Безопасность для понимающих и не очень

tag:blogger.com,1999:blog-8600366776871499666Tue, 15 Mar 2022 11:53:44 +0000персональные данныезаконодательствогосударствобизнесзащита информациибезопасностьпарадоксроскомнадзорфстэкразмышленияутечки информациирискифсбконференцияхоббитехнологииdlpкоррупцияпраздникинновацииинформацияюмороблакаRISSPAвебинарохранафсспмвдпартияБезопасность для понимающих и не оченьСайт содержит информацию для лиц старше 16 лет (16+)http://anvolkov.blogspot.com/noreply@blogger.com (Anonymous)Blogger274125tag:blogger.com,1999:blog-8600366776871499666.post-4846269840180700583Mon, 08 Feb 2016 06:47:00 +00002016-02-08T10:10:29.712+03:00бизнесгосударствоинновациикоррупцияразмышленияО запрете обучения<div dir="ltr" style="text-align: left;" trbidi="on">Точнее, о новой области "импортозамещения", вскользь освещенной в <a href="http://lukatsky.blogspot.ru/2016/02/blog-post.html" target="_blank">заметке</a> друга и соратника Алексея Лукацкого, захотелось написать в первом посте 2016 года. Речь, как вы уже поняли, пойдет о пресловутом <a href="http://www.kremlin.ru/acts/assignments/orders/51235" target="_blank">перечне поручений</a> Президента РФ, "рожденного" после не менее пресловутого форума "<a href="http://ie.iri.center/result/" target="_blank">Интернет-экономика 2015</a>" - точнее, о пункте 7. Как человека, весьма близкого к образованию, меня привлекли красочные эпитеты заметки Алексея, и я решил разобраться: что на самом деле и почему решили запретить.<br><br></div><a href="http://anvolkov.blogspot.com/2016/02/blog-post.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2016/02/blog-post.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-404283108150183023Tue, 08 Dec 2015 12:57:00 +00002015-12-08T16:52:05.399+03:00бизнесразмышлениятехнологииКвадратная магия<div dir="ltr" style="text-align: left;" trbidi="on">Эх, давно я ничего не писал в этот кладезь графоманской чепухи. Настало, видимо, время руке размахнуться. И повод есть - Новый год скоро, а у меня четное число постов, если быть точным - два: не дело это, так можно и заупокойную затянуть. Тема тоже имеется, какая-никакая - вам судить. Так уж случилось, что (помимо прочего) ваш покорный слуга работает с "железками" и периодически внедряет что-то новое. Или не внедряет (потому что денег нет), но станет это делать в будущем, обязательно светлом и безоблачном. Вовсе не потому, что непременно хочется новизны, хотя и поэтому тоже. Меняется инфраструктура, ИТ-сервисы, ландшафт угроз, да что я вам объясняю... И вот, в последнее время регулярно стали приходить предложения вроде "<i>а давайте вы мигрируете на наш продукт Б, который не только полностью заменяет имеющийся у вас продукт А, но имеет дополнительный, необходимый вам функционал?</i>".<br><br></div><a href="http://anvolkov.blogspot.com/2015/12/blog-post.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2015/12/blog-post.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-7710140946086078053Sun, 10 May 2015 18:20:00 +00002015-05-10T21:20:57.809+03:00бизнесгосударствозаконодательствоперсональные данныероскомнадзорфсбфстэкВозвращение фантомасов<div dir="ltr" style="text-align: left;" trbidi="on">С недавних пор я редко размещаю статьи в блоге. Писателей нынче много - кто во что горазд, почитать есть что, да и желания особо нет. Поэтому нынче в блог идет материал, который не влезает в журнал, если какое-то исключительное событие не заставит давить пальцами разбежавшихся по клавиатуре мозговых тараканов. Сегодня как раз такой случай - и не потому, что вчера был День Победы (кстати, с Праздником), а потому, что накануне на "едином портале для размещения ФОИВ-ами проектов НПА и результатов их общественного обсуждения" Роскомнадзор разместил проект постановления правительства РФ "<a href="http://regulation.gov.ru/project/25126.html?point=view_project&stage=2&stage_id=18262" target="_blank">Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации</a>". И я сунул в него свой нос.<br><br></div><a href="http://anvolkov.blogspot.com/2015/05/blog-post.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2015/05/blog-post.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-3901547383650788052Wed, 11 Feb 2015 06:19:00 +00002015-02-11T09:19:53.012+03:00бизнесзаконодательстворазмышленияНа смерть аккредитованных УЦэ<div dir="ltr" style="text-align: left;" trbidi="on">Общение с государственными и муниципальными органами - дело жутко формализованное, и потому тонкое. Потрындеть с гражданами и организациями в письменном виде на различные темы любят далеко не все госструктуры. Да что там - никто не любит. Пожалуй, только ФСТЭК да Роскомнадзор могут похвастаться более-менее выстроенными коммуникациями с населением (хвала их руководителям), да и то последний начал понемногу охладевать к одолевшим его "пэдээн-экспертам". Поэтому гражданин, решившийся на столь отчаянный шаг, должен обладать как минимум тремя важными качествами, без которых затеянное мероприятие обречено на провал.<br><br>Первое - уметь четко поставить цель, которую необходимо достичь, и проблему, которая мешает ее достижению и ради решения которой необходимо обратиться к государству. Второе - уметь грамотно сформулировать вопрос и написать его так, чтобы свести границы полета мысли отвечающего на вопрос гипотетического чиновника к минимуму. Лучше всего - к выбору между "да" или "нет". Третье - терпение. Много терпения. Надо быть готовым к тому, что первый полученный ответ не будет соответствовать не то что ожиданиям - заданному вопросу. Поэтому обращений может быть несколько и, учитывая, что на ответ в среднем отводится 30 дней, процесс может затянуться надолго.<br><br>Автор блога - человек самоуверенный, порой даже слишком. Поэтому, полагая, что обладает всем достаточным набором указанных выше качеств, для решения одного интересного бизнес-кейса решил обратиться за советом к государству.<br><br></div><a href="http://anvolkov.blogspot.com/2015/02/blog-post.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2015/02/blog-post.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-551653954021558637Tue, 30 Dec 2014 08:34:00 +00002014-12-31T08:44:15.742+03:00безопасностьбизнеспраздникНаш Оскар на Новый год<div dir="ltr" style="text-align: left;" trbidi="on">Автору, размещающему пост в блоге "поибэ" в предпоследний день уходящего года, рассчитывать на отличное от нуля число просмотров не приходится. Я и не рассчитываю - потому что пишу не для счетчиков, а для души. Но если ты, одинокий читатель, в погоне за шампанским и мандаринами вдруг нашел время кликнуть на свалившуюся тебе в RSS ссылку и читаешь эти строки - хочу сказать тебе спасибо. Тебе и таким, как ты. Потому что только читатели и слушатели заставляют душу автора трепетать, а сердце - вкачивать тонны адреналина в кровь, пока глаза читают комментарии или аудиторию и видят, что моя писанина и болтовня вас "задевает". Кому-то нравится, кому-то нет - но большинство из вас не остается безучастными и не стесняется выражать эмоции. И это лучшее признание для меня, как автора и исполнителя ИБ-произведений.<br /><div><br /></div><div>Как и везде, в нашей профессиональной "тусовке" модно устраивать рейтинги с целью выявить "лучших" среди равных. Вы <a href="http://anvolkov.blogspot.ru/2013/10/blog-post.html" target="_blank">знаете</a>, как я к ним отношусь. Я их не люблю и не участвую. Но и в этом году я как-то попал в один из них - рейтинг <a href="http://bis-expert.ru/" target="_blank">BISA</a>, а вы голосовали. И <a href="http://bis-expert.ru/events/competitions/cio_ciso_vote" target="_blank">наголосовали на 1 место</a>. Скромность не мое второе имя, скорее наоборот - но я НЕ считаю, что я "лучше" кого-то из тех, кто был в этом рейтинге или тех, кто голосовал. Этот рейтинг - еще один пинок мне, <a href="http://www.allcio.ru/i-cio/57911.html" target="_blank">патологическому лентяю</a>: нужно еще больше работать над собой чтобы соответствовать ожиданиям тех, кто голосовал.</div><div><br /></div><div>Самое время вставить какой-то оскароносный текст. Я хочу поблагодарить своих подчиненных, коллег и руководителей. Потому что без вас я - просто специалист. Потому что во многом благодаря результатам вашего труда я пишу посты и статьи, рисую презентации и делаю доклады. Потому что вы не запрещаете заниматься этим и учите меня уму-разуму. Спасибо вам, дорогие читатели и слушатели. Это не моя награда - это наше общее достижение.<br /><br />И теперь, когда весь пафос вышел, всех вас хочу поздравить с наступающим Новым годом. И пусть у каждого из вас в Новом году все будет хорошо. И обязательно будет - вот увидите.</div></div>http://anvolkov.blogspot.com/2014/12/blog-post.