Новый порядок контроля за обработкой ПДн со стороны Роскомнадзора

На Едином портале для размещения информации о разработке федеральными органами исполнительной власти проектов нормативных правовых актов и результатов их общественного обсуждения опубликован проект документа: 

Постановление Правительства Российской Федерации «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации»
Алексей Волков уже представил свое краткое, но довольно яркое видение последствий принятия этого документа - http://anvolkov.blogspot.ru/2015/05/blog-post.html#.VVjICdPtmko

Я же со своей стороны хотел бы привести в этой заметке наиболее важные выдержки из документа.  Так что если вам некогда читать весь документ, то обратите внимание хотя бы на это.  Обозначением "...." определяется что часть оригинального текста пропущена.

....

3. Деятельность по осуществлению государственного контроля и надзора подразделяется на плановую и внеплановую и осуществляется посредством проведения плановых и внеплановых проверок, а также мероприятий систематического наблюдения.

7. Внеплановые проверки проводятся на основании решения руководителя (заместителя руководителя) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа, принятого: 

7.1. в случае истечения срока исполнения .... предписания об устранении выявленного нарушения;

7.2. по результатам рассмотрения обращений граждан, поступивших в Федеральную службу...при условии:

7.2.1. наличия материалов, подтверждающих факт нарушение их прав, определенных статьями 14-17 Федерального закона от 27 июля 2006 г. №152-ФЗ ...... за исключением случаев, не порождающих юридические последствия для субъекта персональных данных, установленных статьей 16.

7.2.2. непредставления ...... информации по запросу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа в сроки, установленные частью 4 статьи 20 Федерального закона.

7.3. поступления в Федеральную службу .... информации от органов государственной власти, органов местного самоуправления и средств массовой информации о подтвержденных фактах нарушения законодательства Российской Федерации, допущенных при обработке персональных данных.  

7.4. в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации.

7.5. в случае нарушения ...... требований законодательства Российской Федерации в области персональных данных, выявленного по итогам мероприятий систематического наблюдения в области персональных данных.

7.6. на основании подтвержденного факта несоответствия сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности государственного органа, органа местного самоуправления, юридического лица, физического лица.

7.7. в случае неисполнения требования Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа об устранении выявленного нарушения требований в области персональных данных. 7.8. на основании представления (требования) органа прокуратуры о проведении внеплановой проверки.

9. Должностные лица Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций .... вправе:
...

9.5. получать доступ к информационным системам персональных данных для оценки законности деятельности по обработке персональных данных, в том числе, на предмет соответствия содержания, объема, способов обработки, сроков хранения обрабатываемых персональных данных целям их обработки.

9.7. в пределах своей компетенции проверять и оценивать достаточность принятых государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом мер для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».

Для оценки и анализа вышеуказанных мер, принятых государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом, могут привлекаться эксперты и (или) экспертные организации, аккредитованные в порядке, установленном Федеральным законом от 28 декабря 2013 г. № 412-ФЗ «Об аккредитации в национальной системе аккредитации». 

20. О проведении внеплановой выездной проверки государственный орган, орган местного самоуправления, юридическое лицо, физическое лицо уведомляется не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом.

24. Должностными лицами в пределах своей компетенции проводится проверка:

24.1. деятельности ..... по обработке персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации, на предмет ее соответствия требованиям законодательства Российской Федерации в области персональных данных;

24.2. документов, локальных актов, а также принятия государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом мер, указанных в части 1 статьи 18.1 Федерального закона «О персональных данных»;

24.3. исполнения государственными и органами местного самоуправления обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, установленных Правительством Российской Федерации.

24.4. информационных систем персональных данных и содержащейся в них информации в части, касающейся обработки персональных данных субъектов персональных данных.

36. Документарные проверки осуществляются посредством анализа документов и информации, полученных от государственного органа, органа местного самоуправления, юридического лица, физического лица по письменным запросам Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов (далее - запрос).

45. .... В случае если после рассмотрения представленных пояснений и документов либо при отсутствии пояснений Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальный орган установят признаки нарушения обязательных требований, установленных нормативными правовыми актами в области персональных данных, должностные лица ... вправе провести выездную проверку.

46. Решение о проведении выездной проверки также может быть принято в случаях, если государственный орган, орган местного самоуправления, юридическое лицо, физическое лицо не представил запрашиваемые документы в установленные законодательством Российской Федерации сроки.

47. Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения государственного органа, органа местного самоуправления, юридического лица, физического лица и (или) по месту фактического осуществления им деятельности по обработке персональных данных.

48. Предметом выездной проверки являются содержащиеся в документах государственного органа, органа местного самоуправления, юридического лица, физического лица сведения и принимаемые им меры по исполнению обязательных требований, установленных нормативными правовыми актами в области персональных данных.

60. В случае выявления по результатам проверки нарушения требований законодательства Российской Федерации в области персональных данных, государственному органу, органу местного самоуправления, юридическому лицу, физическому лицу, вместе с актом, выдается предписание об устранении выявленных нарушений.

71. Мероприятия систематического наблюдения в области персональных данных проводятся на основании:

71.1. плана деятельности Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и плана территориального органа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций на текущий календарный год;

71.2. поручения Президента Российской Федерации, Правительства Российской Федерации, поручения Руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций;

71.3. обращения государственного органа, органа местного самоуправления, юридического лица, физического лица, публикаций средств массовой информации о нарушении прав и законных интересов субъекта (субъектов) персональных данных и (или) нарушения требований законодательства Российской Федерации.

75. При выявлении нарушений (признаков нарушения) законодательства Российской Федерации в области персональных данных в адрес ... лица направляется требование об устранении выявленного нарушения в срок, не превышающий десять календарных дней, с последующим информированием Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа об исполнении требования.

77. В случае, если неисполнение требования об устранении выявленного нарушения требований законодательства Российской Федерации в области персональных данных нарушает права и законные интересы субъекта (субъектов) персональных данных в отношении государственного органа, органа местного самоуправления, юридического лица, физического лица, не выполнившего указанное требование, Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальным органом проводится внеплановая проверка в порядке, установленным настоящим Положением.

78. Анализ и оценка состояния исполнения требований законодательства Российской Федерации при осуществлении .... деятельности по обработке персональных данных осуществляется .... на основании представленных в инициативном порядке .... документов, локальных актов и иной информации, подтверждающих выполнение требований законодательства Российской Федерации.

81. По итогам проведенного анализа и оценки состояния исполнения требований законодательства Российской Федерации .... направляется письмо с итоговой информацией с заключением о соответствии деятельности .... по обработке персональных данных законодательству Российской Федерации в области персональных данных либо в случае наличия фактов несоответствия представленных документов, локальных актов и информации законодательству Российской Федерации в области персональных данных, с требованием об устранении выявленных нарушений.

