Выпуск №16

Вид материала

Бюллетень

Содержание Безопасность персональных данных разъяснит ФСБ Британское правительство будут проверять на безопасность данных GlobalTrust представляет серию учебных семинаров для членов управляющего комитета по информационной безопасности IS003 - Ликбез для членов управляющего комитета по информационной безопасности Общее описание. Основные функции управляющего комитета по информационной безопасности Программа курса eBay проведет конференцию по вопросам безопасности Арифметическая ошибка может привести к краху криптографических систем

Подобный материал:

• Список научных статей и тезисов конференций преподавателей университета «Дубна» филиал, 348.59kb.
• Справочник работ и профессий рабочих Выпуск 50 Раздел "Добыча и переработка рыбы, 1756.24kb.
• Бюллетень «Гражданская журналистика» Выпуск #4 (14. 10. 2005), 458.59kb.
• Управление образования мэрии Новосибирска Дворец творчества детей и учащейся молодежи, 1441.91kb.
• Программы Выпуск 7 г. Витебск, 837.73kb.
• 14 ноября начинает работу, 748.99kb.
• «молодая семья» Выпуск Молодая семья. Выпуск 2/ Под общ. Ред. А. Д. Плотникова, 30.65kb.
• Вконкурсе стенгазет «К штыку приравняем перо» ( литературный выпуск) и «Великая битва, 19.51kb.
• Модель "затраты – выпуск", 99.91kb.
• Паказальнік літаратуры, якая прапануецца для пераразмеркавання выпуск 1, 2011, 3578.25kb.

Безопасность персональных данных разъяснит ФСБ

Персональные данные россиян стали чуть более защищенными. В опубликованном на днях правительством РФ положении о безопасности персональных данных указано, какие государственные органы разработают нормативы и напишут методички к соответствующему закону, и в какой срок они это сделают. Заниматься этим будут, в основном, Федеральная служба по техническому и экспортному контролю вместе с ФСБ.

Свободно обращаемые в рознице базы ГИБДД, сотовых абонентов, банковских вкладчиков и кредиторов потрясли российскую власть и общество настолько, что «Закон о персональных данных» стал едва ли не желанным. Но, хотя принят он был еще полтора года назад, а в силу вступил в январе 2007 г., чувство защищенности он давал довольно абстрактное. В отсутствие нормативной и методической базы к Закону, понимания, как его исполнять, не было ни у «операторов персональных данных» (под понятие которых подпадают не только банки и страховые компании, но и отделы кадров любых предприятий), ни у уполномоченного ведомства – Россвязьохранкультуры.

20 ноября ситуация несколько изменилась. Правительство издало документ со сложным названием «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Премьер-министр России Виктор Зубков подписал его 17 ноября 2007 г., а 20-го текст документа был опубликован на сайте Правительства РФ.

Дочитав документ до конца, можно узнать, кто отвечает за разработку нормативной базы к «Закону о персональных данных» в части хранения и обработки персональных данных при помощи «средств автоматизации». Весь норматив, упоминаемый в «Положении», правительство поручило написать Федеральной службе по техническому и экспортному контролю (ФСТЭК) и ФСБ России.

Эти ведомства установят методы и способы защиты информации в информационных системах; определят каналы утечки информации при обработке персональных данных; оценят исследования средств защиты данных; согласуют правила пользования средствами защиты информации и определят перечень индексов, условных наименований и регистрационных номеров для учета средств защиты информации.

Классификацию информационных систем они проведут совместно с Минсвязи России, а вопросами производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации ФСБ займется в одиночку.

Нормотворческая работа должна быть завершена в трехмесячный срок, и 18 февраля 2008 г. весь пакет актов к «Закону о персональных данных» будет написан и утвержден.

www.securitylab.ru


26.11.07 11:51

Британское правительство будут проверять на безопасность данных

Крупнейшая в Великобритании правительственная утечка данных, произошедшая в налоговой службе (HMRC) 18 октября 2007 г., заставила премьер-министра страны Гордона Брауна дать Офису комиссара по информации (ICO) полномочия на выборочные проверки госучреждений на предмет надежности хранения данных.

Новые полномочия Офис комиссара по информации, наблюдающий в стране за соблюдением тайны личной жизни, получил от премьера во время выступления г-на Брауна в Палате общин. «Мы предоставляем комиссару по информации полномочия выборочной проверки департаментов и возможность сделать все, что в его власти, для обеспечения защиты данных», - сказал премьер.

Как сообщает ITWeek, комиссар по информации Ричард Томас счел новые полномочия полезными для «обеспечения более строгого соответствия практик работы с данными в правительственных учреждениях с законом и защиты данных о гражданах». Детали плана выборочной проверки будут согласованы ICO совместно с министерством юстиции, отметил г-н Томас. Вместе с тем, таких проверок недостаточно, считает глава ICO. Правительство, по его словам, должно предусмотреть строгие штрафные санкции против тех, кто допускает халатность в обращении с данными.