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-2620085800131480358Mon, 29 Sep 2014 08:21:00 +00002014-09-29T12:21:10.524+04:00бизнеспарадоксразмышленияюморКак купить безопасность<div dir="ltr" style="text-align: left;" trbidi="on">В прошлом году на конференции <a href="http://www.itsecurityforum.ru/" target="_blank">IT Security Forum</a> в Казани я <a href="http://anvolkov.blogspot.ru/2013/06/kpi.html" target="_blank">рассказывал</a> о "внутренних продажах" информационной безопасности - навыках, которыми обязан владеть любой "безопасник", трудящийся на коммерческом предприятии реального сектора экономики. Отзывы были различные - и негативные, в основном от "сейлзов" интеграторско-вендорского сословья. Дескать, никакие это и не продажи - ни денег, ни товара: вот мы - реальные продавцы, на рынке работаем, безопасность продаем! Тогда я немного поулыбался - и все как-то быстро забылось, но улыбка от регулярного общения с "реальными продавцами" становилась все шире. Количество забавных историй постоянно увеличивалось, а тут еще друг подкинул идею написать что-то на тему рынка ИБ от лица заказчика. Я, опасаясь, что от улыбки "лицо заказчика" в конце концов треснет, принял эту идею к реализации и сегодня делюсь с вами результатом. Встречайте - памфлет "<a href="http://www.allcio.ru/safety/65213.html" target="_blank">Как купить безопасность</a>" в свежем номере журнала IT Manager №9 (2014). Читаем и улыбаемся, узнаем себя и не принимаем близко к сердцу. Любые случайные совпадения - всего лишь совпадения ;)</div>http://anvolkov.blogspot.com/2014/09/blog-post_29.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-3874883194142843439Mon, 15 Sep 2014 06:08:00 +00002014-09-15T15:06:35.620+04:00безопасностьгосударствозаконодательствоПро "вайфаи" и паспорта. Часть финальная.<div dir="ltr" style="text-align: left;" trbidi="on">Финальная потому, что больше нечего об этом писать - все уже написано: как совершенно справедливо <a href="http://emeliyannikov.blogspot.ru/2014/08/wifi.html" target="_blank">заметил</a> Михаил Емельянников, "гайки" существовали давно, и государство взялось их "докручивать". Алексей Лукацкий тоже внес свою лепту, <a href="http://lukatsky.blogspot.ru/2014/09/wi-fi-152.html" target="_blank">рассмотрев</a> проблему "писем счастья" операторов связи с точки зрения законодательства о персональных данных. Логика операторов связи, рассылающих такие "письма", не совсем понятна - согласно требований нормативных документов, к которым нас "отсылают" (<a href="http://anvolkov.blogspot.ru/2014/08/blog-post.html#.VBZ_kvl_uSo" target="_blank">ПП-758</a> и <a href="http://anvolkov.blogspot.ru/2014/08/blog-post_20.html" target="_blank">ПП-801</a>) нужно не письма писать, а в договоры с абонентами изменения вносить. И мне, как абоненту, непонятно, как составлять "список лиц" и что такое "пользовательское (оконечное) оборудование". Точнее, было непонятно - до прошлой пятницы, пока я не получил ответ на этот вопрос из Минкомсвязи РФ.<br><br></div><a href="http://anvolkov.blogspot.com/2014/09/blog-post_15.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2014/09/blog-post_15.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-973374789298822760Tue, 09 Sep 2014 05:12:00 +00002014-09-11T11:28:33.129+04:00государствозаконодательствоперсональные данныефсбТоржество маразума<div dir="ltr" style="text-align: left;" trbidi="on">То, что туго и медленно сочиняли авторы, о чем много писали блогеры и чего мучительно долго ожидали операторы, наконец, почти произошло: 18 августа Минюст зарегистрировал приказ ФСБ от 10.07.2014 с длинным названием "<a href="http://minjust.consultant.ru/page.aspx?1164568" target="_blank">Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством РФ требований к защите ПДн для каждого из уровней защищенности</a>" и коротким номером 378. Осталось только подождать официальной публикации - и растянувшуюся на "стопицот" вариантов эпопею можно считать завершенной.<br><br></div><a href="http://anvolkov.blogspot.com/2014/09/blog-post.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2014/09/blog-post.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-2409016228722482995Wed, 20 Aug 2014 10:40:00 +00002014-08-20T14:45:44.977+04:00законодательстворазмышленияПро "вайфаи" и паспорта. Часть вторая<div dir="ltr" style="text-align: left;" trbidi="on">Обсуждение <a href="http://anvolkov.blogspot.ru/2014/08/blog-post.html" target="_blank">предыдущей части</a> "марлезонского балета", поставленного по сценарию "бешеного принтера", уперлось в слишком широкое определение пользовательского (оконечного) оборудования, приведенного в <a href="http://www.consultant.ru/document/cons_doc_LAW_163248/" target="_blank">п. 10 ст. 2 126-ФЗ "О связи"</a>. В соответствии с ним, пользовательским (оконечным) оборудованием должно считаться абсолютно все, что есть у абонента и, соответственно, его пользователи должны "идентифицироваться". В результате я написал обращение в Минсвязи России, в котором попросил разъяснить, что именно нужно считать "пользовательским (оконечным) оборудованием" в рамках <a href="http://www.garant.ru/hotlaw/federal/558201/" target="_blank">ПП-758</a> и, пока Минсвязи готовит ответ на вопрос, "паспортно-вайфайная" интрига получила продолжение. О нем уже <a href="http://emeliyannikov.blogspot.ru/2014/08/wifi_20.html" target="_blank">написал</a> Михаил Емельянников, но мне, как всегда, есть чем возразить.