82. Требование об устранении выявленных нарушений подлежит исполнению в срок, не превышающий десять календарных дней с момента получения письма с требованием об устранении выявленных нарушений, с последующим информированием Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа об исполнении требования.

Обучение по PCI от LiquidNexxuss

Мои хорошие знакомые из компании LiquidNexxuss поделились новостью что недавно они получили аккредитацию в PCI Council и теперь являются чуть ли ни единственными (тут не уверен конечно, скорее всего есть еще кто-то), кто может проводить официальные тренинги по направлениям PCI ISA (PCI Internal Security Assessor)  and PCIP (PCI Professional).  

Конечно у стандарта PCI DSS в России очень трудная судьба, так он и не выстрелил как должен был, но тем не менее вопрос для некоторых все еще довольно насущный, так что если интересен тренинг, то обращайтесь в LiquidNexxuss или можете ко мне (но в виду моей занятости лучше все же напрямую к коллегам).

Все тренинги понятно дело на английском языке да к тому же еще и не в России. Но это же замечательная возможность (если конечно денег в такое непростое время дадут), и обучиться и страну другую посмотреть, тем более такую экзотическую как Нигерия или Бахрейн :) 

• PCI Professional (PCIP) ™ - Lagos
  
  Tuesday 14th & Wednesday 15th April 2015, Lagos, Nigeria
• PCI Internal Security Assesor (ISA) - Lagos
  
  Thursday 16th & Friday 17th April 2015 - Lagos, Nigeria ​
• PCI Professional (PCIP) ™ - Istanbul
  
  ​Tuesday 28th & Wednesday 29th April 2015 - Istanbul, Turkey
• PCI Internal Security Assesor (ISA) - Istanbul
  
  Thursday 30th April & Friday 1st May 2015, Istanbul, Turkey
• PCI Professional (PCIP) ™ - Manama
  
  ​Tuesday 26th & Wednesday 27th May 2015, Manama, Bahrain
• PCI Internal Security Assesor (ISA) - Manama
  
  ​Wednesday 2​7th & ​Thursday 2​8th May 2015 - Manama, Bahrain
• PCI Professional (PCIP) ™ - Split
  
  Tuesday16th June & Wednesday 17th June, Split, Croatia
• PCI Internal Security Assesor (ISA) - Split 2015
  
  Thursday 18th & Friday 19th June Split, Croatia
• PCI Professional (PCIP) ™ - Joburg
  
  Tuesday 25th & Wednesday 26th August 2015, Joburg, South Africa
• PCI Internal Security Assesor (ISA) - Joburg 2015
  
  Thursday 27th & Friday 28th August 2015 - Johannesburg, South Africa
• PCI Professional (PCIP) ™ - Lagos 2
  
  Tuesday 22nd & Wednesday 23rd September 2015 - Lagos, Nigeria
• PCI Internal Security Assesor (ISA) - Lagos 2
  
  Thursday 24th & Friday 25th September 2015 - Lagos, Nigeria ​
• PCI Professional (PCIP) ™ - Istanbul
  
  ​Tuesday 6th & Wednesday 7th October 2015 - Istanbul, Turkey
• PCI Internal Security Assesor (ISA) - Istanbul
  
  Thursday 8th & Friday 9th October 2015, Istanbul, Turkey

Вебинар по управлению активами с использованием R-Vision:Asset Manager

Управление активами в рамках обеспечения информационной безопасности - задача непростая, но заниматься ей приходится всем.  Давайте подискутируем об этом !

Приходите на наш вебинар, который состоится завтра в 10:00 по Московскому времени:

Ссылка на регистрацию — https://attendee.gotowebinar.com/register/5653774916252728322

45-ый выпуск журнала (IN)SECURE

Вышел в свет очередной выпуск журнала (IN)SECURE. Содержимое номера:

• How do we ensure the Security of Things in light of the Internet of Threats ? 

• Security and compliance: A balancing act of inequalities

• Which kind of security professional are you?

• The derived credential: delivering digital security to a mobile world

• Declaring personal data bankruptcy and the cost of privacy

• Total threat protection: Myth and reality

• DevOps vs security: Can Docker make a difference?

• Best practices for securing PoS systems

• Challenges faced by global network professionals

• Who are the role models in cyberspace?

• Tackling today's authentication complexities

Новости проекта R-Vision

Коллеги, хочу анонсировать несколько новостей проекта R-Vision. 

Дайджесты информационной безопасности. Мы переместили их с площадки маркета на наш обновленный веб-сайт - https://rvision.pro/blog/. Если вы не пользуетесь RSS и хотите получать рассылку на почту, то зарегистрируйтесь в форме по этой ссылке - http://eepurl.com/BpV9X.

Мероприятия.  В ближайшее время у нас запланировано несколько вебинаров, на которые я хотел бы пригласить всех желающих. Ближайшее мероприятие 12 марта будет посвящено вопросам инветаризации и управления активами. Мы покажем возможности модуля Asset Manager. Подробности тут - https://rvision.pro/events/. 

Блог компании.  Блог компании также переехал на новый сайт и теперь доступен по ссылке https://rvision.pro/blog/. Мы будем стараться выкладывать там интересные материалы, как минимум те же дайджесты. Заходите, читайте, подписывайтесь. 

P.S. Проект ism:маркет пока приостановлен. все материалы останутся доступны на сайте, мы сейчас прорабатываем несколько идей по реинкарнации этого сервиса, так что следите за новостями :).

Сравнение BIA, TRA и PIA

Нашел очень неплохой материал по сравнению трех дисциплин, в информационной безопасности: BIA (оценка влияния на бизнес), TRA (оценка угроз и рисков), PIA (оценка влияния на соблюдение требований о защите частной жизни). Материал на английском, переводить к сожалению некогда, так что выкладываю в оригинале:

1. GOALS

BIA (Business Impact Analysis) – “to identify and prioritise the department’s critical services and assets.”

PIA (Privacy Impact Analysis) – “to ensure that privacy is considered throughout the design or re-design of projects and services” and provide “assurance that all privacy issues have been identified and resolved or mitigated.”

TRA (Threat and Risk Assessment) – “to determine the necessity of safeguards beyond baseline levels.”

In short, all three processes involve an element of analysis in support of recommendations for future action to address various risks. With a BIA, the prioritized list of critical services and assets provides an objective basis for selecting suitable BCP plans, measures and arrangements to address availability risks. In a similar fashion, the PIA helps responsible authorities make fully informed policy, system design and procurement decisions to avoid or mitigate privacy risks. Finally, the TRA identifies unacceptable risks to employees, assets and service delivery, and recommends additional safeguards beyond baseline controls to achieve cost-effective security solutions.

2. SCOPE

Although the BIA, PIA and TRA are complementary analytical methods for assessing and ultimately mitigating various risks, the scope of the three activities can differ significantly. 

