Блоги экспертов

Спросили тут у министра. «Щеголев пообещал защитить данные пользователей единого портала госуслуг от утечек
Минкомсвязи РФ совместно с МВД и ФСБ сделает все возможное для создания максимально безопасной базы данных о пользователях единого портала госуслуг. Об этом сегодня заявил министр связи и массовых коммуникаций Игорь Щеголев... Для регистрации [на портале госуслуг] необходимо ввести свою фамилию, имя, отчество, телефон, адрес, а также ИНН и номер страхового свидетельства. » Заявление дважды нелогичное.


— А базы у вас свежие?
— Обижаешь, дорогой! Только что бегали. Во-первых, нет оснований надеяться защитить эту базу, если сто предыдущих баз (начиная от ГАИ и заканчивая Пенсионным фондом) от утечек не сберегли. Действуя теми же средствами и такими же методами – при минимуме денег и максимуме бюрократии; без высокооплачиваемых специалистов и при избытке отставных пней; при ответственности за нарушение "порядка защиты" и отсутствии ответственности за собственно утечку.

Во-вторых, какой смысл защищать перечисленные персональные данные? Кому они нужны? Нет, конечно, через некоторое время на рынке появятся диски с БД пользователей портала госуслуг. Но появятся они исключительно потому, что достать эти данные через инсайдеров обошлось в сумму около нуля. Ущерб пользователям от распространения такой базы будет флуктуировать около той же отметки.

"Ага, – скажут мои читатели, – других-то критиковать легко. А сам бы ты как выкрутился на месте министра?" Ваш покорный слуга на месте Щёголева поймал бы какого-нибудь критикана за язык. Шо говорите? Мы не сможем защитить данные? Кто это там такой умный? "Инфовотч" умный? Ну тогда вот вам контракт на защиту нашего портала, и если хоть одна единица персданных оттуда утечёт – расплачиваться будете своей собственной... репутацией. И деньгами тоже.

А пока принимаются ставки: появится ли в публичном доступе БД указанного портала через 1 год после начала массовой регистрации.

This makes no sense to me, even though -- I suppose -- it's a squid cryptography joke.

This one on simple-talk.com.

At RSA 2010, I was given a unique opportunity to interview Bob Russo (GM at PCI SSC) and Troy Leach (CTO at PCI SSC). I have prepared a deck of very tough questions and then had an hour-long discussion with Bob and Troy around those questions. What follows is the interview reconstruction from my notes with minimum edits and clarifications by the Council folks.

Anton Introduction:  I think PCI DSS is the most valuable thing to hit security industry since its inception – both as a driving force for security improvements and as a source for security guidance. However, there are skeptics among merchants (too much security) and some security professionals (too little security). Some of my questions below focus on dispelling the misconceptions such skeptics might hold.
Anton Question 1: What, in your opinion, is the main value of PCI DSS – to the community at large? Merchants? Banks? Brands?
Bob and Troy @ PCI Council answer:
You have answered this question yourself above: it is security. Motivation for payment security improvements is the value of PCI. For some companies it is also a springboard for additional security improvements needed for their businesses. This benefits everybody!
PCI value can also be rephrased as demonstrating trust across organizational boundaries and. As we know, payment security has many sides and PCI compliance is one way of demonstrating trust across organizational boundaries.

Anton Question 2: Way too many companies seem to focus on compliance and not on security. What is the best way to prevent “teaching to the test” for PCI DSS compliance?
Bob and Troy @ PCI Council answer:
Too many companies focus on studying for the test. We believe the PCI Standards provide a solid foundation for a security strategy to look after payment and other types of data, but security does not start and end with compliance with standards.
Education is very important and that is why the PCI Council will focus even more on educating the merchants and changing their mindset from one of compliance to security. Their old way of doing business – retaining card data, for example- was viable one day, but not today.One of the steps we see is increased outsourcing of payment processing to trusted providers.

Anton Question 3: Some people say that “the brands must just change the system” since Level4 merchants [=typically smaller merchants] can never be educated and this never can be secured. What do you say to this?
Bob and Troy @ PCI Council answer:
It’ll happen eventually, but it is obviously not so easy. We’re talking 5 to 10 years here. The payment system is diverse and incredibly complex. Any drastic changes will probably be more costly and disrupt merchants’ business even more than PCI DSS ever could, so they have to happen gradually. The PCI Council’s mandate is to get as much done to improve payment security as possible - within the existing system. Security has to become part of every business that deals with card data.

