29.12.12

С наступающим Новым Годом!

  Ухожу в Новый год! Там и свидимся! ЗЫ. Для тех, кого интересует, кто рядом со мной. Это мое альтер эго. А как вы думали, я пишу так часто и так много?! Без помощников никак ;-...

28.12.12

Прогнозы на грядущий год Змеи

Пришла пора поговорить и о прогнозах на грядущий год змеи. Тема эта благодарно-неблагодарная. Почему неблагодарная? Потому что предсказывается не то, что реально может произойти, а то, с чем неплохо знаком предсказатель. Вот пример сравнения предсказаний 7 различных вендоров по ИБ на 2012-й и 2013-й года. Разброс очень сильный. Поэтому буду говорить о более-менее ясных мне вещах, т.е. о законодательстве. Разумеется, это будут не 100%-е прогнозы,...

27.12.12

Чем мне запомнился 2012 год: часть третья, финальная

В финальной части анализа итогов 2012-го года с точки зрения информационной безопасности я хочу остановиться на двух моментах. Первый - это провал выстаовк по информационной безопасности и изменение формата проведения мероприятий по ИБ. Про провал (несмотря на победные реляции организаторов) Инфобеза и Infosecurity не писал только ленивый - повторяться не буду. Причин тут, на мой взгляд, несколько. И непонимание организаторами отечественного рынка ИБ (а может быть и нежелание инвестировать в такое мероприятие), и отсутствие продуктового рынка...

26.12.12

Чем мне запомнился 2012 год: часть вторая

Что еще было знаменательного в году уходящем? Регуляторы и нормативная база. Они уже стали притчей воязыцех и врядли в году Змеи перестанут свою деятельность; они вошли во вкус. 3-го декабря я уже приводил статистику за 2012 год - за этот месяц ситуация почти не поменялась, исключая появление проектов документов РКН по обезличиванию, проекта приказа ФСТЭК по ПДн, и рекомендаций ЦБ по выполнению 9-й статьи ФЗ-161 и рекомендаций НП НПС по применению электронных средств платежа. Так что усредненная цифра в 4 нормативных акта в месяц соблюдена и в...

25.12.12

Чем мне запомнился 2012 год: часть первая

Последняя рабочая неделя перед Новым годом. Пора подводить какие-то итоги и делать какие-то прогнозы. Но поскольку никаких серьезных новостей к концу года не предвидится, а к серьезной аналитике народ в предверии НГ тоже не готов, то растяну я свои "итоги" аккурат до конца недели. При этом не буду говорить ни о личных итогах (тут все супер), ни об итогах в Cisco (тут тоже офигенно). Поговорим об отрасли. Начну, пожалуй, с относительно новой темы - борьбы с киберпреступностью. Мне эта тема напоминает то, что несколько лет назад происходило с DLP....

21.12.12

Сравнение четверокнижия, приказа 58 и проекта нового приказа по ПДн

Прочитал на DLP-Expert открытое письмо Геннадия Атаманова директору ФСТЭК с резкой критикой нового проекта приказа ФСТЭК. К сожалению, 40 страниц конкретных замечаний, о которых пишет Геннадий, я не видел, поэтому не буду обсуждать данное письмо. Скажу только, что я не согласен с оценкой, данной Геннадием. Я считаю, что новый проект не просто коренным образом отличается от всего предыдущего сделанног оФСТЭК, но и является серьезным скачком вперед,...

20.12.12

Dell покупает Credant, а Blue Coat покупает Crossbeam

18 декабря компания Dell анонсировала соглашение о приобретении компании Credant, известной своими решениями по защите данных (преимущественно шифрованию) на ПК, серверах, в системах хранения и облаках. Детали сделки не разглашаются. Могу сказать, что я пользуюсь продукцией Credant уже больше пяти лет и никаких нареканий и претензий к ней ней. Да и покупка Credant хорошо укладывается в стратегию и портфельный ряд Dell. Днем ранее, 17-го декабря Blue Coat анонсировала приобретение компании Crossbeam. И вот тут ситуация сложнее. Во-первых, Blue...

19.12.12

Российские силовики проявляют недюжий интерес к банкам

Не хватало банкам контроля со стороны Росфинмониторинга, ЦБ, ФНС, Роспотребнадзора и Роскомнадзора, как внимание к кредитным организациям стали проявлять еще и российские силовики. Причем в тех вопросах, которые раньше как-то не попадали в прицел сотрудников банков; преимущественно региональных. Вот, например, какое письмо получил недавно один из банков: "В соответствии с Федеральными законами Российской Федерации от 30.06.2003 года № 86-ФЗ "О...

18.12.12

Составлен список стран, адекватных с точки зрения персданных

Составление списка стран, с адекватной защитой прав субъектов ПДн, - это одна из больных тем законодательства о ПДн. Начиная с 2006-го года, вопрос о том, что же такое "адекватная" страна задается постоянно и до прошлогодней редакции ФЗ-152, никто не мог на него ответить. Я про него как-то писал даже. С июля 2011-го года эта обязанность легла на плечи Роскомнадзора, который и должен был составить соответствующий перечень стран. В октябре на заседании Консультативного Совета при РКН мы обсуждали первый вариант соответствующего приказа, который...

17.12.12

Как РКН дело доброе делал

Все помнят (наверное), что я неоднократно (как минимум дважды) писал о том, что РКН готовится выложить в публичный доступ свои рекомендации по проверкам операторов персданных, которые он рассылает своим терорганам. Об этом мне говорили в РКН, но, к сожалению, дело так и не двигалось с мертвой точки. Внутренняя позиция РКН так и оставалась внутренней и операторы один на один сталкивались с позицией тероргана при проведении проверки. В начале сентября я был в РКН, где совместно с Романом Валериевичем Шередиными и возникла идея о создании некоторой...

13.12.12

Как Роскомнадзор спамерам помогал

Есть такое требование ФЗ-152 - оператор должен уведомить РКН о начале обработки ПДн, а РКН должен внести такого оператора в реестр. Форма уведомления описана в приказе Роскомнадзора от 19 августа 2011 г. №706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных", а сам реестр находится в открытом доступе на портале РКН. Это все присказка, сказка будет впереди...

11.12.12

Как строится защита государевых информационных систем в США

Идеология защиты государственных информационных систем строится достаточно очевидным, но не очень простым в реализации образом. Начинаем мы с анализа рисков, причем рисков различных - не только традиционных для ИБ. Мы должны определить как стратегические, так и тактические. Это нечасто описываемый в деталях этап, но он самый важный, т.к. позволяет оценить те ограничения, в которых будет строиться система защиты в организации. Причем защита не сферического...

7.12.12

Cisco SecCon: постскриптум или почему так важен SDLC

Сегодня закончился второй день конференции SecCon, о которой я начал писать вчера. Основным лейтмотивом мероприятия была защита кода во всех ее проявлениях и на всех стадиях его жизненного цикла - начиная от разработки и тестирования и заканчивая обучением специалистов. При этом, как я уже писал, хотя мероприятия было рассчитано на сотрудников Cisco (собралось человек 300-350), выступали с докладами представители разных компаний. Если не брать в...

6.12.12

Citrix покупает Zenprise

5-го декабяря Citrix подписал соглашение о покупке Zenprise, компании являющейся одним из лидеров MDM-сегмента. Детали сделки не разглашаются. Цель сделки понятна - рынок средств управления мобильными устройствами растет, интерес к MDM со стороны заказчиков также возрастает - Citrix решила застолбить место в первом ряд...

НДВ, SDLC, fuzzing и всякое такое

Нахожусь я сейчас на ежегодной конференции Cisco SecCon 2012, которая как и всегда посвящена совершенно различным аспектам обеспечения информационной безопасности. О прошлогодней конференции я уже писал; теперь обращусь к тому, что говорилось на этой (в первый день).Тон задала Reeny Sondhi (фиг знает, как индийские имена переводятся на русский), директор по качеству безопасности продуктов EMC. Она рассказывала о проблемах с качеством безопасности...

5.12.12

Какие системы сертификации существуют в США?

Аккурат сегодня закончил я прохождение обучения на тему оценки соответствия средств защиты по различным международным системам сертификации. Как это ни странно, но лидером по числу систем сертификации являются США - у них существует 4 системы сертификации: FIPS 140 - проверка корректности реализации криптонрафических характеристик. Признается она, помимо США, еще в Великобритании и Канаде. По своей сути схожа с тем, что организует у нас ФСБ, но...

4.12.12

Кто кого и кто под кем?

На прошлой неделе довелось мне слушать Джона Пескаторе, вице-президента Gartner, руководителя всех исследований Gartner по информационной безопасности. Сам доклад был достаточно интересным, но хотелось бы мне коснуться только одного из его моментов. Его спросили о том, каковой должна быть подчиненность руководителя ИБ? Должен ли он быть под CIO или лучше использовать другие варианты? Ответ на вопрос, который часто задается и на отечественных мероприятиях (а лет 5-6 назад я даже вел круглый стол на эту тему), был универсальным и многозначительным,...