<br><br></div><a href="http://anvolkov.blogspot.com/2014/08/blog-post_20.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2014/08/blog-post_20.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-209769430702385013Thu, 14 Aug 2014 07:58:00 +00002014-08-18T21:22:51.468+04:00законодательстворазмышленияПро "вайфаи" и паспорта<div dir="ltr" style="text-align: left;" trbidi="on">Граждане России очень не любят читать законы, зато очень любят смотреть телевизор и паниковать. Это нормально - далеко не все являются экспертами в области юриспруденции. Досадно, что экспертами не являются ни чиновники в основной массе, раздающие невнятные "<a href="http://minsvyaz.ru/ru/news/index.php?id_4=44762" target="_blank">толкования</a>" законодательной инициативы, ни (поголовно) журналисты, которым лишь "жареные факты" подавай. Пример с <a href="http://anvolkov.blogspot.ru/2014/07/blog-post.html" target="_blank">запретом персональных данных</a> - подтверждение тому, что и среди экспертов в области ИБ нет единого мнения относительно происходящего. Читатели могут возразить почти классической фразой: "не может быть, чтобы все вокруг были не правы, а ты, Волков, один прав". Чтож, в этот раз - я не один: вместе с <a href="http://emeliyannikov.blogspot.ru/" target="_blank">Михаилом Емельянниковым</a> мы обсудили "вайфай-истерию", внимательно прочитали <a href="http://www.garant.ru/hotlaw/federal/558201/" target="_blank">постановление Правительства РФ №758 от 31.07.2014</a> и сопутствующие нормативные акты, и пришли к следующим выводам.<br></div><a href="http://anvolkov.blogspot.com/2014/08/blog-post.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2014/08/blog-post.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-8460470014335869803Fri, 04 Jul 2014 19:07:00 +00002014-07-07T13:24:21.961+04:00государствозаконодательствоперсональные данныерискироскомнадзорО "запрете хранения персональных данных россиян за границей"<div dir="ltr" style="text-align: left;" trbidi="on">Точнее, о новом законопроекте, <a href="http://www.vedomosti.ru/politics/news/28573251/duma-prinyala-zakonoproekt-ob-obyazatelnom-hranenii-na" target="_blank">принятом</a> сегодня государственной думой в третьем чтении и якобы устанавливающем такой запрет, всю эту неделю не говорил только ленивый. Я - ленивый, поэтому не говорил и, в общем-то, писать тоже не собирался. Какой смысл марать электронную бумагу, если даже корифеи государственной "писанины" <a href="http://lukatsky.blogspot.ru/2014/07/blog-post_3.html" target="_blank">Алексей Лукацкий</a> и <a href="http://emeliyannikov.blogspot.ru/2014/06/blog-post_26.html" target="_blank">Михаил Емельянников</a>, скрежеща зубами от досады, лишь разводили руками: против "бешеного принтера" <a href="http://www.vedomosti.ru/opinion/news/28561331/zapretite-nam" target="_blank">не попрешь</a>. Однако, взглянув на лингвистически безупречно оформленную <a href="http://www.crn.ru/news/detail.php?ID=93458" target="_blank">позицию РАЭК</a> по указанному законопроекту, я изумился - действительно, что ли, настолько все плохо? И внимательно прочитал его <a href="http://asozd2.duma.gov.ru/main.nsf/(ViewDoc)?OpenAgent&work/dz.nsf/ByID&AC45966BB456DC9B43257D0A00659889" target="_blank">текст</a>.<br><br></div><a href="http://anvolkov.blogspot.com/2014/07/blog-post.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2014/07/blog-post.htmlnoreply@blogger.com (Anonymous)1tag:blogger.com,1999:blog-8600366776871499666.post-1129402121622671633Mon, 28 Apr 2014 09:18:00 +00002014-04-28T14:11:42.503+04:00облакаразмышлениярискиТрудная дорога в "облака". Часть 4: вердикт.