Александр Астахов

Анонс книги "Искусство управления информационными рисками"

Книга предоставляет читателям возможность познакомиться с основами управления рисками информационной безопасности, а также с шагами, необходимыми для быстрого и успешного перехода от разговоров об искусстве, сложности и нетривиальности задачи управления информационными рисками к простой и эффективной практике оценки, анализа и обработки рисков.

_____
tags: управление рисками

24-04-2010 | Permalink | Comments (2)

К чему сводится обеспечение соответствия ФЗ-152 "О персональных данных"?

Законы пишутся на бумаге, порождая множество производных бумаг. Обеспечение соответствия закону - это, прежде всего, написание большого количества новых бумаг, особенно, если это касается обеспечения безопасности. Подсчитано, что для обеспечения соответствия ФЗ-152 "О персональных данных" оператору требуется разработать и ввести в действие в среднем около 40 новых документов. Примерно на те же цифры мы выходим и в случае обеспечения соответствия ISO 27001.

_____
tags: ФЗ-152| персональные данные

20-07-2010 | Permalink | Comments (0)

Когда необходимо получать лицензию ФСТЭК по ТКЗИ?

Уже на протяжении многих лет не утихают споры о том, в каком случае требуется получение лицензий на осуществление деятельности в области технической защиты конфиденциальной информации (ТЗКИ), а в каком нет. После выхода ФЗ-152 "О персональных данных", подогревшего интерес к вопросам защиты информации вообще и к вопросам лицензирования этой деятельности, в частности, возникла необходимость выразить свою точку зрения по данному вопросу на страницах блога.

_____
tags: ФЗ-152| лицензирование по ТЗКИ

05-07-2010 | Permalink | Comments (0)

Верховный суд США поставил свою точку в споре о перлюстрации электронной переписки работников предприятия

Имеет ли право работодатель просматривать электронную переписку своих сотрудников с целью выявления злоупотреблений, нецелевого использования ресурсов и нарушений безопасности? Верховный суд США в данном вопросе встал на сторону работодателя.

23-06-2010 | Permalink | Comments (0)

Пример расчета стоимости программно-технических средств СЗПДн

Клиенты и партнеры периодически донимают меня вопросом "сколько может стоить система защиты персональных данных в расчете на одно рабочее место?". Устал объяснять, что никаких стандартов и общих ориентиров в данной области в настоящее время не существует, оценок по-минимуму и по-максимуму дать невозможно. Однако люди не удовлетворяются данным объяснением и продолжают задавать свой "дурацкий" вопрос.

_____
tags: персональные данные| стоимость СЗПДн

18-05-2010 | Permalink | Comments (0)

Чего не требует от операторов закон "О персональных данных"? (Продолжение)

В продолжении темы развенчаем еще один популярный миф, сформировавшийся вокруг закона о персональных данных - " Миф о минимизации класса защищенности ИСПДн".

_____
tags: ФЗ-152| минимизация класса ИСПДн| персональные данные

18-05-2010 | Permalink | Comments (0)

Спецвыпуск журнала "Защита информации. Инсайд" о персональных данных

Новый выпуск журнала "Защита информации. Инсайд" №2 март-апрель 2010 почти полностью посвящен проблематике защиты персональных данных, за исключением моей статьи о спаме и еще нескольких публикаций.

_____
tags: ФЗ-152| журнал «Защита информации. Инсайд»| персональные данные| спам

07-05-2010 | Permalink | Comments (0)

Чего не требует от операторов закон "О персональных данных"?

Проблемы, возникающие при попытке выполнить требования Федерального закона №152-ФЗ "О персональных данных" слишком часто переоцениваются. Со стороны компаний, предлагающих свои услуги в данной области, здесь просматривается умысел. Со стороны же самих операторов ПДн - невнимательное чтение первоисточников и трудности с интерпретацией хитросплетений российской нормативной базы в области защиты информации.

_____
tags: ФЗ-152| персональные данные

23-04-2010 | Permalink | Comments (10)

От управления чрезвычайными ситуациями через непрерывность бизнеса и ИКТ к управлению инцидентами и обратно

Посмотрим каким образом пересекаются различные новомодные управленческие дисциплины: управление кризисом и чрезвычайными ситуациями (crisis & emergency management), управление непрерывностью бизнеса и аварийным восстановлением (business continuity & disaster recovery), управление непрерывностью ИКТ (ICT continuity) и управление инцидентами (incident management).

_____
tags: аварийное восстановление| инциденты| непрерывность бизнеса| чрезвычайные ситуации

24-03-2010 | Permalink | Comments (0)

О преимуществах системного подхода к управлению рисками

В новом номере журнала Information Security №1 январь-февраль 2010 г. опубликована моя новая статья "О преимуществах системного подхода к управлению рисками", представляющая собой, как и предыдущая моя статья в этом журнале, переработанный отрывок из моей книги "Искусство управления информационными рисками".

