Не PCI мой DSS: насколько страшны требования регуляторов
, , ,


Вопросы безопасности и защищенности персональных данных сегодня наиболее обострены. И далеко не последнюю роль в этом сыграли такие документы, как GDPR, PCI DSS, Федеральный закон № 152-ФЗ «О персональных данных». Рассмотрим более подробно каждый из перечисленных документов, выделим круг субъектов, попадающих под их действие, а также общие требования к защите данных.

Читать далее Не PCI мой DSS: насколько страшны требования регуляторов

Информационная безопасность: преступление и наказание
, ,


Источник изображения

В соответствии с УК РФ преступлением признаётся противоправное, общественно опасное деяние, ответственность за совершение которого предусмотрена УК РФ. В отечественном УК отдельная глава посвящена преступлениям в сфере компьютерной информации, однако на практике грань между преступным и правомерным настолько тонка, что возникают сложности при квалификации тех или иных деяний. В данной статье мы постараемся рассмотреть некоторые составы преступлений на примере конкретных ситуаций.

Проводя обучение по программам практической подготовки в области информационной безопасности, мы сталкиваемся с вопросами, которые по сути относятся к теме, но выходят за пределы этих программ. Такие вопросы мы решили разбирать отдельно.

Использование «патчей», «активаторов», «кряков»
Судебная практика по данному вопросу неоднозначная. В одних случаях, когда дело касается преступлений, связанных с нарушением авторских прав, данное ПО признаётся вредоносным, в других – нет. Это связано с тем, что отсутствуют чёткие критерии «вредоносности» программы. Если обратиться к статье 273 УК РФ, можно выделить два критерия «вредоносности» программы:
1) программа работает несанкционированно;
2) работа программы приводит к одному из правовых последствий: уничтожению, блокированию, модификации, копированию информации, к нарушению работы ЭВМ, системы ЭВМ, сетей ЭВМ.
Читать далее Информационная безопасность: преступление и наказание

Тестирование на проникновение или мы медленно снимаем с себя ответственность
, , , , ,

Под тестом на проникновение понимается санкционированное проведение атак на сетевом уровне и на уровне приложений на все публично доступные сервисы компании из сети Интернет (т.е. внешний тест на проникновение) и внутренние ресурсы, входящие в область аудита PCI DSS (внутренний активный аудит защищённости). Тест на проникновение призван подтвердить или опровергнуть возможность несанкционированного доступа к защищаемой информации, используя найденные в процессе тестирования уязвимости.

В процессе проведения тестирования на проникновение не исключены ситуации, когда действия пентестера могут причинить ущерб интересам третьих лиц. Например, когда тестирование проводится в облачной среде. Возникает вопрос: кто будет нести ответственность? Давайте разбираться.

В первую очередь, основанием проведения тестирования на проникновение является договор. В силу ст. 432 ГК РФ договор считается заключенным, если сторонами достигнуто соглашение по всем существенным условиям. Для договора на оказание услуг существенными являются условия о предмете, цене и сроке оказания услуг. Следовательно, в обязательном порядке в договоре необходимо согласовать следующие моменты:

  • Предмет договора, включающий в себя объект тестирования и перечень действий, которые необходимо произвести. Здесь следует указать количество сетей, подсетей, компьютеров, диапазон IP-адресов в одной сети. Важно чётко обозначить объект тестирования, исключив те объекты, которые проверять не нужно.
  • Срок оказания услуг — период времени, когда будет проводиться тестирование на проникновение.
  • Стоимость проведения тестирования на проникновение.

Читать далее Тестирование на проникновение или мы медленно снимаем с себя ответственность