О поручениях Президента/Правительства

Прошерстил я тут свой блог за 4 года и составил список поручений, которые были сделаны Президентом Правительству и Правительством федеральным органам исполнительной власти по нашей теме. Интересная картина получается. 27 августа 2008 года. Правительство поручает Мин­промэнерго, Минобрнауки, ФСБ и ФСО рассмотреть вопрос о развитии производства отечественного криптографического оборудования. О ре­зультатах рассмотрения эти ведомства должны до 1 декабря 2008 года доложить в правительство РФ.  19 июня 2010 года. Президент Медведев поручил...

Подробнее…

Первое из трех новых постановлений Правительства по ПДн

21 марта Правительство утвердило, а вчера опубликовало новое Постановление №211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (на сайта Правительства и Консультант+). Это первое из 3-х постановлений, которые должны появится в рамках реализации новой (или уже не новой) редакции ФЗ-152. Указанное постановление определяет...

Подробнее…

Требования ФСТЭК к IPS опубликованы

Я уже писал про новый РД ФСТЭК по системам обнаружения вторжений. И вот вчера на сайте ФСТЭК было выложено информационное письмо об утверждении требований к системам обнаружения вторжений. Собственно, это письмо говорит тоже, что и моя заметка, являясь кратким введение в новый РД. Помимо письма ФСТЭК выложила и 6 профилей защиты, на базе которых должны создаваться IPS уровня сети и уровня узла. Т.к. IPS 1-3-го классов предназначены для защиты гостайны, то на сайте ФСТЭК выложены профили только для 4-6 классов для каждого из двух типов IPS (6-й...

Подробнее…

Индекс кибербезопасности год спустя

В мае прошлого года я писал про индекс кибербезопасности - проект, запущенный в марте 2011-го года. Прошел год. И можно подвест промежуточные итоги. Они говорят о том, что индекс растет, а значит растут и риски. За год рост составил 240 пунктов. ...

Подробнее…

Как делать предупреждения ИБ понятными?!

И вновь вернемся к теме юзабилити и информационной безопасности, к которой я обращался не раз. На прошедшей недавно в Сан-Франциско конференции B-Sides Адаму Шостаку из Microsoft задали кажущийся простым вопрос: "Как сделать предупреждения в области ИБ, появляющиеся на экране пользователя, эффективными?" Шостак, а он руководитель программы Usable Security of Microsoft’s Trustworthy Computing, ответил, что они придумали простой инструмент NEAT, который помогает при проверке любых разрабатываемых предупреждений. NEAT означает: Neccessary? - Необходимо?...

Подробнее…

Что будет после 7-го мая?

Хочется порассуждать о будущем. Точнее о ближайшем будущем - после 7-го мая, когда должна быть сформирована новая структура Правительства. Слухов ходит много и разных. Один из них заключается в том, что Минкомсвязь сольется с Минтрансом, как это уже было несколько лет назад. Но тогда Рейману удалось отстоять свое ведомство и слияние было отменено. В этом раз ситуация повторяется и, учитывая, "внимание" будущего Президента к теме ИТ, идея сделать единое инфраструктурное министерство не такая уж и нереальная. Все-таки с транспортными артериями у...

Подробнее…

Новый проект Постановления Правительства по теме лицензирования

Правительство подготовило проект Постановления "Об утверждении Порядка предоставления документов по вопросам лицензирования в форме электронных документов, подписанных электронной подписью, с использованием информационно-телекоммуникационных сетей общего пользования, в том числе единого портала государственных и муниципальных услуг". Проект нормативно-правового акта определяет общие положения организации информационного обмена при предоставлении документов по вопросам лицензирования в форме электронных документов, подписанных электронной подписью,...

Подробнее…

Оценка постановления правительства о защите НПС

Про проект Постановления Правительства "Об утверждении Положения о защите информации в национальной платежной системе" я уже писал. И вот вчера Минэкономразвития опубликовал результаты оценки этого проекта. Как это часто бывает специалистов по ИБ среди экспертов, оценивающих проекты нормативных актов, нет или их очень мало. Поэтому сами требования по защите информации не сильно оценивались, а все основные претензии сосредоточились вокруг 14-го пункта по контролю (оценке) соответствия требованиям по защите. Проект Постановления повторяет в данном...

Подробнее…

Еще одна ипостась Роскомнадзора

Есть такой известный ФЗ-210 "Об организации предоставления государственных и муниципальных услуг". Благодаря ему наша страна поднялась на 20 с лишним мест в рейтинге стран с развитым электронным правительством. Благодаря ему появились приказы ФСБ по ЭП, УЦ и сертификатам. Но вот вопрос о том, кто будет регулировать всю эту схему и, как минимум, осуществлять надзор за удостоверяющими центрами, оставался открытым. И вот в законопроекте, который готовит Минкомсвязь, эта сфера отдается Роскомнадзору. В частности, РКН будетпроводить проверки соблюдения...

