Все записи

It's good to dream:

IARPA's five-year plan aims to design experiments that can measure trust with high certainty -- a tricky proposition for a psychological study. Developing such experimental protocols could prove very useful for assessing levels of trust within one-on-one talks, or even during group interactions.

A second part of the IARPA proposal might involve using new types of sensors and software to gauge human facial, language or body signals that might help predict trustworthiness. Perhaps facial recognition technology that could deduce emotions or facial tics might help, not to mention better lie detectors.

IARPA is the Intelligence Advanced Research Projects Activity, the U.S. intelligence community's answer to DARPA.

Существуют немудрящие формулы для расчёта потребной пропускной способности канала, на котором висят N пользователей. Знакомый вашего покорного слуги, прослуживший много лет в разных провайдерах, уверял, что формулы эти все неверные, а на самом деле загрузка канала подчиняется первому закону Паркинсона. Закон простой: пользовательский трафик за короткое время занимает всю отведённую ему полосу. Расширьте канал в два раза – и уже через пару недель пользователи начнут качать вдвое больше. Расширьте его вдесятеро – сами собой заведутся сайты и файлообменники, а загрузка канала всё равно будет порядка 80%, как и до расширения.

С этим утверждением (которое я склонен, хоть и с оговорками, разделять) перекликается другая эмпирическая мудрость одного сисадмина. Она настолько древняя, что мне не удалось найти её концов среди сетевых окаменелостей. Расскажу своими словами.


Всегда влезет ещё один. В те далёкие времена, когда сервера были большими, а их диски – маленькими, стало заканчиваться место на офисной файлопомойке. Периодически сисадмин рассылал всем пользователям просьбы удалить или заархивировать лишние файлы, но просьбы обычно не имели эффекта. Тогда он плюнул и решил: пусть пользователи живут как хотят. Несколько дней диск стоял наполненным ровно на 100%. А потом как-то само собой, без напоминаний и жалоб начальству освободилось 2 или 3%. Заметив это, суровый сисадмин сказал: "Ага!" И, поддавшись любопытству исследователя, сгенерировал файл, заняв им всё освободившееся место. Через пару дней свободное место вновь появилось, и сисадмин его снова занял. Через две недели под файлами-заглушками лежало уже около 20% дискового пространства, а пользователи всё продолжали (заметьте, совершенно добровольно!) освобождать свои каталоги от лишнего контента.

Связь между этими двумя притчами уважаемые читатели увидят сами. А вот отношение к утечкам информации ваш покорный слуга готов разъяснить. Пользователи, главная причина утечек – они, оказывается, живые. И даже разумные. Поэтому если вам кажется, что какие-то статистические методы (в частности, оценки рисков или вероятности утечек) с ними работают, значит, вы считаете как-то не так или что-то не то.

Не мог не перепостить :)


Коннект: Слушай, мож мы родственники?
ALEXA: думаешь???
Коннект: Ну, может дальние. Какая девичья фамилия была у твоей матери?
ALEXA: *енко
Коннект: О, у тебя 8 новых писем )
ALEXA: в смысле???

http://bash.org.ru/quote/406043

• So you want to work for yourself? - Security Operations by Visible Risk - Visible Risk - Enterprise Information Security and Intelligence Operations

В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:

• "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных", утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
• "Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г. 

Взято с сайта ФСТЭК (спасибо malotavr за наводку).

Really:

Since they are hard to conceal, the study says, noses would work well for identification in covert surveillance.

The researchers say noses have been overlooked in the growing field of biometrics, studies into ways of identifying distinguishing traits in people.

"Noses are prominent facial features and yet their use as a biometric has been largely unexplored," said the University of Bath's Dr Adrian Evans.

"Ears have been looked at in detail, eyes have been looked at in terms of iris recognition but the nose has been neglected."

The researchers used a system called PhotoFace, developed by researchers at the University of the West of England, Bristol and Imperial College, London, for the 3D scans.

Good legal paper on the limits of identity cards: Stephen Mason and Nick Bohm, "Identity and its Verification," in Computer Law & Security Review, Volume 26, Number 1, Jan 2010.

Those faced with the problem of how to verify a person's identity would be well advised to ask themselves the question, 'Identity with what?' An enquirer equipped with the answer to this question is in a position to tackle, on a rational basis, the task of deciding what evidence will be useful for the purpose. Without the answer to the question, the verification of identity becomes a sadly familiar exercise in blind compliance with arbitrary rules.

Коллеги, свершилось!

Появилась первая информация, что самые спорные и «противные» документы ФСТЭК:

• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных

Отменены!

.

