xpomob.blogspot.com
Ригельз Дыбр: В традициях завода «АвтоВАЗ»
http://xpomob.blogspot.com/2014/10/blog-post.html
В традициях завода «АвтоВАЗ. Рассупонилось в очередной раз наше красно солнышко: изготовила Минкомсвязь законопроект. О дополнении 149-го ФЗ («Об информации…) облачными технологиями, да не одна, а вместе с ФСБ, ФСО, ФСТЭК и МЭР изготовила. Ишь, оно как: облачные вычисления – это когда для органов власти и самоуправления, а если для холопов каких, то и не облачные это. Ну что ж, по крайней мере, мы теперь знаем, что дальше надо подставлять, встречая термин «услуги облачных вычислений. Почитаем. 171;Предос...
xpomob.blogspot.com
Ригельз Дыбр: Через тернии
http://xpomob.blogspot.com/2014/06/blog-post.html
Недавно пристыдили, что бросил следить за сериалом «Гора продолжает рожать приказ о СКЗИ в ИСПДн. Ну, что: туча, конечно, сгустилась – это есть, но вообще страшное произошло не вчера, и ФСБ ситуацию только усугубила (а то прямо кто-то полагал, что она наоборот поступит? Шансы были бы, если все написать естественными парами «доступная для народа посылка – доступный для народа вывод, типа такого:. Обрабатываешь спецкатегории – защиту должен строить лицензиат;. А вы как сделали? Написать об этом в блоге.
xpomob.blogspot.com
Ригельз Дыбр: 5 проблем управления информационной безопасностью на основе оценки рисков
http://xpomob.blogspot.com/2014/09/5.html
5 проблем управления информационной безопасностью на основе оценки рисков. Увидел рекламные материалы к одному хорошему мероприятию по ИБ (одному из двух, на которые до сих пор хожу) и вспомнил, что давно риск-ориентированный подход не полоскал. Вообще, будь он хорош – давно бы стоял на службе человечества и имел десятки реализаций под Android: тут как с шилом в мешке из поговорки или какающими евреями из анекдота, которые иначе бы кого-нибудь наняли. Но все же по пунктам. Цепочка может ветвиться. На...
xpomob.blogspot.com
Ригельз Дыбр: О способах говорить "нет"
http://xpomob.blogspot.com/2015/01/blog-post.html
О способах говорить "нет". В конце концов, сможете хотя бы для себя определить, какие инциденты готовы спускать, а какие нельзя оставлять без жесткой реакции даже при самой дикой загруженности. Поверьте, что принципы неизбежности, своевременности, обоснованности наказания человечеством рождены не случайно, а необходимы для обеспечения эффективности системы, которая не столько для мести, как для удержания. Отправить по электронной почте. Написать об этом в блоге. Быть, а не казаться. Жизнь 80 на 20.
xpomob.blogspot.com
Ригельз Дыбр: Единственные союзники ИБ
http://xpomob.blogspot.com/2014/12/blog-post.html
Конечно, и первое надо, и второе надо, но вот эта вера в лучшие качества – когда и куда она делась? Это не наверху только произошло. Лакмусовая бумажка: а у Вас внедрен почтовый дисклаймер, напоминающий, что сообщенная в письме информация сообщается именно тому, кому оно направлено, и если он хочет распространить дальше, то надо бы спросить отправителя? Нет, потому что злодею это не помешает, а простую несообразительность Вы не допускаете. С Новым годом, и меняйте себя к лучшему! Написать об этом в блоге.
xpomob.blogspot.com
Ригельз Дыбр: О применимости ИБ-аналитики из интернетов
http://xpomob.blogspot.com/2014/04/blog-post.html
О применимости ИБ-аналитики из интернетов. Пока намеревался объяснить перманентную аллергию на цветистые отчеты об исследованиях, их еще десяток подвалило - теперь не угадаешь, кто все на свой счет примет. Конечно, у этих парней есть и свои грязные методы: нелинейная разметка шкалы, искажение пропорций при перспективе, выдача корреляции за причинно-следственную связь, программирующие вопросы и пр. – исчерпывающий список манипуляций нагуглить нетрудно. Итак, отчего даже самым неполживым и рукопожатным отч...
xpomob.blogspot.com
Ригельз Дыбр: Три буквы на двух заборах, всего шесть
http://xpomob.blogspot.com/2014/10/blog-post_14.html
Три буквы на двух заборах, всего шесть. Как нетрудно рассудить, средство защиты информации – это средство, применяемое для защиты информации. Составляет же нынче защиту информации перечисленное в приложениях к 17, 21 и 31 приказам ФСТЭК (если не попадаете, стоит ли дальше читать? Вот и получается, что:. Средство, используемое для заведения учетных записей (УПД.1), ограничения неуспешных попыток входа (УПД.6), отключения по таймауту (УПД.10) – это СЗИ;. Анти-спам (ОЦЛ.4) – СЗИ;. Конечно же, из ГОСТ 50922,...
xpomob.blogspot.com
Ригельз Дыбр: Есть ли у вас CISO – простой тест
http://xpomob.blogspot.com/2014/11/ciso.html
Есть ли у вас CISO – простой тест. В обществах с дифференциацией штанов реальную принадлежность руководителя ИБ к когорте C (с-level или c-suite – высшее звено) легко проверить по наличию положенных ей привилегий. Которое приобретается в верхнем эшелоне. По обычной ИБ-деятельности это не определить – она шаблонна: все ходы заранее написаны в том ISO, NIST, SANS, СТР или ИББС, который он намерен претворить (но, возможно, вслух ни разу не произносил), а кроме того остается только держать нос по ветру...
xpomob.blogspot.com
Ригельз Дыбр: Когда формула "ущерб Х вероятность" не верна
http://xpomob.blogspot.com/2014/03/blog-post.html
Когда формула "ущерб Х вероятность" не верна. Если что-то написано везде, оно от этого еще не становится правдой – только нормой. Информационная безопасность заражена т.н. риск-ориентированным подходом, при котором выбор защитных мер базируется на оценке тяжести последствий и вероятности их наступления, а обе они берутся из опыта. Обычно это можно и нужно делать. А вот грамотный безопасник стал бы мириться, раз по статистике. Недоступность обычно в минутах, а ущербы в копейках. Написать об этом в блоге.
malotavr.blogspot.com
Лабиринт малотавра: октября 2009
http://malotavr.blogspot.com/2009_10_01_archive.html
Среда, 14 октября 2009 г. Кредитор, должник, коллектор. Чем активнее на различных мероприятиях обсуждают тему персональных данных, тем сильнее меня от нее тошнит. Но иногда задают довольно интересные вопросы. Если должник банка по кредиту не давал или отозвал согласие на обработку и/или передачу своих ПД третьим лицам, то можно ли считать требования коллектора о возврате задолженности незаконными? Должник не давал согласия ни банку (на передачу ПД третьим лицам), ни агентству (на обработку ПД). В первом ...