30.7.12

Хотите 100 шаблонов документов по ПДн? Их есть у меня!

Пока я в отпуске, что вам скучать?! Качайте шаблоны документов, которые необходимо разработать по линии персональных данных. Документы в первую очередь закрывают вопросы защиты самих персональных данных (вопросы ФСТЭК), но и про защиту прав субъектов тоже не забывают. Итак комплект из 48 шаблонов, разработанных Управлением информатизации г.Москвы, и являющихся приложениями к "Методическим рекомендациям органам исполнительной власти города Москвы по организации защиты конфиденциальной информации и персональных данных". Правда, разработаны они...

27.7.12

Немного обо всем, но все по делу

Аккурат перед отпуском писать больших постов на какую-то конкретную тему не буду. Просто несколько заметок. 1. По итогам совещания на тему новых нормативных актов по защите ПДн могу сказать следующее: Проекты Постановлений Правительства уже согласованы со всеми органами исполнительной власти и находятся на согласовании в Аппарате Правительства. Это информация от коллег из ФСБ. От коллег из экспертного сообщества информация немного иная - проекты Постановлений вызывали негативную реакцию в Минкомсвязи и в Аппарате Правительства. Минюст сделал...

26.7.12

Positive Technologies вошла в список лидеров мирового рынка ИБ

Попался на глаза мне июльский отчет IDC "Worldwide Security and Vulnerability Management 2012–2016 Forecast and 2011 Vendor Shares". В нем впервые была упомянута и российская компания - Positive Technologies, которая стала и первой российской компанией, попавшей в отчет IDC. Согласно данному отчету Positive Technologies входит в пятерку самых быстро растущих компаний сегмента SVM (Security & Vulnerability Management), а по объему продаж средств защиты даже обошла VMware и Dell. Также согласно данному отчету Positive Technologies вошла в...

Как бороться с инцидентами в ДБО - советы бывалых

Наверное, многие видели новость о том, что АРБ совместно с Национальным платежным советом разработали "Методические рекомендации о порядке действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания, использующих электронные устройства клиента". Проект документа был подготовлен рабочей группой Ассоциации российских банков и НП «Национальный платежный совет» с учетом Письма Бюро специальных технических мероприятий Министерства внутренних дел Российской Федерации (БСТМ МВД России) от 17 января 2012 г....

25.7.12

Сегодня год новому ФЗ-152. Помянем!

Сегодня ровно год, как была принята новая редакция ФЗ-152 "О персональных данных". Принята несмотря на все действия, предпринимаемые сообществом против именно этой редакции закона (краткое напоминание хроники событий тут, тут, тут и тут). На поминках принято говорить что-то хорошее или молчать. Молчать не буду. Хорошего в законе стало немало - в частности обременения на операторов стали чуть слабее, многие невыполнимые действия из закона убрали, но... добавили ст.18.1 и ст.19, которые не все, но многие благие начинания перечеркнули, добавив новых...

24.7.12

Когда будет новый СТО БР ИББС?!

Все чаще мне задают этот вопрос и поэтому настало время в какой-то степени удовлетворить всех страждущих и попытаться ответить на него. Но отвечать я буду витиевато. Начну с ретроспективы последних событий, учет которых позволит нам понять судьбу СТО. Весной Россия избрала Президента. Никаких сюрпризов не случилось. Только учитывая прошлое нашего Президента роль, а главное, влияние, ФСБ изменились; точнее усилились. Последние факты это только доказывают - позиция ФСБ по ПП-313, проекты постановлений Правительства по персданным, законопроект по...

23.7.12

Обновление программы курса по безопасности НПС

Про свой новый курс по безопасности НПС я уже писал. Собственно теперь пришло время детализировать уже обкатанную единожды программу. Никаких страшилок. Только реальные кейсы, рассмотренные с разных сторон с оценкой вероятности движения по тому или иному сценарию. Программа однодневного семинара такова: Изменение акцента в регулировании - в прицеле НПС Регулирование отрасли переводов денежных средств ФЗ-152, ISO 27xxx, СТО БР ИББС, PCI DSS и НПС Парафраз об СТО Структура СТО Развитие СТО и регулирования ИБ банков Место ABISS в старом и новом...

