Обновляя презентацию по персданным, заинтересовался темой раскрытия информации о фактах утечек. Все ссылаются только на Калифорнийский SB-1386, вступивший в действие с 1-го июля 2003 года. Однако, как оказалось, Калифорния пусть и была пионером в этом процессе, но сегодня она не единственный, кто ввел у себя такие законы. В частности, почти все штаты США приняли такое законодательство. Кто-то раньше, кто-то позже. Последними были Аляска и Южная Каролина, в которых эти законы вступили в действие с 1-го июля этого го...
31.7.09
Инструмент оценки защищенности информационных систем по шведски
Все помнят Радужную серию, отдельные книги которых описывали, как оценивать защищенность отдельных компьютеров и даже сетей. На их основе родились наши руководящие документы ФСТЭК. Потом появились "Общие критерии". Пожалуй, это все формализованные методы оценки распределенных информационных систем, которые мы знаем. Однако шведское исследовательское агентство безопасности разработало свой метод под названием CAESAR. Более того, он выложило на своем сайте инструмент ROME для автоматизации данной задачи.Там же можно найти и средства оценки защищенности...
30.7.09
Оценка эффективности ИБ с помощью стандарта
В курсе по измерению эффективности ИБ я рассматриваю множество различных методов оценки эффективности ИБ. Один из них - оценка на соответствие стандарту. В качестве примера рассматривается несколько принятых в России стандартов и один из них PCI DSS. Помимо достоинств у данного метода есть и несколько недостатков. Один их них - субъективность оценки. В разные моменты времени одно и тоже требование может восприниматься по разному. Например, раньше требование наличия антивируса всеми трактовалось как установка соответствующего ПО на рабочие станции...
29.7.09
Что думает РосКомНадзор про обезличивание
Не буду разглагольствовать - просто дам ссылку на блог Vazone. Но фраза "пособы и алгоритмы обезличивания персональных данных оператор, осуществляющий обработку персональных данных, определяет самостоятельно" внушает оптимизм ...
28.7.09
Об оплотах независимости в Рунете
Наткнулся на портал www.secureblog.info, созданный Александром Гостевым, вирусным аналитиком Лаборатории Касперского. Как отмечено на nonsecure.info, данный портал "является практически последним оплотом независимости от вендоров в сфере ИБ (здесь их критикуют, а не восхваляют, как например на www.anti-malware.ru)". Не могу сказать, что он последний. Даже если не считать меня критиком ;-), то есть еще блог arkanoid'а, да и многие другие блоги, многие из которых сведены на security (b)log, и которые тоже не стесняются открыто обсуждать.Про отсутствие...
27.7.09
Самопиар, security awareness или реальная помощь?
Долго думал, с чего начать эту заметку. Так и не придумал ;-( Решил дать рукам волю и пусть сами пишут то, о чем я сейчас думаю. Итак, наткнулся я на сайт nosecure.info. Очень интересный ресурс, ибо заметки на нем показывают неплохую квалификацию авторов. Но вот этическая сторона вопроса... Зачем писать о том, какие дыры есть на сайте Инфосистемы Джет, Вымпелком, RISSPA, Лаборатории Касперского, sec.ru, СекЛаб и т.п.? Как это влияет на повышение осведомленности или реальную защищенность? Сложно сказать. Самопиар? Но на сайте постоянно твердят,...
24.7.09
Путин на Магнитке или история по безопасность для бизнеса
В новостях сейчас показали, как Путин посетил Магнитку и провел там заседание про металлургическую отрасль. И вспомнилась мне история, произошедшая на одном российском металлургическом комбинате. Система управления цепочками поставок вышла (или скорее всего была выведена) из строя всего на 40 минут. Когда систему запустили вновь оказалось, что за это время было украдено несколько эшелонов (!) с металлом. Всего за 40 минут. Исчезли бесследно. Точнее вагоны потом нашли, а вот металл уже нет. Ущерб немаленький и всего лишь из-за простоя менее часа.Был...
22.7.09
И вновь об отчете Леты ;-)
Несколько дней назад я прошелся по отчету и прогнозам Leta-IT в области ИБ. И вот на Cnews появился ответ на мои комментарии ;-) И хотя Ригель не понимает мою "любовь" к Лете, я вновь ее продемонстрирую, прокомментировав их комментарии ;-)1. Неназванный представитель Leta говорит, что отечественный рынок ИБ несмотря на отсутствие хотя бы одной публичной сделки слияния/поглощения, все равно самый перспектвный для этого среди всех остальных. И закрытость компаний тут не помеха. Главный совет Леты - поменять финансовое руководство и наступит счастье....
21.7.09
Книга отечественного автора по безопасности Oracle
Александр Поляков из Digital Security написал и опубликовал книгу "Безопасность Oracle глазами аудитора: нападение и защита". Как написано в аннотации: "Эта книга является первым исследованием, написанным отечественным автором, которое посвящено проблеме безопасности СУБД Oracle. Материал книги основан на практическом опыте автора, полученном им в результате проведения тестов на проникновение, анаизе защищённости бизнес-приложений и обширной исследовательской деятельности в области безопасности СУБД. Книга построена таким образом, что вначале читатель...
Разъяснение требований по безопасности Wi-Fi в рамках PCI DSS
На сайте PCI Council размещены разъяснения по поводу беспроводных сетей, их защиты, контроля в рамках стандарта PCI D...
20.7.09
Формализация ИБ в крупных и небольших компаниях
Занимаюсь подготовкой курса "Теория организации и информационная безопасность" и наткнулся на интересное исследование в облатси психологии, результаты которого были опубликованы в 2006-м году профессором антропологии и эволюционной психологии из Гарварда Марком Хаузером. Оно было посвящено врожденности человеческой морали и разделении "белого" и "черного", хорошего и плохого.Один из сделанных выводов касается и безопасности. Оказывается, в ограниченных сообществах (до 150 человек) порицание окружающих может сдерживать плохие поступки людей. Их...
