Tags: ИБ

tupaya

Покупайте наших слонов...

Уже завтра вечером я буду рассказывать про информационную безопасность. :)
И на сей раз не студентам, а, надеюсь, более заинтересованной аудитории.
И у вас есть возможность к ней присоединиться. ;)

О чем мы будем говорить?
•Что такое «информационная безопасность» и чем она отличается от «защиты информации». Для чего необходимо обеспечивать информационную безопасность, как правильно определить цели этой деятельности.
•Значение информационной безопасности. К чему может привести незащищенность информационных ресурсов и как найти «золотую середину» между их защитой и удобством использования.
•Что такое система обеспечения информационной безопасности, значение системности в процессах защиты информации. Взаимосвязь стадий создания системы обеспечения информационной безопасности и жизненного цикла защищаемого объекта.
•Основные вопросы, которые стоят перед разработчиком систем обеспечения информационной безопасности: «что защищать?», «от чего защищать?», «как защищать?».
•«Что защищать?» — основные виды защищаемых информационных ресурсов, объекты защиты.
•«От чего защищать?» — основные виды угроз, модель угроз и ее назначение, принципы формирования организационных и технических требований к системе обеспечения информационной безопасности для информационных систем.
•«Как защищать?» — рассмотрение основных направлений основных направлений защиты, состав подсистем комплексной системы обеспечения информационной безопасности.

Подробности и регистрация тут.
katana

"В интернете вся правда написана!"

Пока прогрессивная общественность борется за права толстячков быть непонятыми эльфами, я в очередной раз впадаю в когнитивный диссонанс от отсутствия когнитивных способностей у большинства людей.
Нет, толстячки тут вовсе ни при чем, на сей раз меня "приподняло и подбросило" в профессиональной сфере.
В минувший четверг я посетила конференцию "Актуальные вопросы защиты информации".
Мероприятие сие было интересно и многочисленно, в основном потому, что организаторами и значительной частью докладчиков были представители "регуляторов". Ну есть у нас такая Федеральная служба по техническому и экспортному контролю, которая генерит бОльшую часть нормативных документов, рассказывающих нам, простым смертным о том, как правильно защищать информацию.
Докладчики от ФСТЭК рассказали о том, какие документы они собираются выпустить, как пользоваться теми, что они уже успели навыпускать и ответили на массу, гм... странных вопросов.
Меня еще при чтении программы конференции позабавил тот факт, что большинство их докладов было на темы типа "типичные ошибки, допускаемые при...". Ну то есть, видимо, у товарищей накипело. И я таки могу их понять!
В частности, зал с удивлением воспринял тот факт, что если вы пишете документ под названием "Модель угроз", то, оказывается, там надо описывать только угрозы! А не требования и меры по защите! Сюрпра-а-айз! Причем, судя по репликам, доносившихся из задних рядов, для многих сей факт реально стал откровением. Равно как и то, что если ты анализируешь угрозы для какого-то объекта/информационной системы, то будь добр - напиши краткое описание этого объекта/системы. Краткое! А не "Ну иногда нам присылают отчеты об обследовании на 500 листов... Мы их, конечно, тоже прочитаем...".
Когда же зал начал задавать вопросы, то у меня сложилось полное ощущение, что вокруг сидит 300 человек моих студентов. Потому как на подавляющее большинство их вопросов можно было дать два универсальных ответа: "Я только что об этом говорил(а) в докладе" или "Когда читаете документы, то читайте их целиком. Все слова, которые там написаны. Вообще все. Каждое. А не только те, которые вам кажутся важными/понятными". Я вообще искренне поразилась терпению докладчиков и ведущего конференции, который спокойно отвечал в пятый раз "Нет" на вопросы "А обязательно с вами согласовывать документы? А если заказчик хочет? А если вышестоящая организация хочет? А модель угроз тоже не надо? И техническое задание не надо? А у нас потом лицензию не отнимут?" и далее в таком же ключе.
Впрочем на вопросе какого-то представителя "пишущей братии" - вот не запомнила наименовании журнала - даже "чекистская выдержка" подвела, потому как это чудное создание даже в формулировке вопроса умудрилось дважды наврать исказить информацию, которую вот буквально несколько минут назад услышало в докладе.
Но доконало меня, собственно, даже не это!
Среднестатистический срез аудитории из 300 человек в общем-то и не предполагает досконального знания и умения применять положения нормативных актов.
НО!
Помимо некоего среднестатистического участника/слушателя там присутствовало некоторое количество "признанных экспертов". Ну то есть я не знаю, кто именно и каким образом их признавал, но эти господа, как правило, довольно активно консультируют, проводят семинары и... "барабанная дробь" - ведут тематические блоги!
И вот тут начинается полнейшая феерия идиотизма!
Потому что соединение классического "Рабинович напел" и "в интернете же вся правда написана" приводит к тому, что некто не будем показывать пальцем, хотя это был мой коллега читает в авторитетном для него блоге высказывание типа "ФСТЭК не разрешает сдавать в субаренду оборудование и помещения, необходимые для лицензии по ТЗКИ. При получении лицензии нужно представить зарегистрированный в юстиции договор на аренду помещения, в котором должен быть пункт о запрете субаренды". и начинает нести эту херню в массы. На резонный вопрос "WTF??" получаем гениальный ответ "Ну это сказали в устной форме на конференции!". Нет, ну если бы меня там не было, я бы может посомневалась чуть дольше - ну ровно столько, чтобы хватило переварить всю правовую бредовость фразы "зарегистрированный в юстиции договор". Но засада в том, что я там была и слушала ушами и смотрела глазами. Своими. Ну и еще немного шевелила мозгами. Тоже, о ужас, своими. И могу с полной уверенностью утверждать, что ничего подобного озвучено не было.
А на просьбу "пруфлинка" на официальный документ получаем... правильно - ссылку все на тот же "авторитетный блог"!
Не, ну я понимаю, что мое мнение против авторитетного блоггера не канает. Равно как и мнение еще минимум одного присутствовавшего там же специалиста, также сильно удивившегося выводам. И, честно говоря, меня это не сильно беспокоит, т.к. не затрагивает моей непосредственной деятельности. Затронуло бы - разговор был бы иным. Тут же мне было просто любопытно.
И вот эта вот тенденция "в интернете же написано" она меня просто искренне поражает! Сами не слышали, документы не читали, но - это же ВАСЯ и ВАСЯ сказал! Это феерично, господа... Зачем читать первоисточники, т.е. нормативные документы (а на месте их разработчиков я бы задалась и вопросом, зачем их вообще писать), если с одной стороны есть масса "толкователей священного писания", а с другой - еще более многочисленная "армия" тех, кто жаждет их великих откровений... И откровения не замедляют появляться, адепты - претворять их в жизнь, а "регуляторы" хвататься за голову от "нам консультанты сказали, что если мы не хотим разрабатывать модель угроз, то нужно просто признать актуальными их ВСЕ..."
А выводов, как обычно, не будет...
tupaya