Anton Question 4: There are many debates about PCI DSS in security industry, among merchants, etc. How can the impact of PCI DSS payment security be measured? Who might have the data to do it?
Bob and Troy @ PCI Council answer:
Security breach statistics demonstrating a root cause that can be mapped to PCI DSS requirements is one such possible way to prove the value of PCI. For example, if the company did not take any measures to protect against SQL injection and got breached through that, they need to pay more attention to Requirement 6.6.
On the other hand, trying to analyze what the non-breached companies are doing right with PCI is harder since you don’t hear about the myriad of success stories of companies that are defending against breaches through following DSS or have minimized card data compromise in breach situations through strong logging and monitoring, mandated by PCI.
PCI DSS prescribes logging and monitoring, which help detect data loss. Unfortunately some recent incidents had breach evidence present in logs, but since logs were not reviewed until breach became public (contrary to PCI DSS requirements) this was not utilized for detecting the breach.
More education efforts are needed to explain to merchants that PCI is not only about breach prevention, but also about detection of intrusions and security monitoring. Thus, judging its value only on breach prevention is shortsighted.
Enhanced information sharing will drive more improvements here.

Anton Question 5: What is your opinion of mandating the discovery of stored card data and especially track and other prohibited data? This technology was not high on the list in PWC report.
Bob and Troy @ PCI Council answer:
Many QSAs already use data discovery tools today. Since PCI scope covers systems where card data is present, payment card data discovery should be part of scope validation. “Forgotten” credit card data dumps were indeed present in some recent breaches stories.
Methods of such discovery can vary- using an automated tool is one of the options, but such tools are still not mature.

Anton Question 6: Do you think that there should be tiered security requirements for small and large organizations (that go beyond today’s SAQ validation levels)? For example, daily log review seems onerous to many merchants.
Bob and Troy @ PCI Council answer:
You cannot dumb security down below a certain level. More education efforts will be needed to explain to merchants how to satisfy requirements and become compliant [and stay compliant].
However, the Council is planning to build more tools in order to help merchants understand what exactly they need to do to become compliant. A wizard interface or some other method to simplify the SAQ process can be used here to highlight which controls the merchant needs to implement.

Anton Question 7: The “None were compliant when breached” rings true to me. Why do you think so many people object to this?
Bob and Troy @ PCI Council answer:
People simply need to know the facts and find out what happened in those breach stories. For example, some breached companies had massive stores of prohibited data, such as authorization data. Or they were not adequately protected at the application or database level against things like SQL injections. There is a difference between “breached due to negligence” and “breached due to bad luck.” Being diligent but still ultimately failing to protect the information is possible (so safe harbor does exist for such companies); it just isn’t what happened in those incidents.

You just need to get the facts. If a company gained compliant status by misrepresenting the facts to a QSA, PCI standards are not at fault when the breach happened.

Anton Question 8: What is the best way to balance PCI DSS lifecycle with both merchants complaints about “moving target” and with rapidly changing threats?
Bob and Troy @ PCI Council answer:
So far, the current two year lifecycle has provided a good balance between structured development and staying abreast of rapidly changing threats. Feel free - and have your readers - to suggest changes to that lifecycle, if you think it needs to be changed! We are considering how it might evolve.

Anton Question 9: What do you think of using PCI DSS controls for non-payment-card data?
Bob and Troy @ PCI Council answer:
It is a good thing, if you keep in mind that PCI DSS controls are the foundation or the minimum baseline for an effective security strategy. Organizations will likely need to build more security on top of the PCI foundation to protect other sensitive data. Layering technology solutions and combining with the necessary people and processes continues to be the most effective means in protecting cardholder data.
PCI has certainly raised awareness for all data protection, not just payment card data.
Anton Summary
Overall, the main themes I picked in the conversation were:

• “PCI compliance” is a means to an end. And the end is “security!”
• Education is one of the ways to change the thinking of merchants and to improve security.

Thanks to Bob and Troy for the insightful discussion!About me: http://www.chuvakin.org

Funny comic.

A hollowed-out U.S. nickel can hold a microSD card. Pound and euro coins are also available. I blogged about this about a year ago as well.

Как ни странно, широко известный мем "учите матчасть" произошёл из анекдота. А анекдот тот, по всей видимости, основан на событиях то ли корейской (1950-53), то ли вьетнамской (второй индокитайской) (1965-75) войны.
«Советский лётчик был сбит и попал в плен. Чудом ему удалось бежать и добраться до своих. "Как там в плену?" - спрашивают у него коллеги. Он отвечает: "Ребята, учите матчасть. Бьют сильно"»

Умные – они предают раньше других. Да, да, речь об утечках. О том, что часто обучение работников повышает вероятность утечек конфиденциальной информации. Вредно как недостаточное обучение, так и слишком высокая квалификация. А "самых умных" вообще нужно сразу увольнять или повышать в должности.

