Сухой закон?

Ни грамма в рот... Грежу наряды полиционеров у выходов из пабов.

Госдума сегодня в третий раз читает-перечитывает скандальный Законопроект Яровой (157425-6), журналисты пугают людей, что теперь будут штрафовать каждого! Но так ли все страшно на самом деле?

Этичное проникновение

Ну раз нынче стало модно обсуждать пентесты, вставлю и я свои 5 копеек.
Только я о них расскажу со стороны аудитора, который с пентестерами работал бок о бок на проектах по комплексному аудиту ИБ и ИТ-инфраструктуры.

Ты то, что ты ешь, или о том, что есть, если ты решил регулярно бегать

Я постараюсь кратко рассказать об особенностях питания бегунов, чтобы предостеречь от основных ошибок. Чтобы не загружать вас тоннами информации, остановимся на популярных мифах.

Миф 1. Чтобы быстро похудеть, мне нужно сесть на низкоуглеводную диету и бегать каждый день по 45 минут.

Памятка интегратору: Как сделать идеальный проект по приведению в соответствие к 152-ФЗ

Итак, у нас новый проект! Наша команда не один десяток лет на рынке, и мы хотим поделиться с вами секретом успешного проекта по приведению в соответствие 152-ФЗ.

Во-первых, лучше соглашаться на проекты, которые идут "оптом", например, когда это группа компаний. Ничего сложного! Один раз все проверил, размножил на количество компаний в группе, увеличил ценник в N раз - успех!

Во-вторых, зачем тратить время на изучение деятельности компании, пробовать искать какие-либо сведения в интернете, спрашивать у юристов (эти напыщенные курицы из юридического все равно будут носом крутить)? Это драгоценное время лучше потратить на себя, ну или еще 5 проектов. А часы, которые заложены на подготовку к аудиту и так в премию пойдут. Только плюсы!

В-третьих, ради экономии денег мы отправим обследовать студентов. Ну а что, опросник есть, что сложного? Еще тратить время, все равно ничего не поймет. Ну и что, что ребенок по бумажке спросит у кадровички: "какие у вас ПДн в ИСПДн?". Та пожмет плечами, догадается. Студент честно запишет полный перечень ПДн, который ему будет продиктован с типовой карточки Т-2, стандартные сроки хранения. Н карточке фотография? Это же неавтоматизированная обработка биометрии! Так и запишем.
Обследует все автоматизированные системы, и сертифицированный межсетевой экран PowerPoint.
Ну и что, что будет в лучшем случае отправлен на допроверку? Пусть учится!
Заказчик ошарашен отчетом, присланным на согласование? Ну отчет же студент делал, пусть он и расхлебывает.
Все описано не так, как было сказано на интервью? Ничего, в споре рождается истина.
Все в плюсах - квалифицированный специалист экономит свое золотое время, студент опыта набирается!

Едем дальше. Отчет готов, настала очередь делать перечень персональных данных. Удобнее всего будет его сгруппировать по системам. Зачем одни и те же данные писать несколько раз? Из того, в каких они системах, и так ясно - с какой целью они обрабатываются.

Группируем ИСПДн. Включаем в них все системы, которые мы нашли! Все-все, куда они загружают данные: глобальные порталы, объединенные кадровые системы и т.д., ими пользуются все компании в группе, припишем в каждую. Ну маркетинговую мы выделим в отдельную - она же расположена в здании офиса, остальные - распределенные, в том числе АРМ пользователей в Москве, а серверы в Германии. Трансграничка! Электронную почту не рассматриваем, она же принадлежит штаб-квартире в Европе. В описание ИСПДн не будем копировать информацию о системах, зачем ненужный копипаст из отчета, там же все и так есть! Сделаем табличку соответствия ИСПДн бизнес-процессам и дело с концом.

Моделируем угрозы. В компании в принципе всё достаточно неплохо. Но все средства защиты несертифицированные, поэтому мы их будем игнорировать, как это сделали бы ФСТЭК и ФСБ. Моделируем угрозы, нарушителей - одни на всех для всех ИСПДн, а какая разница? Они все равно все в одном месте. На компьютерах пользователей фулл-диск шифрование битлокером. В компании все же есть СКЗИ! Надо им разработать положение о криптографической защите ПДн и проект приказа о вводе СКЗИ в эксплуатацию, у них же их нет! Ну вот, целый ворох актуальных угроз.

Классифицируем ИСПДн. Все неплохо, спецкатегории нет, биометрии нет, угрозы 3 типа, везде 4 уровень защищенности. Прекрасно!

Тут коллеги из смежного подразделения подсказывают, что им присылают информацию о побочных эффектах. Вроде это даже и спецкатегория. Но присылают их по электронной почте, которая вне скоупа у нас, а хранятся они на ноутбуках, которые уже и так вошли в другую ИСПДн. Даже рассматривать не будем.

Ну вот. Настала очередь плана защиты. Копипастим меры из 21 приказа для 4 УЗ. Адаптируем: ставим плюсы, если они есть, и минусы, если их нет. Все же и так понятно!

Шаблоны нормодоков у нас есть на любой случай жизни, подкорректировали цели - и готово.