_____
tags: журнал Information Security| управление рисками

10-03-2010 | Permalink | Comments (0)

Сакраментальное значение документированных процессов и процедур

Одна из наибольших трудностей, связанных с внедрением международного стандарта ISO 27001 и всех прочих родственных ему и разработанных британцами международных стандартов на системы менеджмента, заключается в необходимости скрупулезного документирования СУИБ. Согласно п. 4.3.1 g) в организации должны быть "документированные процедуры, которые необходимы организации для обеспечения эффективного планирования, выполнения и контроля процессов информационной безопасности и описывающие как измерять эффективность механизмов контроля".

_____
tags: ISO 27001| СУИБ| документированные процедуры

25-02-2010 | Permalink | Comments (0)

Об образовании в области информационной безопасности или "не ходи в школу" Часть 2 (продолжение)

В первой части данной статьи я попытался указать на основные причины того, почему существующая система среднего и высшего образования не может подготовить хороших специалистов в области информационной безопасности, а также во многих других практических областях деятельности, особенно там, где научная база только формируется. В этой части сделаем упор на том, как же следует готовить таких специалистов в нынешних условиях.

_____
tags: образование

08-02-2010 | Permalink | Comments (0)

Новая статья "Как победить спамеров и умерить пыл борцов со спамом"

В новом номере журнала "Защита информации. Инсайд" январь-февраль 2010 г. опубликована моя статья о спаме и борьбе с ним.

_____
tags: журнал "Защита информации. Инсайд"| спам

05-02-2010 | Permalink | Comments (0)

Хочешь быть богатым и счастливым специалистом по безопасности? Не ходи в школу! (а также в институт, в учебный центр и т.д.)

Пришла пора начать как-то систематизировать свои взгляды на образование вообще и на образование в области информационной безопасности, в частности. Взгляды эти, порой достаточно радикальные, начали формироваться у меня еще в школе и проявлялись, в основном, в полном либо частичном отрицании школы и в непрерывных "боданиях" по этому поводу с родителями и с некоторыми учителями. Причиной этому отнюдь не была плохая успеваемость. Закончить школу с медалью мне помешало только мое принципиальное нежелание пересдавать русский и литературу с 4 на 5 (два особо ненавистных для меня школьных предмета), хотя мне это и предлагали сделать сами учителя.

_____
tags: образование

23-01-2010 | Permalink | Comments (3)

Новая статья о рисках и распределении ответственности в новом номере журнала Information Security

Решил отметиться на страницах профессиональных изданий, пишущих об информационной безопасности, опубликовав несколько статей и глав из своей книги. Это будет способствовать популяризации и книги и наших интернет ресурсов.

28-12-2009 | Permalink | Comments (0)

Эпидемические внушения в информационной безопасности или Защита персональных данных - проблема 2010 года

Внушение, т.е. принятие без рассуждений на веру неких догматов - это всегда ложь, а всякая ложь есть зло. Внушения всегда были и есть во всех областях человеческой жизни. Примерами значительных по своему значению и распространению внушений могут служить средневековые крестовые походы, вера в ведьм, отыскивание философского камня или страсть к тюльпанам в Голландии. В сфере информационной безопасности приходит на ум, прежде всего, проблема 2000 года и, сравнимая с ней по объему, проблема 2010 года (проблема персональных данных).

_____
tags: персональные данные| проблема 100 года| проблема 2000 года| проблема 2010 года| проблема 2038 года

29-10-2009 | Permalink | Comments (6)

Автомобильная тема: безопасность бортового компьютера

Порассуждаем о том, каким образом в ближайшем будущем вопросы информационной безопасности могут затронуть интересы каждого автовладельца.

22-10-2009 | Permalink | Comments (0)

ICO - полезный источник информации по защите персональных данных (для англоговорящих специалистов)

ICO (UK Information Commissioner's Office) - Специально уполномоченный государственный орган Великобритании по защите персональных данных. Является аналогом российского Роскомнадзора, но с более широкими полномочиями и сферой ответственности. На сайте имеется большое количество полезной информации по защите персональных данных, обобщающей 30-летний европейский опыт в этой сфере.

_____
tags: BS 10012| ФЗ-152| персональные данные

01-10-2009 | Permalink | Comments (0)

Маркетинговая активность антивирусных компаний

Энергетика маркетологов в антивирусных компаниях вызывает восхищение. В первой тридцатке рейтинга сайтов liveinternet.ru раздела Безопасность я насчитал аж 6 сайтов, посвященных продуктам ESET NOD32. Суммарная посещаемость этих сайтов - несколько десятков тысяч посетителей в день.

_____
tags: Dr.Web| ESET| Лаборатория Касперского| антивирус| маркетологи

21-09-2009 | Permalink | Comments (0)

Борцы со спамом одолели

К сожалению, борьба со спамом наносит куда больше вреда нежели сам спам. Я бы всех этих борцов со спамом и составителей черных списков сразу с работы увольнял. Какое вообще они право имеют определять что является спамом, а что нет.

_____
tags: спам

18-09-2009 | Permalink | Comments (6)