Декабрь планируется стать очень насыщенным в плане подготовки и выпуска нормативной базы по ИБ. Видимо в Новый год мы войдем с целым пакетом нововведений по части защиты персональных данных, защиты данных платежных карт, обезличивания ПДн, борьбы с мошенническими действиями в ДБО. Но обо всем по порядку. Про документы ФСТЭК известно, что их проект приказа по защите ПДн в ИСПДн должен быть опубликован к 7-му декабря на сайте регулятора. Работа сейчас ведется очень напряженная; особенно в контексте сюрпризов с НДВ, новой классификацией и уровнями...
30.11.12
27.11.12
Как идентифицировать критичные активы в индустриальных сетях?
Один из первых шагов при построении системы защиты - идентификация (классификация) объекта защиты. Это и в обычной системе не так просто, а уж в индустриальных системах и подавно. Выбрать все - это крайний вариант, но слишком уж дорогостоящий, а местами и чреватый (поставишь систему защиты, а она заблокирует какое-нибудь важное управляющее воздействие). Поэтому надо уметь отделять действительно критические элементы индустриальных систем (ICS), от...
26.11.12
Новая версия курса по безопасности НПС
В новую версию курса по безопасности НПС (1.5) вошли следующие темы:
Методические рекомендации по реагированию на инциденты от Group-IB и ее сравнение с методическими рекомендациями НП "Национальный платежный совет" и АРБ
Проект нормативного документа Банка России по безопасности банкоматов
Письма Банка России №120-Т по безопасному использованию платежных карт и №154-Т по раскрытию информации об основных условиях использования банковской карты и о порядке урегулирования конфликтных ситуаций, связанных с ее использованием
Официальный перевод...
23.11.12
Как Минкомсвязи защищает мои персональные данные
Министерство связи и массовых коммуникаций является головным органом в части выработки и реализации государственной политики и нормативно-правового регулирования в сфере персональных данных. Кому как ни ему знать, как надо защищать персональные данные. И вот, после изучения того, как отечественные госорганы обращаются с персданными российских граждан, я написал ряд запросов с просьбой ответить, как тот или иной госорган защищает мои персональные...
22.11.12
Как будет строиться защита ПДн по версии ФСБ?
Пока эксперты начали осмысливать вчерашнее информационное сообщение ФСТЭК "Об
особенностях защиты персональных данных при их обработке в информационных
системах персональных данных и сертификации средств защиты информации,
предназначенных для защиты персональных данных" от 20 ноября 2012 г. № 240/24/4669, я позволю себе обратиться к области регулирования ФСБ и посмотреть на то, как могут транслироваться требования ФСБ по части применения шифровальных...
21.11.12
А вы готовы жить в новых условиях? А если подумать?
Регуляторов ругают все и на каждом углу. Это модно и даже как-то несолидно поддерживать наших многочисленных регуляторов по информационной безопасности. Пусть их. Давайте поглядим в будущее? 31 декабря 2012 года. Без одной минуты полночь. Подавшись порыву, вы пишете заветное желание "Чтобы в новом году не было регуляторов" на бумажке, сжигаете ее и под бой курантов запиваете образовавшийся пепел шампанским.
И, о, чудо, после новогодних праздников Президент подписывает указ о том, что все коммерческие организации предоставлены сами себе в деле...
20.11.12
Стандарт PCI DSS в контексте Национальной платежной системы
Взял на себя смелость опубликовать эту новость, т.к. она достаточно важен на мой взгляд. Помните картинку из заметку про будущее НПС? В ней блок платежных карт был выделен в отдельное направление регулирование. Очевидно, что отдельной ветвью регулирования должна была стать и информационная безопасность денежных переводов с помощью платежных карт. У ЦБ же кроме писем 120-Т и 154-Т на эту тему по сути ничего и не было; что отчасти и логично - Банк России не занимается платежными картами. Зато у нас был стандарт PCI DSS от соответствующего совета...
16.11.12
Как бороться с угрозами НДВ?
Давайте попробуем поразмышлять. Как можно бороться с угрозами недекларированных возможностей на уровне прикладного и системного ПО? Я вижу несколько вариантов:
внедрение приемов "защищенного" программирования (SDLC)
проверка исходных кодов на предмет НДВ с помощью автоматизированных инструментов (Appercut, Fortify или отечественные сканеры исходных кодов)
проверка исходных кодов на предмет НДВ с помощью специализированных компаний (Positive Technologies, Digital Security и т.п.) или в рамках сертификационных испытаний ФСТЭК/ФСБ/МО
услуги по анализу...
Срок выхода новых документов ФСТЭК и ФСБ по персданным
В блогосфере и Facebook все постоянно задаются одним вопросом. Когда же выйдут приказы ФСБ и ФСТЭК, устанавливающие требования по защите персональных данных? Когда же наконец станет понятно, что имелось ввиду в ПП-1119? Когда же определится, кто может определять актуальность угроз и можно ли угрозы НДВ считать неактуальными?
