Новый курс - по безопасности НПС

Родился нежный, лирический... нет, не тост, а курс. По безопасности национальной платежной системы. Неоригинально, но свежо. В последнее время несколько учебных центров просило сделать что-нибудь по данному направлению и оно сделалось. Программа следующая: Что такое Национальная платежная система Предыстория появления Основные определения Участники НПС Кто подпадает под требования НПС ФЗ-161 и его влияние на информационную безопасность Иерархия требований по информационной безопасности Постановление Правительства № 584 "О защите информации...

Подробнее…

Вся безопасность НПС в одной презентации

Вчера я проводил онлайн-семинар по обзору требований по защите информации в Национальной платежной системе. Ну и как часто бывает, презентация делалась в ночь перед семинаром. Так что получилось может быть коротковато и поверхностно, но зато позволяет быстро вникнуть в проблематику, основные определения и требования. Глубокого анализа ФЗ-161 не ждите, но вопросы защиты информации раскрыты ;-) Краткий обзор требований по защите информации в НПС View more presentations from Alexey Lukatsky...

Подробнее…

Краткий обзор 380-П и 381-П по надзору НПС

В понедельник и вторник я описал два новых и основных документа по защите информации в НПС - 382-П и 2831-У. В целом же картина нормотворчества в области регулирования вопросов информационной безопасности в НПС выглядит следующим образом: Про ФЗ-161 я уже как-то писал (тут и тут), про новое Постановление Правительства №584 тоже, как и про 379-П. Что у нас осталось неохваченным? 380-П и 381-П, которые и рассмотрим сейчас. Положение Банка России...

Подробнее…

Краткий обзор 2831-У по отчетности в области защиты информации в НПС

9 июня Банк России еще один нормативный акт - Указание 2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств". Оно устанавливает формы отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры,...

Подробнее…

Список мероприятий по ИБ на этот год

Обновил список мероприятий по ИБ до конца года (там, где известны даты). Вообще хочется заметить, что планировать 5 мероприятий (из них 4 крупных) на сентябрь (причем на вторую его половину) - это, как бы сказать,... не очень умно. Учитывая, что часть мероприятий проходит за пределами одного города и потребуются командировочные расходы, то надеяться собрать на каждой из конференций достаточное количество посетителей будет сложно. Да и без командировок бывает сложно в течение месяца выбраться на несколько мероприятий в одном городе (ведь и работать...

Подробнее…

Краткий обзор 382-П по защите информации в НПС

9 июня Банком России во исполнение ФЗ-161 было утверждено новое "Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (интересно, что ссылки на ПП-584 нет), вступающее в силу с 1-го июля 2012 года. Про проект этого положения я уже писал. Теперь хотелось бы уделить чуть больше внимания этому документу. Тем более, что он отличается от проекта (и местами...

Подробнее…

ФСТЭК определилась с позицией по лицензированию ТЗКИ

Вчера в 16.30 ФСТЭК опубликовала на своем сайте информационное сообщение, датированное 30-м мая и номером №240/22/2222, по вопросу необходимости получения лицензии ФСТЭК России на деятельность по ТЗКИ. Идея ФСТЭК проста и была озвучена еще на межотраслевом форуме директоров по ИБ Виталием Сергеевичем Лютиковым. Если организация не извлекает прибыль из деятельности по ТЗКИ, если эта деятельность не прописана в учредительных документах (например, в Уставе), либо если эта деятельности не осуществляется по поручению обладателя информации или заказчика...

Подробнее…

А вы знаете Юрия Рыжова?

Немного официальных фактов. Рыжов Юрий Алексеевич. Родился 28 октября 1930 года в Москве. Академик Российской Академии Наук. Специалист в области аэродинамики больших скоростей. С 1986 по 1992 год - ректор Московского Авиационного института. В 1989-91 годах - народный депутат, член президиума Верховного совета СССР. Один из организаторов Межрегиональной депутатской группы Съезда Народных депутатов СССР. С 1992 по 1999 год - чрезвычайный и полномочный...

Подробнее…

В России еженедельно принимается один НПА в области ИБ

Готовил тут презентацию на тему "Эмиграция, как способ решения насущных проблем ИБ в России" для одного непубличного мероприятия. И в рамках подготовки провел экспресс-анализ нормативных актов, которые были приняты (или были опубликованы их проекты) за последний год (с июня 2011 года). Статистика получилась занятной. Во-первых, оказалось, что в среднем нормативные акты, касающиеся вопросов ИБ, выпускаются по одному каждую неделю. И это при том,...

Подробнее…

Два взгляда ЦБ на управление рисками ИБ в НПС

ЦБ опубликовал еще один непростой документ в части выполнения требований ФЗ "О национальной платежной системе". Это Положение о бесперебойности функционирования платежных систем и анализе рисков в платежных системах (№379-П от 31 мая 2012 года). Я про него уже упоминал вскользь, делясь магнитогорскими впечатлениями. И вот документ из недр Департамента регулирования расчетов родился и даже был принят быстрее проектов ЦБ с требованиями по защите НПС (хотя тут все понятно - 379-П не надо согласовывать с ФСТЭК и ФСБ). Документ вызвал у меня двойственные...

Подробнее…

Утверждено новое ПП-584 о защите НПС

Премьер-министр Медведев подписал 13-го июня постановление №584 "Об утверждении Положения о защите информации в платежной системе", которое вступает в силу с 1-го июля. По сравнению с проектом и его оценкой в Минэкономиразвития текст поменялся. Во-первых, поменялось название - слово "национальной" исчезло. Пока сложно сказать, что стало причиной такого удаления, но я пока не вижу никаких проблем.Во-вторых, уменьшилось число пунктов - с 17-ти до 9-ти. Что-то понятно, что-то нет. В частности, из принятого документа исчез такой пассаж: "Требования...

Подробнее…

Мастер-класс по моделированию угроз

На IT & Security Forum также проводил небольшой мастер-класс по моделированию угроз. Это скорее была попытка 8-мичасовой курс по этой теме уложить в 1 час, который я смог вырвать у организаторов. Поэтому многие конкретные темы остались за воротами, а я сконцентрировался на ключевых моментах, которые не стоит забывать, если моделирование угроз осуществляется не для галочки, а для реальной работы. Мастер класс по моделированию угроз View more presentations from Alexey Lukatsky. Напомню, что полная версия этого курса была выложена...

Подробнее…

Новая порция поправок по линии ФЗ-152

Можно было бы назвать эту заметку "Гора родила мышь". Именно такое впечатление от подготовила проект поправок Правительства РФ к законопроекту "О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных". Собственно ничего нового в этом проекте нет - просто опять вытащили на свет злополучный и отнафталиненный законопроект 217355-4...

Подробнее…

4 сценария внедрения BYOD на предприятии

На IT & Security Forum в Казани читал 4 презентации, две из которых были посвящены теме мобильных устройств в деятельности организаций и, в частности, сценариям внедрения BYOD. Презентацию выкладываю. 4 сценария внедрения BYOD на предприятии View more presentations from Alexey Lukatsky...

Подробнее…

Аттестация и ФЗ-152: мнение ФСТЭК

Неделя была очень насыщенной - две командировки, 4 перелета, 8 презентаций... Поэтому не было сил что-то писать. Да и сейчас нет. Осмысливаю впечатления от московского PHD и казанского ITSF. Поэтому эту рабочую неделю хочется закончить "позитивно" ;-) Коллеги часто присылают мне различные интересные документы, письма, запросы регуляторов, выдержки из актов проверок и т.д. И вот новый "подарок" - письмо одного из региональных управлений ФСТЭК. Текст привожу полностью: " Normal 0 false false false RU ZH-CN ...

Подробнее…

В чем разница ИБ для традиционных ИТ и АСУ ТП

Наткнулся тут на старую картинку 2007-го года, показывающую разницу подходов в ИБ традиционных ИТ и АСУ ТП. С тех пор так ничего и не поменялось. Поэтому удивляет попытка некоторых вендоров предлагать свои традиционные решения для ИБ АСУ ТП в неизменном виде. ...

Подробнее…

ФСБ покроет и СНГ

Премьер-министр Медведев подписал распоряжение Правительства РФ от 28.05.2012 №856-р "О подписании соглашения о сотрудничестве государств - участников содружества независимых государств в области обеспечения информационной безопасности". Ключевые положения этого прелюбопытнейшего документа: Сближение нормативной базы в области ИБ стран СНГ. Тут можно отметить, что законодательство Украины, Белоруссии, Казахстана и России (а именно эти страны, в основном, имеют более-менее развитое законодательство) не очень гармонизировано между собой. И кто...

Подробнее…

Почему СТР-К морально устарел?!

В среду меня неожиданно, в связи с отказом одного из докладчиков, коллеги из ФСТЭК попросили выступить на PHDays на их секции с интригующим названием "Почему госсекреты появляются в Интернете". Пришлось придумывать про что рассказывать и срочно ваять презентацию. Выбрал тему СТР-К, т.к. делиться деталями или недостатками СТР для публичной аудитории не совсем правильно (или совсем неправильно). Учитывая, что готовится новая версия СТР-К, старую версию можно было покритиковать, что я и сделал ;-) Почему утекает конфиденциальная информация в госорганах?...

Подробнее…