30.11.21

Блог переезжает на новый домен - lukatsky.ru

Месячник молчания закончен - спешу сообщить, что блог переехал на новый домен - lukatsky.ru, где мы с вами и встретимся :-) Тут всем пока, а там всем привет! И с международным днем защиты информации!!!&nb...

27.10.21

Куда падает качество нормативки наших регуляторов и что с этим делать?

Вы обращали внимание на снижение качества нормативных документов от наших регуляторов? Когда смотришь в сторону только одного регулятора или одной сферы регулирования это не так заметно. Но когда пропускаешь через себя творчество всех органов исполнительной власти, то это очень сильно бросается в глаза. И дело не столько в синтаксических или орфографических ошибках, сколько в большом числе нестыковок, неточных и непонятных формулировок, которые требуют...

26.10.21

Моделирование угроз в процессе разработки ПО

Решил я тут раскрыть чуть больше краткую заметку в своем Telegram, посвященную моделированию угроз в процессе разработки ПО. Я написал следующее: "Методика оценки угроз ФСТЭК не применяется при моделировании угроз в рамках безопасной разработки. Учитывая, что ФСТЭК уделяет последней очень много внимания, стоит ли ждать отдельного документа/стандарта по этому вопросу? Пока у меня нет ответа на этот вопрос, хотя появление ГОСТа по этой теме было бы...

30.9.21

Как может s-curve'иться CISO?

Последний круглый стол на конференции “Кибербезопасность нового времени” в рамках казанской DigitalWeek оказался мне ближе всех, так как обсуждаемая на нем тема интересует меня давно и мой блог по сути и начинался скоро уже 15 лет как именно с нее, а именно с бизнес-ориентации в деятельности службы ИБ. Это постоянная тема дискуссий последних пару лет и без нее не обходится ни одно мероприятие. Должен ли CISO заниматься только ИБ в классическом его...

27.9.21

Круглый стол "Формальная безопасность vs практическая безопасность: как достичь синергии"

Вторым круглым столом на конференции "Кибербезопасность нового времени", проведенной Innostage в рамках казанской DigitalWeek, был "Формальная безопасность vs практическая безопасность: как достичь синергии", который получился не таким, как я его задумывал изначально, готовя вопросы. Поэтому в этой заметке я буду говорить не столько о самом круглом столе, сколько о том, во что вылилась дискуссия и что я про все это думаю.На самом круглом столе немного...

23.9.21

Подомнет ли большая пятерка ИБ-игроков российский рынок или когда выпи***т всех иностранцев с рынка?

Во вторник и среду довелось мне по приглашению моих друзей из компании Innostage посетить организованную ими конференцию по кибербезопасности в рамках более крупного ИТ-мероприятия DigitalWeek с участием Президента Татарстана, министра российской цифровизации и других не менее высоких чинов. Я не выступал, но зато вел три дискуссии, обзором которых и хочу поделиться в серии заметок. Первая из них называлась "Отстает ли российский рынок ИБ от западного?".Фрагмент...

13.9.21

Перевод MITRE ATT&CK и ее маппинг на техники ФСТЭК

В пятницу, на конференции Kaspersky ICS Cybersecurity Conference, я выступал с темой "Основные сценарии реализации угроз на АСУ ТП и их преломление на методику оценки угроз ФСТЭК" (презентацию выложил в своем Telegram-канале). К этому выступлению я планировал завершить перевод последней версии матрицы MITRE ATT&CK v9 на русский язык и маппинг техник ФСТЭК в техники MITRE ATT&CK, что и было сделано (ссылки будут ниже).Ключевая идея моей презентации...

3.9.21

Сколько ИБшников надо в штат службы ИБ: формула расчета

Если не рассматривать крупные организации, службы ИБ которых насчитывают сотни человек, то в массе своей нам обычно не хватает людей на все наши хотелки и мы всегда чувствует дефицит персонала. И чем мельче компания, тем сильнее этот дефицит, который надо как-то закрывать. И когда ты приходишь к генеральному директору за одобрением новых ставок в штат ИБ, ты часто слышишь: "Вас и так много (а "вас" в реальности всего один или двое)" или "И так непонятно,...

2.9.21

О резюме специалистов по ИБ

В Фейсбуке моя краткая заметке привела к некоторой дискуссии, поэтому я решил написать чуть более развернуто. Но начну я с копипаста своей заметки, чтобы было понятно, о чем идет речь."Вот почему люди так пофигистически относятся к подготовке своих резюме? Они ищут работу и, вроде как, должны быть заинтересованы в том, чтобы поразить будущего работодателя своими умениями, навыками и знаниями. Но нет! Почему мало кто из ИБшников или ИБшных сейлов...

24.8.21

2 государевых модели угроз, авторы которых забили болт на требования ФСТЭК

Вчера я наткнулся на модель угроз и нарушителя безопасности информации, обрабатываемой в программно-техническом комплексе дистанционного электронного голосования (ДЭГ). И хотя это всего лишь выписка, она все равно дает пищу для размышлений. В частности, беглый просмотр этого документа вызвал у меня следующие вопросы:Где модель нарушителя? Предположу, что это в неопубликованной части, но что-то по тексту это не прослеживается. Либо модели нарушителя...

9.8.21

Платить вымогателям или нет?

На очередном мероприятии, где я выступал с рассказом о стратегии борьбы с шифровальщиками, и поднял тему об оплате выкупа вымогателям, завязалась дискуссия, в которой я отстаивал точку зрения, что оплата выкупа - это бизнес-решение, а мои оппоненты, сплошь одни безопасники, защищали противоположную точку зрения, что платить вымогателям нельзя, тем самым мы стимулируем их на совершение еще больших преступлений. И поскольку такие дискуссии завязываются...

27.7.21

Калькулятор оценки технологической зрелости соответствия 239-му приказу

 Несколько лет назад, а именно пять, я писал о том, как можно было бы облегчить жизнь с реализацией приказов ФСТЭК, внедрив неку/ю модель зрелости, которая бы позволила оценивать текущий уровень реализации требований регулятора и выстраивать некую дорожную карту достижения желаемого уровня соответствия. К сожалению, описанная мной тогда идея так и осталась идеей и, в отличие от NIST, который к своему фреймворку CSF предложил как раз схожую тему,...

19.7.21

Об ИБ-спикерах и их мотивации выступать на мероприятиях

Вы думали, почему на конференциях по ИБ выступают Рустем Хайретдинов, Дима Мананников, Алексей Качалин, Антон Карпов, Дима Гадарь, Мона Архипова и другие достойные специалисты? Я не знаю, почему. Да и наверное неправильно додумывать за них об их причинах. Я хочу поделиться своим видением того, почему человек начинает выступать на конференциях. Будем считать это продолжением моего опуса об ИБ-блогерстве, написанном 5 лет назад. Многое из того, что...