-го февраля Правительство подписало Постановление №79 "О лицензировании деятельности по технической защите конфиденциальной информации", попутно отменив предыдущее 504-е свое Постановление.

Если честно, то мне не совсем понятно упорство ФСТЭК, которая продолжает цепляться за термин "конфиденциальная информация", от которого законодатели постепенно отказываются. Ну нет такого понятия в законодательстве. Как лицензировать деятельность, которой нет? Не понимаю. Даже фрагмент попытка дать разъяснение в п.1 Постановления не очень удачная. Разъяснение дано в скобках - "(не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации)", а не в виде отдельного определения. Считать, что это и есть определение КИ, - достаточно спорная позиция.

Уточнился и термин ТЗКИ. Теперь ФСТЭ ... Читать дальше »

Новый закон, разработанный ФБР, может обязать компании, предоставляющие VoIP-службы и сервисы обмена мгновенными сообщениями, сделать свою продукцию «открытой для прослушки».

Представители ФБР обратились к Microsoft, Facebook, Yahoo, ... Читать дальше »

30 апреля вышла интересная книжка - "Threats, Countermeasures, and Advances in Applied Information Security" Раджа Шармана, Маниша Гупты и Джона Валпа (все три работают в американских банках). И вот в 24-й главе представляют они динамическую экономическую модель кибербезопасности. Собственно не саму модель, а ее первый этап. Как они сами пишут: "Никто не может разработать эффективную экономическую модель для информационной безопасности, не имея представления и понимания о мотивах, препятствия и других факторов, влияющих на поведение нарушителей, защитников, законодателей, регуляторов, разработчиков продуктов и услуг, правоохранительных органов и других заинтересованных сторон". Правильный взгляд, о котором часто забывают при создании политик и стратегий ИБ. Об этом говорит, кстати, и ГОСТ 18045, который мотивацию нарушителя использует как один из элементов формулы, позволяющий оценить потенциал нападения на тот или иной объект защиты.

Авторы книжки пошли да ... Читать дальше »

Форум закончился. Мероприятие действительно было ориентировано на аудиторию, что бывает не часто. Присутствовали представители ФСТЭК и ФСБ, которые не молчали как обычно и не отделывались общими фразами. Выступления Олега Залунина и Виталия Лютикова были конкретны и насыщены фактами и интересными новостями.

Тезисно из выступлений Олега Залунина (ФСБ):

• Проекты двух новых Постановлений Правительства уже разработаны и направлены всем заинтересованным сторонам. Головным разработчиком постановлений по уровням защищенности и требованиям по ИБ была ФСБ. ФСБ старалась сохранить преемственность с ПП-781 и "приказом трех". Выпустить новые ПП должны в мае.
• Новые понятие  "уровень защищенности" зависит от класса ИСПДН, модели угроз и модели нарушителя. Уровней будет 4.
• Классификация ИСПДн останется почти без изменений - разделение на специальные и типовые уберут и оставят просто ИСПДн. Принципы классификации (объем и кат ... Читать дальше »