Поэтому предлагаю планы (и бюджет) на обучение работников визировать в подразделении ИБ. С правом вето.

Забавно, что региональный ФСТЭК похоже не слышал не только о решении об отмене двух документов четверокнижия, но и о 58-м приказе тоже ничего не знает. Вчера выступал на конференции в Ростове, на которой представители ФСТЭК долго и нужно пересказывали четверокнижие и то, как все должны аттестовать свои системы и получать лицензию ТЗКИ. Подозреваю, что и в других федеральных округах ситуация не лучше.

ЗЫ. Грустно то, что и многие интеграторы и вендоры ИБ, выступавшие там же, тоже ничего не знали про решение ФСТЭК об отмене части четверокнижия ;-(

Over at Wikibooks, they're trying to write an open source cryptography textbook.

It's good to dream:

IARPA's five-year plan aims to design experiments that can measure trust with high certainty -- a tricky proposition for a psychological study. Developing such experimental protocols could prove very useful for assessing levels of trust within one-on-one talks, or even during group interactions.

A second part of the IARPA proposal might involve using new types of sensors and software to gauge human facial, language or body signals that might help predict trustworthiness. Perhaps facial recognition technology that could deduce emotions or facial tics might help, not to mention better lie detectors.

IARPA is the Intelligence Advanced Research Projects Activity, the U.S. intelligence community's answer to DARPA.

Существуют немудрящие формулы для расчёта потребной пропускной способности канала, на котором висят N пользователей. Знакомый вашего покорного слуги, прослуживший много лет в разных провайдерах, уверял, что формулы эти все неверные, а на самом деле загрузка канала подчиняется первому закону Паркинсона. Закон простой: пользовательский трафик за короткое время занимает всю отведённую ему полосу. Расширьте канал в два раза – и уже через пару недель пользователи начнут качать вдвое больше. Расширьте его вдесятеро – сами собой заведутся сайты и файлообменники, а загрузка канала всё равно будет порядка 80%, как и до расширения.

С этим утверждением (которое я склонен, хоть и с оговорками, разделять) перекликается другая эмпирическая мудрость одного сисадмина. Она настолько древняя, что мне не удалось найти её концов среди сетевых окаменелостей. Расскажу своими словами.


Всегда влезет ещё один. В те далёкие времена, когда сервера были большими, а их диски – маленькими, стало заканчиваться место на офисной файлопомойке. Периодически сисадмин рассылал всем пользователям просьбы удалить или заархивировать лишние файлы, но просьбы обычно не имели эффекта. Тогда он плюнул и решил: пусть пользователи живут как хотят. Несколько дней диск стоял наполненным ровно на 100%. А потом как-то само собой, без напоминаний и жалоб начальству освободилось 2 или 3%. Заметив это, суровый сисадмин сказал: "Ага!" И, поддавшись любопытству исследователя, сгенерировал файл, заняв им всё освободившееся место. Через пару дней свободное место вновь появилось, и сисадмин его снова занял. Через две недели под файлами-заглушками лежало уже около 20% дискового пространства, а пользователи всё продолжали (заметьте, совершенно добровольно!) освобождать свои каталоги от лишнего контента.

Связь между этими двумя притчами уважаемые читатели увидят сами. А вот отношение к утечкам информации ваш покорный слуга готов разъяснить. Пользователи, главная причина утечек – они, оказывается, живые. И даже разумные. Поэтому если вам кажется, что какие-то статистические методы (в частности, оценки рисков или вероятности утечек) с ними работают, значит, вы считаете как-то не так или что-то не то.

Не мог не перепостить :)


Коннект: Слушай, мож мы родственники?
ALEXA: думаешь???
Коннект: Ну, может дальние. Какая девичья фамилия была у твоей матери?
ALEXA: *енко
Коннект: О, у тебя 8 новых писем )
ALEXA: в смысле???

http://bash.org.ru/quote/406043

• So you want to work for yourself? - Security Operations by Visible Risk - Visible Risk - Enterprise Information Security and Intelligence Operations

В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:

• "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных", утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
• "Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г. 

Взято с сайта ФСТЭК (спасибо malotavr за наводку).

Really:

Since they are hard to conceal, the study says, noses would work well for identification in covert surveillance.

The researchers say noses have been overlooked in the growing field of biometrics, studies into ways of identifying distinguishing traits in people.

"Noses are prominent facial features and yet their use as a biometric has been largely unexplored," said the University of Bath's Dr Adrian Evans.

"Ears have been looked at in detail, eyes have been looked at in terms of iris recognition but the nose has been neglected."

The researchers used a system called PhotoFace, developed by researchers at the University of the West of England, Bristol and Imperial College, London, for the 3D scans.

