На сайте Минэкономразвития размещен текст Проекта постановления Правительства Российской Федерации "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем,...
30.11.11
Роскомнадзор опубликовал план проверок на 2012 год
Роскомнадзор опубликовал проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных подразделений) и индивидуальных предпринимателей Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций на 2012 год. 607 страниц текста. 4500 проверок в области связи, радиочастотного спектра и ПДн. Около 120 банков. Около 150 медицинских учреждений и т...
29.11.11
Награда нашла своего героя?!
Кто подписан на мой Twitter, тот видел, что в четверг утром я написал, что этот блог номинировали на Антипремию Рунета в категории "Безопасный Рулет" (через "л", а не "н"). Тогда я еще написал, что "спасибо, что заметили, но лучше бы и не замечали". Моя позиция была понятна - любая премия с приставкой "анти" сразу напоминает "Серебряную калошу", "Шнобелевскую премию" и кучу других, которые даются за сомнительные достижения в той или иной области. Мне кажется также думали и все, кто услушал название "Антипремия Рунета".
Однако у авторов премии...
28.11.11
Бизнес-модель киберпреступности
В пятницу выступал на ZeroNights с презентацией "Бизнес-модель современной киберпреступности". Один из немногих примеров, когда на подготовку презентации ушло около суток - обычно времени уходит меньше. В данном случае пришлось поизучать тему более детально. Картина складывается нерадостная ;-( Особенно на фоне полной неспособности властей даже подступиться к этой теме. Поимок преступников нет. Наказания если и есть, то условные. Деньги выводятся, а у банков нет полномочий блокировать мошеннический вывод денег мулами. Сотрудники УВД всеми...
25.11.11
ZeroNights vs PHD
Покинул ZeroNights. По дороге в аэропорт оцениваю конференцию и поневоле сравниваю ее с PHD. Но неблагодарное это занятие. Одна конфа в Москве, другая в Питере; одна весной, другая осенью. Аудитории тоже не пересекаются. Одна бесплатная, другая за деньги. На по приглашению только, на другую открытая регистрация. Стоит ли сравнивать?ZeroNights показалась мне более сфокусированной на технике. Я себя там даже лишним почувствовал ;-) Напоминает американские Defcon или Blackhat по контенту. Обфускации, реверс-инжиниринг, эксплоиты, APT и т.д. На PHD...
24.11.11
Облака и российское законодательство
Хотел я сегодня написать update по нашему письму Президенту в части изменения ФЗ-152, но что-то на CiscoExpo вымотался, да еще и к ZeroNights надо новую презу сваять. Поэтому ограничусь выкладыванием своей обзорной презентации по регулированию облачных вычислений в России, которую я вчера прочитал на CiscoExpo. Не могу сказать, что она ответит на все вопросы, но по крайней мере, она даст направление для размышлений в части составления правильного договора между клиентов и провайдером облачных услуг.
Cloud and Russian regulation
View more presentations...
23.11.11
Особенности национальной стандартизации
Интересная судьба ждет ГОСТ Р "Система обеспечения информационной безопасности сети
связи общего пользования. Модель угроз и нарушителя информационной безопасности сетей и систем связи" и планируемый ГОСТ Р "Система обеспечения информационной безопасности сети связи общего пользования. Методика оценки вероятности риска
причинения ущерба сетям и системам связи"
Первый стандарт разрабатывается уже давно - чуть ли не семь лет. Его инициаторами стали Транстелеком и ЦНИИС, а потом к ним присоединился и МТС. Стандарт достаточно интересен, т.к....
22.11.11
Лицензия ФСБ больше не будет препятствием для иностранных инвестиций - 2
В июне я уже писал, что в Госдуму был внесен законопроект, который выводит банки из под действия ФЗ "О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства". Ключевое изменение - деятельность банков в области криптографии исключается из видов деятельности, имеющих стратегическое значение и установленных статьей 6 закона 57-ФЗ. И вот? 17 ноября Президент подписал этот законопроект. Но с оговорками...
Из под действия закона выведены...
Планы ТК362 на следующий год
В рамках программы национальной стандартизации на 2012 год ТК362 планирует разработку окончательных редакций проектов:
ГОСТ Р ИСО/МЭК 15408-1 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» Часть. 1. Введение и общая модель"
ГОСТ Р ИСО/МЭК 27000 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология"
ГОСТ Р ИСО/МЭК 27003 "Информационная...
