Боюсь, вы не совсем понимаете масштаб трагедии. Дело в том, что требования обязательные для всех. И если какой-нибудь банк или более-менее крупная компания еще как-то может поскрести по сусекам и выделить деньги на защиту, то для мелкого бизнеса это очень накладно.
Мало просто написать бумажку-политику и поставить антивирус. Надо разработать комплект документов, провести аудит своих процессов и систем, разработать модели угроз и внедрить систему защиты. Последнее, кстати, должно проводиться компанией, имеющей лицензию (да, антивирус самостоятельно тоже не поставить). Кстати, я не сказал — должны использоваться средства ЗИ, прошедшие оценку соответствия (читай, сертифицированные)…
Написал столько текста, но забыл упомянуть про права субъекта? Правильно. Никому нет дела до вас, ваших проблем со спамерами и свободной продажи баз ваших персональных данных. Ужесточили только наказание за несоответствие требованиям, адекватность которых вызывает сомнение у некоторых специалистов. Ответственность за разглашение или утечки остается прежней (вспоминаем «дело» Мегафона). Об этом лучше почитать, например, у Емельянникова (http://emeliyannikov.blogspot.com/2012/05/blog-post_15.html)
Угу, спасибо… Но вот что из себя представляют пресловутые «verified evidences» — неясно. Скан трудовой (сомнительно), контакты работодателей (затруднительно) или честное слово (наивно)
Два года за счет CISSP или CISA — как-то забавно. Там, если мне не изменяет память — те же 5 лет нужны.
Ну, если рассматривать это с позиции компании, которая привела свои процессы в соответствие требованиям законодательства по ПДн и решила этим воспользоваться для устранения конкурентов, которые не спешат… Тогда возможно.
Просто, как мне представляется, там будет следующая последовательность: «донос» — проверка — предписание на устранение нарушений — штраф (?) — контроль выполнения предписания, и только потом, если не чешутся, может уже быть что-то серьезное.
«Приостановки деятельности» часто можно видеть в презентациях интеграторов, однако мне как-то не попадались в интернете реальные случаи применения такой меры… Когда читаешь описания услуг по защите ПДн, в голове рисуется страшная картина — карательные отряды проверяющих ходят по стране, оставляя за собой уничтоженные и разоренные организации… :)
Не думаю, что там так много возможностей… «ЗаДоСить» запросами от субъектов с принятием поправок стало проблематично, а «наведение» проверяющих на конкурента «лечится» защитой ПДн хотя бы по формальному признаку. Что-то упустил?
Другое дело, что все это дорого и, порой, неэффективно…
В качестве аргумента могу предложить ознакомиться с хронологией принятия поправок в ФЗ-152 в июне-июле 2011 г. (например, у Лукацкого, Волкова, Бонадренко). Очень занимательно.
Отчасти соглашусь с Chumicheff — ИМХО, если наши законодатели решат такое принять, то, чтобы органично все это вписать в существующие документы потребуется либо повернуть все задом наперед (и сделать нормальные документы, ориентированные на защиту интересов субъектов ПДн), либо нагородить еще больше барьеров с косяками и подпорками, создающие еще больше кормушек для регулирующих органов.
У нас уже по ФЗ-152 любой человек вправе:
1. обратиться в организацию с запросом сведений, какие его персональные данные, для чего, как долго и т.п. обрабатываются?
2. отозвать свое согласие на обработку персональных данных (если ранее его давал);
3. защищать свои права, в том числе в случаях незаконной обработки его персональных данных.
Но есть с дюжину случаев, когда согласие не требуется (например, выполнение требований закона, обеспечение безопасности и т.д.).
Фрагментация, сложность удаления — это проблемы организации. Сказали «удалить», значит надо удалить.
Пароли на почтовый ящик, к которому привязана регистрация на нескольких сервисах, и на каком-нибудь форуме отличаются по критичности. Если я знаю, что туда больше не приду или не вижу смысла скрывать защищенное паролем содержимое, я как пользователь хочу иметь возможность установить такой пароль, который посчитаю нужным. Сайту и другим пользователям от моего слабого пароля вреда не должно быть никакого.
За пост спасибо, но все же — в чем состоял аудит? Насколько этично и, что важнее, правомерно в данном случае проводить аудит (читай, взлом) паролей без ведома и согласия их владельцев?
В принципе, трактовка резонна, однако, «вольно цитируя». Вспоминаем, сколько СМС утекло из Мегафона и какие последовали санкции.
Телефонный номер тогда подпадет под обезличенные ПДн, ибо «без использования доп. информации невозможно определить их принадлежность конкретному субъекту»
Двухфакторная подразумевает более чем однократное подтверждение личности. Например пароль + биометрия. В статье рассматривается нечто иное — аутентификация при невозможности предъявления основного идентификатора.
А я бы, напротив, советовал изучать и осмыслять термины на английском. Все-таки коль скоро Россия не является лидером в области разработки ИБ-стандартов, не будет постыдным использовать отдельные заимствования.
Я почти был готов согласиться, но вот с паролями Вы зря. Есть конкретная формула: вероятность подбора пароля равна (число попыток)/((алфавит)^(количество символов)). Также существуют данные о стоимости или времени его подбора.
Говоря про формулы… Могу посоветовать обратить внимание на труды Клода Шеннона.