Ретроспективное...

Десять лет назад при словах "информационная война" мои студенты делали круглые глаза и никак не могли запомнить такую составляющую понятия "информационная безопасность", как "защита от негативного информационного воздействия". А мой тогдашний завкафедрой в свою очередь с трудом доносил смысл этих слов до господ законодателей.
Пять лет назад на слова про негативное воздействие информации студенты понимающее говорили: "Аааа, ну это про спам..." и дружно начинали свои курсовые с цитаты про владение информацией и миром, а при запросе "информационная война" интернетики выдавали массу статей про радиоэлектронную борьбу и ничего боле.
Пару лет назад я перестала читать "понятийный" курс, но упоминание в рамках других дисциплин про информационное противоборство студенты "проглатывали" совершенно спокойно, а среди читаемых на факультете курсов появился один под названием "Информационные войны". Примерно тогда же на одной из конференций по транспортной безопасности я вызвала непривычное оживление в зале выступлением, связывающим проблемы антитеррористической защищенности с проблемами информационной безопасности.
Ну а сейчас, глядя на то, как в ходе информационных боев гибнут последние остатки здравого смысла, я все больше понимаю бедную Кассандру...
tupaya

То тюлень прибежит, то олень...

Все чаще возникает желание посмотреть, не записано ли у меня в трудовой книжке, что я работают тут вовсе не тем, кем думаю, а юристом.
Количество разъяснений по разнообразным законам, постановлениям и иже с ними, которые мне приходится выдавать в последнее время, уже превышает разумные пределы.
На моменте объяснения различий между фразой "требования являются обязательными" и "требования могут применяться", а также как, исходя из этих различий, можно сделать так, чтобы ничего не делать, я поняла, что, видимо, пора идти просить прибавку к зарплате за совмещение должностей. :)
tupaya

Утренняя порция баша...

roumor: моя прабабка вскрывала и читала все письма которые шли матери, те которые ей не нравились — прятала. Но это все выяснилось после ее смерти, когда нашли пакет с кучей писем.
chaotic: BABKA IN THE MIDDLE
tupaya

Не, ну сегодня не первое апреля ж!

