29.6.11

Как регуляторы наплевали на распоряжение Гаранта Конституции

Выложили на сайте Госдумы НОВЫЙ текст законопроекта по персданным, который 1-го июля будут рассматривать во втором (и не дай, Президент, в третьем) чтении. Помимо коренной переработке 19-й статьи (даже не в том варианте, который я видел вчера), из текущего варианта пропали некоторые ранее уже согласованные моменты. Например, раньше обработка данных, подпадающих под 115-ФЗ, попадала в исключения, на которые не распространяется ФЗ-152. а сейчас это исключение исчезло ;-( Но вернемся к ст.19. Давно я не видел столь грамотно проработанных текстов...

О выборе актуальных угроз

Время от времени я обращаюсь к теме психологии в ИБ и вот снова. В курсе про моделирование угроз я делаю экскурс в психологию восприятия риска, которая объясняет, почему мы принимаем те или иные решения, почему в одинаковой ситуации разные люди составляют разные списки разных угроз. И вот новое доказательство - статья (http://www.kommersant.ru/doc/1638757), показывающая особенности выбора и принятия решения в зависимости от культурологических особенностей разных наций.Может именно поэтому мы видим такое количество документов по ИБ американского...

28.6.11

Есть ли безопасность в Козьмодемьянске?

В прошлом году Лаборатория Касперского организовала отличное выездное мероприятие по информационной безопасности в легендарном Урюпинске. Собралась отличная компания; не только в профессиональном, но и в личностном плане. Стоит заметить, что именно благодаря знакомству на этой конференции, я с семьей попал на фестиваль воздушных шаров и полетал на них с сыном над красивейшими местами. И вот новый этап в проекте "Касперский открывает города" - горномарийский город Козьмодемьянск, недалече от Йошкар-Олы. Несмотря на промышленную и фольклорную значимость...

27.6.11

Законопроект Резника: последние новости

Собственно на пятницу назначен последний (последний ли?) бой...Но теперь уверенности в результате (в смысле принятия закона до конца весенней сессии) у меня уже нет ;-( А если законопроект и примут, то примут в спешке. А в таком случае возможны всякие несурази...

SolarWinds покупакет TriGeo

SolarWind подписал соглашение о покупке одного из игроков рынка SIEM - компании TriGeo. Сумма сделки - 35 миллионов долларов наличными. В России TriGeo неизвестна; в мире она преимущественно работала на рынке среднего бизнеса. SolarWinds известна своими решениями по управлению ИТ - приложениями, серверами, сетями, виртуализацией и облаками. На рынке ИБ SolarWinds замечена не была. Судя по анонсу покупатель хочеть предложить ИТ-службам инструмент сбора событий и логов. Так что безопасникам можно про решения TriGeo теперь забыть - их переориентируют...

Как измерить систему контроля конфигураций?

В ноябре я выступал на InfoSecurity Russia с докладом об экономической эффективности ИБ. Во время сессии вопросов и ответов Женя Климов спросил меня, как оценивать сканеры безопасности? Тогда я четко ответить не смог, а сейчас смог подготовить некоторый ответ. Возьмем, к примеру, систему MaxPatrol от Positive Technologies. Это уже не простой сканер уязвимостей - это полноценная система мониторинга уровня ИБ, включающая в себя помимо инструмента поиска дыр еще и функции compliance, change management и аудит и т.п. Поэтому оценивать такие продукты...

24.6.11

WhiteHat Security покупает Infrared Security

22 июня WhiteHat Security, известная на рынке Web-безопасности, анонсировала покупку технологии статического анализа кода у Infrared Securi...

Можно ли посчитать ROI по безопасности?

И вновь вернусь к этой животрепещущей теме ;-) Так и не выложил я реальные цифры по расчету ROI по методу Монте-Карло - руки все не доходят оформить это надлежащим образом. Но зато наткнулся неделю назад еще на одну статью, посвященную этому вопросу. А в статье дана ссылка на калькулятор ROSI (Return on Security Investment). Забавный инструмент. Формула там "простая" - из монетарной стоимости снижаемых рисков надо вычесть стоимость защитных мер, направленных на это самое снижение. Калькулятор работает в два шага. На первом надо посчитать цену...