P.S. Решение ФСТЭК выложено в разделе “Постановления Правительства Российской Федерации”. Знаково

Другие записи

• День сурка или новые документы ФСТЭК
• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных
• Знаковые события в области персональных данных или “додуманные” документы ФСТЭК
• Как учитывают закон о персональных данных в on-line сервисах или будут ли жить Электронное правительство и Электронная Россия?
• Критичных изменений нет или что такое законодательство в области персональных данных
• Коробочное решение для защиты персональных данных

691 . 374

© Царев Евгений for Персональные данные по-русски, 2010. | Permalink | 11 comments | Add to del.icio.us
Post tags: безопасность персональных данных, Законодательство, защита персональных данных, ИСПДн, Классификация ИСПДн, Коллеги, Консультация, Новость, система персональных данных, ФСТЭК

Feed enhanced by Better Feed from Ozh

Интересно, только у вашего покорного слуги такое впечатление, что тема авторских прав стала активно-протестной?

Ощущается, что общественное мнение по поводу авторских прав (и интеллектуальной собственности вообще) подошло к критическому уровню. Переливаясь с позиции «закон, в общем, нужен, но он несовершенен и исполняется криво, полезно было бы его пересмотреть» на позицию «закон несправедлив, его соблюдение есть нанесение ущерба народу, стране, экономике, человечеству, прогрессу».

Отсюда вывод. Позиционирование фирмы как правообладателя, публичное выступление её в качестве истца или потерпевшего по делу об авторских правах сразу же опускает репутацию компании. Пираты ныне в моде, "правообглодатели" – в презрении.

В повести Полякова "Гипсовый трубач" был описан случай из советской действительности, который, как мне показалось, рифмуется с обсуждаемой ситуацией. На карнавале герой нарядился в костюм хиппи вместо предложенного ему костюма пирата. Эта выходка вызвала резкую реакцию со стороны КГБ, и герой чуть было не стал жертвой тоталитарного режима. Изображение же из себя морского грабителя и убийцы (пирата) считалось тогда социально приемлемым (как, впрочем, считается и ныне, если только это не пират-нарушитель авторских прав).

Так что, с точки зрения пиара и "деловой репутации", сегодня не слишком выгодно быть "первым учеником", ЕВПОЧЯ.


Кстати, сегодня, 10 марта День архивирования. Год назад я рассказывал про этот праздник. Поздравьте своего бэкап-админа.

Итересную новость опубликовал Verizon. В ответ на критику Data Breach Investigations Report был подготовлен опросник для обмена данными об инцидентах. Полезный документ, думаю, что компаниям, работающим в этой области стоит взять на вооружение.

Что приятного - в качестве классификации Web используется WASC WATCv2. Дополнительно - Verizon "вернул" группировку атак и уязвимостей по классам, чего мне очень не хватало во второй версии:

• Authentication 
• Authorization 
• Command Execution/Injection
• Abuse of Functionality
• Denial of Service
• Client-side 
• Encryption 
• Protocol Manipulation
• Miscellaneous
  

В феврале была создана некая Ассоциация защиты прав операторов и субъектов ПДн. Как написано на сайте: "Ассоциация" является добровольным объединением, основанным на членстве юридических и физических лиц. Ассоциация создана по инициативе граждан, объединенных профессиональной деятельностью, для реализации общих идей и целей и объединяет специалистов в области персональных данных различного уровня (от специалистов до руководителей направлений)".

Не знаю, что будет делать сама Ассоциация, но сайт должен стать единым источником полезной информации по теме ПДн. Хотелось бы, чтобы Ассоциация еще и в изменении законодательства участвовала, но в ее целях и задачах этого нет - только несение света в массы (правда, непонятно на какие средства, но это мелочи). Уже сейчас на сайте куча всяческих документов, ссылок, новостей, форум и т.п.

ЗЫ. Кто создатель Ассоциации неизвестно (как и список ее членов), но по косвенным признакам - это г-н Травкин. Небезызвестный toparenko активно рулит наполнением сайта, что дает надеяться на качество последнего ;-)

Interesting commentary:

I don't think this is really a case about ISP liability at all. It is a case about the use of a person's image, without their consent, that generates commercial value for someone else. That is the essence of the Italian law at issue in this case. It is also how the right of privacy was first established in the United States.

The video at the center of this case was very popular in Italy and drove lots of users to the Google Video site. This boosted advertising and support for other Google services. As a consequence, Google actually had an incentive not to respond to the many requests it received before it actually took down the video.

Back in the U.S., here is the relevant history: after Brandeis and Warren published their famous article on the right to privacy in 1890, state courts struggled with its application. In a New York state case in 1902, a court rejected the newly proposed right. In a second case, a Georgia state court in 1905 endorsed it.

What is striking is that both cases involved the use of a person's image without their consent. In New York, it was a young girl, whose image was drawn and placed on an oatmeal box for advertising purposes. In Georgia, a man's image was placed in a newspaper, without his consent, to sell insurance.

