День Системного Администратора!

  Сегодня, 31 июля (последняя пятница июля), для многих сетевиков является профессиональным праздником - Днем системного Администратора!
  Каждый год, в последнюю пятницу июля, администраторы корпоративных и домашних сетей, баз данных, почтовых систем, программных комплексов и другие «бойцы невидимого фронта» отмечают свой профессиональный праздник — День системного администратора. Или, в американском варианте — День благодарности системному администратору (System Administrator Appreciation Day).
  Основателем праздника считается американец, системный администратор из Чикаго Тед Кекатос (Ted Kekatos), посчитавший, что хоть раз в год системные администраторы должны чувствовать благодарность со стороны пользователей. Первый раз данный праздник был отмечен 28 июля 1999 года.
  Один из возможных знаков благодрности — тортик домашнего приготовления.
  Праздник уверенно выходит на международную арену — кроме Америки его отмечают и в России.

Джеки Чан vs. Касперский

Без комментариев

Управление Роскомнадзора по Свердловской области выявило нарушения законодательства в сфере защиты персональных данных

  В адрес Управления Роскомнадзора по Свердловской области поступила жалоба гражданина о нарушении ГОУ ВПО «УГТУ-УПИ им. первого Президента России Б.Н. Ельцина» законодательства Российской Федерации в области персональных данных.
  Управление провело проверку деятельности ГОУ ВПО «УГТУ-УПИ» по соблюдению требований законодательства в области персональных данных, в ходе которой было обнаружено нарушение требований ч.1 ст.6 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных» - обработка персональных данных без согласия субъекта персональных данных. 
  ГОУ ВПО «УГТУ-УПИ», осуществляя автоматизированную обработку персональных данных в рамках сотрудничества с компанией «Google», передало этой компании персональные данные заявителя без согласия последнего. 
  Материалы проверки направлены в прокуратуру. По факту выявленных прокуратурой нарушений федерального законодательства в адрес ректора ГОУ ВПО «УГТУ-УПИ» внесено представление об устранении нарушений закона. 
  В настоящее время прокуратурой проводится дополнительная проверка по выявленным Управлением обстоятельствам с целью установления времени совершения правонарушения и нарушения прав иных лиц.

Источник: rsoc.ru

В Оренбургской области выявлены нарушения законодательства в сфере защиты персональных данных

  Управление Роскомнадзора по Оренбургской области провело плановую проверку соблюдения ОАО «Оренбургская финансово-информационная система «Город» требований законодательства РФ при обработке персональных данных жителей Оренбурга.
  В ходе проверки выявлен ряд нарушений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в части несоответствия содержания письменного согласия субъекта персональных данных на обработку персональных данных, несоответствия содержания документа об информировании субъекта персональных данных оператором об обработке его персональных данных, несоответствия срока хранения персональных данных требованиям данной статьи.
  Материалы проверки ОАО «Система «Город» переданы в областную прокуратуру для принятия мер прокурорского реагирования.

Источник: rsoc.ru

Главу сельсовета в Липецкой области привлекли к ответственности за разглашение персональных данных работников

  Главу сельского поселения Воловчинский сельсовет Воловского муниципального района привлекли к административной ответственности за разглашение персональных данных работников, сообщили в пресс-службе прокуратуры по Липецкой области.
  Установлено, что вопреки требованиям статьи 87 Трудового кодекса РФ, главой администрации сельского поселения не был установлен соответствующий порядок работы с персональными данными работников администрации, гарантирующий соблюдение их прав и законных интересов.
  По результатам проверки в отношении указанного должностного лица прокурор района возбудил дело об административном правонарушении «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)».

Источник: «Липецкие региональные новости»

ФБР анализирует 200 000 отпечатков пальцев в сутки

  Каждый раз, когда вы въезжаете в США, в аэропорту у вас берут отпечатки пальцев с помощью беспроводного сканера. Отпечатки мгновенно передаются в специальную лабораторию ФБР, где в ту же секунду их прогоняют по базе данных.
  Журналисту из передачи CrimeTracker 10 удалось посетить эту секретную лабораторию. В статье приводится довольно интересная статистика того объёма работ, которые приходится выполнять суперкомпьютерам ФБР.
  Огромное хранилище отпечатков пальцев занимает площадь двух футбольных стадионов. Там хранятся отпечатки пальцев 60 млн человек, в том числе 600 000 образцов, владельцы которых до сих пор не идентифицированы (это ж сколько преступников гуляет на свободе?).
  Естественно, все эти образцы имеются в оцифрованном виде, но бумагу всё равно хранят на всякий случай. Каждый новый отпечаток система прогоняет по цифровой базе данных с образцами.
  Агенты ФБР при осмотре места преступления сейчас пользуются специальными беспроводными сканерами отпечатков пальцев, которые сразу же отправляют образцы в лабораторию. Каждые сутки система получает от оперативных служб 200 000 наборов с отпечатками пальцев, которые нужно мгновенно проанализировать. Скорость прогона каждого образца — до семи секунд.
  В каждом наборе обычно по десять пальцев, так что число анализируемых отпечатков пальцев равняется примерно двум миллионам. Если посчитать количество сравнений, то оно составляет 600 млрд в сутки.
  Благодаря компьютерному анализу отпечатков пальцев полиция производит 15 000 арестов в месяц.
  Представить сложно, до каких размеров разрастётся эта база данных, если туда добавить также сканы сетчатки глаза, биометрические данные лица и другую биометрическую информацию. Работа по наполнению этой базы данных уже идёт полным ходом. Кстати, параллельно наполняются материалом и дополнительные базы данных по распознаванию татуировок и отпечатков запястья.