TRA

In general, the TRA tends to encompass a broader array of assets and asset values than either the BIA or PIA. Depending upon the subject of the assessment, a TRA might analyze risks to all assets (tangible, intangible, personnel and services) and asset values (confidentiality, integrity and availability), as illustrated in figure below. 

BIA

In order to identify critical assets and services, the BIA concentrates on the availability and, to a lesser extent, integrity values of assets whose compromise (unauthorized destruction, removal, modification, interruption or use) could cause a high degree of injury. Of course, confidentially concerns must be addressed during the subsequent selection and implementation of BCP plans, measures and arrangements, but assets with high and very high availability values remain the primary focus of a BIA, as illustrated in figure below.

PIA

The PIA only applies to programs and services that handle personal information, an important but limited subset of tangible assets. Other information, facilities, personnel, services and intangible assets generally fall outside the scope of assessment. Unlike the BIA, however, the PIA considers all three dimensions of asset value, assessing risks to confidentiality and integrity as well as availability, as illustrated in figure below. 

3. ANALYTICAL PROCESSES

BIA

The BIA is the second of five elements in a complete BCP program described in section 10.14 of the GSP. The others include BCP governance, BCP plans and arrangements, BCP program readiness, and continuous review testing and audit. Section 3.2 of the Operational Security Standard – Business Continuity Planning (BCP) Program identifies five steps within the BIA to establish a sound basis for subsequent recommendations regarding appropriate BCP plans, measures and arrangements. As indicated in table below, these five steps (identify business lines/services, determine impact of disruptions, assess high level injuries, identify/prioritize critical services, and obtain management approval) correspond closely to the Data Analysis component of a PIA and the Asset Identification/Valuation Phase of a TRA. Thus, the BIA by itself is a more tightly constrained activity than either the PIA or the TRA. That being said, other elements of a complete BCP Program, such as the selection of BCP plans and arrangements, match the Conclusion and Path Forward portion of a PIA and the Recommendations Phase of a TRA to establish closer parallels. Finally, a BCP Program has no equivalent to the Threat Assessment and Risk Assessment Phases of a TRA because the inevitability of disruptive threat events is an underlying assumption throughout the analytical process.

PIA

The Privacy Impact Assessment Guidelines: A Framework to Manage Privacy Risks prescribe a four-step PIA process: (1) Project Initiation; (2) Data Analysis; (3) Privacy Analysis; and (4) Privacy Impact Assessment. An examination of the subordinate activities within each step reveals that Project Initiation is substantially the same as the Preparation Phase of a TRA. Data Analysis corresponds closely with the Asset Identification and Valuation Phase. As with the BIA, there is no equivalent to the Threat Assessment Phase, but Privacy Analysis is similar to the Risk Assessment and Recommendation Phases of a TRA. Thus, the purpose and scope of a PIA are certainly more focused than those of a TRA, but there remains a strong resemblance between the analytical processes to assess and mitigate risks. 

TRA

With its unique Threat Assessment Phase and a more explicit Vulnerability Assessment, a typical TRA tends to be longer with many more details than either the BIA or PIA. Nevertheless, the Calculation of Residual Risk and Recommendations Phase map very well with the Privacy Impact Assessment step of a PIA and the BCP Plans and Arrangements element of a BCP Program. As noted above, these relationships are illustrated in table below.

4. INPUTS AND OUTPUTS

BIA/PIA as Inputs to a TRA

Both the BIA and PIA can be valuable inputs to a TRA project, especially the Asset Identification and Valuation Phase, as indicated in sections 5.4.6 and 5.5.1 of Annex A. The response to questionnaires A and B in the Privacy Analysis step of a PIA can also provide useful information for the Vulnerability Assessment, as can the mitigating factors or safeguards specified in the final step of the PIA. 

TRA as an Input to a BIA/PIA

In the absence of either a BIA or PIA, the data collected during a TRA project may be culled to produce the other related documents, especially if this objective is clearly identified at the outset. For example, the Statement of Sensitivity in a TRA report should provide enough information to compile both a BIA and the Data Analysis step of a PIA. Then, the Vulnerability Assessment and Recommendations Phase should contain a thorough analysis of availability safeguards, including BCP plans and arrangements, the third element of a complete BCP program. Similarly, the information collected for the Vulnerability Assessment should address most of the questions in Questionnaires A and B of the Privacy Analysis step of a PIA, especially those related to the following privacy principles: (5) disclosure and disposition; (6) accuracy of personal information; (7) safeguarding personal information; and (9) individual’s access to personal information.

Непростой 2015-ый

Всем привет !  Хотел немного написать про наступающий 2015-ый. Прогнозов уже сделано немало. Как обычно они изобилуют разного рода страшилками, причем конечно же все производители видят среди актуальных проблем именно те, которые (как необычно) как-то связаны с их разработками. 

Я предсказаний в этот раз делать не буду. В конечном счете все будет хорошо, в самом крайнем случае - нет. :)   В первом посте в этом году я хотел бы поговорить о том качестве, которое как мне кажется, будет необходимо тем, кто отвечает за информационную безопасность в компаниях, работающих в России. 

В общих словах я бы назвал его "Умение правильно расставлять приоритеты". Глядя по сторонам, общаясь с клиентами, партнерами и просто знакомыми безопасниками я вижу 2 тенденции: 

1) все плохо, денег нет, будущее ужасно

2) ситуация плохая, но бизнес развивается, так что "работаем, ребята !" 

И в том и в другом случае умение правильно расставить приоритеты будет определяющим. 

Если сокращается бюджет, уходит персонал, приостанавливаются проекты, то тут само сабой приходится фокусироваться на наиболее приоритетных вещах, для кого-то это будет преславутый 152-ФЗ, а для кого-то возможно и вопросы мошенничества или внешней кибер-атаки. Но надо не только понять от чего из того, что планировалось надо будет отказаться, но и (что более важно) посмотреть на то что уже было сделано и возможно пересмотреть подходы к безопасности.  В "тучные" годы бизнес мог давать серьезные бюджеты, которые уходили на масштабные проекты DLP, SIEM и проч., которые возможно в конечном итоге и не взлетали. Некоторые такие проекты превращаются в "чемодан без ручки", вроде как бросить жалко, сам же продвигал, выбивал у руководства деньги, но и нести дальше становится проблематично, т.к за поддержку надо платить, человеческий ресурс к работе с системой привлекать и проч. Признаваться честно в своей ошибке руководству или просто "слить" проект под то, что надо урезать бюджеты каждый выбирает сам, но понять "что мы сейчас делаем не так" не менее важно чем "что надо сделать". 

Если же ваша ситуация относится к п. 2), все хорошо, непросто, но в целом нормально, бизнес растет, отъедая доли слабеющих конкурентов, то тут умение правильно расставить приоритеты может помочь показать бизнесу реальную полезность (или как минимум реальную необходимость) информационной безопасности. А заслуги, добытые в кризисные времена запоминаются значительно дольше чем успехи, когда все идет в гору. Покажите эффективность, рачительное расходование бюджета, отдачу от инвестиций, реальный результат за вложенные деньги. Это запомнится и пойдет вам в плюс (и в резюме если решите менять работу когда кризис кончится).

