А вы декларируете мобильный телефон при пересечении границы?

А вы помните, как год назад российский офис Cisco проводил семинар по импорту шифровальных средств? Если не помните, то посмотрите презентацию еще раз или прослушайте запись с онлайн-версии. Зачем я прошу вас это сделать? Я хочу, чтобы вы вспомнили, что такое шифровальные средства с точки зрения российской таможни. Согласно нормативным документам ФТС к ним относятся: Принтеры, копиры и факсы Кассовые аппараты Карманные компьютеры Карманные машины для записи, воспроизведения и визуального представления  Вычислительные машины и их комплектующие Абонентские...

Подробнее…

Как налоговая может оспорить сделки с ИБ-интеграторами

Надысь, на семинаре зашла речь о лицензировании деятельности по ТЗКИ и использованию шифрования. Аудитория была разношерстная - от безопасников и айтишников до бухгалтеров и юристов. Как обычно, я рассказал о всех позициях, связанных с лицензированием - ФСТЭК и ФСБ, Банка России, судов и прокуратуры. Рассказал о том, что в ПП-584 говорится о том, что участник НПС может привлекать для контроля соответствия только лицензиатов ФСТЭК, а по 382-П это совершенно необязательно. Думал повести рассказ дальше, но тут меня прервали... Был задан вопрос о...

Подробнее…

Анализировать код на предмет его безопасности выгодно?!

После появления на pastebin сообщения о взломе одного российского VPN-продукта у нас Женей Родыгиным завязалась дискуссия на тему недостатков отечественной системы сертификации средств защиты. Но поскольку опыт у нас разный, то и к выводам мы пришли разным. Я сторонник мысли о том, что система сертификации, которая не проверяет работоспособность продукта и его защищенность, а при проверке НДВ не находит 0-Day, убога и ее надо менять. Женя отстаивал...

Подробнее…

Презентация с DLP Russia 2012

На прошедшей в пятницу DLP Russia 2012 делал доклад "Новые технологии и новые тенденции ИБ". Так получилось, что доклад был на тему, которую я не особо хотел читать (очень уж абстрактная она). Да и времени было всего 20 минут. Поэтому я решил сконцентрироваться только на тех вопросах, которые возникают у большинства российских компаний именно сейчас или могут возникнуть в самом ближайшем будущем. Новые тенденции и новые технологии на рынке ИБ from Alexey Lukatsky Само мероприятие прошло удачно. Не могу поделиться чем-то конкретным. В...

Подробнее…

Новые проекты Постановлений Правительства по персданным. Твердая четверка!

Итак, в выходные ФСБ выложила у себя на сайте новые редакции проектов Постановлений Правительства по уровням защищенности и по требованиям безопасности ПДн. Алексей Волков уже высказался у себя по их поводу. Однако я не согласен с его выводами о том, что второй блин комом. Как раз нет. Да, основные претензии в части отсутствия учета видов деятельности и ущерба остаются, но по-моему мало кто уже надеется, что это будет устранено. Поэтому будем исходить из того, что есть. По сравнению с предыдущим вариантом проекта Постановления текст документа...

Подробнее…

Какова логика наших регуляторов при разработке нормативных актов?!

Вчера было опубликовано новое Постановление Правительства от 18 сентября 2012 года № 940 "Об утверждении Правил согласования проектов решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с Федеральной службой безопасности Российской Федерации и Федеральной...

Подробнее…

Триада "конфиденциальность, целостность, доступность": откуда она?

Все специалисты по безопасности знают классическую триаду "конфиденциальность, целостность и доступность" (КЦД) или "confidentiality, integrity, availability" (CIA). Ее применяют к месту и не очень, но мало кто знает, откуда она вообще появилась? Этому в ВУЗах не учат, а стоило бы. Тогда стало бы понятно, что эта концепция уже немного устарела и не является догмой. Напомню, что впервые этот принцип был изложен в статье "Защита информации в компьютерных системах", написанной Зальцером и Шредером в 1974-м году и опубликованной в "Communications...

Подробнее…

Как ФСБ дураком меня назвала или опять опять про персданные?!

Начну я с краткого экскурса в законодательство о персональных данных. В соответствие с частью 1 статьи 19 Федерального закона от 27 июня 2006 года «О персональных данных» оператор персональных данных обязан принимать технические меры для защиты персональных данных от несанкционированного доступа. В соответствие с пунктом 7 положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного...

Подробнее…

Хватит ругать наши ГОСТы по безопасности. Пора действовать!

6 сентября я писал про новые ГОСТы, которые должны появится в России в следующем годы. Но работа уже ведется и она не такая закрытая, как иногда кажется. В частности, Ассоциация RISSPA, представляющая Cloud Security Alliance в России, достигла договоренности с представителями ФСТЭК России о проведении публичного обсуждения терминологии облачных вычислений, которая в дальнейшем станет основной для использования в документах ФСТЭК по облачной тематике. RISSPA и ФСТЭК приглашают всех заинтересованных экспертов воспользоваться уникальным шансом и...

