Новые мифы:
Аутсорсинг ИБ в России – это реальность
Сертификату, выпущенному удостоверяющим центром, можно доверять
Пароль нужно менять каждые 30 дн...
31.3.10
30.3.10
Проект нового приказа ФСТЭК
ФСТЭК разместил на своем сайте проект приказа "Об утверждении Порядка опубликования и вступления в силу актов Федеральной службы по техническому и экспортному контролю, признанных Министерством юстиции Российской Федерации не нуждающимися в государственной регистрации".
Интересный документ. Например, все акты ФСТЭК, не нуждающиеся в регистрации в МинЮсте, должны быть опубликованы на сайте ФСТЭК и... в журнале "Connect! Мир связи". Это считается их официальной публикацией по мнению ФСТЭК. Срок публикации - 10 дней с момента получения заключения...
29.3.10
Ожидаемое и реальное поведение людей в окружении безопасности
Есть в Норвегии такой федеральный орган как National Security Authority (это наши ФСТЭК и ФСБ вместе взятые). В 1998 году под его эгидой был выпущен Norwegian Security Act, который обязывал государственные и частные предприятия предпринимать ряд мер по защите конфиденциальной информации. Знакомо, не правда ли? Некоторое время спустя агентство решило проанализировать поведение сотрудников организаций, подпадающих под действие закона, с точки зрения ИБ. Неудивительно, что между ожидаемым (все-таки закон обязателен к исполнению) и реальным поведение...
27.3.10
Cisco SAFE Next Generation
Многие слышали о разработанной нами технологической архитектуре безопасности Cisco SAFE (Security Architecture for Enterprise). Именно на ее основе многие строили свои защищенные сети. Вторая вышедшая версия, которую мы перевели на русский язык, была многократно скачана с нашего сайта. Но ничто не стоит на месте и вот в прошлом году мы анонсировали новую версию SAFE (SAFE NG), краткий русский перевод которой, я и выкладываю. Также этот документ выложен на сайте cisco.ru и на нашем информационном портале my.cisco.ru.
Cisco SAFE Next Generatrion...
26.3.10
Об ассоциации ИБ, которая мешает рынку, о лживых рейтингах и о зашоренных регуляторах
Размышления Владимира Гайковича о российском рынке ИБ...
Системное исследование человеческого фактора при разработке систем безопасности
"Многие защищенные и безопасные системы опираются на действия людей для выполнения критически важных функций. Однако, люди часто не справляются со своими ролями. Когда это возможно, дизайнеры и архитекторы систем безопасности должны находить способы исключения человеческого фактора при проектировании систем. Однако, есть ряд задач, для которых альтернатив человеку нет или они экономически нецелесообразны. В этих случаях архитекторы безопасности должны максимизировать свои шансы на выполнении всех критичных для безопасности функций даже при наличии...
25.3.10
Вас взломали? Как общаться с внешним миром?
Пока писать не хватает времени ;-) Буду выкладывать интересные презентации, которые нахожу в архиве.
You are hacked? How contact with press?View more presentations from Alexey Lukats...
24.3.10
7 способов оценки вероятности риска
Выступить вчера мне не удалось. Причина более чем уважительная - рождение дочери. Поэтому просто выкладываю презентацию про 7 способов оценки вероятности риска.
7 cases of risk probality measurement
View more presentations from Alexey Lukats...
23.3.10
Ексель?.. Моксель?.. Лексиль!
Есть такая штука, называется Lexile. Суть ее проста - она (т.е. модель, алгоритм и т.п.) позволяет оценить сложность любого текста для восприятия. С помощью Lexile в США оценивают школьников и студентов, их умение читать, писать и т.д. При этом у данного метода есть замечательное свойство - ему все равно, тексты на каком языке оценивать. Учитывая многонациональность США это очень важно. Именно после внедрения Lexile во многих ВУЗах с помощью единой шкалы стало проще оценивать студентов, говорящих на разных языках. Минимальный уровень Lexile, означающий...
