среда, 27 июля 2011 г.

Изменения в законе о персональных данных

Несмотря ни на что, поправки в закон "О персональных данных" были сегодня подписаны Президентом. Хорошие они, или плохие - теперь уже не так важно. Пора приступать к их анализу и выполнению. Интересные и полезные обсуждения начались (продолжились) в блогах коллег (Алексей Волков, Алексей Лукацкий, Евгений Царев) и на форуме Bankir.Ru.

Для удобства анализа изменений, я сделал сравнительную таблицу.
https://www.sugarsync.com/pf/D6870693_7400982_76562 (в PDF).

Краткая инструкция по использованию таблицы:
- В левой части старая редакция закона, в правой - новая. Пункты, которые не изменились, в таблице не разделены.
- Существенные изменения выделены курсивом и жирным шрифтом, несущественные - просто курсивом. Самые важные, на мой взгляд, выделены красным цветом.
- Несущественные для банков пункты - серые.

UPD. Текст Федерального закона от 25 июля 2011 г. №261-ФЗ "О внесении изменений в Федеральный закон "О персональных данных"" опубликован в Российской газете. Опубликованный текст полностью соответствует тексту третьего чтения, на основе которого сделана приведенная выше таблица. Добавилось только 2 незначительных ошибки (!):
9) в статье 10:
а) в части 2:
пункт 2 изложить в следующей редакции:
"2) персональные данные сделаны общедоступными субъектом персональных;";



16) статью 19 изложить в следующей редакции:
...
7. ... Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласования проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

вторник, 26 июля 2011 г.

Практика ИБ \ CERT - Руководство по обработке инцидентов, связанных с DDoS-атаками

Перевел еще один весьма полезный и актуальный документ - Руководство по обработке инцидентов, связанных с DDoS-атаками. Автор документа Vincent Ferran-Lacome (CERT Societe Generale). В документе кратко приведены основные моменты, которые нужно учесть при обеспечении защиты от DDoS-атак, а также при реагировании на соответствующие инциденты.

В документе определены 6 этапов обработки инцидентов, связанных с DDoS-атаками:
  • Подготовка: обеспечение готовности к обработке инцидента
  • Идентификация: выявление инцидента
  • Локализация и снижение воздействия: минимизация воздействия инцидента
  • Исправление: возобновление работы
  • Восстановление: восстановление нормального состояния
  • Заключительный этап: анализ и совершенствование процесса
Далее приведены краткие инструкции для каждого из этапов.

понедельник, 25 июля 2011 г.

Дайджест ИБ за 11 - 24 июля 2011 года

На прошлой неделе устроил себе небольшой отпуск, поэтому не успел подготовить дайджест, извиняюсь ;-). В качестве компенсации, на этой неделе получился просто мегадайджест - за 2 недели появилось много интересных постов, документов, новостей!

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

понедельник, 11 июля 2011 г.

Дайджест ИБ за 04 - 10 июля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

Дайджест ИБ. Итоги 2 квартала 2011 года

Как быстро летит время - вроде бы совсем недавно пришла идея делать обзоры лучшего и наиболее полезного из того, что каждый день появляется в Интернете, а уже прошло 3 месяца. Чтобы информация не потерялась и была под рукой, в этом итоговом выпуске постараюсь выделить и суммировать все самое важное и интересное за 2 квартал.

К сожалению, подготовка дайджестов занимает значительно больше времени, чем я планировал, поэтому обдумываю способы оптимизации. Вы можете помочь мне в этом, если сообщите в комментариях: Полезны ли для Вас дайджесты? Чего не хватает, а что кажется излишним? Периодичность? Имеет ли смысл приводить подробности постов и документов, на которые я ссылаюсь (особенно англоязычных), или достаточно ссылки? Заранее благодарен за обратную связь ;-) 

среда, 6 июля 2011 г.

Открытое письмо Президенту по поводу внесения изменений в ФЗ-152

Вчера Гос.Дума приняла в третьем чтении поправки в закон о персональных данных. Принятая редакция поправок ни в коей мере не приближает закон к соответствию требованиям Конвенции Совета Европы, и не устраняет необоснованные обременения для операторов персональных данных, а только добавляет новые.

Поскольку теперь вся надежда остается только на то, что введение этих поправок не согласует Президент, коллеги Александр Бондаренко, Алексей Волков, Алексей Лукацкий, Александр Токаренко и Евгений Царев написали открытое письмо Президенту и организовали в своих блогах сбор подписей в его поддержку.

Коллеги, если Вас касается тема защиты персональных данных, предлагаю ознакомиться с письмом в любом из указанных блогов. Если Вы согласны с тем, что написано в письме, оставьте в комментариях любого из указанных блогов свое ФИО.

понедельник, 4 июля 2011 г.

Решение проблемы мошенничества в системах интернет-банкинга?

Компания Cronto несколько месяцев назад выпустила очень интересное и, что самое главное, очень практичное решение, которое может решить все проблемы с мошенничеством в системах интернет-банкинга (или ДБО - дистанционного банковского обслуживания). Ну, возможно, не совсем все и не навсегда, но на ближайшие 2-3 года - вполне реально. Останется, разве что, вариант типа APT-атаки :-) Дело в том, что при использовании этого решения, проблема обеспечения доверенной среды на рабочем месте клиента отходит на второй план - даже если компьютер клиента полностью контролируется злоумышленником, он не сможет провести несанкционированный платеж.

Дайджест ИБ за 27 июня - 03 июля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю