Требования к разработчикам ДБО

В последнее время сдвинулся с мертвой точки такой непростой вопрос, как установка требований по безопасности не только для разработчиков средств защиты, но и для разработчиков прикладных систем, в частности систем ДБО. Об этом активно говорили на Магнитогорской конференции, называя низкую защищенность систем ДБО одной из ключевых причин хищений средств со счетов клиентов. В России сейчас формируются такие требования, которые установят для разработчиков ДБО единые правила, которые надо будет соблюдать для работы на рынке. Но Россия тут не пионер....

Подробнее…

Управление К предупреждает!

Правоохранительные органы в последнее время активизировались на поприще информационных технологий. Помимо упомянутого вчера законопроекта и расширения деятельности Управления "К", Управление «К» МВД России запустило всероссийскую комплексную кампанию «Безопасный интернет», которая направлена на профилактику правонарушений в интернете, повышение безопасности и правовой защищенности граждан в глобальной сети. Один из ключевых элементов Кампании...

Подробнее…

Почему госорганы не включают в плановые проверки?

Вопрос о включении органов государственной власти и местного самоуправления в ежегодный план проведения плановых проверок в соответствии с Федеральным законом от 26.12.2008 № 294-ФЗ (в т.ч. и по линии Роскомнадзора) появляется регулярно. Оказывается есть старое письмо Минэкономразвития от 22 декабря 2010 г. № Д05-4778, в котором разъясняется, почему госорганы в перечень плановых проверок не включают. "Департамент развития малого и среднего предпринимательства Минэкономразвития России рассмотрел обращение о необходимости включения органов государственной...

Подробнее…

Магнитогорские впечатления (часть 5)

Ну и наконец, рассказ о магнитогорской конференции по банковской безопасности завершается тем, что происходило в течение всех пяти дней - культурной и спортивной программой. К сожалению, далеко не все, что было снято на камеру можно выкладывать в блог. По разным причинам ;-) Поэтому сосредоточимся на том, что можно ;-) Начнем с того, что было прохладно. Поэтому приходилось греться. Греться по разному. Напитками (но в меру)... Баней... Массовыми...

Подробнее…

Магнитогорские впечатления (часть 4)

Четвертый, последний день деловой программы конференции, был посвящен мобильным платформам и облакам в банковской деятельности. Модерировать эту секцию довелось мне. Начался день с выступления преставителя ФСБ, который рассказывал про облака и виртуализацию. Ничего нового в докладе не было - видимо ФСБ делилась результатами каких-то своих исследований, а точнее сделанного по материалам открытой прессы обзора угроз и механизмов защиты облаков и виртуализации. Никакой позиции ФСБ в докладе высказано не было. Более того, коллега из ФСБ видимо сознательно...

Подробнее…

Процедура изъятия серверов стала продуманнее

В последние дни перед покиданием своего поста, Президент Медведев выпускает много разных поправок к действующим ГК, КоАП, УПК и т.д. В день влюбленных он тоже запулил в Госдуму очередную порцию поправок. На этот раз касающихся уточнения порядка изъятия в ходе расследования уголовных дел, особенно экономической направленности, электронных носителей информации (компьютерных блоков, серверов, ноутбуков, карт памяти), содержащих сведения о деятельности хозяйствующих субъектов, и порядка возвращения изъятых электронных носителей информации и (или)...

Подробнее…

Магнитогорские впечатления (часть 3)

Продолжаем... Дистанционное банковское обслуживание Пожалуй, наиболее активным был день, посвященный ДБО. Оно и понятно. С хищениями средств сталкиваются почти все банки - это реальная угроза для банковского сообщества и гораздо более реальная (на данный момент), чем НПС или СТО. Поэтому и докладчики и слушатели были активны. Артем Сычев (Россельхозбанк) начал с того, что привел цифры. Средняя сумма покушения составляет около 400 тысяч рублей (для юриков). Стоимость же организации самой атаки - всего 30 тысяч рублей. В итоге злоумышленники...