Источник: Хабрахабр

В Network Solutions украдены данные более 500000 клиентов

  Networks Solutions, одна из крупнейших хостинг-компаний Запада, сообщила о масштабной утечки личных данных своих клиентов. Злоумышленники украли из базы данных компании более полумиллиона номеров кредитных карт клиентов. В письме, разосланном клиентам, говорится, что большой опасности подвержены пользователи сервиса Ecommerce Hosting. В компании сообщили, что неизвестные установили на серверах компании ПО для перехвата коммерческих сделок с использование номеров кредитных карт. Всего в период с 12 марта по 8 июня 2009 года украдены персональные данные 573928 клиентов.
  Также преступники получили данные примерно по 4343 транзакциям, произведенным примерно 10000 торговых сайтов. Об этом написано в официальном письме компании, подписанным ее исполнительным директором Роем Данбаром (Roy Dunbar). Все клиенты, личные данные которых были украдены, извещены об опасности компанией TransUnion. Они получат бесплатное обслуживание сроком на 12 месяцев.
  Пользователи других сервисов компании, в том числе обычного хостинга и предоставления доменных имен, не пострадали. Об этом сообщила представитель компании Network Solutions Сюзан Уэйд (Susan Wade). Также нет данных о краже средств с кредитных карт, номера которых были скомпрометированы. Правоохранительные органы ведут расследование. Компания создала сайт, где пострадавшие клиенты могут получить более подробную информацию о нарушении.

Источник: f1cd.ru

Во Владивостоке незаконно собирали персональные данные граждан

  По инициативе прокуратуры города Владивостока к административной ответственности привлечено муниципальное учреждение "Расчетно-кассовый центр".
  Как сообщила РИА «Дейта» старший помощник прокурора Приморского края Ирина НОМОКОНОВА, проверкой установлено, что в нарушение закона МУ «РКЦ» производит обработку персональных данных граждан, полученных не от самих граждан непосредственно, а от управляющей компании. 
  Так, гражданкой М. с некоммерческим партнёрством «Управляющая компания «Эгершельд»» заключен договор управления многоквартирным домом, по условиям которого управляющая компания обязана организовать печать и доставку расчётных документов за оказываемые услуги. 
  В целях исполнения данного обязательства управляющая компания заключила с муниципальным учреждением «Расчетно-кассовый центр» агентский договор, предметом которого является начисление платежей населению согласно адресному списку, а также выпуск, обработка и доставка квитанций для населения за все виды работ по содержанию и ремонту жилья. 
  Таким образом, муниципальное учреждение «Расчетно-кассовый центр» осуществляет обработку персональных данных граждан. 
  В соответствии с ч. 3 статьи 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» если персональные данные были получены не от субъекта персональных данных, оператор до начала их обработки обязан предоставить субъекту персональных данных следующую информацию: 
  1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя; 
  2) цель обработки персональных данных и его правовое основание; 
  3) предполагаемые пользователи персональных данных; 
  4) установленные настоящим федеральным законом права субъекта персональных данных. 
  Исключение составляют случаи, когда персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными. 
  Персональные данные гражданки М. получены муниципальным учреждением «Расчетно-кассовый центр» не от неё лично, а от некоммерческого партнерства «Управляющая компания «Эгершельд», однако указанные требования закона в отношении неё выполнены не были. 
  В связи с этим прокуратурой города Владивостока в отношении муниципального учреждения «Расчетно-кассовый центр» вынесено постановление о возбуждении дела об административном правонарушении, предусмотренном статьёй 13.11 Кодекса Российской Федерации об административных правонарушениях (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). 
  По результатам рассмотрения административного материала мировым судьей судебного участка № 14 Первореченского района г. Владивостока 23.07.2009 муниципальное учреждения «Расчетно-кассовый центр» признано виновным в совершении административного правонарушения и подвергнуто штрафу в размере 10 тысяч рублей.