23.6.11

Новое руководство PCI Council по виртуализации

14 июня PCI Council выпустил руководство по безопасности технологий виртуализации, используемых в индустрии платежных карт. Сам документ находится тут и включает, среди прочего, раздел и по облакам. 28 июня PCI Council проводит вебинар на эту тему. ЗЫ. Если кому-то интересен взгляд Cisco на эту тему, то я недавно читал в Киеве такую презентацию. Она вообще по PCI DSS 2.0, но есть там раздел и по виртуализац...

NIST разродился двумя документами по облакам

Национальный институт стандартов США выпустил за последний месяц пару документов по облакам. Первый - проект SP 800-146 "Cloud Computing Synopsis and Recommendations", очень похожий на то, что недавно выпустило австралийское агентство. Второй документ описывает препятствия для внедрения облачных вычислений с точки зрения безопасности. До кучи: 9 июня NIST выпустил финальную версию SP 800-82 по безопасности АСУ ТП - "Guide to Industrial Control System (ICS) Securit...

22.6.11

"Теневой Интернет" - детали технологии

Вчера, с опозданием, в полторы недели российские СМИ процитировали МИД России, обеспокоенный планами создания США технологий "теневого Интернет". Опасения понятны - Россия не хочет повторения ситуации в Тунисе, Египте, Сирии, Ливии и т.д. Не буду погружаться в политические дебри, коснусь технологических аспектов. Собственно меня эта тема заинтересовала именно в контексте ее блокирования ;-) Не в смысле, что я за ее запрет, а просто интересно - можно...

21.6.11

Книга по персданным

Будучи проездом в Самаре, приобрел по случаю книжку по персданным (уже вторую в коллекции). Автор, судя по всему, преподает в самарском госуниверситете. Книжка рекомендована РКН, а в рецензентах у нее и представители РКН, и совтник юстиции и доктор технических наук. Толстый фолиант - 450 страниц.250 страниц занимает перепечатка нормативной базы - ФЗ, ПП, приказы ФСБ, РКН, ФСТЭК (даже не 58-й приказ) и нормативка некоторых органов власти (далеко не...

Домашний firewall

Все чаще задумываюсь, что я был прав, когда во время ремонта квартиры изначально сдизайнил домашнюю сеть и не пожалел денег ни на СКС (хотя и пользуюсь WiFi), ни на МСЭ на входе.Очень уж быстро растет количество IP-устройств дома. Сначала это был рабочий ноут и рутер с МСЭ. Потом ноут жены, iPhone, iPad, IPTV, телевизор с выходом в Инет, видеонаблюдение... Подрастающий сын выпрашивает iPhone ;-) У знакомых синтезатор с подключением к Интернет. У других знакомых вообще весь "умный дом" на IP построен. А скоро дело дойдет до кофеварок, стиралок и...

20.6.11

Вновь об управлении инцидентами

Управление инцидентами – это многогранная задача, которая включает в себя различные подзадачи и процессы. Это и расследование инцидентов, и сбор доказательств, и общение с правоохранительными органами (если это нам необходимо), и управление уязвимостями, и патчами, и множество других вещей. И каждая из них важна и нужна. Просто расследование инцидентов без формирования соответствующей группы CSIRT бесполезная трата времени и ресурсов (даже обратиться к специалистам и то надо знать как). А формирование группы CSIRT бесмысленно без наличия прописанных...

17.6.11

Как банк защитил себя от мошенников

И последняя (на сегодняшний день) видеоистория про Айка - ИТ-специалиста банка. В ней он спасает банк от мошенников, используя современные технологии...

Расследование инцидентов по версии Leta IT

Leta IT выпустила рекомендации по реагированию на инциденты ИБ. Точнее Leta IT - один из авторов документа "Инциденты информационной безопасности. Рекомендации по реагированию"; среди других заявлены СоДИТ, АРСИБ и Group-IB. Как написано в преамбуле "Данный документ представляет собой перечень практических рекомендаций по реагированию на возникшие инциденты, выработанных на семинаре, организованном Союзом ИТ-директоров России, Комитетом по безопасности предпринимательской деятельности ТПП РФ, Межрегиональной общественной организацией «Ассоциация...