21.11.11
Итоги работы ТК362 за 2011 год
В 2011-м году в рамках Технического комитета 362 "Защита информации" проведено издательское редактирование и подготовлены проекты приказов о принятии следующих ГОСТов:
ГОСТ Р ИСО/МЭК 27004 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения"
ГОСТ Р ИСО/МЭК 27033-1 "Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции"
ГОСТ Р ИСО/МЭК ТО 15443-1 "Информационная технология. Методы и средства обеспечения безопасности....
17.11.11
Типы "принимателей" решений
Продолжая тему принятия решений по тому или иному проекту ИБ необходимо обязательно сказать, что принятие решения находится не всегда в руках одного человека. Хотя надо признать, что это один из самых распространенных вариантов, а точнее множеств вариантов:
Бизнес-монархия. Право принятия решения лежит только на топ- или senior-менеджере.
ИТ-монархия. Право принятия решения лежит на CIO или ИТ-директоре, которому подчиняется служба ИБ.
СБ-монархия. Право принятия решения лежит на CSO. Я на заре своей карьеры работал именно в такой компании. Будучи...
15.11.11
FAQ по импорту шифровальных средств в Россию
25 октября я писал про проводимый Cisco онлайн-семинар по импорту шифровальных средств на территорию России. Семинар "посетило" свыше 400 человек, что показывает большой интерес к данному вопросу. По итогам семинара мы рады поделиться:
записью семинара
презентацией с семинара
Криптография в России - импорт и лицензирование деятельности
View more presentations from Cisco Russia ответами на часто задаваемые вопросы.
Часто задаваемые вопросы по импорту продукции с функцией криптографии
View more documents from Cisco Russia...
О киберпреступности доступно... для судей и следователей
Проблема подготовки и повышения квалификации в области ИТ и ИБ отечественных судей и следователей стоит достаточно остро. В условиях растущей угрозы киберпреступности эта задача должна быть одной из первоочередных для ВУЗов, готовящих будущих сотрудников правоохранительных и судебных органов. Без этого мы так и будем сталкиваться с их нежеланием эффективно бороться с киберпреступниками.
Вот сталкивается к примеру банк с атакой на ДБО. Клиент страдает, деньги уводят. Приходите вы в местное управление внутренних дел, а вас там всеми силами мурыжат...
14.11.11
Кто может сказать "Да" проекту по ИБ?
Что такое хорошее решение в области ИБ? Это значит сделать организацию обеспечения ИБ в компании эффективной и продуктивной не только в краткосрочной (перед проверкой или аттестацией), но и в долгосрочной перспективных. Хорошо подготовленный проект по ИБ, реализующий решение отдельных задач по ИБ, отвечает на 5 обязательных вопросов: ПОЧЕМУ, ЧТО, КАК, КОГДА, КТО! Не ответит на каждый из них, мы отдаем инициативу тем, кто будет принимать решение....
12.11.11
11.11.11
Правильная безопасность
Чтобы правильно заниматься безопасностью нужно совсем немного. Правильные действия должны выполняться в правильное время в правильном порядке с правильной интенсивностью в правильной последовательности и правильными людь...
ИБ как раковая опухоль
Продолжим про ИБ и бизнес ;-) Буду возвращаться к своему курсу "Как связать безопасность и бизнес", который я читал еще 4 года назад. Начну с короткой притчи. Прохожий подходит к трем каменщикам и спрашивает их, что они делают. "Я кладу кирпичи", - ответил первый. "Я возвожу стену", - ответил второй. "Мы возмодим храм, где мы вместе будем молиться Богу!" - ответил третий. ИБ сегодня похожа на первого и, в лучшем случае, второго каменщика, которые...
10.11.11
Карта эмпатии на благо безопасника
Ну продолжим тогда тему ;-) Итак все сходятся во мнении, что красиво выйти на уровень топ-менеджеров и "продать" им идею ИБ, как бизнес-процесса, не получится. Иными словами, как говорят специалисты по развитию бизнеса, бизнес-модель с ориентацией на организацию дала сбой. То ли бизнес не дорос, то ли CISO. Допустим первое (хотя я бы предположил второе). Какие у нас еще есть варианты, коль скоро мы получили доступ к телу босса? Ориентироваться на потребителя, в качестве которого выступает начальник. Ведь он обычный человек, у которого есть...
9.11.11
Как донести до руководства важность ИБ?
Вопрос, вынесенный в заглавие поста, возникает на протяжении многих лет. В последнее время его пытаются освещать на различных мероприятиях по ИБ. В частности на DLP Conference эту тему поднимал я, а неделей позже на DLP Russia - Евгений Климов. Все сходятся на том, что нет общего языка между безопасниками и бизнесом (я про это еще несколько лет назад писал; и тут). И вот решил вновь вернуться к этой теме.
