Терминальный доступ и ПДн

Был вчера на мероприятие московского клуба ИТ-директоров 4CIO с рассказом про безопасность мобильного доступа. После выступления возникла вдруг тема терминального доступа к ПДн, который якобы решает все проблемы с доступом к персональным данным с мобильного устройства. Мол, ПДн не передаются на мобильное устройство, а значит и защищать его не надо. Давайте разбираться. Вот схематическое изображение доступа с мобильного устройства к серверу, где...

Подробнее…

Райдер спикера по безопасности

На LinkedIn, благодяря Рустему Хайретдинову, открыл топик на тему, что должен включать в себя райдер спикера по безопасности. Вопросы финансового вознаграждения оставляем за кадром - у каждого свои запросы, а вот некий минимум того, что организаторы должны обеспечить для нормального выступления составить удалось. Итак, коллективным трудом родился следующий список. Техническая часть: Ноутбук с Microsoft Windows или возможность подключения собственного. Пока только на Yandex another Conference столкнулся с тем, что все ноутбуки были маковские...

Подробнее…

О государственной измене

23 октября Госдума большинством голосов приняла в третьем чтении законопроект №139314 "О внесении изменений в Уголовный кодекс Российской Федерации и в статью 151 Уголовно-процессуального кодекса Российской Федерации (в части совершенствования уголовного законодательства в сфере защиты государственной тайны от преступных посягательств)". В действующей версии Уголовного Кодекса, а точнее в ст.275 "Государственная измена", под государственной изменой подразумеваются враждебные действия, угрожающие внешней безопасности государства. Принятые депутатами...

Подробнее…

Мое первое знакомство с криптографией

Кто знает, как зарождалась информационная безопасность в России, тот помнит, что изначально все строилось вокруг криптографии. И большинство публикаций касалось именно этой науки. В своем посте я уже писал, что первые статьи по ИБ в России были в 91-м году. На самом деле это не совсем так. Ходят слухи, что в середине-конце 80-х годов в России была переведена и издана книга Дороти Деннинг "Криптография и защита данных" 82-го года издания. Сам я этого...

Подробнее…

Благодарно-неблагодарная тема защиты АСУ ТП

Выступал я тут давеча на одном мероприятии для ТЭК с рассказом о безопасности АСУ ТП (полная версия выложена тут). Выступил, но вопросов не было. То ли утро субботы сказалось (после пятничного отжига), то ли еще что. И на обратном пути, размышляя о безопасности АСУ ТП, пришла мне в голову мысль, что тема эта благодарно-неблагодарная. Благодарна она потому, что она относительно нова, а потому интересна. Она также нестандартна, т.к. АСУ ТП отличаются от обычных информационных систем и по используемым технологиям, и по их жизненному циклу. Но есть...

Подробнее…

Отечественные сканеры безопасности АСУ ТП

Я давно пишу про непроработанность темы безопасности АСУ ТП в России. Но это не мешает отечественным разработчикам предлагать рынку такие непростые продукты, как сканеры безопасности. Сегодня их в России два - "SCADA-аудитор" от НТЦ Станкоинформзащита и Maxpatrol от Positive Technologies. Первый продукт не очень широко известен отечественному потребителю.Он дополняет стандартные средства поиска уязвимостей, добавляя к ним функциональность поиска...

Подробнее…

Еще один бриллиант моей библиотеки

Иногда, в минуты отчаяния по поводу того, что происходит в области регулирования ИБ, я обращаюсь к своей библиотеке, которая уносит меня в мир грез и фантазий на тему: "Как могла бы развиваться информационная безопасность в России, если бы приняли все те документы, что разрабатывались в свое время". Про "Концепцию развития безопасных информационных технологий: обеспечение защиты информации в проектах информатизации России" 92-го года выпуска я...

Подробнее…

Запись моего выступления с UISGCON

Вот и запись моего выступления с UISGCON по моделированию угроз. Aleksey Lukatskiy - How to create a correct network threat model from UISGCON8_2_1 on Vimeo....

Подробнее…

Что такое адекватная страна по защите ПДн по версии РКН?

На последнем заседании Консультативного Совета при Роскомнадзоре членов Совета ознакомили с проектом приказа службы «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных». Т.к. проект в Интернет не появлялся, то и я про него не писал, хотя там есть, что пообсуждать. Но вот на днях наткнулся на доклад заместителя руководителя Роскомнадзора Романа Валериевича...

Подробнее…

Касперская войдет в реку дважды?

