Решил составить карту международных стандартов ИБ, начав с 27-го подкомитета комитета по ИТ, который и является основным "автором" данных стандартов в ISO (но не единственным). Вот что получилось.
Cтандарты ISO по ИБ (ПК 27)
View more documents from Alexey Lukatsky.
Если внимательно приглядеться, то основной акцент в стандартах делался на технологических аспектах - криптография, управление доступом, сетевая безопасность. В начале 2000-х начался процесс выпуска стандартов, посвященных оценке соответствия, а в середине первого десятилетия 2000-х ...
31.1.11
28.1.11
Статистика по подключению к СТО
Вчера на семинаре по ПДн в презентации Харламова Валерия Павловича была показана интересная статистика по подключению к СТО на 25-е января. Итак, подключилось 313 кредитных организаций (почти треть всех банков России).
Из них по линии ЦБ (т.е. выполнение всего СТО) большинство находится на 1-м уровне; затем идет второй уровень, третий и четвертый. Но есть те, кто открыто заявил, что они на нулевом уровне соответствия. А 2 банка заявили о 5-м (!) уровне соответствия.
По линии РКН основная масса на 4-м уровне; затем идет 2-й и 3-й уровни. На пятом...
27.1.11
Урок из Домодедовской трагедии
Очень редко я пишу не про информационную безопасность в этом блоге, но после трагедии в Домодедово решил-таки эту заметку опубликовать. Тем более, что она все-таки имеет прямое отношение и к теме ИБ, регуляторов, необдуманных заявлений и т.д. Итак вспомним, что сейчас говорят про эту трагедию наши чиновники, следователи, прокуроры, сотрудники национального антитеррористического комитета и даже сам Президент. Мол администрация Додомедово "нарушала", "не соблюдала", "не обеспечила"... На первый взгляд правильные слова. Если не брать в расчет, что...
26.1.11
2 новых отраслевых стандарта по ПДн
25-го января появилось две новости о создании отраслевых стандартов по тематике персональных данных.
Национальная ассоциация участников фондового рынка разработала для своих членов стандарт «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных операторами - профессиональными участниками рынка ценных бумаг», а также методические рекомендации к нему.
Национальная ассоциация негосударственных пенсионных фондов (НАПФ) и Leta IT-company объявили о завершении разработки отраслевого стандарта...
25.1.11
Очередная порция изменений законодательства по ИБ толкает нас назад
Президент Медведев подписал вчера указ о создании ЕДИНОГО органа по сертификации... исключая оценку соответствия средств защиты информации и иной продукции, перечисленной в пресловутой 5-й статье ФЗ "О техническом регулировании". Т.е. либерализация постепенно проникает в различные сферы нашей жизни, исключая вопросы информационной безопасности, исторически остающиеся в сфере компетенции наших регуляторов и вне поля зрения Президента.
Т.е. мои наивные надежды, что все-таки Президент сможет переломить правила игры не оправдываются и видимо потребителю...
24.1.11
Новое изменение СТО БР ИББС
В ноябре я уже писал, что СТО грозят очередные изменения и вот первый документ из упомянутой четверки появился для обсуждения экспертами ПК3 ТК362. Это РС 2.5 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Выделение и назначение ролей". Пока в статусе проекта. Срок завершения обсуждения - апре...
21.1.11
Sourcefire покупает Immunet
5 января компания Sourcefire, купившая в 2007 годe ClamAV, объявила о приобретении другого, неизвестного в России игрока рынка ИБ - компании Immunet. Данная компания, основанная в 2008 году, занималась облачной безопасностью в сегменте борьбы с вирусами и вредономным кодом. Причем цена облачных сервисов Immunet была смешной даже по российским меркам - 20 долларов в год. Наверное поэтому у Immunet насчитывается около 750000 клиентов (физлица и малый бизнес) по всему миру. Сумма сделки - 21 миллион доллар...
Лаборатория Касперского продает часть себя американцам
Лаборатория Касперского продает долю своих акций американскому инвест-фонду General Atlantic. Новость об этом на сайте производителя антивирусов появилась вчера. Текст ее достаточно сух, а вот эта же новость у желтопрессного CNews выглядит более занятно. По версии CNews свою долю продала Наталья Касперская, которая будет вкладывать полученные средства в свои другие проекты - Infowatch, Наносемантика и Крибрум (а может и во что-то новое). Причем все три проекта завязаны на лингвистическую обработку текста в той или иной мере (что, в общем, тоже...
20.1.11
Число требований по сертификации средств защиты возрастет
Писал я тут большое исследование на тему сертификации средств защиты информации в России, в рамках которого анализировались нормативные акты, упоминающие оценку соответствия или сертификацию средств защиты информации. Это и "старые" документы ФСБ и ФСТЭК, и "новые" нормативные акты - ПП-781, ПП-330, ПП-424 и т.д. На 2011 год делался прогноз исходя из тенденций законотворческой деятельности нашего Правительства и Президента (ФЗ "О персональных данных",...
19.1.11
SAP покупает часть бизнеса SECUDE
Компания SAP объявила 12-го января о приобретении части бизнеса немецкой компании SECUDE AG, которая занимается разработкой средств защиты для SAP. В рамках сделки, детали которой не разглашаются, SAP получает права на два продукта SECUDE - Secure Login и Enterprise Single Sign-On, которые будут интегрированы в портфолио S...
