Банк России выпустил Указание 2194-У от 05.03.2009 о внесение изменений в Положение 242-П "Об организации внутреннего контроля". Указание добавляет к Положению 242-П новое приложение №5, в котором детально определяются требования к структуре и содержанию плана действий по обеспечению непрерывности и восстановлению деятельности кредитной организац...
30.3.09
Мифы 28-30
Новая порция мифов:Компании, которые занимаются безопасностью не ломаютТестам средств защиты в журналах можно доверятьБанкомат нельзя взлома...
27.3.09
Мифы 25-27
Новая порция мифов:Если что-то защищено паролем, оно не может быть сломаноЗащиту персональных данных придумали в РоссииВирусы создаются антивирусными компания...
26.3.09
Как безопасность влияет на бизнес - реальные цифры
Очень часто возникает вопрос, а как ИБ влияет на бизнес? Вариантов ответа немало, но вот один в последнее время стал получать все большую популярность. Правда, пока на Западе, где компании более прозрачны и публичны, чем у нас. Отмечена прямая связь между негативным состоянием ИБ в компаниях и, как следствием взломом, утечкой и т.п., и стоимостью акций такой компании.Например, в январе этого года американская финансовая компания Heartland Payment...
25.3.09
Детям до 18-ти скоро запретят ходить на Mail.ru
Законодатели решили подумать и о детях и запретить им смотреть, читать и слушать:Нецензурную брань.Рекламу наркотиков, алкоголя, табака, пива, азартных игр и широкого спектра противоправных действий.Провокации детей против их жизни и здоровья.Оправдание жестокости и насилия.Пропаганду отрицания семейных ценностей.Призывы к совершению уголовно наказуемых деяний или их оправдание.Порнографию.И т.п. В т.ч. и в Интернет. Подробнее я описал новый законопроект на сайте Компьютер...
24.3.09
Russian CSO Summit II - день второй
И вот закончился второй и последний день Russian CSO Summit II, который мне понравился даже больше чем первый. В чем ключевое достоинство мероприятия, - в его ориентированности на потребителя. Доклады делаются в массе своей заказчиками, что позволяет услышать о реальном положении дел без рекламы и маркетинга. День начался с рассказа Сергея Сажина (Вымпелком) о том, как у них на практике построен процесс Compliance Management. Учитывая масштаб компании "Вымпелком" и тема, и способ ее решения, были очень интересны.СофтИнформ запомнился громогласным...
Сблежение не целесообразно?! Информзащита и ОКБ САПР не сошлись характерами
Информзащита и ОКБ САПР, о слиянии которых, я писал в конце прошлого года, разошлись. Однако гораздо интереснее почитать не сводный материал, а самостоятельные точки зрения участников сделки. ОКБ САПР у себя на сайте коротко написал, что соглашение об объединении не было достигнуто из-за кризиса. В тоже время, Информзащита пишет, что уровень менеджмента и корпоративной культуры ОКБ САПР не соответствует уровням того же в Информзащите. Это и послужило основным препятствием. При этом Информзащита говорит, что несмотря на разногласие были достигнуты...
23.3.09
Russian CSO Summit II - день первый
Закончился первый день Russian CSO Summit II. Несмотря на сложную ситуацию зал конференции был полон, что не могло не радовать. Я выступал с докладом "Позиционирование ИБ в условияз кризиса". Презентация прилагается.Security and CrisisView more presentations from lukatsky.Так удачно сложилось, что выступающий после нашей секции Харлан Волд, CSO Renaissance Capital практически полностью повторил то, что говорил я, но уже применительно к своему практическому опыту.Эта презентация отчасти повторяет то, что я уже публиковал ранее. Но сейчас я систематизировал...
Новое постановление о Роскомнадзоре
16 марта Правительство выпустило новое постановление №228 "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций". Каких-то серьезных изменений я не заметил - только мелкие правки.В первом пункте положения стало явно прописано, что Роскомнадзор "является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных". Видимо, чтобы в связи с частой сменой названия вопросов больше не возникало, кого же имеет ввиду ФЗ-152.ЗЫ. Как и в прошлой редакции 419-го постановления...