Мы разработаем для компании самое лучшее техническое решение. В него войдут и SecretDisk, и Infowatch, потому что их DLP-решение не сертифицировано, самая полная лицензия на Макспатрол - им же нужно лучше всего защищаться от нарушителей! Ну и еще Kaspersky и сертифицированный Windows на все ноутбуки. А серверы Dallas Lock'ом защитим, так надежнее. Пусть русские администрируют, а не всякие индусы по SLA. Кто знает, что они могут туда наставить?  А уже объяснить глобальным менеджерам, зачем менять их централизованное ПО на отечественное - задача начальника по ИТ компании: по российским законам положено.

Выполнение наших рекомендаций - залог успеха в области обработки персональных данных.

Топ 5 подстав от самих неопытных пользователей интернета

Общая грамотность населения в вопросах ИБ оставляет, как всегда, желать лучшего. Из-за собственной безграмотности пользователи зачастую создают определенный геморрой как себе, так и владельцам ресурсов, на которые они выкладывают информацию. Топ 5 встретившихся мне ситуаций в рунете (почта, соцсети и т.д.)




1. Банковские реквизиты.
Да-да, причем не просто номер лицевого счета в банке, а данные банковских карточек - номер, срок действия, имя владельца... Встречались мне даже фото карточек!
Чем чревато: Даже банки не имеют права хранить полные номера пластиковых карт. Есть регуляторы, которые обязывают проверять выполнение данного требования раз в год. Помимо подставы хостинга пользователи подставляют сами себя, выкладывая реквизиты, достаточные для мошеннических покупок в онлайн-магазинах. Мое мнение - лучше выкладывать 20-значный номер расчетного счета, банк и имя получателя. Все интернет-банки имеют функцию перевода третьим лицам по платежному поручению. К почте это тоже относится, так как вся переписка, в том числе реквизиты, могут храниться в кэше.

2. Сведения о состоянии здоровья
Благотворительные группы, больные детки, студенты, сканы выписок из больниц и ЛПУ.
Чем чревато: Тут уже палка о двух концах - и необходимо документальное подтверждение, что сбор средств не лохотрон, и при этом хостингу на горло наступает статья 10 закона 152-ФЗ "о персональных данных", запрещающая обработку данных о состоянии здоровья, расовой, религиозной принадлежности без согласия субъекта, то есть человека, чьи данные обрабатываются. Кстати о последнем пункте - во "вконтакте" есть графа "религиозные взгляды" в профиле участника.
Отдельная история - хранение МРТ, КТ и т.д. в облаках DropBox, Google Drive. Их сервера находятся не на территории России. И по нашим законам они не имеют права обрабатывать такие данные.
Мое мнение - такие сведения лучше стараться не публиковать совсем. Настройки приватности в группах не гарантируют, что картинка не будет индексироваться при поисковом запросе.

3. Сведения о детях, в отношении которых совершены противоправные действия
Цель - поднять общественный резонанс.
Чем чревато: гуглить "закон Кабаевой". За последствия отвечает хостинг, но также лично я считаю, что мало кто хотел бы афишировать такие вещи. Мало того, что сделали ребенку плохо, так теперь и посторонние люди об этом узнают. А там уже - подтрунивания в школе, повышенное внимание и т.д.

4. Ведение деловой переписки через бесплатные почтовые сервисы
От простых назначений встреч до передачи документов.
Чем чревато: Что происходит по ту сторону почтовика - для нас "черный ящик". Неизвестно даже, как удаляются письма, они вполне могут помещаться в какой-то кэш. Далеко не надо ходить - топ американских компаний признались в участии в программе PRISM. Наверняка у вас есть почта на Gmail?))

5. Пересылка файлов и паролей через мессенджеры
Быстро - не значит надежно. Мессенджеры изначально создавались для простой болтовни.
Чем чревато: Опубликована уязвимость протокола ICQ, позволяющая восстановить все когда-либо передаваемые по протоколу файлы, которые оседают на серверах. Не говорю о том, что в большинстве мессенджеров используются открытые небезопасные протоколы.
Пароли можно и вслух сказать, а для документов есть корпоративная почта (неспроста).

Рекомендую пересмотреть свое поведение в рунете, подобные ошибки могут в самый неподходящий момент всплыть.
Хостинги тоже не святые, должны принимать меры на их усмотрение.

Решил стать кибербезопасником? Выбираем вуз.

Лет семь-восемь назад под впечатлением книжки Дэна Брауна "Цифровая крепость" я поставила себе цель обучиться криптологии. Вот настал час Х, стал вопрос о выборе вуза.

Что у нас есть?
Специальность с красивым названием "Комплексное обеспечение ИБ АС", сокращенно Коибас. Звучит как-то непонятно, лет 5 назад это было единственное аккредитованное направление. Потом появилось еще одно направление - "Комплексная защита объектов информатизации", тоже красиво звучит, но непонятно. И кто же этот коибас? И чтец, и жнец, и на дуде игрец? Предложений масса, надо что-то выбирать. И если в нулевых выбора практически не было, теперь кто во что горазд. Интересно, а в Нестеровой  такой факультет еще не появился?