16.6.11

Регулирование криптографии (вторая версия)

В мае я обещал выложить новую версию презентацию по регулированию криптографии в России. Я ее читал в Казани на IT & Security Forum. Презентацию выкладываю. Crypto regulations in Russia (medium version) View more presentations from Alexey Lukatsky. Особо внимательным, на вопрос "почему medium version?", отвечу - в ней все-таки описаны не все нормативные документы по криптографии, а только самые распространенные. А вот в полной версии, которая грядет ;-), будут уже все нормативные докумен...

15.6.11

Новая порция изменений законодательства

1. Второе чтение законопроекта Резника запланировано на 17-е июня2. Закон об НПС принят в третьем чтении. ЦБ назван новым регулятором по ИБ (стаьи 27 и 28) - http://t.co/5En5TLr-3. Новое постановление Правительства по инфраструктуре госуслуг - ни слова о сертификации средств защиты - http://t.co/Y22PLFt- Posted using my iPh...

Cisco получила лицензии ФСБ

Еще один крупный шаг сделала Cisco, чтобы лучше соответствовать требованиям регуляторов - мы получили лицензии ФСБ России на распространение и техническое обслуживание шифровальных (криптографических) средств. Лицензия выдана сроком на 5 лет. Теперь мы можем оказывать полный спектр услуг по продаже, аренде или предоставлению в лизинг собственного шифровального оборудования и по его последующему техническому обслуживанию на территории России в соответствии со всеми регуляторными правилами. Прежде эту деятельность мы осуществляли только через своих...

14.6.11

Будущее медицины

Продолжение истории про ИТ-специалиста Айка. Теперь он на отдыхе ;-)...

Zeus покупает Art of Defence

Малоизвестная компания Zeus Technology покупает другую малоизвестную компанию Art of Defence, являющуюся разработчиком прикладного МСЭ. Детали сделки не разглашают...

Новая порция изменений законодательства

За последние 10 дней произошли следующие изменения законодательства: Г-н Климашин, в конце прошлого года покинувший ФСБ, назначен Президентом Медведевым заместителем Секретаря СовБеза. 4 июня Президент подписал ФЗ-123 "О внесении изменений в Жилищный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации". В нем есть отдельная статья, касающая персональных данных. Согласно поправкам жилищные кооперативы получили право обрабатывать сведения о судимости, а также было внесено новое исключение в ч.2 ст.6 ФЗ-152, разрешающее...

11.6.11

Выиграй поездку в Акапулько, Лиму или Лондон

На правах рекламы ;-) Cisco проводит конкурс по сетям без границ, а точнее по двум направлениям нашей стратегии "Сеть без границ" - безопасности и видео. Если есть желающие, то милости про...

10.6.11

Впечатления от форума директоров по ИБ

Есть такая практика - составлять руководства/каталоги/рейтинги ресторанов или отелей. Учитывая число посещаемых мной мероприятий мне впору начать вести свой рейтинг мероприятий с рассказом о том, что там хорошо или плохо. А теперь к обзору межотраслевого форума директоров по ИБ.Общее впечатление вполне себе положительное. В этом году стало еще меньше рекламы и больше интерактивного общения спикеров и зала. Если вспоминать, что запомнилось больше всего, то интересным было выступление Елены Волчинской из Госдумы. Она рассказала о текущих тенденциях...

9.6.11

Symantec покупает Clearwell Systems

Symantec объявил о покупке Clearwell Systems, которая занимается технологиями eDiscovery, т.е. поиском, сбором и структурированным хранением информации в электронном виде с целью последующего предоставления ее по запросам судебных и регулятивных органов. Сумма сделки - 390 миллионов (годовой оборот  Clearwell в семь раз меньше). Gartner предсказывает, что в 2014-м году объем рынка eDiscovery составит 1.7 миллиарда. Иными словами Symantec делает серьезную ставку на данное направление, если готов платить чуть ли не четверть будущей емкости...