Also important is the fact that the New York judge who rejected the privacy claim, suggested that the state assembly could simple pass a law to create the right. The New York legislature did exactly that and in 1903 New York enacted the first privacy law in the United States to protect a person's "name or likeness" for commercial use.

The whole thing is worth reading.

The "Microsoft Online Services Global Criminal Compliance Handbook (U.S. Domestic Version)" (also can be found here, here, and here) outlines exactly what Microsoft will do upon police request. Here's a good summary of what's in it:

The Global Criminal Compliance Handbook is a quasi-comprehensive explanatory document meant for law enforcement officials seeking access to Microsoft's stored user information. It also provides sample language for subpoenas and diagrams on how to understand server logs.

I call it "quasi-comprehensive" because, at a mere 22 pages, it doesn't explore the nitty-gritty of Microsoft's systems; it's more like a data-hunting guide for dummies.

When it was first leaked, Microsoft tried to scrub it from the Internet. But they quickly realized that it was futile and relented.

Lots more information.

Маленький мальчик нашёл кимоно,
      Пару приёмов увидел в кино...
Доводят до нашего сведения украинские товарищи: «"Доктора" из сериалов ошибаются более чем в 50% случаев
Канадские ученые предупреждают, что не следует доверять опыту "врачей" из телесериалов на медицинскую тематику. Неадекватная помощь теле-пациентам оказывается более чем в половине случаев. Конечно же, это может негативно отразиться на способности телезрителей правильно оказать экстренную помощь настоящему больному.
К примеру, сцены с конвульсиями у больных присутствовали в 327 эпизодах... При этом меры, предпринимаемые "медицинским персоналом", в 46% случаев были совершенно неадекватными. К примеру, больного клали на пол, пытались остановить непроизвольные движения или клали ему что-то в рот. И всего в 17 эпизодах первая помощь была оказана согласно стандартам, а еще в 15 случаях адекватность первой помощи было трудно оценить.»

Осторожно! Не пытайтесь повторить! Опасно для здоровья! Как-то ваш покорный слуга сподобился посмотреть пару выпусков российского сериала про суд. После чего незамедлительно фалломорфировал. Полнейшее игнорирование УК и УПК. Не говоря уже о практике. Но с использованием "учёной" терминологии и некоторых узнаваемых атрибутов юстиции. Для тех, кто не бывал в судах, выглядит убедительно. Для юриста – дичь.

В тему
* Top 10 Worst Portrayals of Technology in Film
* Как в фильмах показывают хакинг и хакеров После таких сериалов народ начинает верить в совершенно фантастические вещи. А при личном столкновении – и вести себя неадекватно.

Не беда, если кто-то попытается взломать сайт Майкрософта, насвистывая в модем как герой фильма. Не беда, если другой наблюдательный зритель голливудской продукции возьмётся изготавливать бомбу из стирального порошка, шоколадного сиропа и аспирина. А вот попытка повторить телевизионные сцены с автопогонями, медпомощью и судебными делами приведут к жертвам.

Не пора ли ввести обязательные отпугивающие надписи, занимающие не менее 40% площади сигаретной пачки телевизионного экрана?


Фильм "Суррогаты", 2009. Так, по мнению киношников, выглядит распознавание образов. На несколько экранов выводится картинка с камер наблюдения. Робот с красными электронными глазами следит за экранами и распознаёт. Достоверность медицинских и юридических фильмов – примерно на том же уровне.

Прочел у Шнайера про privacy filter (улыбнуло) и вот навеяло... Если не брать в расчет такой экстравагантный способ скрыть от чужих глаз то, чем мы занимаемся за своим лэптопом, то по сути своей существует только один вариант - поставить privacy filter. Вещь безусловно полезная. Я ее оценил, когда получил фильтр в Cisco. Теперь можно не беспокоиться, что во время командировок ко мне в экран будут заглядывать посторонние люди. А те, кто у нас не ездят никуда, используют его тоже с пользой - никто проходя за спиной не подсматривает, что человек делает. Психологически комфортнее работать.

Это же решение замечательно борется с видовыми утечками, которыми так любит пугать ФСТЭК и требовать защиты от этой угрозы.Хотя парадок в этом решении конечно же присутствует. Производители делают все, чтобы матрица экрана была видима под как можно более широким углом. А фильтр, наоборот, сужает этот показатель до минимума. Яркость изображения, конечно, падает, но зато возрастает безопасность. Да и глаза устают гораздо меньше. Я уже к нему так привык, что и не замечаю его на мониторе.