Good legal paper on the limits of identity cards: Stephen Mason and Nick Bohm, "Identity and its Verification," in Computer Law & Security Review, Volume 26, Number 1, Jan 2010.

Those faced with the problem of how to verify a person's identity would be well advised to ask themselves the question, 'Identity with what?' An enquirer equipped with the answer to this question is in a position to tackle, on a rational basis, the task of deciding what evidence will be useful for the purpose. Without the answer to the question, the verification of identity becomes a sadly familiar exercise in blind compliance with arbitrary rules.

Коллеги, свершилось!

Появилась первая информация, что самые спорные и «противные» документы ФСТЭК:

• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных

Отменены!

.

P.S. Решение ФСТЭК выложено в разделе “Постановления Правительства Российской Федерации”. Знаково

Другие записи

• День сурка или новые документы ФСТЭК
• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных
• Знаковые события в области персональных данных или “додуманные” документы ФСТЭК
• Как учитывают закон о персональных данных в on-line сервисах или будут ли жить Электронное правительство и Электронная Россия?
• Критичных изменений нет или что такое законодательство в области персональных данных
• Коробочное решение для защиты персональных данных

691 . 374

© Царев Евгений for Персональные данные по-русски, 2010. | Permalink | 11 comments | Add to del.icio.us
Post tags: безопасность персональных данных, Законодательство, защита персональных данных, ИСПДн, Классификация ИСПДн, Коллеги, Консультация, Новость, система персональных данных, ФСТЭК

Feed enhanced by Better Feed from Ozh

Интересно, только у вашего покорного слуги такое впечатление, что тема авторских прав стала активно-протестной?

Ощущается, что общественное мнение по поводу авторских прав (и интеллектуальной собственности вообще) подошло к критическому уровню. Переливаясь с позиции «закон, в общем, нужен, но он несовершенен и исполняется криво, полезно было бы его пересмотреть» на позицию «закон несправедлив, его соблюдение есть нанесение ущерба народу, стране, экономике, человечеству, прогрессу».

Отсюда вывод. Позиционирование фирмы как правообладателя, публичное выступление её в качестве истца или потерпевшего по делу об авторских правах сразу же опускает репутацию компании. Пираты ныне в моде, "правообглодатели" – в презрении.

В повести Полякова "Гипсовый трубач" был описан случай из советской действительности, который, как мне показалось, рифмуется с обсуждаемой ситуацией. На карнавале герой нарядился в костюм хиппи вместо предложенного ему костюма пирата. Эта выходка вызвала резкую реакцию со стороны КГБ, и герой чуть было не стал жертвой тоталитарного режима. Изображение же из себя морского грабителя и убийцы (пирата) считалось тогда социально приемлемым (как, впрочем, считается и ныне, если только это не пират-нарушитель авторских прав).

Так что, с точки зрения пиара и "деловой репутации", сегодня не слишком выгодно быть "первым учеником", ЕВПОЧЯ.


Кстати, сегодня, 10 марта День архивирования. Год назад я рассказывал про этот праздник. Поздравьте своего бэкап-админа.

Итересную новость опубликовал Verizon. В ответ на критику Data Breach Investigations Report был подготовлен опросник для обмена данными об инцидентах. Полезный документ, думаю, что компаниям, работающим в этой области стоит взять на вооружение.

Что приятного - в качестве классификации Web используется WASC WATCv2. Дополнительно - Verizon "вернул" группировку атак и уязвимостей по классам, чего мне очень не хватало во второй версии:

• Authentication 
• Authorization 
• Command Execution/Injection
• Abuse of Functionality
• Denial of Service
• Client-side 
• Encryption 
• Protocol Manipulation
• Miscellaneous
  

В феврале была создана некая Ассоциация защиты прав операторов и субъектов ПДн. Как написано на сайте: "Ассоциация" является добровольным объединением, основанным на членстве юридических и физических лиц. Ассоциация создана по инициативе граждан, объединенных профессиональной деятельностью, для реализации общих идей и целей и объединяет специалистов в области персональных данных различного уровня (от специалистов до руководителей направлений)".

Не знаю, что будет делать сама Ассоциация, но сайт должен стать единым источником полезной информации по теме ПДн. Хотелось бы, чтобы Ассоциация еще и в изменении законодательства участвовала, но в ее целях и задачах этого нет - только несение света в массы (правда, непонятно на какие средства, но это мелочи). Уже сейчас на сайте куча всяческих документов, ссылок, новостей, форум и т.п.

ЗЫ. Кто создатель Ассоциации неизвестно (как и список ее членов), но по косвенным признакам - это г-н Травкин. Небезызвестный toparenko активно рулит наполнением сайта, что дает надеяться на качество последнего ;-)