<div dir="ltr" style="text-align: left;" trbidi="on">"Давно пора, Волков - чего так долго?" - скажете вы, и будете правы. Я написал заключительную часть <a href="http://anvolkov.blogspot.ru/2014/02/1.html" target="_blank">"облачного" сериала</a> еще в начале марта и хотел тогда же ее опубликовать. Но любому плохому танцору что-то всегда мешает - и мне помешали "облачные" провайдеры, жестко спамившие почту призывами рассмотреть их предложения. Назвавшись ранее груздем, я залез в кузов электронной макулатуры и изучил около 20 памфлетов, местами смешных, местами - грустных. В какой-то момент мне даже показалось, что я нашел провайдера-"мечту", но в ходе сессии уточняющих вопросов и вопросов, уточняющих ответы на уточняющие вопросы оказалось, что провайдер безбожно врал, в том числе самому себе.<br><br>Отлынивая полтора месяца от блога, я посетил конференцию <a href="http://www.infosecurity-forum.ru/" target="_blank">CISO Forum 2014</a> где, сидя за круглым столом по безопасности облачных вычислений, в который раз услышал мысль, произнесенную вслух представителем компании, предлагающей "облачные" услуги по безопасности:<b> не размещайте в облаке данные, которые боитесь потерять</b>. Фраза, достойная надгробной плиты любой идеи с публичными "облаками". Но если руководство стремится примерить ее на могилу собственного бизнеса, а дара убеждения безопаснику не хватает - придется сделать несколько шагов, дабы хоть как-то обезопасить и самого себя, и незадачливого работодателя.<br><br></div><a href="http://anvolkov.blogspot.com/2014/04/4.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2014/04/4.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-8715873886799509307Tue, 04 Mar 2014 08:53:00 +00002014-03-04T12:54:30.963+04:00облакаразмышлениярискиТрудная дорога в "облака". Часть 3: доказательства.<div dir="ltr" style="text-align: left;" trbidi="on">Безопасность всегда субъективна. В ее основе лежат эмоции, ощущения того, что с защищаемым объектом ничего плохого не случится. Именно поэтому ее нельзя измерить никакими цифрами: любые меры, любая аналитика, статистика, расчеты и показатели предназначены лишь для того, чтобы снизить уровень <a href="http://anvolkov.blogspot.ru/2014/02/1.html" target="_blank">внутренней паранойи</a> до приемлемого. Любая оценка эффективности мер безопасности всегда субъективна потому, что вместо реального, прямого, <i>предотвращенного</i> ущерба, в ней присутствует условный, труднодоказуемый, <i>прогнозируемый</i>. Любой безопасник это прекрасно знает, и его без того зашкаливающее ощущение опасности в отношение чужих, но ставших ему такими родными информационных активов, при одной мысли о передаче их супостату-провайдеру в "облако" усиливается многократно.<br><br>В условиях, когда <a href="http://anvolkov.blogspot.ru/2014/02/2.html" target="_blank">ущерб нельзя компенсировать</a>, безопаснику, словно в страшном сне, самые плохие и невероятные варианты развития событий кажутся реальными и он, уже наяву, стремится контролировать провайдера "облака" больше, чем себя самого. Провайдер, взывая к разуму безопасника демонстрацией кипы маркетинговых материалов, портфолио с "историями успеха", сертификатов и толстых отчетов с результатами "независимых" аудитов, идет в эмоциональное контрнаступление с одной-единственной целью: <b>вызвать у безопасника чувство <i>доверия</i> к "облаку"</b>. Всеми силами провайдер стремится доказать, что с данными, защищаемыми безопасником, ничего плохого никогда не случится, и поэтому никакого ущерба, никаких исков и судебных разбирательств не будет. Но слепо доверять народная мудрость не рекомендует: нужно еще и проверять и, учитывая необходимость сбора доказательств вины провайдера в нанесенном ущербе, делать это тщательно. А с этим у провайдеров имеются определенные проблемы.<br><br></div><a href="http://anvolkov.blogspot.com/2014/03/3.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2014/03/3.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-4146721285813028773Wed, 19 Feb 2014 08:26:00 +00002014-03-04T12:56:57.082+04:00облакаразмышлениярискиутечки информацииТрудная дорога в "облака". Часть 2: ущерб.<div dir="ltr" style="text-align: left;" trbidi="on">Смысл любой безопасности, ее высшая и единственная цель заключается в предотвращении ущерба. Понятно, что эта цель недостижима в своем абсолютном выражении и тот, кто задумывается о безопасности, всегда идет на компромисс, защищая самое важное - то, на что хватает ресурсов. Ошибки выбора вектора приложения усилий и распределения ресурсов приводят к тому, что безопасность становится неэффективной: она не предотвращает ущерб, полностью или частично. Отношение предотвращенного ущерба к затратам на безопасность - единственный объективный критерий ее эффективности. Отношение предотвращенного ущерба к прогнозируемому - единственный объективный критерий эффективности "безопасников".