Источник: deita.ru

Данные о вас продаст каждый третий сотрудник IT-компании

  Более 30% сотрудников IT–компаний признались в ходе опроса, который был проведен исследовательским холдингом "Анкор", что могли бы принять запрос о продаже коммерческой информации. 57% опрошенных ответили, что с переходом на новое место работы уносят с собой коммерческую информацию и разработки, строго отрицательно на этот вопрос ответили только 26% опрошенных.
  Сохранность конфиденциальных данных уже привлекла внимание контролирующих органов. Руководитель Роскомнадзора Сергей Ситников на расширенном заседании коллегии Министерства связи и массовых коммуникаций отметил, что наметилась тенденция к росту количества обращений граждан, которые связаны с незаконным распространением сведений о них на интернет–сайтах, сообщает «Деловой Петербург».
  "Характер размещаемой в Интернете информации о персональных данных граждан позволяет полагать, что утечки происходят в том числе из госорганов. Это вызывает у нас особую тревогу", — заявил он. 
  Он говорит, что деятельность двух интернет–ресурсов, которые незаконно предоставляют услуги доступа к персональным данным, уже приостановлена, адреса сайтов чиновник не указал.
  Самой "нашумевшей" в последнее время стала история с сайтом Radarix.com, который появился весной прошлого года. На данном ресурсе можно было найти данные обо всех жителях РФ и СНГ. В базе данных сайта была информация, актуальная на 2003–2004гг. Найти интересующую персону можно было по имени и фамилии, номеру водительского удостоверения, адресу, телефону, ИНН и т.д.

Источник: Российский налоговый портал

Статья Евгения Царева «Персональные данные. Будни банковской безопасности»

Наткнулся на статью Евгения Царева «Персональные данные. Будни банковской безопасности» (http://www.int-bank.ru/analyst/101/). В ней Евгений затронул ряд актуальных и злободневных проблем, с которыми сталкиваются не только банковские организации, но и большинство операторов других сегментов рынка. Многие операторы впопыхах стараются «латать дыры», а не комплексно подходить к вопросу построения системы защиты ПДн. И это не удивительно, «на дворе» кризис, требования регуляторов далеко не прозрачны и т.п.
«Лоскутные меры», как совершенно справедливо пишет автор, совершенно не гарантируют, что обеспечена безопасность данных. С юридической точки зрения можно постараться решить вопросы, можно привести в соответствие внутренние документы и т.п., но без комплексного подхода к построению всей системы защиты никаких гарантий, что данные будут сохранены никто не даст. Можно как угодно укреплять двери и ставить металлические решетки на окна в комнате, но если в этой комнате нет одной стены (или она фанерная), то не о каких гарантиях того, что через эту стену не произойдет утечка данных, говорить нельзя.
Если бы банки до кризиса озадачились внедрением Стандарта Банка, то в части построения системы защиты ПДн они бы закрыли требования законодательства в этой области процентов на 70. Наиболее оптимальным вариантом для банков было бы построение системы защиты ПДн в рамках внедрения Стандарта Банка России. Надо комплексно подходить к проблеме.
Также полностью согласен с автором, что одним из факторов эффективного выполнения требований законодательства в области ИБ является отсутствие квалифицированных кадров, которые способны разбираться как в ИТ-безопасности, так и в технической защите и еще и иметь знания в области юриспруденции. Мы недавно проводили опрос среди представителей банков и большинство из них ответило, что препятствием к соблюдению требований законодательства является отсутствие специалистов в штате и, соответственно, компании вынуждены пользоваться достаточно дорогими услугами интеграторов. Также необходимо учитывать, что обучение специалистов в «экстренном режиме» позволит только с формальной точки зрения закрыть вопрос. Такие специалисты, не обладая соответствующим опытом и навыками, не в состоянии решать вопросы с построением системы защиты.

Запись с вебинара по управлению непрерывностью бизнеса

Запись вебинара "Управление непрерывностью бизнеса" можно просмотреть по ссылке: http://194.150.178.35:8080/conference/player.jsp?cid=main386290613.

В ближайшее время на сайтах http://www.infosystem.ru/ и http://hayrov.blogspot.com/ будет размещено расписание новых бесплатных вебинаров по актуальным темам в области ИТ и ИБ.

Бесплатная on-line конференция по управлению непрерывностью бизнеса «Как защитить свой бизнес?»

Академия Информационных Систем совместно с компанией Инфосистемы – Джет 16 июля 2009 года проводит вебинар (on-line конференцию) по теме "Управление непрерывностью бизнеса".
Вебинар проводится в тестовом режиме и участие в нем бесплатное.
Количество подключений ограничено и предварительная регистрация обязательна.
Начало вебинара в 16:00. Продолжительность – 1 час.
В настоящее время тема внедрения процессов управления непрерывностью бизнеса весьма актуальна. В условиях конкуренции прерывание в работе и в предоставлении услуг клиентам, влечет их потерю для компании, а как следствие и потерю прибыли, а также проблемы с репутацией компании. Сегодня многие руководители компаний задумываются о проблеме непрерывности бизнеса. В случае непредвиденных ситуаций, сотрудники сталкиваются с непониманием и некомпетентностью. Следовательно, возникает вопрос о том, как обеспечить непрерывность бизнеса в период чрезвычайных ситуаций, не нанося ущерб компании.
В рамках мероприятия будет рассмотрен ряд вопросов, которые помогут разобраться в проблеме обеспечения непрерывности ключевых услуг и выполнения обязательств перед третьими сторонами, что позволит организации избежать потери бизнеса полностью или отдельных ключевых бизнес процессов.
Формат проведения вебинара следующий:
1. Два доклада по 25 минут.
2. Ответы на вопросы, дискуссия.