17.7.09
Рабочие шаблоны документов по персданным
Так как эта ссылка уже просочилась в Интернет, то я решил тоже ее не скрывать. На официальном портале Администрации Смоленской области в разделе, явно непредназначенном для широкого доступа, размещены документы по персональным данным. Помимо законов и иных нормативов регуляторов в этом разделе есть очень полезные документы, за которые интеграторы берут большие деньги:акт классификации ИСПДнчастная модель угрозприказ об организации работ по персоанльным даннымакт установки средств защитыпаспорт на объект вычислительной техникии т...
16.7.09
15.7.09
Очередной отчет Leta-IT о рынке ИБ в России
Год назад Leta-IT выпустила отчет о состоянии рынка ИБ в России. И вот на днях Leta порадовала третьим своим видением тенденций отечественного рынка ИБ. Многие из озвученных год назад претензий к логике и фактам отчета остались без внимания. Поэтому пройдусь по новой версии отчета более внимательно ;-) Мне непонятен отказ от исследования сегмента сетевой безопасности, хотя он самый массовый в России (да и в мире тоже). Возможно потому, что авторы отчета на этом рынке не работают? Я не верю в 30%-й ежегодный рост рынка ИБ. При этом авторы отчета...
14.7.09
Deloitte организовал опрос по теме персональных данных
Уважаемые коллеги,Компания «Делойт» приглашает Вас принять участие в опросе, посвященном оценке уровня готовности к выполнению требований Федерального закона Российской Федерации N 152-ФЗ «О персональных данных», для крупнейших организаций России, занятых в сфере высоких технологий, телекоммуникаций и финансовых услуг. Вам предлагается ответить на ряд вопросов анкеты по различным аспектам защиты персональных данных.История вопросаПроведение данного исследования является продолжением международного исследования «Делойта», посвященного информационной...
13.7.09
Презентация "Измерение эффективности ИБ". Облегченная версия
Я уже писал, что в ИБД АРБ читаю курс по измерению эффективности ИБ. Урезанную версию этого курса, которую я читал на днях на одном из семинаров, я и выкладываю. В ней многие аспекты данной темы не раскрыты, а часть вообще отсутствует (все-таки вместить в 30 минут многочасовую презентацию не просто), но общее впечатление от данного направления деятельности любой современной службы ИБ получить можно.Security Metrics.pdfView more documents from lukats...
9.7.09
Новый курс - "Построение модели угроз"
Запустил новый курс в ИБД АРБ - "Построение модели угроз". Учитывая актуальность темы, как минимум по направлению персданных, думаю курс найдет своего слушателя. Первое чтение будет 30-го сентября в ИБД АРБ (очно и онлайн).Программа курса будет следующей:Для чего нужна модель угроз? Необходимость или требование регулятора?Модель угроз и требования по защите персональных данныхПроцедура построения модели угрозВнутренний враг – опасность преувеличена?Принцип Парето или правило «80/20» при разработке модели угрозМодели угроз ФСТЭК, ФСБ, СТО БР ИББС-1.0,...
8.7.09
Новый игрок на российском рынке ИБ
На российском рынке ИБ появился новый игрок - компания AppForce. Основная специализация - Security Operations Center (SOC) в различных видах:услуга по построение SOC для вассобственное ПО для построения SOCаутсорсинговый SOC (по модели Security-as-a-Servic...
7.7.09
Новое поглощение на российском рынке ИБ
Концерн «Ситроникс» (контролируется АФК "Системой") объявил о приобретении 51% компании «Сетевые системы». «Сетевые Системы» не слишком заметная компания на рынке. Она была основана в 2005 г. Специализируется на разработке систем, программных и аппаратно-программных устройств сетевой безопасности и криптографической защиты данных. До 2008 г. компания занималась разработкой межсетевых экранов (МСЭ, Firewalls) NetSys на базе собственной ОС Pyros.От себя хочу заметить, что несмотря на заявления владельца компании в комментариях к новости Cnews, этот...
6.7.09
Новый форум по персданным
ReignVox, следуя моде, тоже запустила форум по персданным. Сообщений там пока мало, но лиха беда начало.У них же на сайте есть раздел "Комментарии специалистов", но там пока только один материал - по трансграниченой передаче ПДн. И хотя изложенное мнение очень спорно, оно тоже имеет право на существование. Ведь никаких комментариев от наших регуляторов нет и не скоро появится. Как-то на заседании АРБ я спросил представителя РКН о том, как они понимают тот или иной термин в ФЗ-152. На это представитель Роскомнадзора ответил, что они не трактуют...
3.7.09
Архитектура безопасности банка
Совершенно забыл выложить эту презентацию, прочитанную в апреле. Посвящена она понятию "архитектура ИБ" применительно к банку или страховой компании.Finance Security ArchitectureView more presentations from lukatsky.ЗЫ. В основу этой презентации лег курс "Архитектура и стратегия информационной безопасности", который я читаю в ИБД АРБ. Правда курс рассматривает эту тему более глубоко и не является вендор-ориентированн...
2.7.09
Презентация из Китая ;-)
Чтобы место не пустовало, решил выложить свою презентацию, которую я читал в Китае. Посвящена была тому, что делать служдам ИБ в условиях кризиса. Отчасти она уже включает в себя презентации, которые я тут выкладывал, но есть и новые разделы.Security And CrisisView more presentations from lukatsky.ЗЫ. В конце немного рекламы моего работодателя. Издержки профессии ;-)ЗЗЫ. Фото мои ...
Подписаться на:
Сообщения (Atom)