P.S. Кстати, в начале этого года я запустил еще один блог, связанный с тем, что начинает занимать все бОльшую часть моей жизни - предпринимательство. Заходите, подписывайтесь, читайте, комментируйте - блог Business Case. 

Мои 5 копеек про конференции ИБ

Осень в разгаре, бОльшая часть мероприятий по информационной безопасности уже отгремела (с разным успехом), и надо сказать что общий тон отношения к качеству их проведения у коллег несколько сместился в положительную сторону. Несмотря на то что, во многом я склонен с ними согласиться, я хотел бы отметить один факт, который на мой взгляд сказывается все же на качестве конференций. 

По отзывам я могу сказать, что реально улучшилась "тусовочная" составляющая мероприятий, т.е это возможность встретиться и пообщаться с разными людьми, с кем в суматохе дней встретится не удается. Но ведь это же далеко не вся составляющая конференции, правда ?  Есть же еще выступления спикеров, об этом и хочу поговорить. 

В силу того, что в своем нынешнем качестве мне приходится активно вовлекаться в две различные области: информационную безопасность и разработку программного обеспечения, я так или иначе в том числе участвую и в мероприятиях, посвященных вопросам разработки ПО и могу, что называется, сравнивать. 

Отличительной особенностью многих конференций по разработке является то, что там с докладами выступают люди, которые непосредственно занимаются теми вопросами, о которых они рассказывают (т.е они не предлагают какие-то услуги для аудитории конференции), т.е по сути делятся личным опытом.  Конечно же на рынке разработки ПО значительно меньше компаний, которые оказывают какие-либо услуги или предлагаю какие-то продукты, которые ориентированы на разработчиков, но тем не менее они есть, но они как правило не превалируют в сетке докладов.  Ниже я привожу данные по довольно популярной конференции Agile Days:

* Сразу оговорюсь что т.к. никакой собирательный термин мне придумать не удалось, я использую термин "Представители заказчиков" для отображения количества докладов от тех, кто не предлагает каких-либо услуг, а к "Представители интеграторов" отношу доклады всех тех, кто представляет компании, предлагающие услуги по консалтингу, обучению, интеграции и проч. В расчете не участвуют круглые столы и панельные дискуссии. В строке "Прочие" я указываю доклады от представителей регуляторов, сообществ, ассоциаций и т.п. В строке "% представителей интеграторов" показывается процент докладов от представителей интеграторов в общем количестве докладов.

Общее количество докладов	64
Представители заказчиков	34
Представители интеграторов	25
Прочие	5
% представителей интеграторов	39 %

А теперь давайте для сравнения посмотрим на три ИБ-конференции: IT & Security Forum (Казань), BIS Summit, Код информационной безопасности (Казань).

IT & Security Forum

Общее количество докладов	47
Представители заказчиков	1
Представители интеграторов	46
Прочие	0
% представителей интеграторов	98 %

BIS Summit

Общее количество докладов	24
Представители заказчиков	3
Представители интеграторов	20
Прочие	1
% представителей интеграторов	83 %

Код информационной безопасности (Казань)

Общее количество докладов	22
Представители заказчиков	0
Представители интеграторов	22
Прочие	0
% представителей интеграторов	100 %

Ну в общем цифры говорят сами за себя.  Какие выводы я хотел бы из этого сделать. 

1) Я не выступаю против вендорских/интеграторских докладов. Я сам теперь представляю разработчика, но я считаю что на сцене должны быть те, кому действительно есть что сказать и кого интересно послушать по конкретной теме (не важно кого он представляет). И если среди выступающих будет больше людей, которые будут рассказывать про собственные успехи и неудачи, от этого глобально выиграет все сообщество.  Пора перестать уже все скрывать, действуя по старому и неработающему принципу security through obscurity.

2) Многие западные конференции (и аналогичную практику я вижу в конференциях по разработке ПО) задолго до начала организуют сбор заявок на выступления (Call for Papers), это значит что потенциальные спикеры заранее презентуют концепт и суть своего выступления, а организаторы выбирают то, что как им кажется будет интересно их аудитории. Думаю что такой подход стоит перенять.

3) Организаторам конференций надо уже принять волевое решение и отказаться от порочной практики предоставления докладов как части спонсорских пакетов. Возможность участия в конференции должно определяться исключительно тем, что спикер готов дать интересный для аудитории  контент. Интересный контент и возможность услышать чужой опыт обязательно привлекут аудиторию, а вендоры/интеграторы готовы будут заплатить за то, чтобы быть там, где есть хорошая аудитория.  Лично я готов платить за то, чтобы просто быть со стендом там, где действительно качественный контент в докладах и серьезная аудитория в зале.

P.S. Не надо думать что в текущей ситуации я виню только организаторов, надо сказать, что найти тех, кто мог бы поделиться ценным опытом выполнения проектов и готов об этом рассказывать, оооочень сложно. Кто-то стесняется публичных выступлений, кто-то считает что про безопасность надо рассказывать поменьше, кто-то не хочет утруждать себя излишней общественной нагрузкой. В общем со спикерами беда и это уже вопрос к нашему экспертному сообществу.  Отчасти это можно было бы решить платой за выступления самим спикерам, но это не всегда работает и не факт что поможет.

У безопасника должна быть карта сети !

Очень часто к сожалению приходится сталкиваться с ситуацией когда в организациях нет актуальных данных по инфраструктуре, они либо вообще отсутствуют, либо существуют в каких-то системах инвентаризации у ИТ-шников, в которых очень часто, как говорится, "черт ногу сломит". 

А как можно обеспечивать защиту того, о чем у тебя нет детальных сведений ? Можно конечно, только это рождает ряд объективных сложностей и рисков.

Мы в команде R-Vision считаем, что эту проблему можно и нужно решать и именно поэтому мы в течение всего 2014 года вели разработку нового модуля по инвентаризации и визуализации данных об инфраструктуре.

Результаты нашей работы мы представим на вебинаре 11 ноября в 10:00.  Приходите !

Подробности и регистрация тут - https://rvision.pro/event/vebinar-asset-manager/

Количество участников (к сожалению) ограничено.

Моя статья для БДИ на тему управления рисками ИБ

В недавно вышедшем номере журнала "!Безопасность деловой информации" опубликована моя статья, которую я написал совместно с коллегами, занимающимися вопросами управления рисками ИБ в компаниях, в которых они сейчас трудятся.

Журнал можно свободно скачать по ссылке - http://bis-expert.ru/bdi

Далее размещаю текст статьи. 

