Tags: ИБ

green

*здесь должен быть гибрид букв "П" и "Ц"...*

Я все-таки была лучшего мнения об остатках разума в головах чиновников, и сильно надеялась, что их хватит, чтобы не принимать эту херню.
Ан нет...
В итоге что мы имеем - две параллельно существующих системы классификации и системы требований, которые между собой, мягко говоря, противоречивы.
Что со всем этим делать разработчикам и операторам систем до того момента, когда господа чиновники почешут задницы и приведу сие хоть к какому-то единству бреда - зОгадкО...
tupaya

Журналисты такие журналисты...

tupaya

Не, ну а че...

Когда-то, в стародавние времена - ну то есть буквально еще несколько лет назад - господа законодатели всерьез удивлялись, когда им объясняли, что "информационная безопасность" - это не только спрятать всю свою "секретную информацию" и "не пущать". Что это всего лишь малая часть айсберга, обозначаемого аббревиатурой ИБ. И что есть там еще и "негативное воздействие самой информации".
Объяснили. На свои головы.
Теперь эта "птица тройка" понеслась в привычном режиме - без руля и ветрил.
"В частности, депутаты намерены ограничить использование программ, маскирующих информационные данные и IP-адрес пользователей, — анонимайзеров".
Чую, что как сажать самолет, мы расскажем в следующем номере еще с десяток лет будет потрачено на объяснения про "удовлетворение информационных потребностей"... Хотя, по-логике, с этого и надо было начинать...
katana

Доссстало...

Информационная безопасность - это состояние защищщености информационной среды общества, обеспечивающее удовлетворение информационных потребностей субъектов информационных отношений, безопасность информации и защиту субъектов от негативного информационного воздействия.
Это, если что, не из какого бы то ни было закона, это из здравого смысла. То, что лично я старательно вдалбливаю в головы студентов уже десяток лет - да-да, начиная с времен еще до всяких политических волнений.
Так вот, то, о чем сейчас нынче громко орут "ЦЕНЗУРА!!!" это, оставив за скобками некорректность такого определения, проходит по части обеспечения третьей составляющей, а не ограничения первой.
И, чтобы это понять, надо просто подумать. А вот для тех, кто сему процессу не обучен, как раз и нужна "цензура"...
tupaya

Любителям потрындеть за "полицейское государство"...

26 марта «Контур информационной безопасности SearchInform», установленный во всех офисах организации, зафиксировал факт входящего web-сообщения от сотрудницы HR-департамента компании Инфосистемы Джет Марии Сигаевой.

Данное письмо было отправлено на личный e-mail ведущего инженера службы технической поддержки компании SearchInform.

По итогам обнаруженного инцидента служба безопасности SearchInform отнесла данного сотрудника к группе риска.

28 марта «Контуром информационной безопасности SearchInform» было зафиксировано письменное предложение г-жи Сигаевой, адресованное сотруднику SearchInform, пройти собеседование с заместителем начальника отдела производства компании Инфосистемы Джет Дмитрием Кононовым.

Skype-cобеседование инженера SearchInform с сотрудником Инфосистемы Джет планировалось провести 29 марта с 13.00 до 14.00. В оговоренный промежуток времени файла записи запланированного разговора в базе перехвата SearchInform SkypeSniffer не оказалось. Сотрудник SearchInform был вызван в службу безопасности компании для разъяснения ситуации. Инженер подтвердил факт телефонного собеседования с г-ном Кононовым. Из дальнейшего объяснения сотрудника SearchInform выяснилось, что контакт с представителями Инфосистемы Джет был обусловлен исключительно профессиональным любопытством и желанием узнать свою стоимость на рынке труда. Переход к конкуренту инженером не рассматривался в принципе.


Заметьте, ничего государственного личного, just business...

Комментарии там стоят отдельного внимания.
tupaya

Я плакалЪ!



Стянуто отсюда

Отдельные комменты тоже доставляют, например про "персональные данные и конфиденциальная информация это две разные планеты"...
В очередной раз убеждаюсь, что "пока живут на свете дураки..." работы на мой век хватит за глаза, уши и по самую макушку...
tupaya

Ну в общем...

...по поводу невозможности попадания во френд-ленту, взломах, атаках и прочем вот тут все написано:
http://mosomedve.livejournal.com/340455.html

"Если у кого вдруг возникнет заместо френдленты предложение залогиниться не логиньтесь, это фальшивая страница! В тот момент, когда вы залогинитесь на ней, она создаст вам запись в вашем журнале без вашего ведома и все, у кого эта запись появится во френдлентах, тоже увидят не френдленту, а хера лысого (фальшивую страницу с предложением залогиниться).

