Выкладываю свою презентацию с пятничной DLP Russia 2011. Напоминаю, что это введение в исследование по классификации, которое грядет после ноябрьских праздников.
Information classification
View more presentations from Alexey Lukatsky...
31.10.11
28.10.11
Облакам грядет зачистка?!
Минкомсвязь объявил заказ на сайте госзакупок, в котором есть три интересных лота:
Разработка предложений по созданию системы персональной идентификации граждан в целях безопасного доступа к государственным и муниципальным сервисам в электронном виде
Разработка системы правил обеспечения защиты прав субъектов персональных данных при использовании облачных вычислений, в том числе, трансграничных
Исследование вопроса построения облачных трансграничных систем хранения данных для предоставления услуг хостинга интернет-сайтов и их влияния на национальную...
Защита данных защита от утечек данных?
Последнее время меня часто приглашают на различные мероприятия и просят рассказать про DLP. И каждый раз я пытаюсь объяснить, что DLP - это всего лишь инструмент. Причем совсем не главный. Но им, почему-то, часто подменяют основную задачу - защиту данных. На прошедшей InfoSecurity в Москве мой коллега, Миша Кадер читал презентацию про стратегию Cisco в области защиты данных. После этого я слышал несколько отзывов о том, что "пришел человек - рассказал непонятно что". Это понятно. Поток был про DLP и многие желали услышать что-то про DLP. Только...
27.10.11
Дилеммы и парадоксы ПДн
Наткнулся на очередное исследование по части психологии пользователей при работе с персданными (в сентябре описывал еще одно). В этот раз исследование было проведено по заданию Евросоюза и применительно к Евроконвенции по защите прав субъектов ПДн. Авторы выделили несколько интересных парадоксов:
Парадокс приватности. Несмотря на высокие риски нарушения конфиденциальности пользователи все равно готовы раскрывать свои персональные данные.
Парадок контроля. Субъекты ПДн хотят полного контроля над своими ПДн, но стараются избегать хлопот, связанных...
26.10.11
Что такое HFACS?
Последние авиакатастрофы в России напомнили мне давнее исследование министерства транспорта США (может и у нас такое есть, но с публичностью таких документов в США на несколько порядков получше будет) "Система классификации и анализа человеческого фактора" (The Human Factors Analysis and Classification System - HFACS).
Разработанное еще в 2000-м году это исследование начинается с того, что постулирует следайющий факт - по статистике от 70 до 80%...
25.10.11
Биль о правах CISO
Наткнулся на просторах Интернета и перевел...
Биль о правах CISO (адресован поставщикам средств и услуг ИБ)
10. Пожалуйста, не считайте, что нас связывают деловые отношения только на том основании, что я имел глупость зарегистрироваться на вашем сайте, поведясь на рекламу одной из ваших бесстыдных !аналитических" whitepaper.
9. Пожалуйста, не считайте, что нас связывают деловые отношения только на том основании, что вы нашли мой профиль в LinkedIn.
8. Если вы хотите мне что-то продать, пожалуйста, не пытайтесь "задружиться" (link up) со мной на...
Узнай все о ввозе шифровальных средств
Мы рады пригласить вас на онлайн-семинар «Регулирование импорта оборудования Cisco», который состоится через систему Webex 26 октября.
Уже прошло более полутора лет как Россия вошла в состав Единого Таможенного Союза и перешла на новые таможенные правила ввоза шифровального оборудования. Несмотря на подготовленные документы и частые доклады на различных мероприятиях, посвященные данному вопросу, наши партнеры и заказчики регулярно задают нам одни и те же вопросы, касающиеся импорта оборудования Cisco – VPN-решений, продукции с кодом K9 и т.д.
Что...
24.10.11
Стандарт по ИБ виртуализации
Сегодня проблемы защиты виртуализированных инфраструктур встают перед многими российскими компаниями, использующими технологии виртуализации. И одним из препятствий является отсутствие адекватных рекомендаций по защите виртуализированных инфраструктур, в том числе и в контексте требований российских регуляторов в области информационной безопасности.
С целью решения этой проблемы мы, представители экспертного сообщества, создаем инициативную группу по разработке проекта стандарта по безопасности виртуализированных инфраструктур, который может...
21.10.11
DLP с точки зрения топ-менеджера
Вчера выступал на Zecurion DLP Conference. Обещал выложить свою презу. Сдерживаю обещание.
DLP for top managers
View more presentations from Alexey Lukats...
20.10.11
Классификация информации - новое исследование
Наверное, многие помнят, что несколько лет назад я опубликовал большую статью про классификацию информационных активов. В августе я написал, что готовится новая версия этого материала. И вот она на подходе. Я буду представлять эту, даже не статью, а полноценное исследование, на DLP Russia 2011. Спустя некоторое время выложу исследование и в свободный дост...
Европейские стандарты по ПДн
Мне казалось, что я знаю почти все нормативные документы и особенно стандарты в области персональных данных. Но оказалось это не так. Как говорится, слона-то я и не заметил. Я писал про законы и стандарты в области ПДн США. Я писал про аналогичные документы АТЭС и ОЭСР. Я разбирал, что сделано в России. Я смотрел, что делает сейчас ISO. Я анализировал документы различных европейских стран, но... Я совершенно упустил из виду, что Европа - это не только самостоятельные страны, но и Евросоюз, как единое целое. И в Евросюзе есть такая организация,...
19.10.11
Облака с точки зрения законодательства
22-24 ноября в Москве пройдет очередная конференция CiscoExpo 2011. В рамках этой конференции я буду выступать не только с традиционной для меня темой про законодательство ИБ, но и буду готовить специальное выступление на тему "Законодательство и облачные вычисления" в потоке по облакам. Предварительные исследования на эту тему я уже начал и не могу сказать, что тема оказалась для меня простой. Если с техническими требованиями к безопасности облаков все более-менее понятно, то вот с нормативкой уровня законов дела обстоят не так просто. Посмотрим,...
Что Госдума нам готовит?
До 4 декабря остается все меньше и меньше времени. Да и режим работы депутатов поменялся - им надо больше времени тратить на работу с избирателями. В итоге на осеннюю сессию по теме ИБ (а также персданных, разных видов тайн, информатизации, электронной подписи и т.п.) никаких законопроектов не предусмотрено. Ни в приоритетной части (33 страницы), ни в программе работы комитетов ГосДумы (174 страницы). Если президентам не придет в голову что-нибудь этакое замутить впредверие выборов, то никаких законодательных новостей у нас не предвидится. Разумеется,...
18.10.11
Что считать официальным опубликованием?
Сейчас официальным опубликованием закона считается его публикация в «Парламентской газете» и «Российской газете». Без официального опубликования законы не могут вступить в силу. Согласно принятому во вторник сразу в двух чтениях закону, перечень источников, где могут быть официально опубликованы правовые акты расширен. Их официальным опубликованием предлагается считать также первое размещение полного текста на официальном интернет-портале правовой информации (www.pravo.gov.r...
Проект нового Постановления Правительства (по части ФСТЭК)
На сайте ФСТЭК размещен проект постановления Правительства Российской Федерации "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации"....
Стандарт НАУФОР одобрен ФСБ
11 октября ФСБ одобрила стандарт НАУФОР по защите персональных данных "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных операторами-профессиональными участниками рынка ценных бумаг". Далее стандарт будет направлен на согласование в ФСФР России. Предполагается, что нареканий и отказов со стороны ФСФР не будет.
Интересно, что двумя днями позднее, американская "сестра" ФСФР - Комиссия по ценным бумагам США опубликовала интересный документ (неимеющий статуса обязательного или даже рекомендательного...
NIST публикует план развития облачных технологий
NIST опубликовал новый документ - SP 500-291 "NIST Cloud Computing Standards Roadmap", который аккумулирует имеющуюся информацию об облачных вычислениях с точки зрения безопасности, портируемости, интероперабельности и т.д., и прогнозирует их развитие на ближайшие годы. Собственно, он же дает введение в облачные технологии, терминологию, бизнес-модели и т.д. Рекомендую прочитать всем, кто интересуется данной тематикой.
ЗЫ. DMTF также опубликовала проект нового документа по облакам - "Cloud Infrastructure Management Interface (CIMI) Model and REST...
17.10.11
Письмо ЦБ про использование ЭП
Банк России рассмотрел запрос Ассоциации российских банков об использовании электронной подписи при составлении и представлении отчетности кредитными организациями в Банк России и сообщает следующее.
В соответствии с Указанием Банка России от 16 января 2004 года № 1375-У «О правилах составления и представления отчетности кредитными организациями в Центральный банк Российской» (далее - Указание № 1375-У) при составлении и представлении отчетности кредитных организаций в Банк России в электронном виде для подтверждения подлинности...
Метрики для проекта по IdM
К теме измерения IdM-проектов я уже обращался не раз. Тогда (слайды 30-37 второй презентации) я рассматривал эту тему с точки зрения финансовой оценки эффективности проекта по внедрению системы идентификации, аутентификации и авторизации. Недавно я наткнулся на статью, в которой приводятся метрики, по которым можно оценить эффективность работающей системы IdM:
Число сброшенных паролей в месяц. Сброшенных после блокирования учетной записи, например. Или после забытого пароля и использования системы генерации паролей самими пользователями.
Среднее...
14.10.11
Блог - новое оружие безопасника
Года 3-4 назад в одном из интервью я сказал, что главное оружие CISO - это PowerPoint. Моя идея была проста - руководитель ИБ в меньшей степени занимается техническими вопросами, больше времени посвящая решению организационных вопросов, координации, общению с руководством и т.п. И PowerPoint тут как нельзя кстати - именно он помогает визуализировать ключевые показатели деятельности службы ИБ, продемонстрировать улучшения и попросить бюджеты.
Но вот на днях я наткнулся на заметку одного известного на Западе эксперта по ИБ, который сейчас выполняет...
13.10.11
Как ООН, ОЭСР и ВТО устанавливали общие правила игры по ИБ
Вчера выступал на конференции "ИТ-Стандарт 2011" в МИРЭА, моей альма-матер. Т.к. тема секции бфла посвящена стандартизации вопросов ИБ, а по теме СТО, ISO и других стандартов было кому выступать и без меня, то я взял на себя смелось рассказать о том, как международные организации регулируют вопросы обеспечения ИБ.
Но так как времени на подгтовку у меня было всего часа 2-3 - от времени прилета из Казахстана до момента выступления, то презентация получилась обзорная - без глубокой детализации. Но общее впечатление о ситуации и тенденциях по ней...
12.10.11
Avaya покупает Sipera
4 октября Avaya анонсировала покупку частной компании Sipera, специализирующейся на безопасности IP-телефонии. Детали сделки не разглашаются. Вообще это надо было сделать давно. Предлагать решения, в которых безопасность реализована абы как - это неуважение к заказчикам. А учитывая что VoIP-угрозы становятся одним из трендов ближайшего будущего, не замечать эту проблему уже нельзя.
К слову сказать, у нас в Cisco защита унифицированных коммуникаций реализована с самого начала появления этих продуктов в нашем портфолио. И мы постоянно выпускаем...
Кому подчиняется CISO?
На Конгрессе ИТ-директоров "Болдинская осень" в эти выходные меня спросили сакраментальный вопрос: "Кому должен подчиняться CISO в компании?". Я показал слайд №2 из своей летней презентации. А сегодня в последнем отчете PWC "2011 Global State of Information Security Survey"наткнулся на еще более интересную статистику с анализом тенденций в подчиненности CISO.
Как мы видим, тенденция ухода контролеров из под контролируемых налицо. А второе, что...
10.10.11
Апокалипсис безопасности
На выходных выступал в Нижнем Новгороде по приглашению нижегородского глуба ИТ-директоров на конгрессе "Болдинская осень". Выступление выстраивал следующим образом:
Апокалипсис российской ИБ - почему все так плохо и почему будет еще хуже. Ну тут ничего нового ;-) Но многие ИТ-директора не знакомы с другой стороной их деятельности в области ИБ - с регуляторикой (особенно в части регулирования криптографии). В целом у меня стояла задача показать худший сценарий развития событий ;-)
Security apocalypse
View more presentations from Alexey Lukatsky.После...
7.10.11
Как наш будущий Президент свое слово держал
Все прекрасно понимают, что киберпреступность не имеет границ и попытки применить к ней стандартные методы расследований трансграничных преступлений малоприменимы. Достаточно посмотреть на слайды 70-73 моей презентации в рамках курса по управлению инцидентами (кстати, я его 21 ноября буду читать в Москве), чтобы понять, что международное следственное поручение и оперативность реагирования - понятия малосовместимые.
Почему нельзя самостоятельно собирать доказательства на заграничных ресурсах? Ведь другие страны это практикуют. Оказывается все просто...
6.10.11
О коллекторах и персональных данных
Я думаю на этой неделе не я один пройдусь по теме коллекторов (Алексей Волков уже прошелся, называя меня в своем посте не по имени, а "некоторые эксперты" ;-) Итак, вкратце суть - по мнению РКН коллекторы не имеют права передавать персданные должников коллекторам.
В пользу этой версии говорят и требования ФЗ-152 о согласии на передачу третьим лицам и некоторые решения судов и даже последнее нашумевшее письмо Роспотребнадзора от 23 августа 2011 № 01/10790-1-32 о том, что банкам запрещено передавать данные по должникам без согласия последних. Вообще...
5.10.11
О народном логотипе
Не хотел влезать в эту тему и вообще хоть как-то комментировать эту тему, но т.н. народное голосование за т.н. народный логотип по защите персональных данных завершилось и не высказаться не могу. Большинство коллег, с которыми я общался на эту тему, высказывались про эту инициативу в том духе, что "никому не нужно, но пусть кто хочет, попиарится". Ну попиарили и попиарили себя, но...
Во-первых, покажите рядовых пользователей ("народ"), голосовавших за логотип. Они вообще есть? Или это просто голосование среди своих, таких же специалистов по безопасности?...
Безопасный мобильный офис
Сегодня проводил на Инфобезе круглый стол по безопасности мобильного офиса. На мой взгляд прошло все замечательно. Была моя вводная презентация. Были выступления со стороны корпоративных пользователей мобильного офиса/удаленного доступа - банка ВТБ 24 (Игорь Писаренко) и Лукойл-Информа (Григорий Бобров). Было выступления журналиста ДИС - Олега Седова, который смотрел на эту проблему с позиции рядового пользователя. И было выступления Дмитрия Евтеева из Positive Technologies, который рассказывал, как ломают решения по удаленному доступу.
Закончилось...
Как Cisco проводит аудит безопасности собственной сети
Вчера на Инфобезе читал презу о том, как Cisco сама проводит аудит безопасности собственной сети. Выложил презентацию у нас в корпоративном бло...
NIST о безопасности WLAN и Bluetooth
Что-то NIST на этой неделе разродился кучей интересных документов. Позавчера было руководство по анализу рисков с помощью графов атак. Сегодня представляю еще несколько новых документов:
проект новой специальной публикации SP 800-153 "Guidelines for Securing Wireless Local Area Networks". Как и всегда вы можете высказать свои замечания (до 28 октября 2011 года), которые могут быть учтены при финализации руководства.
проект обновленной редакции специальной публикации SP 800-121 "Guide to Bluetooth Security".Комментарии также принимаются до 28 октября.
специальная...
4.10.11
Новые слияния на рынке SIEM
В среде западных экспертов активно идет дискуссия на тему "SIEM мертв". Но это не мешает продолжаться активному процессу слияний и поглощений на этом рынке. Сегодня сразу два монстра рынка ИБ - IBM и McAfee объявили о приобретении двух игроков рынка SIEM - Q1 Labs и NitroSecurity соответственно.
Детали первой сделки не разглашаются, но IBM вместе с покупкой Q1 Labs анонсировал и создание нового подразделение по ИБ - Security Systems Division, которое будет включать в себя все продукты (программные и аппаратные) и сервисы по ИБ, включая решения...
Безопасность детей в Интернет
В пятницу я модерировал круглый стол в "Аргументах и фактах", посвященный безопасности детей в Интернет. В целом результат дискуссии была предсказуем, но вот по ходу я узнал достаточно много интересного. Так сложилось, что я всегда сознательно дистанцировался от третьего проявления ИБ - защиты от негативного контента. Но тут тема оказалась не просто важной, но и близкой - все-таки у меня сын уже того возраста, когда он сам начинает лазить в Интернет. Поэтому помимо общестатистической информации, представленной Фондом Развития Интернет, РОЦИТ, Лигой...
3.10.11
Анализ рисков по графу атак
NIST вновь порадовал интересным документом "Security Risk Analysis of Enterprise Networks Using Probabilistic Attack Graphs", посвященном использованию вероятностных графов атак в анализе рисков (я этот метод рассматриваю в курсе по моделированию угроз). Интересно, что этот метод даже автоматизирован в ряде программных продуктов SIEM-класса (в России, правда, неизвестны...
Круглый стол на Инфобезе
5-го октября в рамках "Инфобезопасность-Экспо" с 10.30 до 12.00 в 5-м зале 7-го павильона Экспоцентра на Красной Пресне я веду круглый стол, посвященный вопросам защищенного мобильного доступа. В программе были заявлены следующие темы:
Что такое мобильный офис? Возможен ли он в России? Что сдерживает его использование – менталитет или вопросы безопасности?
О чем должен думать руководитель службы ИБ при внедрении мобильного офиса? 3 ключевых направления управления безопасностью мобильного офиса. Нужна ли стратегия внедрения...
Подписаться на:
Сообщения (Atom)