Подробнее…

Презентация по безопасности облаков

Ну вот и вторая презентация по безопасности облаков. Как обычно делал "на будущее", т.к. заранее знал, что в 20 минут 80 слайдов не уложу. Но зато будет заготовка для расширения. Безопасность различных архитектур облачных вычислений from Alexey Lukatsky ЗЫ. Кстати, Cisco сама использует 432 внешних провайдера 505 различных услуг. Так что у нас богатый опыт защиты облачных вычислений, которые мы не только сами предлагаем (Webex и ScanSafe), но и активно используем....

Подробнее…

Безопасность АСУ ТП: от слов к делу

Вчера на ИнфоБЕРЕГЕ делал презентацию по безопасности АСУ ТП. Учитывая нехватку времени, пришлось сильно сократиться, но сама преза от этого не страдает - она включает почти все, что я хотел сказать. В ней я попытался уйти от банальщины в виде рассказа об угрозах или стандартах и дать конкретные рекомендации "Что делать для защиту АСУ ТП прямо сейчас?". Как мне кажется, удалось. При этом вторая задача была - указать решения, которые, во-первых, преимущественно не требуют капитальных затрат на приобретение, а во-вторых, не должны иметь (в массе...

Подробнее…

Как уничтожать данные в электронном виде?

Знаем как уничтожить данные, зафиксированные на бумаге? Ну, наверное, да, - скажут многие. Шредер, сжигание, химическое уничтожение, закапывание... Кто-то использует эти методы, кто-то просто выбрасывает данные в мусорную корзину. А как обстоит дело с данными в электронной форме? Знаем ли мы как уничтожать то, что хранится в базе данных или просто в файле на жестком диске? Нажав "крестик" в "Проводнике" мы не уничтожаем данные, а всего лишь помечаем...

Подробнее…

BYOD в органах власти. Как это делают в США?!

Тема применения мобильных устройств в органах власти стоит достаточно давно. То она стопорится регуляторами в области информационной безопасности (ведь наша нормативная база по ИБ уже устарела и не учитывает особенностей мобильных устройств; тем более собственных). То сами руководители страны показывают обратный пример, используя вместо планшетных компьютеров обычный бумажный блокнот. Хотя лед постепенно сдвигается с мертвой точки. В частности на...

Подробнее…

Какой была безопасность в России в 90-х годах

И вновь потянуло меня разбирать архивы... И вновь я наткнулся на антикрвариат; погрузился в него; стал вспоминать. Так случилось, что аккурат с 92-го года, как я стал заниматься ИБ, я стал коллекционировать библиотеку литературы по ИБ. И накопилось за это время много всего. И книг штук 200, а уж статей и вовсе не счесть. Первые статьи по нашей теме появились в 91-м году. До этого тема была табу и тайной за семью печатями, доступной только сотрудникам...

Подробнее…

Как мне приснился PHD и к каким размышлениям это привело

Когда 5 лет назад я затевал этот блог, я лелеял надежду, что писать я буду о том, как поднять ИБ на уровень бизнеса, об измерениях в ИБ, метриках, психологии ИБ, теории организации в контексте ИБ и многим другим темам, которым место в программе MBA. Но мечте не суждено было сбыться - скатился в банальщину, которая отъедает у российских безопасников излишне много времени. Неоправданно много. Речь идет о compliance - о ФЗ-152, о ФЗ-149, о документах ФСТЭК, ФСБ, РКН, ЦБ и т.д. Слишком уж их много стало появляться в последнее время. А так как я уже...

Подробнее…

Новые ГОСТы по ИБ или как ФСТЭК меняет методологическую базу

Не так часто бывает, что я упускаю из ввиду какую-то российскую нормативку по информационной безопасности. Но тут это произошло ;-( Оправдывает только то, что упущенное носит рекомендательный характер - речь идет о ГОСТах по защите информации. Среди новых ГОСТов, с которыми я раньше не сталкивался были обнаружены: ГОСТ Р 53110-2008. Система обеспечения информационной безопасности сети связи общего пользования. Общие положения ГОСТ Р 53111-2008. Устойчивость функционирования сети связи общего пользования. Требования и методы проверки ГОСТ Р 53109-2008....

Подробнее…

Российские интеграторы не понимают специфики защиты АСУ ТП

Решил сделать краткий пост на тему, вынесенную в заголовок, ну и немного порекламировать свой доклад про безопасность АСУ ТП на сочинском ИнфоБЕРЕГе. В последнее время, особенно после выхода документа СовБеза, тема защиты АСУ ТП и вообще КВО стала достаточно актуальной и многие интеграторы стали развивать это направление как отдельное и самостоятельное. Не споря с его важностью, хотелось бы показать неверность выбранного многими интеграторами пути....

Подробнее…

2% от дохода за нарушение ФЗ-152 - это хорошо или плохо?

Ну и я тоже выскажусь по новому законопроекту об увеличении суммы штрафов до 2% от совокупного дохода компании-нарушителя ФЗ-152. Так уж сложилось, что с этим законопроектом я был ознакомлен еще в июле, о чем писал ранее. Правда, тогда в нем не было этого подхода "в % от дохода". Были зафиксированы миллионные штрафы и сделана дифференциация по составам правонарушений. Коллеги (Алексей Волков и Евгения Царев) уже прошлись по этому законопроекту и я не буду повторяться; тем более, что свое мнение о составах правонарушений и самом законопроекте...

Подробнее…