Риск-менеджмент – живой и мертвый

Александр Бондаренко, генеральный директор R-Vision

В теории нет разницы между теорией и практикой,
а на практике она есть. 

Йоги Берра, американский бейсболист

Об оценке и управлении рисками говорится много, но реально работающий, «живой» процесс управления рисками ИБ встречается довольно редко. Чаще такая деятельность либо вообще не ведется, либо оказывается «мертвой»: она, вроде как, есть, но ее результаты, да и само ее существование мало кого интересуют. Мы рассмотрим ключевые особенности, отличающие «живой» процесс управления рисками ИБ от «мертвого», и познакомимся с опытом руководителей, которым удалось добиться неплохих результатов при реализации таких процессов.

Поддержка руководства

Вполне очевидно, что без поддержки руководства сложно вводить в компании любые изменения, связанные с обеспечением информационной безопасности. Для многих специалистов это соображение служит поводом для того, чтобы и не пытаться что-либо сделать, пока не поступит указание сверху. Однако в таких случаях ждать приходится, за редким исключением, очень долго.

Гораздо более правильно – проявлять инициативу снизу, со стороны службы ИБ, но выступать с такой инициативой надо лишь после ее детальной проработки. Кроме того, нужно четко сформулировать, какие преимущества даст нововведение для управления конкретной компанией (сокращение расходов, прозрачное планирование и др.). Фактически, задача состоит в том, чтобы «продать» руководству идею: применительно к теме нашего обсуждения такая идея – необходимость риск-ориентированного подхода. Решение задачи значительно облегчается, если в качестве аргумента «безопасник» упоминает о необходимости соответствия законодательным или отраслевым требованиям. Правда, если этот аргумент является единственным, то есть большой шанс свести всю деятельность к формальной процедуре.

Очевидно, что развитие информационной безопасности невозможно без процесса управления рисками. Бизнес готов инвестировать средства в обеспечение ИБ, но без четкого представления о ценности информационных активов и об имеющихся рисках для ИБ это – бесполезное, неэффективное мероприятие. В нашем банке, как и в любой другой кредитной организации, риск-менеджменту уделяется достаточно большое внимание, тем более что есть соответствующие рекомендации Банка России.

Изначально в Ханты-Мансийском Банке внедрение процесса риск-менеджмента ИБ было инициативой службы информационной безопасности. Помимо всего прочего это обуславливалось необходимостью выполнения требований законодательства, стандартов PCI DSS и СТО БР.

Дмитрий Морев, начальник Управления информационной безопасности Ханты-Мансийского Банка

Интеграция с бизнесом

Правильно работающий бизнес – это живой организм, функционирующий как единая система. Любой процесс, который не сообщается с другими, заранее обречен на отмирание либо на существование с помощью искусственного стимулирования. Все это относится и к управлению рисками ИБ. Интеграция может быть обеспечена несколькими путями:

• результаты оценки рисков используются для получения определенных бизнес-результатов (снижение размеров страховых премий, повышение финансовых рейтингов, соблюдение требований, необходимых для реализации соответствующего бизнес-проекта, и др.); 

• результаты оценки рисков ИБ включаются в общую карту рисков и рассматриваются топ-менеджментом наравне с другими общекорпоративным рисками. 

Развитию риск-менеджмента в нашей компании способствовал, в том числе, ежегодный внешний аудит международного рейтингового агентства Fitch Ratings. В ходе аудита за 2013 г. были запрошены завизированные руководством документы, подтверждающие использование риск-менеджмента. Мы эти документы сразу предоставили, причем даже с доказательствами их практической реализации. И когда нам повысили международный рейтинг с «B+» до «ВВ-», а национальный – с уровня «A(rus)» до «A+(rus)», статус документов ИБ, передаваемых аудиторам, вырос. Соответственно, вырос и статус рискового подхода к управлению информационной безопасностью.

Андрей Ерин, директор Департамента информационной безопасности «Carcade Лизинг»

Подходящая методика

Применяемая методика оценки рисков в значительной степени определяет трудоемкость деятельности по оценке и управлению рисками. В том случае, когда оценка рисков ИБ проводится в контексте общекорпоративного управления рисками, используемые подходы должны быть совместимы с общей методикой оценки рисков. Если же такой необходимости нет, методика выбирается на основе возможностей и опыта специалистов, которым поручено проводить оценку.

При выборе методики оценки рисков можно порекомендовать взять какую-то из уже существующих за основу и адаптировать ее под собственные нужды с учетом устоявшихся особенностей работы организации и ее корпоративной культуры. Не следует изначально пытаться выстраивать сложные модели – с большой долей вероятности ничего не получится. Развивать и усложнять методологию имеет смысл только по мере накопления внутренней компетенции, а начинать лучше с максимально простой методики.

Несмотря на обилие методик оценки рисков (одно из немногих исследований на данную тему, проведенное в 2006 г. европейским агентством ENISA, выявило их более десятка – https://www.enisa.europa.eu/activities/risk-management/files/deliverables/inventory-of-risk-assessment-and-risk-management-methods), все они предлагают проводить оценку по очень схожим алгоритмам. Различия между методиками состоят лишь в некоторых методических деталях.

В нашей компании риски ИБ рассматриваются в совокупности с другими общекорпоративными рисками и включаются в общую карту рисков. Ее отправляют на рассмотрение в комитет, состоящий из топ-менеджеров компании во главе с генеральным директором. Ключевые риски также рассматриваются советом директоров.

В качестве основы формирования общекорпоративной системы управления рисками мы использовали модель COSO. В ее рамках была разработана адаптированная методика оценки рисков ИБ, отвечающая потребностям нашей организации, законодательным и отраслевым требованиям (SOX, PCI DSS, СТО БР, 152-ФЗ и др.). Оценка проводится в экспертном режиме, а результаты выражаются в качественных оценках, которые по определенным правилам могут быть трансформированы в денежные величины.

Денис Персанов, Compliance and Risk Management, QIWI

Ограниченное применение

Риск-менеджмент – это инструмент ограниченного применения, и использование его для всех активов/процессов компании напоминает пальбу из пушки по воробьям. В большинстве случаев основные риски видны и без применения какой-либо специальной методики (что, кстати, порождает скепсис в отношении необходимости риск-менеджмента как такового), а для их минимизации достаточно реализовать ряд базовых защитных механизмов (как правило, 5–6 мер обеспечивают минимизацию до 80% угроз).

Именно поэтому риск-менеджмент следует применять только для наиболее критичных активов или проектов. Это позволяет сконцентрироваться на том, что действительно важно, а для всего остального может быть реализована базовая политика безопасности, основанная на лучших практиках либо на законодательных/отраслевых требованиях.

Другой вариант – реализация многоуровневого подхода. В таком случае подбираются разные степени детализации (а возможно, и методики) оценки рисков для разных активов/процессов компании. Это дает возможность, с одной стороны, реализовать риск-менеджмент в том или ином объеме в отношении всех возможных объектов, а с другой, не перегрузить ответственных лиц непомерным объемом работы.