Тем временем, утечку в HMRC исследует третья, независимая сторона, компания Price Waterhouse Coopers. Результаты этого исследования, скорее всего, лягут в основу рекомендаций по защите данных, которые выпустит Офис комиссара по информации.

www.cnews.ru

ВЫСТАВКИ, КОНФЕРЕНЦИИ, КУРСЫ

17.11.07 00:00

GlobalTrust представляет серию учебных семинаров для членов управляющего комитета по информационной безопасности

Серия из нескольких 1-2 часовых семинаров, предназначена для повышения осведомленности членов управляющего комитета организации по информационной безопасности. Такие комитеты, в которых представлены все ключевые подразделения, создаются в организациях, внедряющих системы управления информационной безопасностью в соответствии с требованиями международных стандартов, а также в организациях, стремящихся обеспечить надлежащий уровень стратегического руководства и координацию действий, направленных на обеспечение информационной безопасности, между различными подразделениями.

Материал рассчитан на менеджеров не имеющих специальной подготовки в области ИТ или безопасности. Семинары проводятся по гибкому графику. Для обучения выбирается удобное для заказчика время и место. Например, для многих организаций удобным является проведение осведомительных семинаров в собственном офисе в конце или во второй половине рабочего дня.

IS003 - Ликбез для членов управляющего комитета по информационной безопасности

Данный учебный курс включает в себя серию из нескольких 1-2 часовых семинаров, предназначенных для повышения осведомленности членов управляющего комитета организации по информационной безопасности.

Такие комитеты, в которых представлены все ключевые подразделения, создаются в организациях, внедряющих системы управления информационной безопасностью в соответствии с требованиями международных стандартов, а также в организациях, стремящихся обеспечить надлежащий уровень стратегического руководства и координацию действий, направленных на обеспечение информационной безопасности, между различными подразделениями.

Продолжительность курса - от 4 методических часов и более

Стоимость одного семинара - 11 000 руб.

Необходимая подготовка - не требуется

Общее описание. Основные функции управляющего комитета по информационной безопасности

Обеспечение информационной безопасности организации невозможно без надлежащей поддержки со стороны руководства. Международный стандарт ISO 27002:2005 определяет, что руководство должно активно поддерживать безопасность в организации путем четкого управления, демонстрируемой приверженности, явного назначения и подтверждения ответственности за информационную безопасность (ISO/IEC 27002:2005 п. 6.1.1 Приверженность руководства информационной безопасности). Для этого руководству организации следует:

убедиться в том, что цели информационной безопасности определены, отвечают требованиям организации и интегрированы в значимые процессы;

определить, пересматривать и утверждать политику информационной безопасности;

предоставить четкие указания и видимую поддержку инициатив в области информационной безопасности;

выделить ресурсы, необходимые для обеспечения информационной безопасности;

утвердить назначение индивидуальных ролей и ответственности за обеспечение информационной безопасности;

инициировать выполнение планов и программ по поддержанию осведомленности в вопросах информационной безопасности;

убедиться в том, что внедрение механизмов контроля информационной безопасности, координируется по всей организации.

Руководство также должно определить потребности во внешних и внутренних консультациях по вопросам информационной безопасности, а также анализировать и координировать результаты таких консультаций по всей организации. Координация информационной безопасности включает в себя взаимодействие между руководителями подразделений, пользователями и администраторами информационных систем, разработчиками и проектировщиками приложений, аудиторами и персоналом службы безопасности, а также специалистов в области страхования, законодательства, управления персоналом и управления рисками (ISO 27002:2005 п. 6.1.2 Координация информационной безопасности).

Обеспечение приверженности руководства, стратегического управления и координации информационной безопасности - задачи, решаемые Управляющим комитетом по информационной безопасности. Программу повышения осведомленности в области информационной безопасности следует строить от Управляющего комитета, постепенно распространяя ее на всех сотрудников компании.

Программа курса

Семинар № 1. Основные понятия информационной безопасности, информационные угрозы и правила безопасного поведения

Что такое информационная безопасность и для чего она нужна

Основные понятия ИБ

Ценность информации для бизнеса

Требования законодательства

Угрозы ИБ

Внешние угрозы (вредоносные коды, хакеры, мошенники, конкуренты и т.п.)

Внутренние угрозы (инсайдеры, ошибки, сбои, недопустимое использование компьютеров и т.п.)

