воскресенье, 2 октября 2011 г.

Дайджест ИБ за 26 сентября - 2 октября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю
Лучшие посты из русскоязычных блогов по ИБ 
  • В Челябинске прошла конференция по вопросам защиты персональных данных, на которой присутствовали представители ФСТЭК, ФСБ, РКН и прокуратуры (а также УСТМ МВД). Алексей Лукацкий и Евгений Царев поделились интересной информацией с конференции. В частности: 1) ФСТЭК подтвердил свою позицию, что лицензия на ТЗКИ должна быть у каждого оператора ПДн; 2) Под оценкой соответствия ФСТЭК понимает только сертификацию; 3) РКН считает, что "законные интересы" оператора или третьих лиц, для осуществления которых не требуется согласие субъекта ПДн, - это то же самое, что "законные основания" и ничего более. Соответственно, если такие интересы не прописаны в законе, согласие необходимо; 4) РКН активно привлекает ФСБ, ФСТЭК, УСТМ МВД при проверках - просто теперь они выступают в роли "экспертов"; 5) На вопрос, нужно ли операторам переделывать документы по ПДн, разработанные в соответствии со старой редакцией ФЗ, РКН сообщил, что не нужно, пока не выйдет новая нормативная база; 6) РКН считает, что ответственные за ПДн нужны в том числе в каждом филиале компании; 7) ПДн ближайших родственников, по мнению ПДн, можно обрабатывать только с явного согласия... Кстати, РКН теперь внепланово проверяет операторов не только по жалобам субъектов, но и при наличии "косвенных сведений о нарушении"... Ну и так далее, в том же духе :-(
  • В продолжение темы ПДн. Сергей Борисов пишет о позиции РКН в отношении биометрических ПДн. РКН считает, что фотография человека может использоваться только для идентификации человека, поэтому любые фотографии - это биометрические ПДн (в рассматриваемом Сергеем примере - ксерокопии паспортов) и должны защищаться соответствующим образом.
Лучшие посты из англоязычных блогов по ИБ 
  • Пост Adriano Dias Leite "7 причин, ради которых стоит работать в ИБ". Адриано решил взглянуть на работу специалиста по ИБ с другой стороны и привел 7 преимуществ работы с сфере ИБ: 1) компании начинают серьезно относиться к ИБ; 2) хорошая зарплата; 3) множество возможных направлений работы в ИБ; 4) вы никогда не останетесь без работы; 5) вы можете взаимодействовать со всеми в компании; 6) вы можете устанавливать правила (а сами можете их нарушать ;-)); 7) быть специалистом по ИБ - здорово (по крайней мере многие люди так думают :-)).
  • Статья Rob Lemos "5 вопросов безопасности мобильных устройств, которые нужно учитывать". Роб говорит о росте числа сотрудников, которые используют для работы с корпоративными данными и информационными системами собственные мобильные устройства. По данным IDC и Unisys в 2010 таких сотрудников был 31%, а в 2011 - уже 41%. В связи с этим, Роб рекомендует при обеспечении безопасного использования мобильных устройств обратить внимание на следующие 5 вопросов: 1) выбор доверенных магазинов для загрузки ПО на мобильные устройства; 2) выбор безопасных вариантов синхронизации данных с мобильным устройством; 3) изменение процесса управления патчами; 4) риски использования мобильного VPN-доступа; 5) значительно более короткий жизненный цикл мобильных устройств по сравнению с обычными компьютерами.
Интересные статьи и заметки по менеджменту, коммуникациям 
Законодательство 
Стандарты, руководства, лучшие практики, исследования 
  • CSA опубликовала документ по категориям сервисов SaaS (безопасность как сервис). В документе определены 10 категорий основных сервисов безопасности. Для каждого сервиса определены его ключевые функции, дополнительные возможности, связанные сервисы, а также нейтрализуемые угрозы. Документ направлен на обеспечение единого понимания сути этих сервисов у поставщиков и заказчиков. Краткий обзор документа можно посмотреть здесь (на английском).
  • IBM X-Force выпустила "Отчет по тенденциям и рискам в первой половине 2011 года". В отчете отмечается взрывной рост количества нарушений безопасности в этом году. Причем эти нарушения примечательны не только их количеством, но и тем, что они вскрыли фундаментальные проблемы безопасности у многих пострадавших компаний. Атаки становятся все более сложными, многие из них состоят из нескольких этапов и продолжаются в течении длительного времени. Также, специалисты IBM отмечают, что безопасность традиционных систем за последнее время существенно возросла, но злоумышленники просто перешли к другим атакам (например, значительно возросло количество атак на мобильные устройства). Краткий обзор отчета можно посмотреть здесь (на английском). UPD. А здесь - краткий обзор на русском.
Новости 
  • В Интернете появился сайт Rusleaks.com, на котором в открытом доступе размещено 185 баз данных по российским физ.лицам и компаниям. Сайт предлагает поиск по базам МВД, ФСБ, налоговой инспекции, ГИБДД, ФАС и т.д. При поиске физ.лиц в некоторых случаях выдается довольно большой объем данных – адреса и телефоны, паспортные данные, ИНН, сведения о месте работы, выданных кредитах или отказе в кредитах, купленных железнодорожных и авиабилетах. Среди сведений о юр.лицах — данные об учредителях, уставном капитале и отчислениях в налоговые службы. На сайте размещена база банковских проводок с 1998-го по 2004 год, в которой можно найти сведения о переводах, расчетных счетах клиентов банков и сумме переводов, а также база недействительных паспортов за 2007 год, таможенные и налоговые декларации и список людей, находящихся в розыске. На сайте есть и данные из публичных источников — «ВКонтакте» и «Желтых страниц». Правоохранительные органы и РКН пока безмолвствуют. UPD. РКН таки принял меры - направил письмо регистратору домена и подал иск в суд. Непонятно, связано ли это с мерами РКН или нет, но чуть позже на сайте осталась лишь надпись: "Сайт приостановлен, так как не выполняет те функции, для которых он создавался. Спасибо всем, кто оказывает нам поддержку!".
  • Злоумышленники начали использовать малоизвестный метод, позволяющий эффективно замаскировать вредоносные исполняемые файлы (*.exe) под сравнительно безопасные файлы, типа текстовых документов, изображений и т.п. Для этого они применяют специальный управляющий символ Unicode RLO, активирующий режим написания справа налево. Например, если в имя вредоносного файла "invoice_01.11.2011_phylcod.exe" перед буквой d вставить символ RLO, имя файла будет выглядеть вполне безобидно - "invoice_01.11.2011_phylexe.doc". 
Инциденты за неделю

1 комментарий:

Вероника комментирует...

да, у краснодарского Роскомнадзора официальная позиция копии страниц паспорта - биометрия. вот например отчет об их проверке пункты http://23.rsoc.ru/news/news30267.htm 1 и 3