Новые поправки к закону о шифровании в США внесли еще больший сумбур в законодательство
Акция от Infosecurity! Обучайте сотрудников с выгодойПодключайте сервис TRAINING CENTER. Организацию и контроль обучения берем на себя:
• Разработаем индивидуальные шаблоны учебного фишинга.
• Сформируем учебные группы и проведем учебные фишинговые атаки.
• Проконтролируем процесс и определим результаты.

При заключении договора сроком на 1 год и более – сопровождение бесплатно.
Набор и стоимость услуг зависят от количества пользователей, и размер скидки уточняйте у менеджера.

→ Оставить заявку
Реклама. Рекламодатель ООО «ИС», ИНН 7705540400, 18+

Новые поправки к закону о шифровании в США внесли еще больший сумбур в законодательство

В штате Невада, США, принят новый закон SB-227 «О внесении (в нормативные акты) некоторых изменений касательно кражи личности» (http://www.leg.state.nv.us/75th2009/Bills/SB/SB227.pdf), положения которого с нового года заменят положения действующего ныне закона NRS 597.970.

В Неваде действует юридическое определение шифрования (в законе NRS 205.4742), которое позволяет создавать дешёвые технические решения, формально соответствующие этому определению, но фактически ничего не шифрующие и не защищающие. Вот выдержка из данного определения:
«кодирование означает применение защитных или разрушающих мер, без ограничения, включая криптографию, шифрование, кодирование или компьютерные программы, искажающие или разрушающие информацию для: 1. Предотвращения, помехи, задержки или разрыва доступа к любым данным, информации, изображениям, программам, сигналам или звуковым сигналам; 2. Сделать любые данные, информацию, изображения, программы, сигналы или звуковые сигналы не пригодными или неразборчивыми; 3. Предотвращения, помехи, задержки или разрыва нормального функционирования или использования любых компонентов, приборов, оборудования, системных сетей».
Такое притворное шифрование используется для обхода (т.е. чисто формального соответствия) требований закона ради экономии затрат.

Новый закон SB 227 вводит новое определение шифрования, обойти которое будет не так просто:
 «(b) Шифрование это защита данных при их хранении или передаче в электронном или оптическом виде с применением :
(1) Технологий шифрования, которые были приняты в соответствии с установленными уполномоченным органом стандартами, в том числе, но неограниченные, Федеральными стандартами обработки информации, разработанными Национальным Институтом Стандартов и Технологий, определившим подобные данные как не поддающиеся расшифровке при отсутствии соответствующих криптографических ключей, необходимых для расшифровки подобных данных;
(2) Надлежащего управления и обеспечения безопасности криптографических ключей для защиты целостности кодирования, использующего принципы, провозглашенные в установленных уполномоченным органом стандартах, в том числе, но не ограниченных Национальным Институтом Стандартов и Технологий».
Тем не менее, и в новом законе есть ряд недостатков, которые предоставляют некоторые возможности его обхода. Не все термины в новом определении трактуются однозначно. Также новое определение противоречит определениям из других нормативных актов. В некоторых случаях использование притворного шифрования позволяет избежать обязательного информирования властей или потерпевших об утечках либо обнаруженных уязвимостях при обработке персональных данных. В соответствии с новым законом SB 227, в случае утечки персональных данных организация будет нести ответственность, но согласно SB 347 она не обязана сообщать о подобных утечках.

Эти несовершенства наводят на мысль о необходимости внесения поправок как во вновь принятый закон, так и в ряд действующих, чтобы между ними не было несоответствий.

О том, как обстоят дела с российской практикой шифрования данных, рассказывает Николай Федотов, ведущий аналитик InfoWatch: «Данная проблема - использование притворного шифрования для достижения чисто формального соответствия требованиям - в России отсутствует. Отечественные производители пока не доведены конкуренцией до таких крайностей, чтобы экономить копейки на шифровании.
В России иногда встречается прямо противоположная проблема: производитель применяет в своём продукте надёжное шифрование, но из-за разных бюрократических запретов вынужден делать вид, что никакого шифрования там нет. С точки зрения специалиста по информационной безопасности, лучше быть, чем казаться».


Источник

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В России заработала платформа Kaspersky Cybersecurity Training

Анонсирован запуск русскоязычной платформы Kaspersky Cybersecurity Training, на которой специалисты по ИТ и ИБ смогут оттачивать свои навыки с помощью онлайн-курсов, разработанных в «Лаборатории Касперского».

Программы обучения, в том числе самостоятельного, также будут полезны организациям, желающим расширить компетенции своих безопасников. Ранее тренинги Kaspersky были доступны лишь на английском языке.

Представленные на платформе курсы разнообразны и рассчитаны на разные уровни подготовки. На русском языке представлены популярный тренинг «Техники продвинутого анализа вредоносного ПО» и новый — «Безопасная разработка программного обеспечения».

Последний будет расширяться, а пока охватывает следующие темы:

  • основы и жизненный цикл безопасной разработки, опыт реализации и внедрения, основные практики и инструменты;
  • подходы к моделированию киберугроз и проектированию архитектуры продуктов;
  • основы OWASP, интеграция инструментов и проектов OWASP в процессы разработки;
  • безопасная разработка на С/C++, с подробным разбором образцов кода; рекомендации по предотвращению и исправлению ошибок, приводящих к появлению уязвимостей.

«Онлайн-тренинги “Лаборатории Касперского” для ИБ-экспертов прошли специалисты из более чем 50 стран, — комментирует Антон Иванов, директор Kaspersky по исследованиям и разработке. — Эти курсы использовались в том числе для обучения сотрудников Интерпола. Наше портфолио охватывает разные темы, от базовых знаний по реверс-инжинирингу и написанию правил YARA до продвинутых методов поиска угроз и анализа вредоносного ПО, исследования инцидентов и цифровой криминалистики. Теперь они стали доступнее для русскоязычных специалистов».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru