Вчера читал презентацию на PHDays про развитие регулирования ИБ в России. Выкладываю презентацию. Получилось мрачновато и страшновато, но как есть ;-) Без прикрас.
Регулирование ИБ в России
View more presentations from Alexey Lukatsky...
30.5.12
Психология в деятельности CISO
Психология в деятельности CISO
View more presentations from Alexey Lukatsky...
29.5.12
У меня завтра "эти" дни!
Завтра начинается Positive Hack Days. В Москве... а также в Перми, Владивостока, Киева, Питера, Калининграда, Екатеринбурга, Краснодара, Магнитогорска, Омска, Самары, Саратова, Таганрога или Хабаровска (есть еще индийский Коллам и Тунис, но вы врядли будете в эти дни там)!
На моей памяти PHD - это первое и единственное мероприятие в России (правда, за пределами России, я о таком тоже не слышал), которое проходит не в одном, отдельно взятом помещении, пусть и таком большом как Digital October. Речь идет о разветвленной сети площадок, на которых...
28.5.12
Защита ПДн в картинках
Проанализировав проекты последних Постановлений Правительства и наложив на их документы ФСТЭК и ФСБ, а также ФЗ-152, родилось 5 схем, иллюстрирующих, что надо делать с точки зрения обеспечения безопасности персональных данных.
Это общая картинка из проектов Постановления Правительства по уровням защищенности и требования по безопасности.
Это общие организационные меры:
Это относительно средств защиты:
Вопросы, касающиеся ИСПДн:
И...
25.5.12
ЦБ опубликовал проекты документов по защите НПС
Банк России опубликовал проекты двух документов по защите в Национальной платежной системе:
Проект Положения Банка России "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"
Проект Указания Банка России "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры,...
24.5.12
Новости ФСТЭК по сертификации
18 мая на сайте ФСТЭК было опубликовано информационное сообщение, разъясняющее позицию ФСТЭК в области оценки соответствия средств защиты информации. Предсказуемая и четко выстроенная логика:
для гостайны - ФЗ о гостайне -> ПП-608 -> обязательная сертификация
для других видов информации ограниченного доступа - ФЗ о техрегулировании -> ПП-330 -> обязательная сертификация.
Оценка соответствия средств защиты вытекает из ПП-1085 (Об утверждении положения о ФСТЭК). Для оценки разработано много РД и планируется разработать еще немало...
Кто может присоединиться к СТО Банка России?
В последнее время мне часто задают вопрос, может ли присоединиться к СТО Банка России некредитная и вообще нефинансовая организация. Не хочу повторять одно и тоже каждому - напишу сразу всем.Во-первых, надо сразу понимать, что вопрос, как ответ, разбивается на 4 составляющие:- можно ли присоединиться и если да, то как?- как выполнять?- как проводится оценка соответствия?- как на все это посмотрит регулятор?На первый вопрос ответ прост. Можно. Только надо понимать, что нет понятия "присоединиться к стандарту"; также как и нет понятия "отраслевой...
21.5.12
Классификация ИСПДн: как правильно СЕЙЧАС?
В 2008-м был выпущен "приказ трех" по классификации ИСПДн. Но при его разработке была допущена ошибка и системы, разделенные на типовые и специальные, могли быть только специальными. И если методика классификации типовых систем на 4 класса была описана там де, в приказе трех, то методики классификации спецсистем не появилось до сих пор. Это позволило проявить креативность и на свет родилось несколько подходов:- ФСТЭК предлагала теже 4 класса натянуть на спецсистемы. - ЦБ назвал все системы специальными и классифицировал их по типу обрабатываемых...
18.5.12
Киберпреступность и бездействие власти
В понедельник в рамках Russian Internet Governance Forum я выступал в секции по киберпреступности, организованной Group-IB. А на следующий день уже в Киеве в рамках Cisco Security Forum, где также рассказывал о киберпреступности. Собственно презентацию выкладываю. Она отличается от понедельничной (в сторону увеличения объема) и тем более от прошлогодней, которую я читал в рамках ZeroNights.
Бизнес-модель киберпреступности v2
View more presentations...
17.5.12
Нарушил 152-ФЗ? Выложи миллион!
Помните, в январе я писал про новый законопроект о внесении поправок в КоАП в части появления новой подстатьи 13.111, которая устанавливает новую ответственность за нарушение правил обработки ПДн? Там же я написал, что готовится законопроект про увеличение штрафа по ст.13.11 за нарушение правил обработки ПДн. Но тогда но
ни на сайте Минкомсвязи, ни на сайте Правительства или Минэкономразвития
я этого законопроекта не нашел. И вот он проявился - на сайте Минэкономразвития выложен текст с пояснительной запиской.
То, о чем так долго предупреждали...
16.5.12
О проектах Постановлений Правительства по ПДн
27 апреля я писал о проектах новых Постановлений Правительства по ПДн. Они вызвали большую дискуссию среди специалистов. Кто-то сразу выступил негативно, кто-то проанализировал тексты и отправил разработчикам свои предложения по улучшению. Кто это сделал через антикоррупционную экспертизу (по ней пока результатов нет), кто-то через контакты с авторами проектов. Среди последних был я. Именно поэтому я не стал ничего публично комментировать, надеясь, что можно будет в диалоге с авторами попробовать внести важные поправки, делающие документ более...
15.5.12
Говоря о ДБО, о какой ДБО мы говорим?
Достаточно много эксперты говорят про безопасность систем ДБО (дистанционного банковского обслуживания). Предлагаются различные решения - токены с неизвлекаемыми ключами, LiveCD, Trusted Screen и т.п. Но... говоря о ДБО, какой тип ДБО мы имеем ввиду? Ведь их достаточно много. А внедряя в банке систему ДБО мы защищаем все ее компоненты или только Интернет-составляющую? Вот так выглядит деление на 2 основных типа - информационный (уведомление о платежах)...
14.5.12
Как атаки на ДБО влияют на экономику страны
Готовясь к презентации на RIGF наткнулся на еще одну интересную картинку. Она иллюстрирует взаимосвязь различных киберпреступлений (онлайн-мошенничество, кража интеллектуальной собственности, кибершпионаж и т.д.) с последствиями для бизнеса и государства, а в итоге и для все экономики страны.
Например, онлайн-мошенничества (атаки на ДБО), влияют не только на карман отдельно взятого индивидуума, но и снижают его доверие к онлайн-сервисам как...
Где больше всего Stuxnet'а
Ваял презентацию по киберпреступности для сегодняшнего выступления на Russian Internet Governance Forum и наткнулся на интересную диаграмму, показывающую Топ14 стран, чьи системы АСУ ТП заражены червем Stuxnet.
Россия, хоть и не на первом месте, но 6-е место держит уверенно. А если сложить вместе доли Узбекистана, России, Казахстана, Беларуси, Кыргызстана, Азербайджана и Таджикистана, то 4-е, а то и 3-е место нам вполне светит.
А вообще список...
11.5.12
BeyondTrust покупает eEye
9 мая BeyondTrust, известная своими IAM-решениями, объявила о приобретении известной компании eEye Digital Security, знакомой по своему сканеру Retina, системам управления патчами, конфигурацией, сетевым анализатором Iris и системой защиты ПК Blink. Детали сделки пока не раскрываются - все должно быть объявлено 15 мая на публичном вебкас...
McAfee покупает Insightix
В феврале McAfee завершила покупку Insightix, компании по счастливой случайности тоже пионер и тоже лидер на рынке систем сетевого мониторинга в реальном времени. Никаких деталей по сделке не нашел. Сделка прошла как-то совсем мимо прессы и мимо специалистов. McAfee сильно этот факт не пиарил. Кроме невнятной странички на сайте покупателя о сделке больше не сло...
5.5.12
Как Европа предлагает защищать ПДн в электронных коммуникациях
В 2002-м году в Европе приняли Директиву 2002/58/EC относительно обработки ПДн и их защиты в секторе электронных коммуникаций (то чем у нас РАЭК занимается). 4-я статья этой директивы, которая так и называется "Безопасность", буквально гласит следующее:
"1. Провайдер публично доступных сервисов электронных коммуникаций обязан предпринимать соответствующие технические и организационные меры по обеспечению безопасности своих услуг; при необходимости привлекая оператора связи сети общего пользования в части обеспечения сетевой безопасности. Принимая...
4.5.12
Мотиваторы и демотиваторы разных игроков рынка ИБ или почему регуляторам и потребителям сложно найти общий язык
30 апреля вышла интересная книжка - "Threats, Countermeasures, and Advances in Applied Information Security" Раджа Шармана, Маниша Гупты и Джона Валпа (все три работают в американских банках). И вот в 24-й главе представляют они динамическую экономическую модель кибербезопасности. Собственно не саму модель, а ее первый этап. Как они сами пишут: "Никто не может разработать эффективную экономическую модель для информационной безопасности, не имея...
3.5.12
Музыкальные пароли - новое слово в ИБ
Одним из самых известных, даже кухаркам и домохозяйкам, понятий информационной безопасности является пароль, от стойкости которого зачастую зависит защищенность всех преград - домашних, банковских, корпоративных и иных. Из курса теоретической ИБ давно известно, что стойкость пароля зависит от информационной энтропии. Чем случайнее набор символов (в разных регистрах, разных алфавитах, цифры и спецсимволы...), тем надежнее пароль и тем сложнее его...
2.5.12
Совместный онлайн-семинар Cisco и Group-IB
Совместно с компанией Group-IB мы рады пригласить Вас на бесплатный онлайн семинар, посвященный теме расследования инцидентов на базе оборудовании Cisco, который состоится 16 мая через систему Webex.
Для того чтобы обеспечить эффективное движение к принятой на предприятии архитектуре информационной безопасности необходимо реализовать весь жизненный цикл системы ИБ, включающий в себя не только внедрение и эксплуатацию технических средств защиты, но и множество дополнительных сервисов и услуг. Все они обеспечивают решение множества важных задач,...
Подписаться на:
Сообщения (Atom)
