В прошлом году секция, которую я модерировал на РусКрипто, а также само мое выступление вызвало неоднозначную реакцию у отдельных руководителей отдельных фирм, занимающихся ИБ. Они же привели к появлению disclaimer на блоге. И вот вновь грядет очередная РусКрипто, где я вновь взялся за секцию "Правда и вымысел о технологиях информационной безопасности". Пройдет она в пятницу, 2-го апреля (сама конференция будет идти с 1-го по 4-е апреля).
В моей секции будут следующие доклады:
Мифы виртуализации - Мария Сидорова, главный редактор VMwareSecurityGroup.ru
Чем...
24.2.10
Очередной законопроект по части ПДн
В Госдуму внесен проект закона, предоставляющий судебным приставам широкое право доступа к персональным данным. Автором проекта выступил глава думского комитета по конституционному законодательству и госстроительству Владимир Пликин.
Текст законопроекта...
23.2.10
Какой из тебя защитник?!
Коллеги! Позвольте от своего лица и от лица компании Cisco поздравить вас с Днем защитника Отечества! Специально для вас мы подготовили небольшую виртуальную игру «Какой из тебя защитник?». Присоединяйте...
20.2.10
19.2.10
Моделирование угроз (часть 5)
Пятая, заключительная часть курса по моделированию угроз
Threat Modeling (Part 5)
View more presentations from Alexey Lukatsky.
Ну вот и все ;-) Надеюсь, что информация была и будет полезна в реальной работе.
ЗЫ. Думал еще выложить курс по персданным, но он бессмысленен без голосового сопровождения.
ЗЗЫ. Добавил возможность скачивания всех пяти частей. В один большой файл помещать не буду - муторно и могут быть проблемы с закачкой такой большой пре...
18.2.10
Моделирование угроз (часть 4)
Четвертая часть курса по моделированию угроз
Threat Modeling (Part 4)
View more presentations from Alexey Lukats...
17.2.10
Моделирование угроз (часть 3)
Третья часть курса по моделированию угроз
Threat Modeling (Part 3)
View more presentations from Alexey Lukats...
16.2.10
Моделирование угроз (часть 2)
Часть 2 курса по моделированию угроз
Threat Modeling (Part 2)
View more presentations from Alexey Lukats...
15.2.10
Моделирование угроз (часть 1)
Перед новогодними праздниками пришла мне в голову идея, что надо больше нести света в массы ;-) А то все критика, да критика. Вариантов такого света было немало, но начать я решил с выкладывания в свободный доступ курса по моделированию угроз, который я читал в прошлом году в некоторых учебных центрах. И вот настал момент такой (с) Али-Баба и сорок разбойников
Ввиду большого объема презентации (400 слайдов), курс разбит на 5 частей - как раз получается на всю рабочую неделю. Это последняя версия, которую я читал. Я планировал внести туда еще ряд...
12.2.10
Наши юристы - это что-то
До чего меня иногда умиляют наши известные юридические конторы... Недавно получаю письмо от "Пепеляев, Гольцблат и партнеры" о предоставлении ими услуг в области юридической проработки вопросов соответствия ФЗ-152. А в самом предложении куча фактографических ошибок - это и указание аттестации, и получение лицензии ФСТЭК, и множества других несуразиц, которые простительны технарям, но совершенно непростительны солидной юридической конторе.
И вот очередной ляп. Наш министр связи выдал очередную инициативу о том, чтобы приравнять адрес электронной...
Рекомендации по ПДн от Банка России и АРБ
Рекомендации по ПДн имени ЦБ\АРБ, о которых я уже писал, выложены на сайте ABISS. К этим документам относятся:
новая редакция стандарта Банка России СТО БР ИББС-1.0-2010
методика оценки соответствия СТО
отраслевая модель угроз ПДн
рекомендации по приведению в соответствие.
Эти же документы выложены и на сайте АРБ (три тут и один тут).
Если у вас будут комментарии, предложения, замечания, то присылайте их либо в АРБ, либо в ABI...
11.2.10
Блог только для зарегистрированных ;-(
После вчерашнего массового сплога (spam over blog, splog) я принял решение об автоматическом блокировании всех анонимных комментариев ;-( Если на первых порах в блоге не было никакого спама, то со временем его число стало возрастать. Правда, он ограничивался только старыми сообщениями, двух и более недель давности. Но вчерашний случай показал, что спамеры стали более активны и немудрено - блог посещает около 600 человек ежедневно. Это, наверное, интересная аудитория для спамеров.
Резюмирую: теперь на блоге комментарии могут оставлять только...