Процесс управления рисками ИБ у нас уже внедрен, но полностью задокументирован и утвержден только для некоторых бизнес-процессов. В рамках этих процессов мы стараемся максимально приблизиться к требованиям стандарта ISO 27001. В остальной же части компании оценка рисков ИБ применяется для общего планирования деятельности и годового бюджетирования департамента ИБ. Различия заключаются в применяемых методиках оценки рисков и в степени детализации.

В первом случае мы абсолютно уверены в том, что все активы в процессах учтены, что мы знаем все уязвимости, угрозы и вероятность их реализации. В рамках оценки мы переводим качественные показатели (экспертное мнение и статистика инцидентов) в количественные и выводим конечное значение критичности соответствующего риска с применением математического аппарата. Таким образом, мы уменьшаем влияние субъективного мнения экспертов.

Во втором случае, общем для компании, мы выделили только наиболее критичные информационные активы и только наиболее значимые риски – на основе экспертных оценок владельцев активов, без математических расчетов при оценке рисков. Этой приблизительной оценки хватает для понимания того, к какой зоне критичности относится тот или иной риск ИБ и какие средства необходимо выделить для его смягчения.

Андрей Ерин, директор Департамента информационной безопасности «Carcade Лизинг»

Сокращение ресурсных издержек

Тратить много времени на оценку рисков – непозволительная роскошь. А в современных условиях, когда внешние и внутренние факторы могут меняться буквально за несколько дней или даже часов, лучше проводить оценку рисков пусть и с меньшей точностью, но чаще и оперативнее.

А значит, этот процесс нуждается в максимальной оптимизации. Вариантов ее обеспечения не так уж и много:

• привлечение стороннего консультанта, который возьмет на себя бОльшую часть работы. Этот вариант возможен, если у вас достаточно денег для регулярного (ведь такая работа не является разовой) привлечения внешних ресурсов и если вы готовы изначально инвестировать определенный временной ресурс на поиски подходящего внешнего подрядчика (возможно, придется сменить нескольких) и выработку с ним модели взаимодействия; 

• формализация и автоматизация деятельности по оценке и управлению рисками ИБ. Данный вариант возможен, если процесс управления рисками удается внедрить как регулярную и принятую всеми задействованными сторонами практику (что вполне возможно при достижении хороших результатов по всем описанным нами направлениям). Однако в этом случае потребуется либо приобрести готовое программное решение для автоматизации процесса управления рисками, либо создать собственное – силами своего ИТ-подразделения или, опять-таки, с привлечением внешнего подрядчика. 

Пересмотр карты рисков в нашей компании осуществляется на регулярной основе. Делается это для того, чтобы не упустить из виду вновь возникающие риски (а ведь внешние обстоятельства и внутренняя среда порой меняются очень быстро). С учетом карты рисков и решений, принимаемых на ее основе руководством компании, формируется стратегия обеспечения информационной безопасности и составляются соответствующие планы.

Денис Персанов, Compliance and Risk Management, QIWI

Конечно, от оптимизации можно отказаться, если вы располагаете мощным ресурсом – отдельным подразделением, задачей которого является оценка и управление рисками, в том числе рисками информационной безопасности (на практике такое встречается, хоть и не очень часто). Отказ от оптимизации возможен и в том случае, когда наличие риск-менеджмента обусловлено исключительно желанием обеспечить формальное соответствие имеющимся законодательным или отраслевым требованиям. В такой ситуации переоценка рисков может проводится раз в один-два года, и оптимизация не принесет существенной выгоды (хотя все равно не будет лишней).

В своей практике я часто сталкивался с попытками разных организаций проводить оценку рисков ИБ. Делалось это, как правило, в рамках аудита. Результат фиксировался и жил в неизменном виде по несколько лет, хотя многие процессы внутри компании кардинально менялись. Актуализация осуществлялась лишь при проведении нового аудита или смене команды. К сожалению, так бывает очень часто. Возможно, это связано с отсутствием удобной технологии или методологии, позволяющей актуализировать ИБ-риски для каждого изменения. Однако в большей степени это обусловлено тем, что управление рисками является требованием регулятора, которому важно видеть отчет, а не «живой» процесс.

Если я все же встречал «живые» процессы управления рисками (их функционал был передан выделенному подразделению, управлявшему всей совокупностью рисков в организации), то, как правило, риски ИБ были описаны не совсем корректно, а в результате ИБ-компетенции компании были сильно ослаблены и сведены к поддержке технических сервисов…

Дмитрий Мананников, директор по информационной безопасности «СПСР-Экспресс»

Подводя итог, можно сказать, что риск-менеджмент (да и любой другой бизнес-инструмент) не плох и не хорош сам по себе, – все зависит от того, как и для чего он применяется. При правильном использовании он может принести безусловную пользу службе информационной безопасности и бизнесу, защиту которого эта служба призвана обеспечить.

Дайджест от R-Vision. Будьте в курсе происходящего !

Коллеги, некоторое время назад мы открыли свободную подписку на дайджесты, которые рассылаем по нашим клиентам.  В условиях тотальной нехватки времени и возможности уследить за происходящим такого рода формат кажется нам наиболее оптимальным. Сейчас дайджест выходит раз в 2 недели и содержит в себе подборку актуальной информации по изменениям в законодательстве, интересным событиям в области ИБ, публикациям и громким инцидентам. Все это и многое другое вы можете получать на свой электронный ящик совершенно бесплтано. Достаточно подписаться тут:  http://eepurl.com/BpV9X

P.S. Сейчас дайджест также транслируется на площадку ISM:Маркет - https://ismmarket.ru/digest, но в ближайшее время эта трансляция прекратится.

Типичные уловки злоумышленников в Facebook. Покажите это своим коллегам !

Соцсети в последнее время стали абсолютно неотъемлемой частью жизни очень большого количества людей, так что не удивительно что злоумышленники стали активно использовать их для получения наживы. 

Что говорить, если даже рассылка ставших уже многим известных "нигерийских писем" продолжается (а значит все еще работает). Однако, появились и более изощренные приемы, о которых хотелось бы поговорить. 

Прием № 1. Друг,  я попал в беду. Выручай ! 

В данной схеме взломанный аккаунт в социальной сети используется злоумышленниками для рассылки сообщений, примерно следующего содержания: 

"Дружище, я надеюсь, что ты получишь это сообщение вовремя. Я сейчас нахожусь в поездке в г. Манила(Филиппины) и у меня украли сумку со всеми документами и личными вещами. Посольство только что выписало мне временный паспорт, но я должен заплатить за билет и урегулировать вопрос с оплатой счета за гостиницу.”