Будущее регулирования НПС

Сейчас много говорят о регулировании НПС и о требованиях по ее безопасности, реализованных как в 379-П, 380-П, 381-П, 382-П, 383-П и 384-П, так и в массе других документов ЦБ, которые пусть и не относятся прямо к НПС (хотя бы по сроку своего выхода), но регулирующих те или иные вопросы обеспечения ИБ в банковской среде. Кто-то думает, что это временно, кто-то потирает руки в предвкушении доходов от продаж своих средств защиты под соусом "сертифицировано...

20.7.12

Сколько наборов требований по ИБ ложится на банки после выхода требований по НПС?

На такой простой, казалось бы, вопрос, и ответ должен быть простой. Один, скажет большинство, имея ввиду новое положение Банка России 382-П (плюс 2831-У). Кто-то скажет, что два, имея ввиду еще и СТО БР ИББС. А сколько на самом деле? Гораздо больше. Давайте откроем 382-П. Пункты 2.13, 2.14 и 2.16 говорят нам о том, что помимо требований установленных самим 382-П (читай Банком России) еще и оператор платежной системы может устанавливать свои требования - по управлению инцидентами, по отчетности, по информированию и т.д. А к скольким платежным...

19.7.12

Впечатления от заседания Консультативного совета РКН по Пдн

Пока Совет Федерации почти единогласно принимал закон о "черных списках" (кстати, обратите внимани, я заголовок блога привел в соответствие с законом), Роскомнадзор проводил первое заседание обновленного Консультативного Совета, созданного в соответствии с ч. 9 ст. 23 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных". Так случилось, что в состав Совета вошел и я, как активный эксперт по вопросам ПДн.Как написано на сайте РКН, произошло сокращение численности Совета почти в два раза за счет перераспределения компетенций...

18.7.12

Cisco покупает Virtuata

Давно что-то не было на небосклоне ИБ слияний и поглощений и вот дождались ;-) Cisco покупает Virtuata, частную американскую компанию Virtuata, занимающуюся технологиями безопасности виртуализированных сред. Детали сделки не разглашаются. Информации по самой Virtuata в Интернет тоже немного. Единственное, что более менее адекватное удалось найти - это упоминание, что Virtuata сотрудничает с Citrix. В итоге получается, что решение Virtuata должно пополнить портфолио Cisco Virtual Security Gateway, уже существующее для сред VMware и Hyper...

17.7.12

Новый законопроект ФСТЭК по защите госорганов и критически важных объектов

На сайте ФСТЭК очередной законопроект. Теперь о внесении изменений в трехглавый ФЗ-149 "Об информации, информационных технологиях и защите информации", основополагающий закон по нашей тематике, незаслуженно забытый и вспоминаемый только вместе с законом о "черных списках" и т.д. Однако с точки зрения информационной безопасности в 149-ФЗ изменения вносились давно и поэтому новые поправки ФСТЭК интересны тем, в каком направлении движется регулятор. А направлений собственно два - госорганы и критически важные объекты (КВО), которые должны защищаться...

16.7.12

Сколько CERTов в России?

После появления новости о появлении в сети сайта gov-cert.ru в Facebook и в Twitter началось активное обсуждение этого вопроса. Что можно добавить к этой теме? Ну во-первых, Центр реагирования на компьютерные инциденты в информационных системах органов государственной власти Российской Федерации(GOV-CERT.RU) создан 8-м центром ФСБ, о чем они рассказали на заседании в АДЭ на прошлой неделе. На основное высказывание, что ФСБ не могло предложить PGP для переписки с ними могу заметить следующее. PGP - это некий стандарт де-факто при общении с CERTами/CSIRTами...

13.7.12

Законопроект по наказанию за невыполнение требований по защите информации

Сегодня за невыполнение требований по защите информации существует только административная ответственность по ст.13.12 КоАП (если не рассматривать ст.274 УК РФ и различные "смежные" статьи). В этой статье из 5 частей предусмотрены следующие составы преступления: Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты...