<br><br>"Нематериальный" характер защищаемого объекта является причиной того, что в информационной безопасности и числитель, и знаменатель в последней дроби - величины почти всегда субъективные. Отсюда и трудности с подсчетом ущерба, особенно в результате разглашения или утечки чего-нибудь "конфиденциального", и с переводом размера ущерба в денежный эквивалент, и с его компенсацией. Эти вопросы регулируются законодательством и договором между обладателем информации и потенциальным "ущербоприносителем", поэтому, как вы помните из <a href="http://anvolkov.blogspot.ru/2014/02/1.html#.Uv3UrPl_tyw" target="_blank">предыдущей части</a>, тексты последних я и запросил.<br><br></div><a href="http://anvolkov.blogspot.com/2014/02/2.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2014/02/2.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-1911089905734356497Thu, 13 Feb 2014 07:51:00 +00002014-02-19T12:30:37.028+04:00облакаразмышлениярискиТрудная дорога в "облака". Часть 1: паранойя.<div dir="ltr" style="text-align: left;" trbidi="on">Об использовании "облачных технологий", о великом будущем давно известной старушки-виртуализации, одетой ИТ-маркетологами в новую обертку и распиаренную с оглушительным масштабом, о выгодах, benefits и value, которые чудесным образом появляются везде, где есть возможность приладить "облако" - обо всем этом не говорит сейчас только ленивый вендор или интегратор. Маркетинг напирает и, наверное, уже не осталось ни одного заказчика, который бы хоть раз не читал продактшит или вайтпапер с броским словом "cloud" в заголовке. "Заказчик" - понятие собирательное, и каждая элементарная частица этого "сборища" воспринимает и реагирует на входящую информацию по разному: практичный бизнес и прогрессивный ИТ считают value, а ретроград-"безопасник" со всей своей подозрительностью зарывается в детали и, как правило, в них же и погибает.<br><br>Не миновали "облака" и автора этого блога: только за последний год я участвовал в рассмотрении почти двух десятков практических кейсов, связанных с переносом различных частей ИТ-инфраструктуры из "внутреннего" облака во "внешнее", интеграцией "частного" облака с другими такими же или передачей некоторых ИТ-сервисов во внешнее "облако" с различными моделями обслуживания. Так же, как и многие из вас, я изучал маркетинговые материалы и вникал в детали предложений - долго и дотошно. Когда предложения стали расти словно грибы после дождя, а бизнес стал требовать немедленной их оценки - время на анализ резко сократилось и возникла острая необходимость выработки критериев, отработав которые можно было бы вынести вердикт. Оказалось, что задачка эта с большим "подвохом"...<br><br></div><a href="http://anvolkov.blogspot.com/2014/02/1.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2014/02/1.htmlnoreply@blogger.com (Anonymous)3tag:blogger.com,1999:blog-8600366776871499666.post-2995562639861232616Tue, 31 Dec 2013 03:25:00 +00002014-01-09T09:35:36.729+04:00праздникюморС наступающим Новым годом!<div dir="ltr" style="text-align: left;" trbidi="on">Ох, и давно же я ничего не писал в свой собственный блог. Прошу у него и у вас, дорогие друзья, прощения - так уж сложилось, что для меня у этого года была "жесткая посадка". Именно на конец года пришлась адова туча крайне интересных практических "кейсов" на все "новомодные" темы - "облака", бестокенная двухфакторная аутентификация (будь она не ладна), NGFW, SDLC и т.д. Так уж сложилось, что все они перетекли на следующий год, и будут "добиваться" уже в нем. Поэтому не стану подводить никаких итогов - все еще впереди: мне будет о чем рассказать - и уж поверьте, я это непременно сделаю.<br><br></div><a href="http://anvolkov.blogspot.com/2013/12/blog-post.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2013/12/blog-post.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-3360888025052949768Tue, 15 Oct 2013 03:30:00 +00002013-10-15T07:30:02.088+04:00персональные данныефсбО приказе ФСБ по защите персональных данных<div dir="ltr" style="text-align: left;" trbidi="on">Точнее, о его проекте с длинным названием "<a href="http://regulation.gov.ru/project/7930.html?point=view_project&stage=2&stage_id=4402" target="_blank">Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности</a>", который выложен для публичного обсуждения, который давеча мне удалось почитать, и о своих предложениях, которые можно отправить авторам манускрипта аж до 21.10.2013 года, хочу поведать в этом посте.