“Мне удалось связаться с моим банком, но на получение денежных средств уйдет 3-5 рабочих дней, это плохая новость т.к. у меня в ближайшее время должен быть обратный рейс, но у меня возникли проблемы с оплатой гостиничного номера и меня не выпускают из отеля пока я не заплачу. Мне нужна твоя помощь с оплатой, обещаю все вернуть как только доберусь домой. Ты - моя последняя надежда, пожалуйста, дай мне знать, если я могу рассчитывать на твою помощь. Я буду продолжать проверять свою электронную почту пока не получу какой-нибудь ответ, потому что сейчас для меня это единственный способ связи”.

Это всего лишь образец, схема. В конкретных случаях текст и сюжет истории может серьезно отличаться, но смысл один. Преступник, перехватив аккаунт вашего друга/знакомого, будет пытаться выманить у вас деньги. Для того чтобы не стать жертвой такого мошенничества, рекомендуется до перевода денег убедиться каким-либо другим способом, что это действительно тот, о ком вы думаете. 

Прием № 2. Посмотрите на тех, кто просматривал ваш профиль !

Facebook, в отличие от некоторых других социальных сетей, не дает возможность посмотреть тех, кто заходил на вашу страницу. Этой опции просто НЕТ ! 

Поэтому все сообщения, в которых предлагается "прокачать" свой аккаунт / ленту, что позволит видеть тех, кто просматривал ваш профиль - это типичное мошенничество. 

Вычислить это довольно легко, ссылки в подобных сообщения всегда ведут за пределы Facebook (посмотрите что в адресной строке браузера).  Все настройки Facebook возможны только внутри Facebook.  Любая внешняя ссылка - это первый признак мошенничества.

Прием № 3.  Если я наберу 100 тыс. лайков, я поеду в Диснейленд

Наверняка вам приходилось такое видеть. Сюжет может быть самый разнообразный, от душещипательной картинки больного ребенка, который сможет получить дорогостоящее лечение, если его сообщение соберет > 100 тыс. лайков, до каких-то увеселительных приколов или игр.   Казалось бы, что может быть опасного в лайках ?  Почти ничего, если не считать, что Like - это валюта Facebook. А значит, что за них конкретные люди получают вполне себе реальные деньги. Страница, получившая 100 тыс. лайков, может быть продана примерно за 200$. Больше лайков - больше денег. После продажи содержимое страницы меняется на то, которое нужно владельцу. И вот тут-то самое интересное - ваш лайк при этом остается на этой странице навсегда (точнее до тех пор, пока вы его не уберете).  И вполне может быть, что кто-то из ваших друзей может удивиться, увидев ваш лайк под страницей, рекламирующей средства от импотенции (например). Хотя "голосовали" вы за милого ребенка, которому родители якобы пообещали билет в Диснейленд за 100 тыс. лайков. 

Прием № 4. Сообщение от Facebook

“Внимание: Ваш аккаунт признан нарушающим политику Facebook и будет отключен в течение 24 часов если не будет проведена процедура подтверждения". Типичный трюк, жертвами которого очень часто становятся и пользователи других онлайн сервисов (надо сказать, что такой прием - один из ведущих способов кражи паролей доступа к электронной почте). Ссылки в такого рода сообщения также как правило ведут за пределы Facebook, где вас попросят подтвердить свои учетные данные. Здесь важно помнить, что Facebook, равно как и другие онлайн-сервисы, никогда не просят вас сообщать свой логин/пароль для подтверждения или снятия блокировки. И конечно же обращайте внимание на адресную строку браузера. Если сайт выглядит как социальная сеть, но в адресной строке указан совершенно незнакомый адрес - закрывайте страницу, это мошенники.

Прием № 5. Смерть знаменитости 

Конечно же по Facebook быстро расходятся настоящие новости о кончине тех или иных известных личностей, а также о серьезных инцидентах и катастрофах. Однако, злоумышленники также научились использвать громкие заголовки в новостях с целью получить трафик из социальных сетей на нужные им сайты.  Трафик в Интернет - еще одна валюта, на которой зарабатываются огромные деньги. В такой ситуации за сообщением, в котором якобы дается ссылка на запись, например, последнего телефонного разговора актера Робина Вильямса перед суицидом скрывается серия редиректов, по которым пользователю открывается масса рекламных материалов, а возможно и производится попытка заражения его компьютера, с целью включения в очередной ботнет.

И то, что вы получили эту ссылку от ваших друзей к сожалению никак не говорит о ее достоверности.  Такого рода "новости" разлетаются по Facebook с огромной скоростью. 

Прием № 6.  Слишком хорошее предложение

Прием чем-то похож на предыдущий. В мире постоянно происходят какие-то значительные события, билеты на которые многие хотели бы получить (ЧМ по футболу, концерт знаменитой рок-группы и проч.).  Пользуясь ажиотажем вокруг события, злоумышленники запускают рассылку сообщения, в котором предлагается купить билеты на предстоящее мероприятие по более чем выгодной цене. Пользователь, кликнувший по ссылке, переводится на сайт, где его компьютер атакуется вредоносным кодом, а также огромным количеством рекламных материалов. Помимо этого сообщение с вредоносными ссылками и "заманчивым предложением" размещается от его имени в социальной сети и становится доступным всем его друзьям. 

Будьте осторожны ! Желаю вам не стать жертвой мошенников из социальных сетей !

Agile в жизни безопасника

В последнее время в силу несколько изменившегося круга должностных обязанностей помимо литературы по информационной безопасности в моей библиотеке прочно обосновались книги по разработке и гибким (agile) методологиям. 

Для тех, кто не очень в курсе, Agile - это вообще говоря целая философия, в рамках которой разработаны различные инструменты и подходы, которые позволяют обеспечить ту самую "гибкость" в плане разработки программного обеспечения, направленную на получение оптимального результата за короткие сроки.  Но хотя Agile и ассоциируется у многих исключительно с разработкой, эти самые инструменты легко можно применить и для управления проектами, и даже для организации собственной работы.  

И надо сказать книжек про это написано огромное количество. Вот, например, на Amazon:

http://www.amazon.com/s/ref=nav_search_go/181-1909974-9078964?url=search-alias%3Daps&field-keywords=agile+personal

Они конечно все англицком, на русском мало что можно найти, но все же можно:

http://agilerussia.ru/methodologies/borisvolfson_ebook/ - обзор инструментов Agile (для общего понимания)

http://agilerussia.ru/books/scrum_xp-from-the-trenches/ - практика применения Scrum

http://scrum.org.ua/wp-content/uploads/ScrumAndKanbanRuFinal.pdf - практика применения Scrum и Kanban.

Да, они конечно ориентированы именно на разработку программного обеспечения, но тем не менее при должной фантазии можно многое из этого применить и к организации личных дел и к своей профессиональной сфере. 

Я, например, использую Scrum в управлении своими задачами, где в качестве спринта выступает календарный месяц. Удобно, наглядно.

В этой заметке я затрону только 2 инструмента agile: Scrum и Kanban. 