Будни ИТ-специалиста

Я уже не раз обращался к теме нестандартного продвижения технологий ИБ (тут, тут, тут, тут и тут). И вот новый видеоопус от Cisco. Правда, безопасность там только одна из составляющих, но все равно выглядит прикольно ;-) ЗЫ. Это первая серия из трех. Остальные будут на следующей неделе...

8.6.11

Rambus покупает Cryptography Research

Компания Rambus, производитель компьютерных чипов памяти анонсировала приобретение исследовательной компании Cryptography Research (CRI) за 342 миллиона долларов. Само по себе название CRI (хотя домен у них знатный) мало кому известно. А вот ее президент известен как автор SSL 3.0. Решения CRI лицензированы многими компаниями - Samsung, Toshiba, Microsoft, Infineon и т.д. А всего свыше 5 миллиардов (!) чипов защищены решениями CRI. Также CRI предлагает такое решение, как CryptoFirewall для защиты криптографических ключей в чипах. Мотивация Rambus...

Лицензия ФСБ больше не будет препятствием для иностранных инвестиций

По-моему про это не писал, но тему поднимал. И вот в конце марта этого года ГосДума приняла в первом чтении законопроект № 503176-5 "О внесении изменений в Федеральный закон "О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства". Одно из изменений - деятельность банков в области криптографии исключается из видов деятельности, имеющих стратегическое значение и установленных статьей 6 закона 57-ФЗ...

Руководство по оценке рисков облачных вычислений

В Австралии опубликовано руководство "Cloud Computing Security Considerations", помогающее австралийским госорганам (но будет полезно не только им) оценивать риски и целесообразность перехода к облачным вычислениям. В документе приведен обзор облачных вычислений и связанных с ними выгод. Но самое главное, что этот документ содержит, так это список вопросов для размышлений, помогающих учреждениям понять те риски, которые необходимо учитывать при использовании облачных вычислений. Это руководство позволяет представителям бизнеса принимать обоснованное...

7.6.11

О добровольной оценке соответствия

Тема оценки соответствия в блоге поднималась уже не раз. Но обсуждалась, в-основном, оценка соответствия в виде обязательной сертификации. Добровольная сертификация практически выпала из поля зрения. Хотя такая попытка уже неоднократно делалась в нашей отрасли. Но дальше слов как-то дело не шло. И вот новая попытка, запущенная Евгением Родыгиным совсем недавно - система добровольной сертификации "КАСКАД". Пока это наметки и мысли. Но в этом и ценность этой системы. Она рождается не в закрытом междусобойчике, а открыто. Каждый может высказать свое...

6.6.11

Впечатления от IT & Security Forum

Всего 2 недели назад я уже писал о своих впечатлениях от Positive Hack Days. B вот новый позитив. Уже от ICL КПО ВС, которая организовала 2-3 июня мероприятие в Казани - IT & Security Forum. Несмотря на схожесть тематики, мероприятия все-таки непохожи друг на друга. PHDays был "клубным" мероприятием, в центре которого были конкурс(ы) по взломам, в то время как IT & Security Forum носил более официальный характер - это и большое количество представителей госорганов, и официальное открытие (все-таки мероприятие проводится 5-й раз)? и награждение...

2.6.11

Тенденции в мире угроз

Делал тут краткую презентацию по тенденциям в мире угроз. решил выложить ее и сюда заодно. New security threats View more presentations from Alexey Lukats...

1.6.11

СТО Банка России: история, анализ, перспективы

Вчера выступал в Киеве на мероприятии Cisco по сетям без границ. Мои украинские коллеги попросили рассказать меня о ситуации с регулированием ИБ в банковской сфере в России. После меня выступал коллега из киевского Ernst & Young с рассказом о стандарте, который выпустил НацБанк Украины и наши два выступления должны были дополнить друг друга. Результат вы видите ниже. Это по сути не столько результат моего кропотливого труда, сколько компиляция из разных источников; преимущественно из презентаций коллег из Центрального Банка РФ. Но в одной...