Подробнее…

Новое творение в мою библиотеку

Будучи в Нижнем Новгороде разжился новым раритом (издан тиражом в 500 экземпляров). Читая вот такие книжки, допущенные УМО в качестве учебника для студентов ВУЗов, понимаешь, почему все, кому задаешь вопрос о качестве и уровне знаний выпускников, плюются и говорят, что их еще шлифовать и шлифовать. Ну нельзя, прочтя эту книжку, приблизится даже немного к понятию специалиста по ИБ ;-( Казалось бы, все там есть. И ПЭМИН, и обзор законодательства,...

Подробнее…

Угроза идет с Востока

Много много лет назад, когда я начинал заниматься ушу, помимо собственно самих занятий по практике, я увлекся теорией и прочел почти все, имеющиеся тогда в России книги, имеющие отношение к искусству войны. Это не только и не столько Сунь-Цзы, но и У-Цзы, "Речные заводи", Чжугэ Лян, Тай Гун, Вэй Ляо-цзы и т.д. Уже тогда было понятно, что Западу далеко до Востоке по части разработки стратегий, особенно долгосрочных, в области ведения боевых действий. Позже, в 2007 году я вновб обратился к этой теме, но статья "Что общего между ИБ и Сунь-Цзы" так...

Подробнее…

И вновь о контроле Интернет - 3

К теме контроля Интернет я обращался не раз. Один из последних был в июне прошлого года. Помните, я писал про "Теневой Интернет", планами создания которого озаботились в США и что наши органы высказали озабоченность в таких действиях нашего заклятого друга. Какие механизмы могли быть предложены для блокирования такого рода технологий? Предложенный тогда сходу вариант - глушилки. Но глушилка - вещь тупая. Она блокирует всех - и правых и неправых. Вот бы иметь возможность разделять всех на "своих" и "чужих", как это сделано, например, в технологии...

Подробнее…

Новое постановление по лицензированию деятельности в области разработки средств защиты

3 марта Правительство приняло новое 171-е Постановление "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации". Оно пришло на смену ПП-532, которое раньше отвечало за данный вопрос. В целом ничего нового по сравнению с проектом нет, поэтому просто резюмирую ключевые тезисы: Непонятное понятие "конфиденциальная информация" осталось. ФСБ лицензирует деятельность по разработке СЗИ для высших органов государственной власти, а ФСТЭК - для всех остальных. Для лицензии ФСТЭК необходимо иметь 2-х специалистов....

Подробнее…

Отчет о деятельности ФСТЭК в 2011-м году

Опубликовала вчера ФСТЭК отчет о своей деятельности за прошедший год. В целом ничего сверхестественного. Цепанула только фраза о том, что все нормативные докумены ФСТЭК научно обоснованы и "обязательные требования в сфере деятельности ФСТЭК России определяются на основе проводимого в рамках научно-исследовательских работ анализа развития возможностей иностранных технических разведок, информационных технологий, методов и способов технической защиты информации". Краткие тезисы по прочтению отчета: В предыдущие годы и в 2011 году обращений юридических...

Подробнее…

Моя презентация с PCI DSS Russia

Мобильный доступ к АБС с точки зрения СТО БР ИББС View more PowerPoint from Cisco Russia&CIS Остальные презентации будут выложены на сайте конференции...

Подробнее…

Роскомнадзор будет проверять требования по ИБ

1 марта Минэкономразвития опубликовало Проект постановления Правительства "Об утверждении перечня нарушений целостности, устойчивости функционирования и безопасности единой сети электросвязи Российской Федерации", которое регулирует отношения в области организации и осуществления государственного контроля (надзора), установления, применения и исполнения обязательных требований к продукции или связанным с ними процессам эксплуатации, оценки соответствия. Сообщение об одном из таких нарушений является основанием для внеплановой проверки оператора...

Подробнее…

Dell покупает SonicWALL

Сегодня Dell анонсировал подписание соглашения о покупке разработчика межсетевых экранов и UTM-решений. Детали сделки не разглашаются. Известно, что Dell планирует за счет решений SonicWALL расширить свое портфолио решений по ИБ, появившееся после приобретения SecureWorks, а также решение по управлению уязвимостями и патчами Dell KACE. Для России эта новость никакого эффекта не несет. Ни решения Dell в области ИБ, ни решения SonicWALL не имели у нас сколь-нибудь значимого распространения. PS. Забавно что почти во всех пресс-релизах о поглощениях...

Подробнее…

Trustwave покупает M86 Security

6 марта Trustwave объявила о своем намерении купить частную калифорнийскую компанию M86 Security. Обе компании в России не очень известны, а вот на Западе Trustwave вполне себе именитый вендор в области compliance, а М86 известна своими решениями в области Web-безопасности. Детали сделки не разглашают...

Подробнее…

Как посчитать потери от атак на медицинские системы?