Но сразу надо заметить, что вещь недешевая (хотя и дешевле традиционных методов борьбы с видовыми утечками). 3M'овские (а это лидер рынка) стоят от 80 до 150 долларов в зависимости от размера монитора. Корпоративные цены существенно ниже. Но можно получить и вовсе бесплатно - в позапрошлом и прошлом годах их бесплатно распространяли на InfoSecurity в Лондоне.

Поздравляю всех читательниц с 8-м Марта!

Вы постоянно вдохновляете поэтов,
Писателей, актёров и умов.
Без вас бы Пушкин не писал куплетов,
И не услышали б мы Лермонтовских строф!

Пусть радостью сегодня солнце светит,
В тени оставив сноп больших тревог,
И все цветы, какие есть на свете,
Цветут сегодня пусть у Ваших ног.

Funny:

MOUNTAIN VIEW, CA—Responding to recent public outcries over its handling of private data, search giant Google offered a wide-ranging and eerily well-informed apology to its millions of users Monday.

"We would like to extend our deepest apologies to each and every one of you," announced CEO Eric Schmidt, speaking from the company's Googleplex headquarters. "Clearly there have been some privacy concerns as of late, and judging by some of the search terms we've seen, along with the tens of thousands of personal e-mail exchanges and Google Chat conversations we've carefully examined, it looks as though it might be a while before we regain your trust."

Google expressed regret to some of its third-generation Irish-American users on Smithwood between Barlow and Lake.

Added Schmidt, "Whether you're Michael Paulson who lives at 3425 Longview Terrace and makes $86,400 a year, or Jessica Goldblatt from Lynnwood, WA, who already has well-established trust issues, we at Google would just like to say how very, truly sorry we are."

Вышел первый в этом году журнал “Information Security/Информационная безопасность“. В журнале есть статья “Построение и защита многопользовательских территориально распределенных ИСПДн 2-го и 3-го класса“, ее писал я совместно с отличным специалистом в области технической защиты информации и просто хорошим человеком – Дмитрием Артеменковым. Чему очень рад и надеюсь, Дмитрий также остался доволен небольшим совместным творчеством.

Давно не писал статьи в соавторстве, но чувствую теперь, буду практиковать такой подход чаще.

Нас очень сильно ограничили по объему, поэтому методика проведения работ представлена “верхнеуровнево”.

Есть разделы:

• особенности защиты персональных данных в территориальных системах;
• обобщенная методика проведения работ;
• практика применения методики (из реального кейса).

С последним пунктом возникли сложности. Редактура не разрешила указать конкретные технические средства, применяемые в реальных кейсах.

Как нельзя указывать?! Ради этого и писалась статья!

Мы «по-сопротивлялись» такому решению, (не сильно ), и опубликовали, как просили в редакции. Благо есть интернет и всегда можно выложить авторский вариант. Раздел «Практика применения методики», в первоначальном виде выложен здесь:

Другие записи

• Принципиальные перемены в защите персональных данных Facebook или чем хороши канадцы?
• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных
• Как учитывают закон о персональных данных в on-line сервисах или будут ли жить Электронное правительство и Электронная Россия?
• Статья в журнале «Банковские Технологии»
• Коробочное решение для защиты персональных данных
• Решая проблемы с персональными данными “лучше мирового соглашения хуже нет”

1222 . 636

© Царев Евгений for Персональные данные по-русски, 2010. | Permalink | 7 comments | Add to del.icio.us
Post tags: Privacy, Законодательство, Интеграторы, Информационная безопасность, информационная система персональных данных, Классификация ИСПДн, Консультация, система персональных данных, СМИ, Требования

Feed enhanced by Better Feed from Ozh

How not to destroy evidence:

In a bold and bizarre attempt to destroy evidence seized during a federal raid, a New York City man grabbed a flash drive and swallowed the data storage device while in the custody of Secret Service agents, records show.

The article wasn't explicit about this -- odd, as it's the main question any reader would have -- but it seems that the man's digestive tract did not destroy the evidence.

Today, many people are looking for very simple solutions to big and complex problems – and the area of logging and log management is no exception. Following that theme, we have created a "Critical Log Review Checklist for Security Incidents" which is released to the world today.

In addition to HTML, PDF or DOC versions are available as well (alternative hosting location is here). Feel free to modify the checklist for your own purposes or for internal distribution in your organization - but please keep the attribution to the authors.

The log cheat sheet presents a checklist for reviewing critical system, network and security logs when responding to a security incident. It can also be used for routine periodic log review. It was authored by Dr. Anton Chuvakin and Lenny Zeltser (BTW, Lenny has other useful security cheat sheets on malware analysis, security architecture, DDoS, etc  here)

Here is the embedded version from DocStoc:

Critical Log Review Checklist for Security Incidents -

Enjoy!

About me: http://www.chuvakin.org