Подробнее…

Награда нашла своего героя - 2

В Магнитогорске вручили мне диплом АРБ "За большой вклад в развитие безопасности банковской системы России". ...

Подробнее…

Магнитогорские впечатления (часть 2)

Продолжаем... Национальная платежная система, СТО БР ИББС и стандартизация ИБ Тему НПС стартовал Курило Андрей Петрович. Его идея, которая была позже поддержана другими выступающими, звучала примерно так - добровольное принятие национального стандарта и тем более стандарта организации не очень эффективно; нужны нормативные акты прямого действия, которые не рекомендуют, а обязывают банки выполнять требования по безопасности. В целом ситуация напоминает PCI DSS, который долгое время был стандартом, за невыполнение которого не следовало никаких...

Подробнее…

Магнитогорские впечатления (часть 1)

Недельное отсутствие в блоге буду возмещать рассказом о посещении уральского форума по информационной безопасности банков, на котором прозвучало немало интересного, как с точки зрения практических вопросов обеспечения ИБ в банках, так и с точки зрения регуляторики. Для тех, кто следил за моими твитами, ничего нового, скорее всего, не будет. Я просто аккумулирую все в более удобном для чтения виде и добавлю свои комментарии к тем или иным фактам и заявлениям. Но начну с общего впечатления - оно более чем позитивное. И деловая, и культурная, и спортивная...

Подробнее…

Ушел на базу

 Уехал в Магнитогорск на конференцию по банковской безопасности!Если там будет Интернет, то репортаж с конференции будет вестись в Твиттер...

Подробнее…

МинОбороны РФ разработало стратегию кибервойны

Мы (включая меня) все время критикуем Россию за отсутствие стратегии ведения кибервойн.Однако в конце прошлого года отечественное Министерство Обороны (кто бы мог подумать, что это будут именно они, а не Совет Безопасности или ФСБ) выпустило знаковый документ под названием "Концептуальные взгляды на деятельность Вооруженных Сил Российской Федерации в информационном пространстве". Как написано в преамбуле "Настоящие Концептуальные взгляды раскрывают основные принципы, правила и меры доверия, в соответствии с которыми Вооруженные Силы Российской...

Подробнее…

Почему у многих чиновников почта на gmail?

На днях я давал комментарий для одного издания по поводу взлома почты Якеменко и один из вопросов звучал примерно так - разве не странно, что российский чиновник переписку осуществляет через публичный сервис e-mail - mail.ru? Я решил развить эту тему здесь, но в более широком аспекте и посмотреть, почему чиновники используют не просто mail.ru или yandex.ru, а активно задействуют gmail.com и другие иностранные почтовые сервисы. Второй причиной, заставившей меня взяться за клавиатуру, стало заявление г-на Маркина из Следственного комитета, который...

Подробнее…

ФСТЭК определилась с тем, что такое ТЗКИ

3-го февраля Правительство подписало Постановление №79 "О лицензировании деятельности по технической защите конфиденциальной информации", попутно отменив предыдущее 504-е свое Постановление. Если честно, то мне не совсем понятно упорство ФСТЭК, которая продолжает цепляться за термин "конфиденциальная информация", от которого законодатели постепенно отказываются. Ну нет такого понятия в законодательстве. Как лицензировать деятельность, которой нет? Не понимаю. Даже фрагмент попытка дать разъяснение в п.1 Постановления не очень удачная. Разъяснение...

Подробнее…

Почему не работают политики ИБ, а также наказания за их нарушения?!

Наказание за нарушение ФЗ-152 хотят увеличить. Но это мало кого пугает - на различных мероприятиях по ИБ я регулярно слышу, что люди устали от темы ПДн. Столько лет мусолить тему защиты прав субъектов ПДн и самих ПДн и вот результат - всем по барабану на это важнейшее направление в области защиты информации. С внедряемыми политиками ИБ на предприятии ситуация аналогичная - написано их много, а работает их мало. Даже наказания мало кого пугают (хотя по линии ИБ наказаний-то почти и нет - так одни страшилки без реального применения). И вот вчера,...