<br></div><a href="http://anvolkov.blogspot.com/2013/10/blog-post_15.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2013/10/blog-post_15.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-6584912856952495043Mon, 14 Oct 2013 03:30:00 +00002014-01-09T09:35:24.913+04:00dlpконференцияпраздникСлова благодарности<div dir="ltr" style="text-align: left;" trbidi="on">На прошлой неделе удалось выбраться на выставку-конференцию <a href="http://infobez-expo.ru/index/" target="_blank">Infobez-Expo 2013</a>, провести на ней <a href="http://anvolkov.blogspot.ru/2013/09/happy-violence.html" target="_blank">свой круглый стол</a>, поговорить на двух таких же в гостях у <a href="http://inforus.biz/" target="_blank">Андрея Масаловича</a> и <a href="http://infosystems.ru/" target="_blank">Юрия Малинина</a>, и оттяпать кусок мяса от вендоров на мероприятии "Львы и гладиаторы" <a href="http://emeliyannikov.blogspot.ru/" target="_blank">Михаила Емельянникова</a>. То, что выставки я не заметил (и никто не заметил) - печально известный факт, а вот конференционная часть однозначно сложилась. Алексей Лукацкий по этому поводу <a href="http://lukatsky.blogspot.ru/2013/10/blog-post_10.html" target="_blank">все уже сказал</a> - ни добавить, ни отнять. Могу только еще раз и от всей души поблагодарить организаторов за самоотверженный труд: в условиях явного перенасыщения рынка мероприятиями по ИБ сделать что-то хорошее - непростая задача, и вам она удалась.<br><br></div><a href="http://anvolkov.blogspot.com/2013/10/blog-post.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2013/10/blog-post.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-6126429262922163381Wed, 02 Oct 2013 09:45:00 +00002013-10-02T13:45:46.516+04:00dlpконференцияутечки информацииВидео доклада на DLP Russia 2013<div dir="ltr" style="text-align: left;" trbidi="on">Как и обещал - выкладываю сабж.<br /><br /><iframe allowfullscreen="" frameborder="0" height="315" src="//www.youtube.com/embed/1ATWDRayHn4" width="420"></iframe><br /><br /></div>http://anvolkov.blogspot.com/2013/10/dlp-russia-2013.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-2915160391488152503Mon, 30 Sep 2013 03:30:00 +00002014-01-09T09:36:08.096+04:00dlpконференцияутечки информацииДээлпэ в Раше: happy violence<div dir="ltr" style="text-align: left;" trbidi="on">Десять дней назад довелось первый раз выступить на <a href="http://dlp-expert.ru/dlp-russia" target="_blank">конференции DLP-Russia</a>, аж в самый разгар "пленарки". Хорошее мероприятие, что сказать - и организация с организаторами, и люди в аудитории и вне ее, и журналисты с вопросами - все молодцы. Все понравилось, отдельное спасибо слушателям - я, честно признаться, был приятно удивлен и числом вашим, и умением. Если еще раз пригласят что-нибудь рассказать - с удовольствием приму участие.<br><br></div><a href="http://anvolkov.blogspot.com/2013/09/happy-violence.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2013/09/happy-violence.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-2556166058880502517Fri, 27 Sep 2013 07:40:00 +00002013-09-27T15:40:48.859+04:00безопасностьбизнесзащита информацииразмышленияОтложить до реализации рисков<div dir="ltr" style="text-align: left;" trbidi="on"><br>Русская пословица (или поговорка - до сих пор не знаю, как отличить) вещает нам мудрость о том, что "пока гром не грянет - мужик не перекрестится". Народные юмористы, немного переделав мудрость, утверждали, что не "пока гром не грянет" - а "пока жареный петух не клюнет", тем самым много лет назад сформулировав главное правило управления рисками информационной безопасности. Автор этого блога, наблюдая за тенденциями в нашей с вами, дорогие читатели, любимой сфере, с уверенностью может сказать о том, что в российской ИБ этот самый "жареный петух" должен быть не абы каким, а со степенью прожарки well done, клюв у него должен быть из твердосплавных материалов и, чтобы его заметили, нужно не просто клюнуть - а усиленно долбить.<br><br></div><a href="http://anvolkov.blogspot.com/2013/09/blog-post.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2013/09/blog-post.