На мероприятии планируется обсуждение следующих вопросов:

1. Чем занимается направление по непрерывности бизнеса? Почему эта тема актуальна в условиях кризиса?
- Угрозы НБ
- Вопросы обеспечения непрерывности бизнеса?
- Важность в условиях кризиса
- Каковы последствия отсутствия Плана НБ? Статистика Техасского университета.
2. Обзор подхода по обеспечению НБ
- Из чего состоит непрерывность бизнеса?
- Система обеспечения и управления непрерывностью бизнеса. Место системы обеспечения непрерывности бизнеса в Организации (обеспечить непрерывность - значит управлять, чтобы управлять, нужно знать, как устроена система)
- Управление непрерывностью бизнеса и управление непрерывностью ИТ -сервисов. Как обеспечить эффективное взаимодействие?
- Как это работает в случае ЧС?
- Процесс в нормальном режиме и процесс в чрезвычайном режиме работы. Важность формализованного описания процессов
- Органы управления ЧС в организации
- Что необходимо, чтобы это заработало в Организации
Что рекомендует ЦБ РФ в Указании 2194-У кредитным организациям?
- Обзор рекомендаций ЦБ РФ в области непрерывности деятельности (НД)
- Непрерывность бизнеса, как инструмент управления операционным риском
- Обзор типовых недостатков Организаций при обеспечении НД на основании экспертного анализа, проведенного консультантами ЗАО «Инфосистемы Джет»
3. Этапы реализации проекта по обеспечению НБ в организации
- Анализ обязательств кредитной организации
- Определение перечня критически важных внутренних банковских процессов
- Выбор способа восстановление бизнес процессов (разработка стратегии НБ)
- Описание критичных бизнес процессов банка в соответствии с рекомендациями 2194-У
- Расчет показателей восстановления внутренних банковских процессов (срок восстановления, допустимый размер материальных затрат, допустимый размер потерь информации)
- Анализ возможных непредвиденных обстоятельств и степени их воздействия
- Разработка Планов ОНиВД применительно к крупномасштабным непредвиденным обстоятельствам межмуниципального, регионального и межрегионального характера с возможностью реализации отдельных модулей Плана ОНиВД в случае обстоятельств меньшего масштаба
- Разработка Процедур
- Проведение обучения персонала
- Тестирование планов ОНиВД
5. Подходы к обеспечению НБ в организации
- Обследование текущего состояния в области НД Организации и средств по обеспечению НД Банка на соответствие рекомендациям Приложения 2194-У, как неотъемлемая часть при выборе решения по обеспечению НД
Обзор и сравнение трех решений по обеспечению НД в соответствии с рекомендациями Приложения 2194-У ЦБ РФ
Решение 1. Активный консалтинг
Решение 2. Пассивный консалтинг
Решение 3. Разработка комплекта документации по НД
-- Для каждого решения (а-с) приводится:
- Описание решения
- Обзор этапов проведения проекта (5 этапов)
- Особенности реализации решения
- Результат
- Выгоды для Заказчика

6. Примеры реализации проектов по непрерывности бизнеса.

Для регистрации на вебинар просьба направить запрос (в свободной форме с указанием контактной информации) на имя Дмитрия Лысака по адресам security@infosystem.ru, sdo@infosystem.ru или по тел. (495) 231-30-49.

Перенесут ли сроки приведения в соответствие ИСПДн всех операторов на более поздние сроки?

   На блоге Царева Евгения выложено интересное интервью по проблеме переноса сроков приведения в соответствие ИСПДн всех операторов с 01.01.2010 года на более пождние: http://www.tsarev.biz/?p=443#comments

   Как-то не серьезно звучит это интервью. Не могу проследить связи между необходимостью РКН-ом проводить проверки по 1000 компаний ежедневно (по словам Аскакова) и переносом сроков на 2 года?

Уже много раз муссировалась эта тема. Где операторы были 2-3 года назад? О чем думали? О том, что 01.01.2010 года не наступит? Тоже самое будет и через 2 года.

Воронежские туроператоры виновны в совершении правонарушений в связи с непредставлением уведомлений об обработке персональных данных

  Постановлениями мирового судьи судебного участка № 4 Ленинского района г. Воронежа туроператоры ООО «Амарант» и ООО «Верс-Тревел» признаны виновными в совершении административного правонарушения.
  В марте 2009 г. Управление Роскомнадзора направило туроператорам ООО «Амарант» и ООО «Верс-Тревел» запрос о необходимости представления уведомлений об обработке персональных данных. 
  В соответствии с ч. 4 ст. 20 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» оператор персональных данных обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса. 
  В связи с непредставлением ответа на запрос в установленный законом срок в мае 2009 г. сотрудники Управления составили протоколы об административных правонарушениях по ст. 19.7 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ). Протоколы были отправлены в мировой суд.