Про инвестиции Натальи Касперской в немецкую антивирусную компанию G Data Software AG уже все писали - я только повторюсь для общей картины. Приобретено 16,8% акций. Планируется продвижение решений G Data Software AG в России. Как? Еще не понятно - вопрос находится в стадии решения. Двумя неделями ранее, 2 октября израильская компания Commtouch объявила о приобретении исландского антиврусного производителя FRISK Software International. Первая известна своими антиспам-решениями, а вторая старейшим антивирусом F-PROT Antivirus, известным аж с 89-го...

Подробнее…

Об идентификации клиента Интернет-банка по IP и MAC-адресу

Мне казалось, что тема идентификации клиента Интернет-банка по IP- и MAC-адресу не стоит и выеденного яйца, но как-то уж активно про нее все говорят, что не высказаться было бы неправильным. Итак, на сайте Банка России выложен проект указания о внесении изменений в Положение 262-П "Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма". Все указание заключается в единственной поправке - заставить банки идентифицировать...

Подробнее…

Идеальная конференция по ИБ

На LinkedIn сейчас идет интересная дискуссия (и тут) на тему прошедших Инфобеза и Инфосека и каким должно быть идеальное мероприятие по информационной безопасности. Дискуссия разбилась на 2 части, а точнее на идеи о 2-х мероприятиях - для людей, принимающих решения, и для всех остальных. Очевидно, что контент, да и модель мероприятий будет совершенно разной. Оставляя первое мероприятие в стороне, хочу вкратце остановиться на втором. Посетил я их много. В основном, как докладчик, но и иногда и слушать приходилось. Поэтому сформировалось некоторое...

Подробнее…

Взлом Skype?

В нашумевшей "Анатомии протеста - 2", прошедшей по НТВ, на 43-й минуте был в очередной раз продемонстрирован фрагмент записи разговоров Удальцова и Таргамадзе (политическую оценку ни участникам переговоров, если они были, ни каналу НТВ давать не буду). Самое интересное, что голос за кадром утверждал, что это был разговор по Skype. Если не рассматривать это как ошибки 1-го или 2-го рода и проанализировать сей факт по существу, то можно выделить 5 основных версий получения записи разговора по Skype: На компьютере одного из участников переговоров...

Подробнее…

Обо мне, критике и регуляторах

За последнее время многие отметили, что моя риторика в отношении регуляторов поменялась. Кто-то говорит, что я стал их хвалить, кто-то - что перестал их ругать. Пора объясниться, как говорится ;-) Давайте вспомним, как у нас происходило взаимодействие с регуляторами последние годы. С ходу и не припомнится. Можно сказать никак. Ну иногда находило на регуляторов (точнее на одного из них, на ФСТЭК) озарение и собрав у себя лицензиатов, собирали от них мнение, куда и как развиваться. Учитывая, что многие регуляторы живут еще в середине 90-х годов,...

Подробнее…

Впечатления от последних конференций по ИБ

Давно я что-то не делился впечатлениями о посещенных мной мероприятиях, но после семи прошедших за последние 4 недели конференций и семинаров все-таки решил собрать все впечатления в кучку и выплеснуть их на страницы блога. Начну с ИнфоБЕРЕГа в Сочи. Хорошее мероприятие, хорошая подборка тем. Одна незадача - море, солнце и +27, когда в Москве около 10-ти и хмарь. Поэтому не все слушатели добирались до зала, в котором проходило мероприятие. Из интересного мне запомнились выступления Баранова из ФНС - для него после ухода из восьмерки как новый...

Подробнее…

Что такое безопасность в современном мире?!

...

Подробнее…

И вновь о безопасности МФУ

В 2009-м году, в книге "Мифы и заблуждения информационной безопасности" я развенчивал миф №31 "Принтеры не надо защищать". В 2011-м году я вновь вернулся к этом вопросу, рассмотрев его под прицелом аутентификации на принтерах. И вот снова... На этот раз хочется обратиться к теме безопасности принтеров под соусом оценки их соответствия требованиям безопасности. На прошедшем Инфобезе Лютиков Виталий Сергеевич заявил, что ФСТЭК постепенно отходит от сертификации по ТУ и для этого планирует выпустить новые РД. Но РД по принтерам у нас нет... А вот...

Подробнее…

Как я все успеваю!

...

Подробнее…

Запись выступления с DLP Russia 2012

Вот еще запись моего выступления; на этот раз с DLP Russia 2012. Саму презентацию я выкладывал раньше. ЗЫ. Скоро также будут выложены записи с Yandex another Conference и UISGCON....