Математические законы никто не меняет. Завтра прямой угол не станет 89 или 91 градус. Число Пи тоже показывает стабильность.
Обеспечение ИБ же подразумевает реагирование на изменение угроз в постоянно изменяющейся среде. Да, как и медицина. Но это не значит, что всем надо бросать медицину и вступать в кружок математиков.
Я считаю, что неприменимость отдельных критериев «научности», которых, как я понимаю, Вы придерживаетесь, не позволяет делать выводы, что «ИБ — это шаманизм».
Что Вы понимаете под настоящей наукой? И почему Вы считаете, что у «ИБ» не существует прикладного результата?
Почему бы не привести аналогию с медициной? Также система (организм) существует в атмосфере постоянных опасностей (вирусов), которые видоизменяются и эволюционируют. Мы можем допустить инцидент и бороться с последствиями (лечение) или предпринимать защитные меры (укреплять иммунитет). В одном случае поможет клизма, в другом — витамины.
Боюсь указать на то, что Вы, возможно, и так знаете, но рекомендуемый подход следующий: руководство определяет критерии принятия риска. Заданный уровень принятия риска достигается в ходе процесса защиты информации. В результате получается, что решение о том, что «стало безопасно» принимает руководство, а специалисты и эксперты просто предлагают и реализуют механизмы защиты.
Мало просто написать бумажку-политику и поставить антивирус. Надо разработать комплект документов, провести аудит своих процессов и систем, разработать модели угроз и внедрить систему защиты. Последнее, кстати, должно проводиться компанией, имеющей лицензию (да, антивирус самостоятельно тоже не поставить). Кстати, я не сказал — должны использоваться средства ЗИ, прошедшие оценку соответствия (читай, сертифицированные)…
Написал столько текста, но забыл упомянуть про права субъекта? Правильно. Никому нет дела до вас, ваших проблем со спамерами и свободной продажи баз ваших персональных данных. Ужесточили только наказание за несоответствие требованиям, адекватность которых вызывает сомнение у некоторых специалистов. Ответственность за разглашение или утечки остается прежней (вспоминаем «дело» Мегафона). Об этом лучше почитать, например, у Емельянникова (http://emeliyannikov.blogspot.com/2012/05/blog-post_15.html)
Два года за счет CISSP или CISA — как-то забавно. Там, если мне не изменяет память — те же 5 лет нужны.
А можно песню про проверку 5-летнего опыта в ИБ? Все время интересовало, как они это делают…
И еще — слышал, что можно год скастить за счет обучения (например, за счет сертификата CompTIA Security+) — нет такой информации?
Просто, как мне представляется, там будет следующая последовательность: «донос» — проверка — предписание на устранение нарушений — штраф (?) — контроль выполнения предписания, и только потом, если не чешутся, может уже быть что-то серьезное.
«Приостановки деятельности» часто можно видеть в презентациях интеграторов, однако мне как-то не попадались в интернете реальные случаи применения такой меры… Когда читаешь описания услуг по защите ПДн, в голове рисуется страшная картина — карательные отряды проверяющих ходят по стране, оставляя за собой уничтоженные и разоренные организации… :)
Другое дело, что все это дорого и, порой, неэффективно…
Отчасти соглашусь с Chumicheff — ИМХО, если наши законодатели решат такое принять, то, чтобы органично все это вписать в существующие документы потребуется либо повернуть все задом наперед (и сделать нормальные документы, ориентированные на защиту интересов субъектов ПДн), либо нагородить еще больше барьеров с косяками и подпорками, создающие еще больше кормушек для регулирующих органов.
1. обратиться в организацию с запросом сведений, какие его персональные данные, для чего, как долго и т.п. обрабатываются?
2. отозвать свое согласие на обработку персональных данных (если ранее его давал);
3. защищать свои права, в том числе в случаях незаконной обработки его персональных данных.
Но есть с дюжину случаев, когда согласие не требуется (например, выполнение требований закона, обеспечение безопасности и т.д.).
Фрагментация, сложность удаления — это проблемы организации. Сказали «удалить», значит надо удалить.
За пост спасибо, но все же — в чем состоял аудит? Насколько этично и, что важнее, правомерно в данном случае проводить аудит (читай, взлом) паролей без ведома и согласия их владельцев?
Телефонный номер тогда подпадет под обезличенные ПДн, ибо «без использования доп. информации невозможно определить их принадлежность конкретному субъекту»
Еще вопрос — кроме математики и, допустим, физики есть еще науки? Или все остальное — тоже шаманизм?
Говоря про формулы… Могу посоветовать обратить внимание на труды Клода Шеннона.
Обеспечение ИБ же подразумевает реагирование на изменение угроз в постоянно изменяющейся среде. Да, как и медицина. Но это не значит, что всем надо бросать медицину и вступать в кружок математиков.
Я считаю, что неприменимость отдельных критериев «научности», которых, как я понимаю, Вы придерживаетесь, не позволяет делать выводы, что «ИБ — это шаманизм».
Почему бы не привести аналогию с медициной? Также система (организм) существует в атмосфере постоянных опасностей (вирусов), которые видоизменяются и эволюционируют. Мы можем допустить инцидент и бороться с последствиями (лечение) или предпринимать защитные меры (укреплять иммунитет). В одном случае поможет клизма, в другом — витамины.