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-9050539964817260115Mon, 16 Sep 2013 03:30:00 +00002013-09-16T15:49:44.061+04:00dlpзащита информацииконференциярискиутечки информацииДве идеи для DLP-шников. Часть 2<div dir="ltr" style="text-align: left;" trbidi="on"><br>После длительного перерыва, наконец, дошли руки поведать вам, дорогие читатели, о второй идее, реализация которой потенциально способна хоть немного, но изменить <a href="http://anvolkov.blogspot.ru/2013/07/dlp.html" target="_blank">эволюционный застой</a> горячо <a href="http://anvolkov.blogspot.ru/2012/11/dlp.html" target="_blank">любимого мной</a> инструмента под названием DLP. В прошлый раз, описывая идею <a href="http://anvolkov.blogspot.ru/2013/07/dlp-1.html" target="_blank">номер раз</a>, я сильно разошелся: но бизнес-аналитика - дело такое, не разжуешь - не поймешь. Судя по письмам, поняли не все, ну, или не до конца. Поэтому сегодня я буду более сжат и более-менее понятен - благо, тема позволяет.<br><br></div><a href="http://anvolkov.blogspot.com/2013/09/dlp-2.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2013/09/dlp-2.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-6435011960878305334Wed, 24 Jul 2013 07:17:00 +00002013-07-24T11:53:14.661+04:00dlpбезопасностьбизнесразмышленияДве идеи для DLP-шников. Часть 1<div dir="ltr" style="text-align: left;" trbidi="on"><br>В <a href="http://anvolkov.blogspot.ru/2013/07/dlp.html" target="_blank">предыдущем посте</a> я обещал рассказать о том, что можно получить, применяя методы анализа больших объемов неструктуированной информации применительно к данным, генерируемым в информационных системах компании и накапливаемых в недрах DLP-систем, и как превратить DLP в инструмент, полезный не только "любителям подглядывать" и собирающим доказательную базу "оперативникам", но способным выдавать аналитику, крайне полезную и понятную как "безопасникам", так и бизнес-подразделениям с минимальной интерпретацией или без таковой. Обещания, как известно, надо выполнять, поэтому...<br><br></div><a href="http://anvolkov.blogspot.com/2013/07/dlp-1.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2013/07/dlp-1.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-3298154629926356855Wed, 17 Jul 2013 11:28:00 +00002013-07-17T16:03:19.357+04:00dlpбезопасностьбизнесразмышленияутечки информацииТри совета для DLP-шников<div dir="ltr" style="text-align: left;" trbidi="on"><br>В последние пару месяцев информационное ибэболото, мутное от яростного желания чиновников регулировать нерегулируемое, коричневое от персональных данных, дурно пахнущее всем, что начинается со слова "кибер-" и обрастающее свежей зеленью "облаков", "бьёдов" и прочей новомодной "тиной", с завидной регулярностью выплевывает наружу пару-тройку пузырей с гордой надписью "DLP" на борту: то вебинар какой, то публикация, то конференция... И мысли, вроде, говорят толковые, но приглядишься повнимательнее - баааа, да слышано-переслышано все это еще лет семь тому назад. По сути не изменилось ничего: лишь термины применяют другие да люди вещают новые. Одним словом - маркетинг. Вот, например, одна из таких презентаций, называется "<a href="http://80na20.blogspot.ru/2013/07/dlp.html" target="_blank">Задачи бизнеса и эволюция DLP</a>". О задачах бизнеса, скоропостижно мелькнувших в презентации, пока говорить не будем - на мой взгляд это совершенно бесполезное занятие, если их формулирует вендор. А вот про эволюцию поговорим.<br><br></div><a href="http://anvolkov.blogspot.com/2013/07/dlp.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2013/07/dlp.htmlnoreply@blogger.com (Anonymous)0tag:blogger.com,1999:blog-8600366776871499666.post-5908384456612611348Fri, 21 Jun 2013 04:57:00 +00002014-01-09T09:36:39.608+04:00безопасностьбизнесразмышленияKPI бессознательного: как продать безопасность<div dir="ltr" style="text-align: left;" trbidi="on"><br>Как и обещал <a href="http://anvolkov.blogspot.ru/2013/04/blog-post_13.html" target="_blank">в предыдущем посте</a>, на ежегодном мероприятии <a href="http://itsecurityforum.ru/" target="_blank">IT&Security Forum Kazan</a> я рассказал о том, как и чему пришлось учиться мне для того, чтобы правильно отвечать на вопрос "Зачем?". О превосходной организации форума я <a href="http://anvolkov.blogspot.ru/2012/06/blog-post.html" target="_blank">писал</a> еще в прошлом году - и в этот раз организаторы превзошли все мои ожидания: два доклада по полтора часа с великолепным техническим оснащением позволили получить массу положительных эмоций и мне, как спикеру, и аудитории.<br><br></div><a href="http://anvolkov.blogspot.com/2013/06/kpi.html#more">Читать далее...</a>http://anvolkov.blogspot.com/2013/06/kpi.htmlnoreply@blogger.com (Anonymous)0