Подробнее…

Запись блоггер-панели по ПДн

Многие уже посмотрели, наверное, эту запись блоггер-панели. Но почему бы и не повторить ;-) ЗЫ. Спасибо Алексею Никитенко за запись. ЗЗЫ. Прошу прощения у коллег за свое поведение, выразившееся в постоянном отвлечении на работу со смартфоном. Тем самым могло показаться, что я выразил неуважением к тем, кто выступал и слушал. Это не так. Просто я в этот день улетал в Киев и надо было решить срочные вопросы ;-( Меня оправдывает только то, что я слушал и все слышал и при необходимости подключался с комментариями. В следующий раз не допущу повтора...

Подробнее…

Презентация с UISGCON по моделированию сетевых угроз

В прошлую пятницу выступал по приглашению на киевской UISGCON. Впечатлениями поделюсь позже, а пока выкладываю свою презентацию, посвященную моделированию угроз сетевой инфраструктуры. Моделирование угроз сетевой инфраструктуры from Alexey Lukatsky...

Подробнее…

Ветер перемен надул нам железный занавес?

В мае, на PHD я выступал на тему "Как выборы Президента России влияют на рынок информационной безопасности или куда движется регулирование ИБ". И вот на прошлой неделе, выступая на CIO Congress "Болдинская осень" в Нижнем Новгороде, я решил сделать продолжение этой темы, проанализировав те нормативные акты, которые были приняты с мая этого года, или которые могут быть приняты в самое ближайшее время. Получилось еще занятнее ;-) Никакой секретной информации - почти все из моего же блога. Но когда на это смотришь растянуто во времени, выглядит...

Подробнее…

Мои презентации с Инфобезопасности

На прошлой неделе я выступал на Инфобезопасности в трех секциях - по безопасности АСУ ТП, организованной Элвис+, по облакам и блоггер-панели, организованной Михаилом Емельянниковым. По облакам я никаких презентация не готовил, поэтому и выкладывать мне нечего. А вот по безопасности АСУ ТП и по панели презентации выкладываю. На круглом столе по АСУ ТП я делал краткий обзор стандартов безопасности АСУ ТП и анализировал их применимость для российских реалий. Стандарты безопасности АСУ ТП и их применимость в России from Alexey Lukatsky ...

Подробнее…

Если вас взломали, то это еще не значит, что вам нельзя помочь!

Вчера Group-IB выпустила инструкцию по реагированию на инциденты, связанные с системами дистанционного банковского обслуживания, созданную для обучения основам реагирования на случаи мошенничества в системах интернет-банкинга и нацелен на минимизацию рисков при подобных инцидентах.Мне посчастливилось быть рецензентом этого документа и поэтому я решил про него написать. Но не про сам документ, а про его область применения. В Facebook началось активное обсуждение инструкции и практически все критические замечания скатываются к двум вещам - бизнес...

Подробнее…

А у вас есть лицензия на гостайну? Нет?! Может пора задуматься?

Кто помнит эпопею с лицензированием деятельности в области шифрования, то картина выглядела примерно так. Многие годы ФСБ была сторонницей позиции, что лицензия на деятельности в области криптографии нужна всем, кто имеет хоть какое-нибудь отношение к шифровальным средствам. Будь-то разработка, распространение, обслуживание и т.д. и т.п. И выражалось это в различных официальных письмах, которые ФСБ писала на запросы разных ассоциаций и организаций. В 2011-м году ситуация поменялась - законодатели приняли ФЗ "О лицензировании отдельных видов деятельности",...

Подробнее…

Моя презентация по BYOD с конференции Яндекса

Вчера выступал на конференции Yandex another Conference (YaC 2012), в секции по безопасности. Организаторы просили что-то не очень техническое, а скорее менеджерское. Вот и сваял презентацию про внедрение BYOD в корпоративной или ведомственной среде с точки зрения безопасности. На месте поначалу возник некий диссонанс, т.к. посетители явно отличались от заявленной целевой аудитории; превалировали молодые студенты и студентки, а также программисты и Интернет-стартапы. Думал тема будет им непонятна. Ан нет. В зале народ был (хотя я начинал аж в...

Подробнее…

Логика регуляторов и Постановление Правительства №940

На днях я писал про смысл (или его отсутствие) выпуска 940-го Постановления Правительства о порядке утверждения ассоциациями операторов ПДн моделей угроз. Смысл этого Постановления не только в том, что надо выполнить требования ст.19.3 ФЗ-152. Оно показывает то, как будет развиваться дальнейшая нормативка по ПДн. Возьмем 19-ую статью. Часть первая говорит, что оператор ПДн обязан защищать ПДн. Часть 2 перечисляет меры защиты. Часть 3 накладывает на Правительство обязанность установить уровни защищенности и требования по защите. Эту задачу решают...

Подробнее…