Источник: rsoc.ru

Провинившиеся водители и кондукторы попадут в интернет-базу данных

  В Калининграде об уволенных за нарушения водителей и кондукторов теперь можно узнать на специальном сайте. Как сообщили "Комсомолке" в пресс-службе городской администрации, доступ к персональным данным работников ограничен. Пароли для ознакомления и пополнения базы получили только руководители пассажирских предприятий и транспортного управления городской администрации. Сведения о несоблюдении водителями и кондукторами правил перевозок: управлении транспортным средством в состоянии алкогольного опьянения, провозе пассажиров сверх установленного количества посадочных мест в микроавтобусах, некорректном поведении, необъявлении остановок будут храниться на сайте.
  База данных дополнит собой характеристики-рекомендации и позволит более объективно проводить отбор кандидатур при приёме на работу. Как прокомментировал ситуацию начальник транспортного отдела Михаил Полгин, нововведение даст возможность значительно сократить число повторных нарушений, повысит ответственность работников. Сейчас нередки факты, когда уволенные за должностные проступки сотрудники подвижного состава устраиваются на работу в другие пассажирские предприятия, подчас продолжая пренебрегать правилами перевозок и требованиями безопасности. С созданием сайта на пути таких злостных нарушителей поставлен информационный заслон. Все случаи нарушений становятся известными потенциальным работодателям, и будут учитываться ими при принятии решения о приёме на новую работу.

Источник: kaliningrad.kp.ru

В Чувашской Республике ООО «Телеком ЛТД» привлечено к административной ответственности за нарушение ФЗ «О персональных данных»

  Постановлением мирового судьи г. Ядрин Чувашской Республики ООО «Телеком ЛТД» признано виновным в совершении административного правонарушения, предусмотренного ст. 19.7 Кодекса РФ об административных правонарушениях, и привлечено к административной ответственности в виде штрафа.
  ООО «Телеком ЛТД» в нарушение ч.4. ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в течение семи рабочих дней не сообщило в уполномоченный орган по защите прав субъектов персональных данных (Управление Роскомнадзора по Чувашской Республике – Чувашии) информацию, необходимую для осуществления деятельности указанного органа. 
  Статьей 19.7. КоАП РФ установлена административная ответственность за непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде.

Источник: rsoc.ru

Смерть в социальной сети

  В США сняты обвинения с 49-летней "киберхулиганки"
  В четверг, 2 июля, американский федеральный судья принял решение по делу - первому в своем роде - о доведении до самоубийства через социальную сеть. Вынесенный ранее обвинительный вердикт в отношении женщины, издевавшейся над школьницей с помощью фальшивого профиля MySpace, решено отменить. История самоубийства 13-летней Меган Мейер (Megan Meier) получила резонанс в США и за рубежом и вынудила американские власти заняться обновлением законов о "киберзапугивании".
Полный текст статьи по ссылке: http://lenta.ru/articles/2009/07/04/myspace/

Источник: lenta.ru

Применение биометрии позволило обнаружить 45 тысяч «мертвых душ»

  Муниципальная корпорация Дели (Municipal Corporation of Delhi — MCD), управляющая городским хозяйством индийской столицы, внедрила биометрическую систему учета рабочего времени. Российский биометрический портал BIOMETRICS.RU со ссылкой на агентство Indo-Asian News Service сообщает, что благодаря этой мере удалось выявить около 45 тысяч работников, которые числились только на бумаге, но тем не менее каким-то образом исправно получали зарплату.
  Биометрическая система идентифицирует пользователей по отпечаткам пальцев. Поскольку биометрический идентификатор уникален, его нельзя передать или одолжить, какие-либо попытки обмануть систему учета рабочего времени и зачислить в штат «мертвые души» становятся бесполезными.
  Сканеры отпечатков пальцев в количестве двух с половиной тысяч штук установлены в штаб-квартире MCD и 12 ее территориальных управлениях. Следующим шагом должно стать внедрение биометрической системы учета рабочего времени в начальных школах, которые также относятся к ведению MCD. Сейчас число этих учебных заведений составляет 1800 единиц.

Источник: BIOMETRICS.RU

Управление Роскомнадзора по Волгоградской области выявило нарушения в сфере защиты персональных данных

  Управление Роскомнадзора по Волгоградской области провело в июне 2009 года плановую выездную проверку соответствия обработки персональных данных требованиям законодательства в Государственном учреждении «Областная молодежная биржа труда».
  Выявлены нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». 
  По выявленным нарушениям Управление Роскомнадзора по Волгоградской области выдало ГУ «Областная молодежная биржа труда» два предписания об устранении выявленных нарушений. 
  Материалы плановой выездной проверки направлены в прокуратуру для рассмотрения вопроса о возбуждении дела об административном правонарушении, предусмотренном ст. 13.11. Кодекса Российской Федерации об административных правонарушениях.