20.3.09
Защита ключевых систем информационной инфраструктуры
Начал тут более глубоко разбираться в отечественном законодательстве по защите ключевых систем информационной инфраструктуры (КСИИ). Сложное это дело ;-) Еще сложнее, чем по персданным. Там если документы ФСТЭК хоть и имеют гриф ДСП, но остальные нормативные акты вполне себе открытые (хотя мне тут понравилось высказывание одной из представительниц госкорпорации "информация открытая, но для служебного пользования"). А по КСИИ из открытых документов...
19.3.09
О трактовке законодательства по персданным
На блоге Евгения Царева, опубликована заметка о Роскомнадзоре. И хотя позиция автора понятна (безусловное выполнение требований по ПДн), хотелось бы прокомментировать одно из положений этой заметки. Согласно ей Роскомндазор имеет якобы право осуществлять плановые проверки в области персданных. Это заблуждение исходит из того, что согласно ФЗ-152 и Постановлению Правительства №419 "О Федеральной службе по надзору в сфере связи и массовых коммуникаций" Роскомнадзор является органом государственного контроля и надзора, а согласно ФЗ-134 "О защите...
Мифы 22-24
Новые мифы на bankir.ru:сертификат ФСТЭК гарантирует работоспособностьчисло вредоносных программ растет по экспоненте14 символов - наилучшая длина паро...
18.3.09
Запущен новый блог по персданным
15 марта в Сети появился новый блог по персональным данным. Заметки интересные и, даже, местами дискуссионные, что и требуется для хорошего блога. Только вот авторство блога непонятно. И как бы не интересен был такой блог, но доверие к нему у меня минимальное ;-( Анонимные записи могут быть опубликованы с любой целью - никто за них не несет никакой ответственности ;-( И это пло...
17.3.09
Документы ФСБ по персданным
Очень часто на форумах и конференциях возникает вопрос о том, где брать документы ФСБ по персданным. Вариантов два. Первый - обратиться в ФСБ. Второй - скачать их с сайта Роскомнадзора:Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизацииТиповые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений,...
16.3.09
Курс по персональным данным в ИБД АРБ
27-го марта меня пригласили в Институт банковского дела при АРБ прочитать курс по персональным данным. Я решил тупо не комментировать ФЗ, постановления правительства и документы регуляторов, а посмотреть на них с точки зрения потребителя. Т.е. оценить, как можно обойти жесткие требования ФЗ, параноидальные требования четверокнижия и стоит ли его вообще исполнять, оценим миф про 1-е января 2010 года, ну и т.д.В сентябре я уже читал аналогичный курс в ИБД и он вызвал большой интерес у слушателей. А с тех пор у нас появилось немало изменений - и 687-е...
14.3.09
Как заработать на ботнетах? Советы от ИБ-компании!
На SecurityLab новое творение по безопасности от Группы ИБ (Group-IB), посвященное бот-сетям. Когда я прочел название исследования, я подумал, что оно посвящено бот-сетям и тому как с ними бороться. Ан нет ;-(Исследование является классическим пособием для начинающих создателей бот-нетов, построенном по принципу "вопрос-ответ". Сколько стоит создать бот-нет? Сколько можно заработать на бот-нете? Как обналичить деньги, полученные от бот-нета? Как заказать DDoS-атаку через бот-нет? Имеет ли смысл делать бот-нет на заказ? Можно ли купить готовый бот-нет?...
12.3.09
500 стандартов ИБ, которые потрясли мир
Когда-то я готовился проводить выездное обучение "500 стандартов по ИБ, которые необходимо соблюдать в России". Но по разным причинам выезд не получился, но интерес к теме остался, да и курс был уже почти доработан. И вот произошла реинкарнация курса... но уже в Москве. НТЦ пригласил меня провести этот курс в июне этого года. Повторю, что писал раньше про этот курс.Программа:Законодательство РФ в области информационной безопасности. История становления и развития.Основы права или как обеспечить ИБ, не ущемляя прав граждан и юридических лиц? Пример:...