12.7.12

ФСБ будет рулить банкоматами и кассовыми аппаратами

Существует такой Федеральный закон от 22 мая 2003 года №54-ФЗ "О применении контрольно-кассовой техники при осуществлении наличиных денежных расчетов и (или) расчетов с использованием платежных карт". В целом ничего сверхествественного в нем нет - он просто устанавливает требования к кассовым аппаратам, банкоматам и платежным терминалам, применяемым на территории России. И вот Правительство решило внести в этот ФЗ поправки. И основная из них описана в пояснительной записке к законопроекту. "Для усиления защиты экономических интересов Российской...

11.7.12

Совет безопасности определил как будут защищать АСУ ТП

4 июля на сайте Совета Безопасности появился примечательный документ - "Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации". Как написано в преамбуле, эти "основные направления" разработаны в целях реализации основных положений Стратегии национальной безопасности Российской Федерации до 2020 года, в соответствии с которой одним из путей предотвращения угроз информационной...

10.7.12

Скандал с взломом почты Навального в контексте ИБ

Все слышали про взлом хакером Hell почты Навального. Если не рассматривать это событие с точки зрения "симпатизирую или нет Навальному" и если верить тому, что пишет сам Hell про это, то взлом проявил ряд интересных вопросов именно с точки зрения информационной безопасности. И речь не о том, что электронная почта, да еще и на бесплатном сервере, гарантирует конфиденциальность. Речь пойдет о другом. Во-первых, несмотря на все попытки обелить Навального (особенно со стороны тех, кто считает, что цель важнее способов ее достижения), его методы получения...

9.7.12

Почему я иногда понимаю ФСТЭК и ФСБ ;-)

Пост в Твиттере вызвал живейший отклик и там и в Facebook, поэтому решил раскрыть тему чуть шире ;-) Итак, в одном печатном издании для наших силовиков опубликована статья одного из лидеров (и пионеров) отечественного рынка ИБ, посвященного теме построения защищенных ЛВС для органов госвласти. В статье рассказывается как решить классическую проблему защиты сведений, составляющих гостайну на предприятии. Традиционно она решалась (и решается до сих пор) "просто" - в режимных помещения устанавливаются АРМы, на которых разрешено вести работу именно...

6.7.12

Повлияло ли вступление в ВТО на регулирование рынка ИБ?

Анализировал я вчерашние цифры и пришел к выводу, что хочешь-не хочешь, а ВТО повлияло на рынок ИБ в России и не в лучшую сторону. По идее, вступление в Всемирную торговую организацию должно было повлиять только на ввоз тех или иных продуктов. По "нашему" направлению такими продуктами могли считаться только шифровальные средства, но... Дело в том, что по правилам ВТО в части ввоза криптографии мы уже живем не первый год, а точнее с 1-го января 2010-го года, когда изменились правила ввоза товаров на территорию Таможенного союза. А правила эти были...

5.7.12

Обновление статистики по нормативке в области ИБ

Чтоб блог не пустовал ;-) Обновляю статистику по росту числа нормативых актов за прошедшее время и распределению нормативных актов, регулирующих вопросы ИБ в разных отраслях. ...

3.7.12

Правительство взялось за оценку соответствия

Известный факт - все вопросы оценки соответствия (как элемента технического регулирования) описаны в ФЗ-184 "О техническом регулировании". Данный закон достаточно четко прописывает особенности оценки соответствия и сертификации, как одной из форм оценки соответствия. Но относятся ли эти особенности на средства защиты информации? И да, и нет. Дело в том, что средства защиты информации, не без помощи наших регуляторов, попали под действие ст.5 ФЗ-184,...

2.7.12

Новая версия курса по персданным

Новые изменения в версиях 4.6 и 4.7: Должен ли надзор уведомлять о том, что ими получен доступ к ПДн субъектов не напрямую? Ст.13.111 КоАП Анализ отчета о деятельности РКН в 2011-м году Новое Постановление Правительства ПП-221  Как соотносятся цели обработки ПДн и цели бизнеса 5 сценариев классификации ИСПДн Новое европейское законодательство Европейские стандарты по безопасности ПДн Об уровнях защищенности Обновление раздела о лицензировании ТЗКИ Требования МВД по сохранности ПДн О количестве сотрудников для защиты ПДн Экспресс-план приведения...