Как увидеть френдленту: открыть программный код френдленты (ищите в браузере где-то там примерно, где "вид" - "показать программный код страницы"), затем найти тех, у кого запостился червяк - вызвать строку поиска (Ctrl+F), вбить в нее "ohtoenequ1" (или "lanzelot"). когда поиск выполнит запрос, посмотреть, в чьих журналах это размещено и удалить этих юзеров из друзей (временно).
зараженных юзеров может быть несколько, мало того, все новые и новые журналы будут заражаться, поэтому сию процедуру надо повторять каждый раз, когда ваша френдлента превращается в тыкву.
не забудьте потом (когда червя вычистят из жж криворукие суповцы) вернуть отфренженных!

Второй рецепт (более простой) - дописать ?nohtml=1 в адресную строку. Помогает также тем, кому нужно удалить зараженную запись

третий рецепт: смотреть фленту через мобильную версию жж http://m.livejournal.com/

UPD 2: что делать тем, кто ввел логин и пароль на фальшивой странице.
1. сменить пароль.
2. убить пост, который вам запостился принудительно (иначе все, кто вас читает, свою френдленту не увидят)".


У меня в ленте это "щасье" обнаружено как минимум у le_jeune_tigre.
green

Минутное...

Когда наши законы принимаются читать люди, совершенно к этому неподготовленные, это смех сквозь слезы...
Когда наши законодатели пытаются сделать как лучше, то выходит - как всегда.
Вот взялись они, значится, слегка "подправить" терминологию. В законах. А то путаница, видите ли, у нас с терминами по информационной безопасности.
В результате имеем: "информацию, в отношении которой установлены требования по соблюдению конфиденциальности" и "информацию, доступ к которой ограничен", "сведения конфиденциального характера", "конфиденциальную информацию".
Ну то есть по задумке доблестных законотворцев последняя должна быть заменена на первую, про третьи они по ходу дела вообще забыли (ну а что мучиться - оно ж в указе, а не в законе прописано), а вторую решили не трогать, т.к. видимо, сами не поняли, чего это такое.
В общем, учитывая, что подзаконные акты и прочие "нормативные" документы никто править не спешит, мы просто имеем очередной малопонятный термин.
Я люблю наших законодателей!
Вот только лекции опять переписывать...
tupaya

(no subject)

Роскомнадзор направил "Мегафону" официальный запрос с требованием разъяснить причины предоставления доступа неограниченному кругу лиц к текстам SMS-сообщений, сообщил РИА Новости помощник руководителя ведомства Михаил Воробьев.

В понедельник стало известно, что при определенном запросе крупнейший российский поисковик "Яндекс" выдает список из примерно 8 тысяч SMS, отправленных с сайта "Мегафона". Помимо текстов сообщений, доступны мобильные номера адресатов.

По словам Воробьева, Роскомнадзор, являющийся уполномоченным органом по защите прав субъектов персональных данных, также запросил у оператора сведения о мерах, принимаемых для обеспечения конфиденциальности и безопасности персональных данных абонентов.

В Роскомнадзоре считают, что появление в свободном доступе в интернете SMS-сообщений отдельных абонентов сотовой связи свидетельствует о признаках нарушения закона "О связи", Правил оказания услуг связи, а, следовательно, и лицензионных условий. "Оператор обязан соблюдать тайну связи. За нарушение тайны связи предусмотрена административная ответственность", - подчеркнул Воробьев.

Он напомнил, что в настоящее время Роскомнадзор анализирует информацию об утечке SMS с целью определить, имело ли место нарушение закона "О персональных данных".

"Специалисты выясняют, можно ли на основании появившейся в открытом доступе информации идентифицировать субъекта персональных данных - то есть конкретного человека", - пояснил представитель ведомства.

В "МегаФоне" заявили, что на его сайте произошел технический сбой, "связанный с работой внешнего администратора сайта", и отметили, что в открытый доступ попала незначительная часть SMS, отправленных с сайта оператора.

Источник

Я плакаль...
У одних - виновный стрелочник "внешний администратор", а другие выясняют "возможность идентифицировать".
Высокие, понимаешь, технологии и защита интересов субъектов! :)))