Просматривая на днях центр знаний сайта...
8.11.11
Руководство ISACA по облакам
ISACA разродилась книжкой по облакам "IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud". Достойный труд на 193 страницы, описывающий смысл облачных вычислений с точки зрения бизнеса, а также идентифицирующий риски и меры по управлению ими, которые позволяют минимизировать угрозы и максимизировать ценность от облаков. Собственно, документ очень похож на другие, уже упоминаемые мной документы по облакам (NIST, ENISA, BSI,...
7.11.11
Холодная война возвращается
На прошлой неделе в прессе активно обсуждалась новость, в которой США обвиняют Россию и Китай в участившихся кибератаках и кибершпионаже против США. Источником этой новости послужил отчет Совета руководителей разведорганов США (Office of the National Counterintelligence Executive, ONCIX) под названием "Foreign Spies Stealing US Economic Secrets in Cyberspace". В этом отчете по заданию Конгресса США анализируется ситуация с экономическим и индустриальным шпионажем за 2009-2011 годы.
Кибершпионаж впервые попал в фокус авторов данного отчета, что...
6.11.11
Check Point покупает Dynasec
31 октября Check Point объявила о покупке израильской Dynasec, одного из игроков рынка GRC (Governance, Risk and Compliance). Детали сделки не разглашают...
3.11.11
Безопасность Web-приложений по версии ISACA
ISACA выпустила новый документ по безопасности Web-приложений "Web Application Security: Business and Risk Considerations". Как и многие другие документы ISACA этот на достаточно высоком уровне описывает риски и уязвимости Web-приложений, а также включает рекомендации по выстраиванию процесса защиты (включая этап создания кода) Web-приложений:
поддержка руководства
тренинги
политики и стандарты
технические меры
непрерывная программа сканирования кода
особенности работы с унаследованным кодом
управление проектом
управление инцидентами.
В целом документ...
Что требуют спецслужбы от Google?
Россия (преимущественно наши чиновники и силовики) очень много говорит о том, что надо контролировать Интернет и не давать пользователям быть анонимными в сети. Однако слова - это одно, а дело - другое. Очень интересный сервис есть у Google - Transparency Report, который содержит сведения о количестве обращений государственных органов разных стран в компанию Google с требованием предоставить информацию об отдельных пользователях или удалить определенные материалы.
В этом году Россия первый раз в истории Google превысила пороговое значение, необходимое...
2.11.11
Новые документы ФСБ по ЭП и УЦ
На сайте ФСБ опубликованы:
проект приказа "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра"
проект приказа "Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи...
Аттестация облачных провайдеров
В пятницу я прошелся по перспективам облаков в России и о том, что готовится у нас (базируясь на подходах ФСТЭК и ФСБ) нормативная база по требованиям к облачным провайдерам. В целом, идея выработки требований к облачным провайдерам достаточно здравая и у наших предприятий (особенно из госсектора) должны быть четкие критерии выбора свои облачных партнеров. Вопрос только в реализации...
К счастью, уже опубликовано немало рекомендаций о том, какие требования предъявляются к облачным провайдерам. Например, опросник ENISA Cloud Computing Information...
1.11.11
Утечка данных влечет снижение стоимости бренда на 12%
Согласно Experian Data Breach Resolution (исследование по США) утечка данных приводит, в среднем, к 12-типроцентному снижению стоимости бренда компании. В России, правда, посчитать стоимость бренда сложнова...
Список тайн в российском праве
Когда-то, прошерстив российское законодательство, я сваял перечень из 50-ти видов тайн. И вот сегодня, наткнувшись на заметку Руслана, я решил обновить свой перечень. На свое удивление обнаружил еще 15 видов тайн. Но т.к. каких-то особых названий я не нашел, а придумать их самостоятельно я смог не ко всем, то решил переименовать список в перечень информации ограниченного доступа. Хотя надо признать, что в разных нормативных актах такие сведения именуются по разному. Где-то информация ограниченного доступа, где-то сведения ограниченного доступа,...
Мероприятия по ИБ на 2012 год
Сваял списочек мероприятий по ИБ на следующий год. Пока по многим мероприятиям ясности по датам нет, но все равно полезно помнить хотя бы о сезоне проведения того или иного мероприятия.
Крупные мероприятия по информационной безопасности на 2012 год
(function() { var scribd = document.createElement("script"); scribd.type = "text/javascript"; scribd.async = true; scribd.src = "http://www.scribd.com/javascripts/embed_code/inject.js"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(scribd, s); })(...
Подписаться на:
Сообщения (Atom)