Scrum - это на самом деле управленческий фреймворк, который помогает организовать работу команды в рамках определенного проекта.  На мой взгляд он отлично подходит для организации работы по внутренним проектам по информационной безопасности (любым проектам: внедрение технических средств, аудит ИБ, пен-тест, да что угодно).  

Основные инструменты в рамках этого фреймворка:

1) Разбиение всей работы на небольшие фрагменты (длительность 2-4 недели), которые называются спринтами. Спринт жестко фиксирован по времени и это позволяет очень быстро увидеть укладывается ли команда в тот темп, который она запланировала. Если вы, например, 2-3 спринта подряд делаете только половину работы из той, что была запланирована на спринт, то можно смело утверждать, что весь проект вы скорее всего уже не уложите в изначальные сроки.  На мой взгляд это очень полезная практика, ведь, как известно,  любой проект длительностью больше 6-9 месяцев быстро становится неуправляемым, а разбиение его на небольшие фрагменты с постоянным контролем результатов позволяет не потерять управление ситуацией. 

2) Ежедневные scrum-митинги.  Это когда команда проекта собирается каждый день, на небольшую летучку (в идеале минут 15) и обсуждает что было сделано за день, какие планы на следующий день и нет ли каких-то сложностей, которые тормозят работу.  Применительно к проектам ИБ может быть и не обязательно собираться прям каждый день, но минимум раз в неделю точно нужно что называется "сверять часы". 

3) Демонстрация итоговых результатов спринта.  Любой спринт должен заканчиваться демонстрацией результатов (пусть даже и промежуточных).  Это является дополнительным организующим фактором для команды, т.к. всем понятно, что надо не просто отработать этап и идти дальше, а надо показать чего конкретно удалось добиться. Вообще говоря на демонстрацию приглашаются все желающие, но применительно к ИБ-проектам пожалуй круг нужно сужать до определенных людей, в том числе и от бизнеса, если реализуемый проект каким-то образом затрагивает их работу.

4) Ретроспектива. Это мероприятие проводится по завершению очередного спринта.  Суть его в том, чтобы оглянуться на проделанную работу, понять что было сделано хорошо (и закрепить эту практику), ну и понять что было сделано плохо, какие сложности возникли и что нужно сделать, чтобы в будущем их избежать и повысить эффективность работы команды.  На ретроспективу собирается вся команда и проводится она как правило в виде коллективного брейн-сторма. 

Kanban - это отличный инструмент организации конвеерной скажем так работы. Основной отличительной фишкой канбана является так называемый лимит выполняемой работы (WIP limit). Предположим у вас есть некий процесс, предполагающий прохождение по определенным стадиям.  Это может быть обработка инцидентов, обработка запросов на создание учетных записей, обработка заявок на доступ к информационным ресурсам и проч.  Т.е задача (или заявка или что-то еще, далее для простоты я буду говорить "задача") проходит последовательно через несколько этапов, за которые могут отвечать в том числе разные исполнители.  Основной целью в канбане является то, чтобы прохождение задачи по всем стадиям было как можно более быстрым и чтобы не встречало никаких препятствий, т.е чтобы создавался непрерывный поток, основным показателем эффективности которого является среднее время, которое уходит на то, чтобы пройти процесс от начала до конца.  

"А зачем же нужен лимит выполняемой работы ?", спросите вы. Лимит выполняемой работы определяет какое количество задач может одновременно находится на определенной стадии. И если этот лимит достигнут, то никакие новые задачи на эту стадию перейти уже не могут.  Это позволяет очень быстро выявить узкие звенья в процессе, на которых случается "затык".

Т.е если какой-то исполнитель на своей стадии не справляется, то его лимит быстро забивается и весь конвеер встает, потому что ему уже не могут передать задачу исполнители, которые стоят до него в цепочке процесса, а те, кто стоят после него остаются без работы (или загружаются меньше чем надо бы).  Все это позволяет очень быстро заметить проблемы и принять меры для совершенствования процесса.

Вот так, пробежался по верхам. Для заинтересовавшихся темой рекомендую почитать что-то из предложенной мной выше литературы.

Приказ ФСБ по ПДн видишь ? А он есть :)

В пятницу по наводке Александра Виноградова заглянул в Консультант и обнаружил там "Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных...".

Сам приказ как можно видеть датирован июлем, зарегистрирован в Минюсте 18 августа.Тем не менее приказ еще не опубликован, а значит еще не вступил в действие.  Другое дело, что как мне кажется, публикация не заставит себя долго ждать.

Что же мы имеем с точки зрения требований:

Критики по приказу уже было высказано немало, лично меня конечно огорчило, что ФСБ предлагает защищать, причем ого-го как защищать системы 4-го уровня, к которым между прочим относятся в том числе ИСПдн, обрабатывающие общедоступную информацию. Зачем спрашивается ?  

Оригинал представленной таблицы можно скачать тут - https://drive.google.com/file/d/0B-diDhbmRj8gQ1BlSHBtTF8xMFE/edit?usp=sharing

Англоязычные подкасты по информационной безопасности

Подкасты - форма хоть и не новая, но не такая уж распространенная если говорить об информационной безопасности.

Андрей Прозоров уже публиковал подборку российских ИБ-подкастов, я же хочу дополнить его пост подборкой англоязычных подкастов. Я сам периодически слушаю подкасты на английском, т.к. это позволят убить сразу двух зайцев: и поддержать уровень знания языка, и получить актуальную информацию.    

PaulDotCom's Security Weekly - один из самых известных в сети Интернет подкастов, а можно даже сказать и видео-кастов, т.к. автора подкаста Пола Асадориана (Paul Asadorian), а также его команду можно не только слушать но и видеть. Эксперты обсуждают широкий круг вопросов и событий, происходящих в области информационной безопасности и регулярно приглашают себе в студию известных в индустрии людей. 

Risky Business - подкаст от австралийского эксперта по информационной безопасности по имени Патрик Грей (Patrick Gray). Подкаст выходит примерно один раз в неделю и посвящен обсуждению актуальных новостей в индустрии ИБ.

Network Security Podcast - один из старейших подкастов по информационной безопасности от эксперта компании Akamai Мартина МакКея (Martin McKeay). Тематика выпусков самая разнообразная: от обзора происходящих конференций, до разбора громких инцидентов информационной безопасности.

Sophos Security Chet Chat - подкаст от экспертов компании Sophos. В рамках коротких 15-минутных подкастов ведущие обсуждают все актуальные новости, произошедшие за последнюю неделю.  Так что если времени на прослушивание у вас не так много, то это подкаст для вас.

Tenable Network Security Podcast - подкаст от компании - разработчика всемирно известного сканера уязвимостей Nessus. Авторы подкаста обсуждают новости, связанные с развитием продукта компании, а также разбирают выявленные экспертами компании технические уязвимости.