3.12.12

Статистика по российскому законодательству за второе полугодие 2012 года

Летом я уже публиковал статистику по принятым, принимаемым или готовящимся к принятию нормативным актам. Прошло полгода - пришло время обновить цифры. Картина получается следующая. Тенденция выноса темы ИБ на уровень Федерального закона или Постановления Правительства сохраняется. Сфера применения нормативных актов делится достаточно условно, но в целом, основные требования касаются потребителей (банки, участники НПС, операторы связи и т.д.)....

30.11.12

Что декабрь нам готовит?

Декабрь планируется стать очень насыщенным в плане подготовки и выпуска нормативной базы по ИБ. Видимо в Новый год мы войдем с целым пакетом нововведений по части защиты персональных данных, защиты данных платежных карт, обезличивания ПДн, борьбы с мошенническими действиями в ДБО. Но обо всем по порядку. Про документы ФСТЭК известно, что их проект приказа по защите ПДн в ИСПДн должен быть опубликован к 7-му декабря на сайте регулятора. Работа сейчас ведется очень напряженная; особенно в контексте сюрпризов с НДВ, новой классификацией и уровнями...

27.11.12

Как идентифицировать критичные активы в индустриальных сетях?

Один из первых шагов при построении системы защиты - идентификация (классификация) объекта защиты. Это и в обычной системе не так просто, а уж в индустриальных системах и подавно. Выбрать все - это крайний вариант, но слишком уж дорогостоящий, а местами и чреватый (поставишь систему защиты, а она заблокирует какое-нибудь важное управляющее воздействие). Поэтому надо уметь отделять действительно критические элементы индустриальных систем (ICS), от...

26.11.12

Новая версия курса по безопасности НПС

В новую версию курса по безопасности НПС (1.5) вошли следующие темы: Методические рекомендации по реагированию на инциденты от Group-IB и ее сравнение с методическими рекомендациями НП "Национальный платежный совет" и АРБ Проект нормативного документа Банка России по безопасности банкоматов Письма Банка России №120-Т по безопасному использованию платежных карт и №154-Т по раскрытию информации об основных условиях использования банковской карты и о порядке урегулирования конфликтных ситуаций, связанных с ее использованием Официальный перевод...

23.11.12

Как Минкомсвязи защищает мои персональные данные

Министерство связи и массовых коммуникаций является головным органом в части выработки и реализации государственной политики и нормативно-правового регулирования в сфере персональных данных. Кому как ни ему знать, как надо защищать персональные данные. И вот, после изучения того, как отечественные госорганы обращаются с персданными российских граждан, я написал ряд запросов с просьбой ответить, как тот или иной госорган защищает мои персональные...

22.11.12

Как будет строиться защита ПДн по версии ФСБ?

Пока эксперты начали осмысливать вчерашнее информационное сообщение ФСТЭК "Об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных" от 20 ноября  2012 г. № 240/24/4669, я позволю себе обратиться к области регулирования ФСБ и посмотреть на то, как могут транслироваться требования ФСБ по части применения шифровальных...

21.11.12

А вы готовы жить в новых условиях? А если подумать?

Регуляторов ругают все и на каждом углу. Это модно и даже как-то несолидно поддерживать наших многочисленных регуляторов по информационной безопасности. Пусть их. Давайте поглядим в будущее? 31 декабря 2012 года. Без одной минуты полночь. Подавшись порыву, вы пишете заветное желание "Чтобы в новом году не было регуляторов" на бумажке, сжигаете ее и под бой курантов запиваете образовавшийся пепел шампанским. И, о, чудо, после новогодних праздников Президент подписывает указ о том, что все коммерческие организации предоставлены сами себе в деле...

20.11.12

Стандарт PCI DSS в контексте Национальной платежной системы

Взял на себя смелость опубликовать эту новость, т.к. она достаточно важен на мой взгляд. Помните картинку из заметку про будущее НПС? В ней блок платежных карт был выделен в отдельное направление регулирование. Очевидно, что отдельной ветвью регулирования должна была стать и информационная безопасность денежных переводов с помощью платежных карт. У ЦБ же кроме писем 120-Т и 154-Т на эту тему по сути ничего и не было; что отчасти и логично - Банк России не занимается платежными картами. Зато у нас был стандарт PCI DSS от соответствующего совета...