Новые ГОСТы по ИБ
В конце декабря ТК 362 "Защита информации" направил в Ростехрегулирование 5 новых стандартов по информационной безопасности, который скоро должны получить статус национальных стандартов (ГОСТов):
ГОСТ Р ИСО/МЭК 27033-1 "Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции". Разработчики - ФГУ "ГНИИИ ПТЗИ ФСТЭК России", ООО "Кристалл", "Газпромбанк". Это перевод международного стандарта - ISO/IEC 27033-1:2009 (прямое применение)
ГОСТР ИСО/МЭК 27004 "Информационная технология....
18.1.11
Горчая линия АРБ по вопросам персданных заработала
Горячая линия АРБ по вопросам персданных заработала. Все детали на сайте А...
Как ФСБ препятствует стратегии развития информационного общества ;-(
Вот забавно иногда смотреть на то, как здравые в общем-то потуги наших чиновников приобщиться к современным ИТ-технологиям рубяися на корню нашими "безопасными" регуляторами.
Итак в Свердловской области запретили чиновникам администрации использовать Skype и бесплатную Web-почту. Причина проста - ФСБ провел анализ ИТ-деятельности чиновников и обнаружил их странную зависимость от зарубежных производителей ПО, СВТ и средств связи. Действительно странная зависимость; особенно при полном отсутствии адекватной замены со стороны отечественных производителей.
На...
17.1.11
ЕГЭ приравняли к информации ограниченного доступа
Согласно законопроекту № 391377 задания ЕГЭ теперь считаются информацией ограниченного доступа, а порядок разработки, использования и хранения этих заданий (включая требования к режиму их защиты, порядку и условиям размещения сведений, содержащихся в контрольных измерительных материалах, в сети "Интернет") устанавливается Рособрнадзором.
Самое забавное, что по этому законопроекту за разглашение ЕГЭ несут ответственность не только те, кто проводит экзамен, но и те, кто его сдают (в период проведения ЕГЭ). Правда, непонятно по какой статье. Ответственность...
14.1.11
Новый журнал по ИБ банков
Журнал "BIS Journal - Информационная безопасность банков" - специализированное отраслевое периодическое издание об информационной безопасности банков и кредитно-финансовых организаций, первое и единственное в России.
Издание отраслевого журнала осуществляется при поддержке государственных отраслевых регуляторов – Банка России, ФСБ, ФСТЭК, Роскомнадзора, при участии МВД и Росфинмониторинга, в партнерстве с сообществами АРБ и ABISS, формируемой в настоящее время саморегулируемой организацией (СРО).
Журнал "BIS Journal - Информационная безопасность...
Новая книга по ИБ
Совершенно случайно купил новую книгу - "Обеспечение информационной безопасности бизнеса" - ее анонса даже на сайте издательства "Альпина Паблишерз" в Интернете нет. Судя по выходным данным, она издана в 2011-м году. Книга повторяет название уже выпущенного ранее издания почти тем же авторским коллективом. Тумана добавляет фраза "2-е издание, переработанное и дополненное".
(Это фото "первого" издания)
На самом деле - это не 2-е издание, а практически...
13.1.11
Оцени свой уровень безопасности онлайн
На сайте IT Policy Compliance запустили серию онлайн-инструментов для самооценки по вопросам ИБ. На сегодняшний день работают следующие инструменты, которые позволяют не только провести самооценку, но и сравнить себя с другими по отрасли (benchmarking):
Структура и стратегия ИБ
Управление политиками ИБ
Использование стандартов ИБ
Управление процедурными мерами ИБ
Управление техническими мерами ИБ
Управление информационными активами
Управление уязвимостями и угрозами
Репортинг и управление рисками
Финансовое влияние.
Достаточно интересные инструменты,...
Dell покупает SecureWorks
4 января известный производитель компьютеров - компания Dell, объявила о приобретении известного западного игрока рынка Security-as-a-Service - компании SecureWorks. Детали сделки не разглашаются, но известно, что эта покупка - не первая в череде приобретений Dell, сделанных за последнее время с целью выхода на рынок IT-as-a-Service. Впрочем мотивы Dell понятны - при таком объеме звонков в службу поддержки по поводу неработающих проданных компьютеров логично предположить, что часть из них может касаться и безопасности; неустановленный вовремя патч,...
12.1.11
Президент запретил Яндекс и mail.ru
Итак, законопроект о "О защите детей от информации, причиняющей вред их здоровью и развитию", о котором я писал два года назад, подписан 29 декабря Президентом Медведевым. Он определяет классификацию информации для детей разных возрастов и определяет требования по доступу к данной информации. Касается законопроект и информационно-телекоммуникационных сетей.
Теперь, например, доступ к фотографиям или описаниям, побуждающим к потреблению алкогольной или спиртосодержащей продукции, а также пива, доступ должен быть ограничен детям до 12 лет. Доступ...
11.1.11
Срок уведомления по письму шести сдвинут на лето
Очередной сдвиг сроков... То закон о персданных в "технической" части сдвинут на полгода. То, вот теперь, срок уведомления о присоединении к СТО Банка России сдвинули. И тоже на полгода - до 30 июня 2011 года. Также в разъяснении ЦБ указано, что банк не должен писать 4 письма в адреса 4-х регуляторов - достаточно одного письма в центральный аппарат ЦБ, откуда соответствующие сведения будут направляться уже по нужным адресам ФСТЭК, ФСБ и РКН.
Разъяснение ЦБ тут...
Подписаться на:
Сообщения (Atom)