Конференция Клуба ИТ-директоров Удмуртии
Пригласили меня на Конференцию Клуба ИТ-директоров Удмуртии 25-го февраля в Ижевске. За небольшим исключением, выступать я буду почти весь день ;-) В качестве тем для выступления мы с организаторами выбрали следующие:
Архитектура и стратегия ИБ: план действий на 3-5 лет вперед
Финансовые модели оценки ИБ
Измерение эффективности ИБ
Подводные камни ФЗ-152 или как сэкономить на приведении себя в соответствие.
ЗЫ. Если будете проездом в Ижевске, то заходите ;-)...
10.2.10
Что будет интересным в ИБ ближайшие 5-10 лет?
За последний год меня часто спрашивали будущие выпускники ВУЗов и аспирантур о том, какую тему выбрать им для своего диплома/диссертации, какие направления информационной безопасности наиболее актуальны сейчас и будут востребованы в будущем. Предвидя, что такие вопросы и дальше будут продолжаться, я решил аккумулировать в данной заметке ключевые направления исследований в области ИБ, над которыми сейчас бьются лучшие умы отрасли. Но чтобы не быть голословным, я буду опираться также на отечественные и американские (в первую очередь) документы,...
9.2.10
Как посчитать цену утечек?
В блоге Рича Могула, известного эксперта в области ИБ и в частности в области утечек информации, опубликованы предложения по оценке стоимости утечек информации. Он предлагает уйти от распространенного метода оценки "цена утечки в пересчете на одну запись" (который совершенно непрозрачен) в сторону более применимого на практике подхода. Он заключается в использовании следующих метрик:
цена на инцидент
стоимость расследования инцидента
стоимость восстановления после инцидента
стоимость PR/общения с прессой
затраты на юридические издерюки (опционально)
затраты...
8.2.10
Роскомнадзор утвердил свой административный регламент
В октябре я уже писал, что Роскомнадзор выпустил проект административного регламента проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. И вот на днях МинЮст утвердил этот регламент.
Послу публикации проекта регламента в его адрес было высказано ряд замечаний и предложений со стороны различных ведомств и общественных организаций. Не стал я детально анализировать весь регламент - не представляет...
5.2.10
Рекомендации по ПДн от Рособразования
Ну и закончим обзор существующих сегодня рекомендаций по приведению себя в соответствие с ФЗ-152, рекомендациями Рособразования. Этим весомым ведомством было выпущено в прошлом году несколько приказов:
№17-187 от 22.10.2009 - дополнение к письму №17-110. В качестве приложений включает 40-страничные рекомендации по защите ПДн и подготовке необходимых документов. Все это обычное переложение ДСПшных (на тот момент) документов ФСТЭК, а также требований РКН и ФСБ. Есть некоторые рекомендации по снижению затрат - сегментация ИСПДн и отключение их от...
4.2.10
У вас много проектов по ИБ и вы не знаете какой выбрать?
Достаточно распространенная ситуация, встречающаяся в жизни многих компаний и предприятий. И часто возникает вопрос, как приоритезировать множество проектов? Помочь в этом может публикация национального американского инстутита стандартизации NIST SP 800-65 "Recommendations for Integrating Information Security into the Capital Planning and Investment Control Process (CPIC)". Я про них уже писал, но решил вернуться именно в данном контексте.
Раздел 3 данного документа описывает именно процесс приоритезации. Все проекты классифицируются по 6-ти критериям....
3.2.10
Рекомендации по ПДн от 4CIO
Продолжаю краткий анализ существующих рекомендаций по приведению себя в соответствие с ФЗ-152. Теперь настал черед рекомендаций клуба 4CIO. У них получилась этакая сводка ключевых фактов по данной теме - основные понятия, регуляторы, наказание, законодательство и т.п. Но очевидно, что авторы рекомендаций не сильно погружались в тему, т.к. никакого серьезного анализа законодательства, требований регуляторов... И никакого критического анализа, попыток найти способы оптимизации своих усилий.
Рекомендации классические - классификация ИСПДн, изучение...
2.2.10
Четверокнижие по ПДн - next generation
На сайте ФСТЭК размещен проект приказа "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных", который судя по всему приходит на смену пресловутому четверокнижию. Из интересного в нем:
планируется его подпись у директора ФСТЭК, а не его заместителя
выбор и реализация методов и способов защиты информации в ИСПДн осуществляются на основе определяемых оператором угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии...
1.2.10
Рекомендации по ПДн от Минздравсоцразвития
В конце декабря на сайте Минздравсоцразвития были опубликованы Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости, а также модель угроз типовой медицинской информационной системы (МИС) типового лечебно профилактического учреждения (ЛПУ), рекомендации по составлению частной модели угроз (215 страниц!), а также 26 приложений.
Что интересного я могу отметить в данных документах:
они утверждены начальником 2-го управления ФСТЭК. С одной...
Подписаться на:
Сообщения (Atom)