ИБ и непрерывность бизнеса

Методы обеспечения ИБ и их соотношение

Организационные меры

Технические методы защиты

Основные правила безопасного поведения для сотрудников

Электронная переписка и внешнее общение

Работа в Интернет

Работа в корпоративной сети

Использование паролей

Шифрование

Резервное копирование

Предупреждение распространения вредоносного ПО

Использование мобильных устройств и носителей

Удаленная работа

Типичные ошибки, которые приводят к неприятностям с ИБ

Ошибки, совершаемые руководителями организаций

Ошибки, совершаемые сотрудниками организации

Ошибки, совершаемые ИТ специалистами

Семинар № 2. Система управления информационной безопасностью как неотъемлемая часть системы управления организацией

Международные стандарты информационной безопасности

Система управления ИБ как часть системы управления организацией

Жизненный цикл СУИБ

Создание СУИБ

Внедрение СУИБ

Мониторинг и аудит СУИБ

Совершенствование СУИБ

Структура документации СУИБ

Управление информационными рисками

В чем заключается управление информационными рисками

Выбор разумного подхода к управлению информационными рисками

Распределение ответственности за ИБ в организации

Ответственность руководства

Роль и функции службы ИБ

Роли и функции руководителей подразделений

Роли и функции управляющего комитета по ИБ

Как внедряют СУИБ

Как проводят сертификацию СУИБ и какие преимущества она дает

www.globaltrast.ru


18.11.07 00:00

eBay проведет конференцию по вопросам безопасности

Компания eBay планирует провести собственную конференцию, посвященную вопросам компьютерной безопасности.

Как сообщает PC World со ссылкой на заявления Дэйва Куллинейна, директора по информационной безопасности онлайн-аукциона eBay, мероприятие под названием Red Team eBay пройдет в следующую пятницу в кампусе eBay в Сан-Хосе (штат Калифорния, США). Попасть на конференцию можно будет только по специальному приглашению. Ожидается, что в рамках Red Team eBay сотрудники отдела безопасности eBay встретятся со специалистами других компаний и экспертами в области защиты компьютерной инфраструктуры.

Строго говоря, мероприятие Red Team eBay будет проводиться уже во второй раз. Впервые конференция была организована в начале нынешнего года без громкой огласки и ее посетили специалисты из примерно ста компаний. На предстоящей встрече Red Team eBay количество участников, вероятно, будет меньше.

Куллинейн также отметил, что идея конференции Red Team eBay навеяна аналогичным мероприятием Blue Hat, проводимым корпорацией Microsoft.

Первое мероприятие Blue Hat было организовано в 2005 году и проходило в условиях практически полной секретности. Однако инициатива оказалась настолько удачной, что Microsoft приняла решение проводить подобные конференции дважды в год. Причем с каждым годом конференция Blue Hat становится все более открытой.

www.securitylab.ru

СТАТЬИ, АНАЛИТИКА

20.11.07 00:00   

Арифметическая ошибка может привести к краху криптографических систем

Знаменитый криптограф предупредил, что усложнение компьютерных чипов повышает вероятность использования тайных багов для взлома систем шифрования.

В опубликованном в пятницу заявлении профессора израильского Института естественных наук им. Вейцманна Ади Шамира (Adi Shamir), которому принадлежит буква S в алгоритме шифрования с открытым ключом RSA, говорится: «С увеличением размера слова и усложнением алгоритмов оптимизации блоков умножения в современных микропроцессорах возрастает вероятность того, что они могут содержать мелкие необнаруженные ошибки. Примером служит случайное выявление ошибки деления в процессоре Pentium в 1990-е годы и недавнее обнаружение ошибки умножения в программе Microsoft Excel».

Шамир предупреждает, что если какая-то разведывательная организация найдет такую ошибку, а может быть, даже тайно спланирует ее, то любые схемы шифрования с открытым ключом на любом компьютере можно будет «элементарно взломать по любому выбранному сообщению».

Замечание о разведывательных агентствах, влияющих на конструкцию чипов, может показаться признаком паранойи. Однако вопросы об источниках обнаруженной недавно ошибки в алгоритме генерации случайных чисел, поддерживаемом Национальным агентством безопасности и Национальным институтом стандартов и технологии, поставленные такими уважаемыми криптографами, как Брюс Шнайер, не говоря уже об общем повышении изощренности кибератак, делают сомнения менее основательными.

Шамир сравнивает такую «атаку на основе бага» с описанным в 1996 году методом атаки на основе неисправности, по которому для изучения электрического устройства можно использовать, например, внезапный пик потребляемой мощности. Однако атака на основе бага несет в себе гораздо больший теоретический риск, так как позволяет атаковать миллионы ПК одновременно.

Если крупный производитель процессоров, такой как Intel, возможно, научился на прежних ошибках, то более мелкие компании могут оказаться не столь педантичными. А проблема грозит выйти за рамки ПК, перекинувшись в область сотовых телефонов, которые тоже могут опираться на дефектный чип, утверждает Шамир.

«Как мы продемонстрировали в этой записке, даже один (непреднамеренный) баг в любом из этих умножителей может привести к гигантской катастрофе для безопасности, которой способна тайно воспользоваться серьезная разведывательная организация», – заключает Шамир. Вей Дей (Wei Dai), один из авторов кода аутентификации сообщений VMAC и автор бесплатной библиотеки классов криптографических алгоритмов Crypto++ для языка С++, говорит, что существуют способы защиты от арифметических ошибок ЦП и что «реализация RSA в Crypto++ уже защищена от подобных атак…».

И все же светила криптографии не каждый день выступают с подобными предупреждениями.

www.securitylab.ru