Источник: rsoc.ru

Хулиганят в интернете

  В Удмуртии за 5 месяцев текущего года выявлено в 2 раза больше преступлений в сфере ИТ по сравнению с аналогичным периодом прошлого года. Оперативники связывают это с повышением компьютерной грамотности населения.
  Как следует из отчетов Прокуратуры УР, за 5 месяцев 2009 года зарегистрировано 359 преступлений, связанных с неправомерным доступом к компьютерной информации, а также созданием, использованием и распространением вредоносных программ для ЭВМ (за 5 месяцев 2008 года – 178). Уголовные дела по 273 преступлениям направлены в суды республики для рассмотрения по существу (в прошлом году – по 157 фактам). Тенденция к увеличению, как говорят эксперты, вполне естественна. Причем местному бизнесу хакеры серьезных проблем пока не доставляют. Ущерб чаще всего наносят крупным компаниям, изготавливающим лицензионные продукты.
  Эксперты считают, что с развитием информационных технологий в республике количество преступлений в данной сфере будет только расти. Причем, если сейчас нередко они совершаются из хулиганских побуждений либо ради дешевого пользования дорогостоящими программными продуктами, то в будущем ожидается рост коммерческого шпионажа.

Источник: Udm.business-class.su

В США приняты новые законы об утечке данных

  С 1 июля 2009 года в штатах Аляска и Южная Каролина вступит в силу новый закон, который обяжет организации, в случае нарушения системы безопасности, связанного с утерей персональной информации, уведомлять о происшествии потенциальных пострадавших. Теперь закон об уведомлении о нарушении безопасности действует в 44 штатах, а также в Округе Колумбия, Пуэрто Рико и на Виргинских Островах. Закон не распространяется на штаты Алабама, Кентуки, Миссисипи, Миссури, Нью Мексико и Южная Дакота. Штат Аляска. 
  Закон § 45.48.010 будет распространяться на утечки незашифрованных персональных данных как на бумаге, так и в электронном виде. Под персональной информацией понимается имя и фамилия (или инициалы), а также все или одна из категорий нижеперечисленных данных: номер социального страхования; номер водительских прав или номер государственного удостоверения личности; номер банковского счета, кредитной карты или номер дебетовой карты, вместе с любым защитным кодом, кодом доступа, персональным идентификационным номером или паролем доступа; пароли, персональные идентификационные номера или любые другие коды доступа к финансовым счетам. 
  Уведомление не требуется, если после соответствующего расследования и письменного уведомления генерального прокурора Аляски, юридическое лицо, допустившее нарушение, решает, что нет вероятности нанесения ущерба лицам, персональная информация которых была скомпрометирована в результате нарушения. Юридическое лицо также освобождается от обязанности уведомления в случае, если персональная информация была получена несанкционированно, но с благими намерениями, скажем, для найма работников, до тех пор, пока работодатель не использует информацию в незаконных целях или допустит ее утечку. Устав разрешает государственным учреждениям принять подзаконные акты в любой момент после даты вступления закона в силу.
  Южная Каролина. § 39-1-90 в формулировке в точности повторяет вышеупомянутый параграф 45.48.010 закона штата Аляска. Николай Федотов, ведущий аналитик InfoWatch так комментирует принятие данных актов: «Хочется обратить внимание на то, что в США, в отличие от Старого Света, применяется принципиально иной подход к определению защищаемых персональных данных. В конвенции Совета Европы о защите персональных данных при автоматизированной обработке защищаемыми данными объявляется «любая информация о лице», на основании которой можно это лицо идентифицировать (это определение перекочевало и в российский закон). 
  То есть, защищать положено всё и везде. Потом из общего правила прописываются отдельные исключения. Американский подход состоит в том, что явно перечисляются данные, подлежащие защите (в данном случае речь о нарушениях защиты). Все прочие персональные данные можно обрабатывать как обычно. Список включает ровно ту информацию, которую злоумышленники уже научились использовать для извлечения дохода и причинения вреда. И не больше. Этот подход экономит ресурсы операторов персональных данных, не вынуждая их тратить деньги на защиту того, что злоумышленников не интересует. Также следует обратить внимание, что утечка или утрата зашифрованных данных инцидентом не считается».