11.3.09
Мифы 19-21
Итак новая порция мифов:эчисло записей в базе антивируса определяет его эффективностьLinux защищеннее Windowsмы обязаны соблюдать требования ФСТЭК по защите персональных данныхСравнение Linux и Windows как обычно вызвало определенную "дискуссию" ...
10.3.09
Как обманывают клиентов производители средств защиты - 2
Я уже писал, что я веду секцию "Как обманывают клиентов производители средств защиты" на конференции РусКрипто (2-5 апреля 2009 года в Подмосковье). Определились с 3-мя докладчиками и их выступлениями в этой секции. Тезисы ниже. Приглашаются все желающие ;-)1. Здесь должно было быть выступление компании IBM ISS. Но последовал запрет ;-(2. Алексей Лукацкий - бизнес-консультант по информационной безопасности Cisco - "Почему ИБ-компании, зная правду, врут в глаза своим клиентам?""Парадоксально, но факт - многие компании, которые занимаются безопасностью,...
6.3.09
Несколько лет назад (наверное 7 или 8) я задумал серию "Вредных советов по информационной безопасности" по аналогии с детской книжкой Остера. Родилось несколько "творений", но дальше них дело не пошло. А тут Infowatch стал публиковать свою версию "вредных советов" (часть 1 и 2), к которой я и присоединился, отдав им свои несколько "советов".ЗЫ. Строго не судить ;-) Не Пушкин я ...
Комиксы по безопасности от Cisco
Мы, т.е. Cisco, опять запустили нечто про безопасность ;-) На этот раз - комиксы "The Realm". Первый эпизод уже в Сети...Все лишний раз подтверждает тот факт, что стандартными рекламными механизмами, клиента уже не удивишь ...
5.3.09
Безопасники в кадровый резерв не входят
На сайте Президента опубликован список лиц, включенных в "первую сотню" резерва управленческих кадров, находящихся под патронатом Президента. Безопасников там нет ни в каком виде ;-( Ни из среды силовиков, ни из бизнеса. Из ИТшников вообщего всего 2 фамилии - Бобровников (глава Крока) и Волож (глава Яндекса). Будем надеяться, что хотя бы в первую тысячу, которую обещали скоро опубликовать, они войд...
PCI Council запускает новый ресурс для продвижения PCI DSS
PCI Council запускает новый ресурс для продвижения PCI DSS. Это Prioritized Approach framework, т.е. набор документов, инструментов, советов, рекомендаций, обучающих курсов, появившихся в результате работы QSA и A...
4.3.09
S.N.Safe продалась
Разработчик защитного ПО S.N.Safe&Software получил инвестиции от регионального венчурного фонда Татарстана под управлением «Тройки Диалог». Сумма сделки не уточняется, но это было не больше 120 млн.рублей и при этом венчурный фонд получил не менее 50% голосов в S.N.Safe.Достаточно забавно выглядят упоминания уникальности технологии S'n'S по отлову вредоносных програм не по сигнатурам, а по поведенческим особенностям. К слову сказать, компания Okena, которую мы купили в 2003-м году, еще в 2000-м году в своих решениях использовала именно отслеживание...
2.3.09
В Питере безопасности больше нет
Комитет экономического развития, промышленной политики и торговли Правительства Санкт-Петербурга выпустило распоряжение от 19.11.2008 №1008-р "Об утверждении предельных нормативов затрат бюджета Санкт-Петербурга на сервисное обслуживание средств информационных технологий и прикладных информационных систем исполнительных органов государственной власти Санкт-Петербурга на 2009 год".Предельные нормативы по ИБ следующие:проверка одного АРМ на вирусы - 7.98 руб. в месяцСопровождение механизма обновления антивирусного ПО, установленного на рабочих станциях...
Подписаться на:
Сообщения (Atom)