Считается, что здоровье не имеет цены и, следовательно, оценить ущерб от взлома медицинских систем очень сложно. Как оказалось это неверно. В презентациях по оценке ИБ я не раз приводил тезис о том, что самое важное в любом измерении - это определить объект измерения. Это половина успеха. В случае с ущербом медицинским системам ситуация аналогичная и Internet Security Alliance совместно с американским национальным институтом стандартов (ANSI) на...

Подробнее…

Весь мир обновляет законодательство о персданных

Не успела Мексика выпустить всеобъемлющий закон о защите прав субъектов персональных данных... Не успела Украина ратифицировать Евроконвенцию и принять собственный закон о персональных данных... Не успела Европа заявить о реформе законодательства в области персональных данных... как в Америке тоже задумались о том, что пора сойти с обочины и начать приводить свое законодательство в соответствие с мировыми тенденциями. 23 февраля на сайте ихнего Белого Дома появился текст законопроекта "Биль о правах потребителей в области приватности" (CONSUMER...

Подробнее…

О квалификации специалистов по защите информации

Интересный вопрос у меня возник на днях. Существует Постановление Правительства №610 от 26 июня 1995 года «Об утверждении Типового положения об образовательном учреждении дополнительного профессионального образования (повышения квалификации) специалистов», в котором говорится о том, что минимальный срок повышения квалификации специалистов составляет 72 часа. Согласно этому Постановлению специалисты должны проходить повышение квалификации каждые 5 лет. Тут вроде все ясно. Теперь смотрим на второй (или даже первый) основополагающий документ - Приказ...

Подробнее…

NIST выпускает финальную версию Smart Grid Framework 2.0

Национальную сеть электроснабжения реформируют не только в России, но и в США. Неделю назад американский институт стандартов выпустил вторую версию своего плана по реформированию устаревших энергосетей в новую инфраструктуру, которая позволит объединить коммуникационные и информационные технологии с системой поставки электроэнергии, что должно вывести всю инфраструктуру на качественно новый уровень. Smart Grid Framework 2.0 является собой замечательный пример совместной работы бизнеса и государства. 1900 волонтеров из 740 организаций работали...

Подробнее…

Как привлечь продавцов ПО к ответственности

Наткнулся тут на интересную диссертацию "Гражданско-правовая ответственность за вред, причиненный в связи с использованием сложных программ для ЭВМ", которая впервые пытается поставить вопрос о том, какой должна быть ответственность производителей ПО за свои изделия, продаваемые "как есть". Очень интересный взгляд на проблему. Краткие выдержки из диссера ниже. "Все существующие программные продукты по их социальной значимости можно условно разделить на три категории: 1) программы, создаваемые для использования в потребительских целях; 2) программы,...

Подробнее…

Новый РД ФСТЭК по IPS

Об этом документе достаточно давно ходят слухи.Пора развеять некоторые из них ;-) 6 декабря 2011 года директор ФСТЭК подписал приказ №638 «Об утверждении требований к системам обнаружения вторжений» (зарегистрирован в Минюсте 1.02.2012), который вступает в силу с 15 марта этого года для вновь разработанных систем. Требования предназначены для разработчиков средств защиты, заявителей на сертификацию, а также испытательных лабораторий и органов по...

Подробнее…

О реальной и рекламной производительности средств защиты

Продолжу поднятую вчера тему о реальной производительности средств защиты. Вернемся к вчерашнему примеру. МСЭ работает на скоростях 8 Гбит/сек. Очень недурной показатель, но... прежде чем купиться на рекламу в листовке уточните при каких условиях замерялось данное значение. Может оказаться, что как и в примере с вышеприведенными 8 Гбит/сек речь идет только о UDP-трафике с двумя включенными на межсетевом экране правилами. А вы видели в реальности...

Подробнее…

О реальной пользе UTM

Завязалась тут на днях у меня дискуссия с коллегами по поводу пользы UTM-решений. Казалось бы идея не имеет изъянов, т.к. действительно позволяет объединить в одной коробке сразу все востребованные функции защиты - межсетевой экран, IPS, VPN, антивирус, антиспам, URL-фильтрацию и т.д. Но как часто бывает, идея и практика - это две большие разницы. На практике очень мало кто реально включает все защитные функции сразу, ограничиваясь обычно классической триадой - МСЭ, VPN и IPS. И то, IPS часто все-таки выносят на другое устройство, которое стоит...

Подробнее…

Как я боролся с СМС-мошенничеством ;-)

Краткая предыстория. Искал ребенку математические ребусы для выполнения домашнего задания. Ввел запрос в Яндекс, который одной из первых ссылок выдал ресурс google-file.com (причем именно как домен второго уровня, а не третьего, как часто упоминают в Интернете про этот сервис). Зашел - выглядит как новый сервис от Google. Логотип, дизайн... Подозрений не вызвало, хотя удивление было - вообще я активный пользователь сервисов Google, но про этот не...

Подробнее…