четверг, 31 января 2013 г.

Что же будет с СТО БР ?

Не секрет что этот вопрос задали себе многие в прошлом году после внесения изменений в 152-ФЗ, введение нового закона "О национальной платежной системе", а также переходом Андрея Петровича Курило из ГУБиЗИ в Департамент, который будет заниматься вопросами безопасности платежей.  

На днях в BIS Journal вышла статья Олега Крылова, Начальника ГУБиЗИ, в которой он раскрывает планы ЦБ относительно СТО БР. 

Сама статья доступна для чтения здесь: http://www.journal.ib-bank.ru/pub/159

Из самого важного (кому лень читать :) )  можно выделить следующее:

ГУБЗИ предполагает проведение следующих мероприятий:
  • Используя полномочия Банка России, установленные в ч. 5 ст. 19 федерального закона «О персональных данных», определить отраслевую модель актуальных угроз безопасности персональных данных для организаций банковской системы Российской Федерации. Для этого планируется организовать работу с банковским экспертным сообществом, провести согласование модели угроз с ФСТЭК России и ФСБ России и ввести модель в действие нормативным актом Банка России.
  • После ввода в действие документов регуляторов в области обеспечения безопасности персональных данных, предусмотренных ч. 4 ст. 19 федерального закона «О персональных данных» (в первую очередь обновленной редакции Приказа ФСТЭК России № 58) провести актуализацию рекомендаций в области стандартизации «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации», включенных в состав Комплекса.
  • Провести работу по переподписанию Письма-обращения в кредитные организации об использовании организациями банковской системы Российской Федерации документов Комплекса для выполнения законодательства в области персональных данных (переподписание «Письма шестерых»).
Так что говорить, что СТО БР "умер" пожалуй более чем преждевременно. Поживем увидим. 

понедельник, 28 января 2013 г.

Перевод исследования Университета Карнеги-Меллон по инсайдерским рискам

Коллеги из бюро технических переводов Альянс ПРО совместно с ресурсом ISM:МАРКЕТ подготовили перевод исследования Университета Карнеги-Меллон по инсайдерским рискам, исходящим от доверенных партнеров (подрядчиков, аутсорсеров и проч.).

Оригинальный материал на английском языке доступен по этой ссылке: http://www.cert.org/archive/pdf/TrustedBusinessPartners1012.pdf

За переводом прошу сюда:

Интересный (хотя и в общем то понятный) факт из исследования:

Согласно данным этого анализа наиболее явно прослеживаются две схемы инсайдерских преступлений. Независимо от типа отношений с Организацией, Партнеры нетехнического профиля были гораздо более склонны к совершению мошенничества, чем к краже интеллектуальной собственности или к причинению вреда инфраструктуре ИТ. В двух третях инцидентов вред ИТ инфраструктуре причиняли индивидуальные Партнеры. В большинстве инцидентов с участием Партнеров преступления совершались мужчинами (84%), что несколько больше по сравнению с обычными инсайдерами (68%).


Кстати, на сайте Университета Карнеги-Меллон есть отдельный раздел, посвященный вопросу инсайдерских рисков. Так что за дополнительной информацией и полезными материалами прошу сюда:

пятница, 11 января 2013 г.

План проверок Роскомнадзора по теме персональных данных на 2013 г.

На днях Роскомнадзор опубликовал планы проверок по линии данного ведомства на 2013 год. 

Помимо прочего данный план содержит и проверки по части соблюдения закона "О персональных данных", всего около 1,5 тыс. проверок.

Оригинал плана в формате MS Word опубликован на сайте РКН


но помимо этого мы с коллегами из компании ЛЕТА обработали данный файл, оставили только проверки по части вопросов персональных данных и сделали файл в формате Excel


а также в виде веб-страницы данный план доступен на сайте проекта 152PRO

среда, 9 января 2013 г.

"Доска позора" для службы информбезопасности

Заходил сегодня в один обувной магазин рядом с домом и заметил, что у них на входе размещены снимки скрытой камерой тех, кто пытался что-то украсть в этом магазине (что-то вроде доски позора).

Не знаю насколько это распространенная практика в подобных магазинах, но я встречаю такое впервые.  Так вот этот случай подсказал мне интересную идею, которой и хочу поделиться с читателями блога.

А почему службы информационной безопасности не размещают на внутренних ресурсах организации информацию о различных санкциях, примененных к тем, кто нарушал политику безопасности ?  Не обязательно размещать все, но может быть самые показательные случаи и наиболее серьезные инциденты.

Понятно, что это не должно быть единственной мерой, т.к. все же не стоит формировать в умах сотрудников образ службы ИБ исключительно как карательного органа, но тем не менее информация о том, что нарушения фиксируются и по ним принимаются дисциплинарные воздействия может, на мой взгляд, охладить некоторые горячие головы. 

Сейчас я так понимаю все в лучшем случае сводится к какой-нибудь "показательной порке", которую запоминают только сослуживцы того, кого поймали. А остальные сотрудники, равно как и вновь принятые остаются в неведении.  Либо принимается решение уволить человека "по тихому", но это в свою очередь означает, что у остальных потенциальных нарушителей сохраняется ощущение, что их действия могут остаться незамеченными. 

У предложенной меры конечно есть свои недостатки, но есть и свои плюсы.

среда, 2 января 2013 г.

Новогодний подарок от Trend Micro

Посмотрел сегодня почту и обнаружил в ней вот такое сообщение:


Дело в том, что компания Trend Micro с самого начала по совершенно непонятным для меня причинам занесла ISM:МАРКЕТ в разряд вредоносных сайтов.  Еще в октябре месяце я отправлял им запрос с просьбой пересмотреть рейтинг ресурса, но без ответа. И вот наконец то. 

Спасибо, TM, что теперь не считаете Маркет вредоносным сайтом и не блокируете его. 

P.S. Если кто-то ранее сталкивался с блокировкой со стороны антивируса при посещении Маркета, то это не связано с наличием какого-либо вредоносного кода на сайте.