Источник: newsdesk.pcmag.ru

Компьютерные преступления в Нижегородской области за последний год увеличилось в 8 раз

  Количество преступлений в сфере неправомерного доступа к компьютерной информации в Нижегородской области за последний год увеличилось почти в восемь раз.
  (НИА "Нижний Новгород" - Любовь Ковалева) Количество преступлений в сфере неправомерного доступа к компьютерной информации в Нижегородской области за последний год увеличилось почти в восемь раз. Об этом на пресс-конференции 2 июля сообщил заместитель начальника Главного следственного управления ГУВД по Нижегородской области Олег Сорочинский.
  За пять месяцев 2009 года зарегистрировано 1937 преступлений, за тот же период прошлого года – 252. В суды в текущем году направлены уголовные дела по 1409 преступлениям, большинство из которых совершены в Нижнем Новгороде. Наибольший ущерб – 1,2 млн. рублей - причинили жителям Володарского района двое злоумышленников.
  Напомним, что в апреле 2009 года суд города Балахна Нижегородской области приговорил к 3,5 годам лишения свободы условно хакера, работавшего электромонтером у фирмы-провайдера. Обвиняемый работал в должности электромонтера в фирме-провайдере: занимался установкой интернет-соединений и подключением абонентов к сети передачи данных по ADSL-технологии. Осенью 2007 года при выезде на заявку на подключение компьютеров пользователей к сети интернет злоумышленник вписывал себе в блокнот логин и пароль, установленные абоненту, а затем без согласия владельца осуществлял ряд неправомерных доступов к охраняемой законом компьютерной информации с использованием полученных незаконным способом данных для доступа в Интернет. От противоправных действий любителя "бесплатного" интернета пострадало 25 жителей Нижегородской области, сумма материального ущерба составила 20 тыс. 729 рублей 53 коп.
  На основании приговора Балахнинского городского суда Нижегородской области 49-летний электромонтер был признан виновным в 25 эпизодах совершенных им преступных действий, и ему было назначен.

Источник: crime-research.ru

Ущерб от киберпреступности в США достигает миллиарды долларов в год

  Киберпреступность, последствия которой обходятся американским компаниям и частным лицам в миллиарды долларов в год, быстро распространяется в социальной сети Facebook, сообщают эксперты.
  Мошенничества в социальных сетях, по мнению экспертов, распространяются прежде всего из-за доверчивости самих интернет-пользователей. Их верой в то, что самые популярные в мире сетевые сайты являются абсолютно безопасными зонами, и пользуются хакеры. Интернет- мошенники входят под аккаунтами, определяющимися как друзья пользователей, и рассылают спам, отсылающий на сайты, которые похищают личные данные и распространяют всевозможные вирусы.
  Два года назад самой популярной у хакеров была сеть MySpace, принадлежащая американской корпорации News Corp. Но теперь атаки киберпреступников больше направлены на Facebook, количество пользователей которой увеличилось со 120 миллионов, зафиксированных в декабре, до 200 миллионов.
  Рост количества хакерских атак в сети Facebook, по заявлению ее представителя Саймона Акстена, связан с ростом числа ее пользователей. Несмотря на то что члены Facebook уверены в собственной безопасности, никаких гарантий веб-сайт предоставить не может.
  «Мы делаем все что можем, чтобы сохранить безопасность Facebook, но гарантировать ее мы не можем», – заявляют представители сайта.

Источник: Газета.Ru

В Кировской области по обращению гражданина выявило нарушение закона «О персональных данных»

  Управление Роскомнадзора по Кировской области по обращению гражданина выявило нарушение Федерального закона от 27.02.2006 № 152-ФЗ «О персональных данных». 
  При проведении проверки материалов обращения установлено, что организаторы общероссийского конкурса «Русский Медвежонок» публиковали персональные данные участников конкурса в открытом общедоступном виде на сайте по адресу www.rm.kirov.ru. 
  В связи со вступлением в силу с 27.01.2007 Федерального закона от 27.02.2006 № 152-ФЗ «О персональных данных» распространение персональных данных граждан (размещение в информационно-телекоммуникационных сетях) возможно только с письменного согласия субъекта персональных данных. 
  В соответствии с пунктом 3 статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в случае выявления неправомерных действий с персональными данными (обработка персональных данных без согласия субъекта) оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. 
  На сегодняшний день информация о победителях конкурса «Русский Медвежонок» с сайта удалена.

Источник: rsoc.ru

Прошел очередной семинар RISSPA по теме «Расследование компьютерных инцидентов»

   Семинар проводился 30.06.2009 года в офисе компании Симантек.
   Программа включала следующие темы:
1. Вступительное слово организаторов.
2. Symantec - "Методология расследования инцидентов ИБ".
3. Group IB - "Расследование компьютерных преступлений в России: проблемы и тенденции. Расследование DDoS атак. Расследование международных инцидентов информационнной безопасности", Илья Сачков.
4. HSBC "Опыт построения процессов контроля и расследования инцидентов ИБ", Павел Мельников.
5. Федотов Н.Н. - "правонарушения при проведении внутренних расследований инцидентов ИБ".
6. СТК Развитие, "Инструмент контроля терминальных сессий и др. протоколов", Святослав Березин.
8. Фуршет.
Презентации можно скачать по ссылке: http://risspa.org/seminary/prosched_seminar/materialy/