Подробнее…

Касперский сменил акционеров

В прошлом январе Лаборатория Касперского продала часть своих акций американскому инвест-фонду General Atlantic. И вот спустя год, после сложных взаимоотношений российской (по сути) компании с американскими инвесторами, которые пытались навязать свою модель ведения бизнеса (не всеми признаваемую и разделяемую), Касперский выкупил все акции обратно. Наряду с этим событием видимо можно поставить точку и в вопросе, который задавался уже не раз - выйдет ли Касперский на IPO? Видимо пока руководством ЛК было принято решение о том, что в условиях непростой...

Подробнее…

Еще один проект Постановления Правительства одобрен МЭР

1-го февраля на сайте Минэкономразвития появилось еще одно заключение об оценке регулирующего воздействия на проект постановления Правительства Российской Федерации «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации». Это яркий пример того, как работает экспертиза нормативно-правовых актов со стороны Минэкономразвития. 27-го октября ФСТЭК направила в МЭР текста проекта Постановления. Т.е. проект был непрост, то Минэкономразвития объявила 23 ноября о публичных консультациях и заинтересованные...

Подробнее…

Новая редакция "письма шести"

На сайте Банка России опубликована новая редакция "письма шести", о которой уже не раз упоминалось на различных конференциях и семинарах. Письмо подтверждает приверженность ЦБ и регуляторов на признание СТО БР ИББС как общего подхода по защите персональных данных в кредитных организациях. При этом новое "письмо шести" говорит и о том, что сейчас разрабатывается новая редакция СТО, учитываяющая последние изменения ФЗ-152, а также планируемые Постановления Правительства и нормативные акты ФСТЭК и ФСБ в части защиты персональных данн...

Подробнее…

Заключение Минэкономразвития на замену ПП-957

Про новое постановление Правительства, которое придет на смену 957-му, я уже писал. Как и давал в Twitter ссылку на комментарии к нему со стороны "ОПОРЫ России", сделанные в рамках оценки регулирующего воздействий. И вот в пятницу на сайте Минэкономразвития появилось заключение и самого министерства на этот проект Постановления. Заключение МЭР внушает оптимизм и есть надежда, что Постановление поправят. Начало такое: "Согласно статье 2 ФЗ "О лицензировании отдельных видов деятельности" лицензирование осуществляется в целях предотвращения ущерба: правам,...

Подробнее…

Verisign взломали

Вот такие вот новости. Пока без детал...

Подробнее…

И вновь об УЭК

Про универсальную электронную карту я уже писал не раз. И вот пару недель назад на сайте Минкомсвязи была опубликована спецификация на УЭК, которая была согласована всеми сторонами. Интересен раздел 4.1.6 "Аппаратная поддержка криптографических алгоритмов". Согласно спецификации "интегральная схема карты должна иметь аппаратную реализацию на уровне криптографического сопроцессора: вычислений для алгоритма RSA; вычислений на эллиптических кривых для алгоритма ГОСТ Р 34-10-2001; вычислений для алгоритма DES; вычислений для алгоритма ГОСТ 28147-89; вычислений...

Подробнее…

Новая версия курса по персданным

Вообще несмотря на отсутствие серьезных новостей в части законодательства по персданным, курс все равно обновляется и каждый раз появляется его новая версия, увеличившаяся слайдов на 15-20 (текущая версия 4.4 содержит уже 831 слайд). Новое в версии 4.4: Планируемые изменения в части лицензирования отдельных видов деятельности по вопросам отмены наказания за отсутствие лицензий по защите информации Реформа европейского законодательства по персональным данным Новые основания для обработки сведений о судимости сотрудников Обработка персданных в рамках...

Подробнее…