пʼятницю, 30 грудня 2011 р.

В пятницу после работы: В поисках формулы



Выражение

Risk = Threat x Vulnerability x Impact

часто называют классической формулой для расчета риска ИБ.

А как Вы относитесь к написанному?
Как Вы считаете, эта формула правильная или нет? Почему?


четвер, 29 грудня 2011 р.

Восполняя пробелы: Неопределенность

Казалось бы, если мы говорим о «неопределенности», то, что еще обсуждать, какая уж тут конкретика? Как можно отличать то, что и так не определено?

На самом-то деле неопределенность неопределенности рознь.

пʼятницю, 23 грудня 2011 р.

В пятницу после работы: Неопределенность


При оценке рисков, часто для придания некой строгости процессу, считается, что неопределенность может быть определена количественно c определенной точностью, используя теорию вероятности, например, метод Монте-Карло (см. тот же FAIR).

А в каких случаях такой подход не работает даже теоретически? Сталкивались ли вы с ситуацией, когда неопределенность бывает разной?

пʼятницю, 16 грудня 2011 р.

В пятницу после работы: Кибероружие


Сегодня много говорится о кибервойнах, а следовательно и о возникновении соответствующих родов войск, но войска нужно вооружать. 


Стоит ли преследовать разработку malware или необходимо данный вид деятельности легализовать, но предусмотреть его лицензирование и правила распространения?

середу, 14 грудня 2011 р.

В поисках взаимопонимания: ПД, паспорт, псевдоним…

«Либимого узнаю  по походке»

Нельзя построить эффективную защиту не понимая обьект защиты. Нельзя давать полезные советы, если люди толкуют одно и то же понятие по-разному.


Идет дискуссия, потихоньку стороны начинают понимать друг друга, а тут бац «вторая смена», вновь подключившийся к дискуссии вносит сумятицу в еще не окрепшие умы: «если собранные персональные данные (ПД) не подтверждены документально, например, посредством предьявления оригинала паспорта, то нельзя такие данные считать «персональными данными», а следовательно под действие Закона Украины «Про защиту персональных данных» собранная информация не попадает» (попытался культурно, получилось длинно). На просьбу аргументации утверждения, ответ как правило один: «нельзя утверждать, что данные настоящие, потому как они могли были искажены самим субьектом ПД»…

И так, где же истина? Что же есть «персональные данные»? Считаю, что вопрос даже требует уточнения: «какую информацию следует считать «персональными данными»? Почему мы смотрим на одно и то же, но видим разное?

Закон гласит:  «персональні дані  -  відомості  чи  сукупність відомостей про фізичну  особу,  яка  ідентифікована  або  може   бути   конкретно ідентифікована» («персональные данные - сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано»)

И вот перед главная причина,  почему мы не понимаем друг друга: закон не определяет процесс идентификации.  Причем именно процесс в самом широком его толковании: нам не навязывают Что анализировать, Как, Чем и совсем незаметный нюанс: Кто должен проводить анализ. Последнее мне кажется предельно интересным моментом: вы можете считать (искренне), что у Вас «в руках» галиматья какая-то, а сторона, предъявляющая Вам претензию легко демонстрирует, что это не галиматья и Вам придется отвечать «по всей строгости…»

Как следствие,  имеем ситуацию, когда каждый человек под идентификацией начинает предлагать свое видение данного процесса, которое чаще всего иллюстрирует или ограниченные познания в данной области и/или когнитивные искажения.


Так, например, если взять слайд посвященной теме когнитивных искажений из моей призентации на UISGv7, то первые пять примеров могут абсолютно точно характеризовать поведение нашего собеседника (а список достаточно не полный)




Где выход? Он очевиден: учить, обьяснять, расширять кругозор. Побольше примеров, особенно тех о которых  мозг собеседника просто «забыл» в круговерти нашей жизни.

В качестве иллюстрации, давай те рассмотрим такое явление как Псевдоним.  Бытует мнение, что человек изменив (исказив) свои данные, например, представившись «вымышленным лицом», создает условия, когда эти данные не могут быть отнесены к ПД. Так то оно так, но часто до поры до времени:  кого Вы скорее идентифицируете (например, укажете на фотографии) Максима Горького или Алексея Пешкова, Ани Лорак или Каролину Куек, Тину Кароль или Татьяну Либерман, Xaocuc-а или Sapran-а???? Для кого-то все написанное есть ПД, а для кого-то только половина, и то не та.


«Либимого узнаю  по походке»…  и кому после этого еще нужен паспорт?

понеділок, 12 грудня 2011 р.

Какая База ПД самая главная?


На прошлой неделе, провел краткую встречу-консультацию для любимых клиентов о необходимых действиях во исполнение ЗУ «Про захист персональних даних», где мы установили, что изречения «У нас Баз персональных данных НЕТ» и «В СССР Секса НЕТ» принадлежат перу одного автора и что закон действует даже там где «СУБД не стоит на балансе» (из уст финансиста это звучало сногсшибательно) и вернулся к размышлениям о «РЕКОМЕНДАЦІЯХ щодо забезпечення   захисту   персональних   даних…»

Находясь под впечатлением встречи и анализируя свои ответы на поставленные вопросы, в голову пришла мысль, которая раньше меня не посещала: какая «База ПД» самая ценная для владельца/распорядителя? 

Оказывается та о которой мы меньше всего говорим: База где хранятся полученные разрешения на обработку ПД и/или ссылки на источники подтверждающие легальность получения обрабатываемых данных (особенно в случае открытых источников).

Если такая база База ПД будет утеряна, то вся обработка персональных данных становится «вне закона».

А вы считаете иначе?


пʼятницю, 9 грудня 2011 р.

В пятницу после работы: Какая База ПД самая главная?

Утрата (не утеря) какой базы Персональных Данных может вызвать самые большие неприятности для владельца/распорядителя ПД?

пʼятницю, 2 грудня 2011 р.