22.3.10
Указ 334 возвращается?!
В мае прошлого года в журнале "Финанс" была опубликована статья по результатам общения журналиста с Леонидом Викторовичем Беляевым, начальником отдела лицензирования, сертификации и защиты гостайны ФСБ России. Это то, с чем нам приходится сталкиваться уже сейчас и что нас ждет в самом ближайшем будущем.
Все это очень сильно коррелирует с тем, что я описал в Компьютерре, как прогноз для российского рынка ИБ в 2010 году.
А вот то, к чему это уже все привело. И вот еще. Ну и напоследок.
ЗЫ. А вот что думает про это Cisco.
ЗЗЫ. В курсе про моделирование...
19.3.10
ИБ-выставки уходят в онлайн
Полтора года назад я писал про проводимый нами Cisco IT Security Forum, который проводился полностью в виртуальной среде, в онлайн. С тех пор мы провели несколько таких мероприятий по раззличным направлениям деятельности Cisco.
И вот новая тенденция доползла и до России. С 29 марта по 1 апреля 2010 года на интернет-ресурсе НаВыставке.ру пройдёт первая отраслевая онлайн-выставка по информационной безопаcности IT SECURITY ONLINE SHOW. Будет и выставочная часть и конференционная. Так что должно быть интересно.
ЗЫ. В эти даты, правда, уже проходит...
18.3.10
Как предсказать проблемы с безопасностью?
Это один из ключевых вопросов в области ИБ. Над ответом на него бьются лучшие умы отрасли. Что надо для решения этой насущной проблемы? Правильная модель и правильные данные. С первым, в общем, ситуация более менее разрешима. Особенно если привлекать алгоритмы из смежных областей. Относительно недавно на глаза попалось исследование Келдышевского института. Так там говорится о том, что DDoS-атаки и эпидемии червей можно предсказывать заранее; и даже модели приводятся. Но... все эти модели бесполезны без репрезентативных и качественных данных.
Недавно...
17.3.10
Мифы 67-69
Новые мифы:
Токены очень удобны и решают все проблемы с аутентификацией
Dj#wP3M$c – наилучший пароль
Аутсорсинг дороже, чем создать свой отд...
16.3.10
Наши ГОСТы по криптографии теперь в виде RFC
http://www.rfc-editor.org/rfc/rfc5830.txt
http://www.rfc-editor.org/rfc/rfc5831.txt
http://www.rfc-editor.org/rfc/rfc5832....
Третий Russian CSO Summit
22-23 марта пройдет третий российский съезд директоров ИБ. Достаточно интересная программа заявлена. Соотношение вендоров-заказчиков среди выступающих примерно 50/50. Из интересных докладов можно назвать выступление Михаила Хазина, известного экономиста и футуролога.
Я тоже буду там выступать с темой "7 спобов оценки вероятности риска" (в секции риск-менеджмент...
15.3.10
Мифы 64-66
Новые мифы:
Мобильные вирусы представляют большую опасность
Системы обнаружения атак умеют обнаруживать неизвестные атаки
Шредер гарантированно уничтожает информацию на бума...
12.3.10
Почему региональные ФСТЭК ничего не знают о 58-м Приказе
Забавно, что региональный ФСТЭК похоже не слышал не только о решении об отмене двух документов четверокнижия, но и о 58-м приказе тоже ничего не знает. Вчера выступал на конференции в Ростове, на которой представители ФСТЭК долго и нужно пересказывали четверокнижие и то, как все должны аттестовать свои системы и получать лицензию ТЗКИ. Подозреваю, что и в других федеральных округах ситуация не лучше.
ЗЫ. Грустно то, что и многие интеграторы и вендоры ИБ, выступавшие там же, тоже ничего не знали про решение ФСТЭК об отмене части четверокнижия ...