Хакеру не дали рассказать о "дыре" в банкоматах

  Выступление специалиста по безопасности на конференции Black Hat, которая пройдёт в конце июля в Лас-Вегасе, было отменено по настоятельной просьбе неназванного производителя банкоматов. Барнаби Джек (Barnaby Jack) из Juniper Networks собирался продемонстрировать участникам конференции взлом банкомата с использованием уязвимости в его программном обеспечении, сообщает Wired.
  "Наиболее распространённые атаки на автоматические кассовые машины обычно связаны с использованием скиммеров или же с физическим похищением банкомата. Очень редко мы видим какие-либо атаки, нацеленные на программное обеспечение банкоматов, — писал Джек в анонсе своего выступления на сайте Black Hat. — В этом выступлении будут прослежены шаги, которые были предприняты мною для взаимодействия с линейкой популярной новой модели ATM, её анализа и поиска уязвимости в ней. В этом выступлении будут рассмотрены как локальное, так и удалённое направление атаки, а завершится оно живой демонстрацией атаки на немодифицированный, типовой ATM".
  Как выяснилось на днях, всего этого удовольствия участники конференции будут лишены. Поставщик банкоматов, которые Джек обещал прилюдно заломать, обратился в Juniper Networks, выразив беспокойство в связи с тем, что публичное срывание покровов состоится до того, как им будут предприняты все необходимые меры по устранению "дыры".
  В Juniper подумали, и решили отложить выступление Джека до поры до времени, поскольку это может поставить под удар "непропатченные" банкоматы.
  К сожалению, другие подробности этого дела не известны, так что трудно сказать, имеет ли находка Барнаби Джека какое-то отношение к вредоносному коду, который уже довольно давно был обнаружен в ПО некоторых банкоматов Diebold в России и на Украине. Правда, позднее, специалисты антивирусной компании ESET назвали "банкоматный вирус" чёрным пиаром.

Источник: Webplanet.ru

Россия и Китай наносят миллиардные убытки британской экономике

  Как пишет The Financial Times, вчера Уайтхолл признал, что противозаконная деятельность международных киберпреступников, в том числе промышленный шпионаж и воровство кредитных счетов, стоит ежегодно британской экономике "миллиарды фунтов". Это откровение прозвучало в ходе объявления о создании ряда ведомств для борьбы с сетевыми атаками.
  Создание Оперативного центра кибербезопасности, который административно будет подчиняться Штабу правительственной связи (GCHQ), по мнению издания, означает то, что правительство намерено дать отпор хакерам из России и Китая, террористам и прочим взломщикам. Оперативный центр станет основным элементом осовремененной стратегии национальной безопасности, презентованной накануне премьером Брауном.
  Также будет создано отдельное Агентство по борьбе с киберпреступностью, которое будет координировать правительственную политику в этом направлении. Его возглавит, как сообщается, Нил Томсон, а в штат войдут сотрудники разведки MI-5, контрразведки MI-6 и других ведомств. Издание отмечает, что эти меры отчасти схожи с ранее предпринятыми администрацией Барака Обамы шагами по обеспечению безопасности киберпространства в США.

Источник: Financial Times

Биометрия поможет избавиться от игровой зависимости

  Корпорация лотерей и азартных игр канадской провинции Онтарио (Ontario Lottery and Gaming Corporation — OLG) готовится внедрить во всех своих заведениях систему биометрической идентификации посетителей. Как сообщает Российский биометрический портал BIOMETRICS.RU со ссылкой на Gaming Intelligence Group, идентификация посетителей будет производиться по изображениям их лиц, а воспользоваться биометрической системой смогут люди, страдающие от игровой зависимости.
  В настоящее время корпорация OLG предлагает тем, кто не в силах противостоять искушению вновь и вновь испытывать судьбу, программу «самоисключения» из числа посетителей игровых заведений. Сейчас к этой программе присоединились уже более 10 тысяч человек. Они собственноручно оформили заявления, в соответствии с которыми им запрещается доступ в игорные заведения сроком на шесть месяцев, один год или пожизненно.
  Естественно, перед OLG встала задача по надежной идентификации этих добровольных «лишенцев», причем важно было исключить действие «человеческого фактора» (проще говоря — возможность подкупа со стороны заядлых игроков швейцаров и охранников казино, которые за взятки пропускали игроманов их в заведения, несмотря на запрет). 
  В итоге корпорация поручила двум профессорам Университета Торонто разработать систему биометрической идентификации участников программы «самоисключения» по их лицам. Ученые утверждают, что им удалось создать такую систему, обладающую «расширенными функциями», и ее пилотные испытания планируется завершить к концу лета.
  На разработку системы биометрической идентификации OLG выделила 4 миллиона канадских долларов; решение о вводе новой системы в промышленную эксплуатацию будет принято по результатам пилотного проекта.

Источник: BIOMETRICS.RU