Дайте мне развидеть это! Ну натурально - не бывает, не может быть таких идиотов!
Причем в обоих вариантах: и если это правда, и если оно фейк показуха...

Райан Фогл предлагал 1 миллион долларов в год за сотрудничество сотруднику российской спецслужбы, говорится в письме, фигурирующем в оперативной съемке, которая была распространена ФСБ.



Здесь в комментах шикарное обсуждение! :))
katana

Ну и в продолжение профессиональной темы...

Второй день наблюдаю откровенную феерию "вконтактике" с массовыми перепостами протестного воззвания о вреде курения в отношении какой-то там новой политики "вконтактика".
В чем именно заключается новая политика, никто уточнить не пытается, да и не в этом суть. Суть же у нас, как обычно - паника-паника, мои права прищемили!
Чего меня, собственно, восхитило, так это само "послание", текст которого настолько фееричен, что по сути, что по форме, что заслуживает почетного второго места сразу после воззвания мамочек о неподписании согласия на обработку персональных данных их чадушек.
Собственно, феерия:
В ответ на новую политику "ВКонтакте" я настоящим объявляю, что все мои персональные данные, иллюстрации, рисунки, статьи, комиксы, картинки, фотографии, видео и так далее являются объектами моего авторского права (согласно Бернской Конвенции).

Для коммерческого использования всех вышеупомянутых объектов авторского права в каждом конкретном случае необходимо мое письменное разрешение!

"ВКонтакте" теперь является публичной компанией. Именно поэтому всем пользователям данной социальной сети рекомендуется разместить на своих страницах подобное «уведомление приватности», в противном случае (если уведомление не опубликовано на странице хотя бы однажды), вы автоматически разрешаете любое использование данных с вашей страницы, ваших фотографий и информации, опубликованной в сообщениях на стене вашей страницы.

Каждый, кто читает этот текст, может скопировать его на свою стену в "ВКонтакте" . После этого вы будете находиться под защитой законов об авторском праве. Этим коммюнике я оповещаю "ВКонтакте" о том, что разглашение, копирование, распространение моей личной информации или любые другие противоправные действия по отношению к моему профилю в социальной сети строго запрещены. Вышеупомянутые запреты также налагаются на сотрудников, студентов, агентов или любой другой персонал, так или иначе подконтрольный "ВКонтакте". Информация, размещаемая в данном аккаунте,
является конфиденциальной. Нарушение приватности моих данных является нарушением закона (UCC 1 1-308-308 1–103 и Римского Статута)
.

Ну, а теперь по пунктам... Извиняйте, что без ката, но на айпадике дюже неудобно тэги прописывать...
Номер раз: персональные данные, являющиеся объектом авторского права - это просто прЭлестно! Нет, ну я допускаю, что авторами моего имени и даже в каком-то смысле фамилии с отчеством можно считать моих родителей. А авторы, например, моего места жительства -кто? А номера паспорта? И, может, это я им всем должна авторские отчисления за использование?
Не, я понимаю, что большая часть "вконтактных" жителей пользует имена вымышленные, но тогда, простите, при чем тут персональные данные?
Номер два: если вы сами, собственными ручками, написали на своей, открытой для просмотра любыми туда зашедшими, страничке свои реальные персональные данные, то вы чего, собственно хотите? От владельца той площадки, где вы сие размещаете, вы можете требовать только того, чтобы окромя вас никто ничего не изменил. А вот возмущаться, что кто-то пришел, прочитал и теперь ЗНАЕТ, это извиняйте как-то...
Номер три: вот скажите мне, дражайшие пользователи "вконтактика", какая реально часть того, что размещается на ваших страничках, является действительно вашим авторским контентом, а не перепостами всего и вся и картиночками с интернетика? Или, что у меня лежит, то, по-определению, мое?

В общем, второй день нахожусь в "горестном недоумении"(тм). Особенно, когда вижу перепосты этой феерии от людей, которых никак не могла заподозрить в склоности к тыканью в конопочку "рассказать друзьям" без предварительного вдумчивого чтения того, о чем "рассказывается"...