11.3.10
ФСТЭК отменяет часть четверокнижия
В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:
"Основные мероприятия по организации и техническому...
10.3.10
Создана Ассоциация защиты прав операторов и субъектов ПДн
В феврале была создана некая Ассоциация защиты прав операторов и субъектов ПДн. Как написано на сайте: "Ассоциация" является добровольным объединением, основанным на членстве юридических и физических лиц. Ассоциация создана по инициативе граждан, объединенных профессиональной деятельностью, для реализации общих идей и целей и объединяет специалистов в области персональных данных различного уровня (от специалистов до руководителей направлений)".
Не знаю, что будет делать сама Ассоциация, но сайт должен стать единым источником полезной информации...
9.3.10
Privacy filter
Прочел у Шнайера про privacy filter (улыбнуло) и вот навеяло... Если не брать в расчет такой экстравагантный способ скрыть от чужих глаз то, чем мы занимаемся за своим лэптопом, то по сути своей существует только один вариант - поставить privacy filter. Вещь безусловно полезная. Я ее оценил, когда получил фильтр в Cisco. Теперь можно не беспокоиться, что во время командировок ко мне в экран будут заглядывать посторонние люди. А те, кто у нас не ездят никуда, используют его тоже с пользой - никто проходя за спиной не подсматривает, что человек делает....
Всех читательниц с 8-м Марта
Поздравляю всех читательниц с 8-м Марта!
Вы постоянно вдохновляете поэтов,
Писателей, актёров и умов.
Без вас бы Пушкин не писал куплетов,
И не услышали б мы Лермонтовских строф!
Пусть радостью сегодня солнце светит,
В тени оставив сноп больших тревог,
И все цветы, какие есть на свете,
Цветут сегодня пусть у Ваших н...
5.3.10
Как банкиры и страховщики тратят деньги на безопасность?
Forrester вчера опубликовал отчет, в котором анализируются статьи затрат банков и страховщиков на безопасность...
Как научить мобильных абонентов думать о безопасности
Вымпелком запустил зачетный ресурс для абонентов по повышению их осведомленности в области борьбы с мошенника...
4.3.10
Мое выступление на IDC IT Security Roadshow
Вчера я выступал на IDC IT Security Roadshow в Москве. Очень достойное мероприятие было - свыше 500 человек, интересные встречи, интересные дискуссии в кулуарах. Меня многие спрашивали, где скачать мою презентацию? Пока организаторы не выложили ее на свой сайт, я выкладываю ее здесь (в расширенном формате - минут на 35, а не 25, как было на конференции).
Cisco Secure Borderless Network
View more presentations from Alexey Lukats...
3.3.10
Законопроект "О национальной платежной системе"
Попал мне в руки законопроект "О национальной платежной системе", о которой говорят много и активно чиновники разных уровней. До 31-го марта законопроект должен быть подготовлен и внесен в ГосДуму. Суть его проста - регулировать деятельность организаций - операторов по переводу денежных средств, операторов по приему платежей, операторов платежных систем, операторов услуг платежной инфраструктуры и определить требования к функционированию платежной системы. Ну а по простому - у нас хотят построить свою Visa или MasterCard ;-)
Теперь о процессинге....
1.3.10
Новый документ ФСТЭК по защите ПДн
Итак свершилось... То, о чем я писал пару-тройку недель назад свершилось - ФСТЭК выпустил новую версию своих требований по защите ПДн - приказ от 5.02.2010 № 58 "Об утверждении положения о методах и средствах защиты информации в ИСПДн" (в Консультанте и в Гаранте). Он утвержден директором ФСТЭК и зарегистрирован в МинЮсте 19 февраля.
Учитывая легитимность этого документа (и нелигитимность четверокнижия), основание выпуска этого приказа (тоже во исполнение пп-781) и срок выпуска этого приказа (он более новый, чем четверокнижие), а также исходя...
Подписаться на:
Сообщения (Atom)