Согласно распоряжению Правительства, последовавшего за ПП-1119, документы ФСТЭК и ФСБ должны появиться к концу ноября-началу декабря. Какое-то время уйдет на их регистрацию в Минюсте, но в Новый Год мы должны войти уже с...
15.11.12
Исследование оценки соответствия средств защиты информации в России
Заканчиваю я исследование вопросов оценки соответствия средств защиты информации. Тема регулярно всплывает на разных мероприятиях, в разных блогах и статьях. Куча вопросов по ней, куча нюансов, куча заблуждения. Поэтому решил свести все воедино и постараться ответить на многие из возникающих неопределенности. Не могу сказать, что расставлю все точки над i, но попробовать стоит. Более того, скорее всего мой взгляд на это врядли будет поддержан регуляторами. Но коль скоро от них на тему оценки соответствия так ничего и не появилось за почти 20 лет...
14.11.12
Выложил бриллиант своей библиотеки
22 октября я написал про проект концепции защиты информации в системах обрработки информации, разработанный ФСТЭК в 92-м году. Наконец-то я отсканировал этот документ и выкладываю его для всеобщего доступа (он большой - 11 Мб).
Проект концепции развития защита информации в системах обработки информации from Alexey Lukatsky...
13.11.12
Crossbeam лег под инвестиционный фонд, купивший Crossbeam с потрохами
Давно что-то не писал я про сделки на рынке M&A. А тут подвалило.
EMC подписала соглашение о покупке Silver Tale Systems, которая занимается решениями по мониторингу и анализу Web-поведения; особенно в контексте обработки Больших Данных. Данная компания вольется в состав RSA, а ее продукты войдут составной частью RSA Identity Protection and Verification. Детали сделки не разглашаются, но само по себе событие знаковое, которое знаменует собой начало интереса применения средств информационной безопасности применительно к Big Data (Большим Данным)....
12.11.12
Доступ с мобильных устройств и регуляторы
Про доступ с мобильного устройства в контексте обработки персональных данных я уже писал. Коллеги в комментариях считают, что я трактую ПП-1119 неверно и речь там идет только о помещениях, в которых ведется обработка ПДн. Вот в них должен быть реализован соответствующий режим доступа. А вот если обработка ведется вне какого-либо помещения, то и режима никакого не нужно. Тут, конечно, можно поспорить, что в самом ФЗ-152 говорится о сохранности ПДн...
9.11.12
Какие нормативные акты требуют оценки соответствия средств защиты информации?
Позавчера я проводил внутренний семинар по вопросам оценки соответствия. В рамках подготовки этого семинара провел краткий анализ действующего законодательства на предмет составления списка нормативных актов, которые говорят о необходимости применения средств защиты, прошедших ту или иную форму оценки соответствия. Собственно фрагмент презентации с этого семинара со списком нормативных актов и прикладываю. Возможно, что проведу публичный семинар на эту тему.
Нормативные акты, требующие оценки соответствия средств защиты from Alexey Lukatsky...
8.11.12
Как ФСБ дураком меня назвала - часть вторая
19 сентября я написал про то, как наши госорганы, стоящие на страже интересов российских граждан, заботятся об их персональных данных при взаимодействии через Интернет. Но это была только первая часть марлезонского балета. Помимо поста я направил запросы в Правительство России, в Минкомсвязь и в Администрацию Президента с простым вопросом - почему они не обеспечивают конфиденциальность персональных данных при взаимодействии с гражданами через Интернет....
7.11.12
Сравнение ПП-781 и ПП-1119
Вчера я прошелся по новому ПП-1119. В комментах нет ни одной позитивной оценки этого нормативного акта. Оно и понятно - все ждали чего-то другого. Ну не дождались ;-) Хотя огульно ругать и заявлять, что такого бреда давно не публиковалось легко. А вот предложить конкретные формулировки "как надо" пока никто не предложил (все только критикуют).
Ну да ладно. Подойдем к вопросу системно и сравним два постановления - отмененное 781-е и новое 1119-е. Я провел простое сравнение по требованиям и свел в их единую табличку. Итог однозначен - убрано больше...
6.11.12
Левая рука Правительства не знает, что делает правая или что принесло нам Постановление №1119
1-го ноября Правительство утвердило долгожданное Постановление №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". Про проект этого Постановления я уже писал в конце сентября и вот один месяц и мы имеем дело с утвержденным нормативным актом. Правда, вместо двух постановлений (по уровням защищенности и по требованиям безопасности) Правительство выпустило одно, объединенное.
Но посмотрим на него чуть более внимательно. Начнем с того, что ПП-781 официально утратило силу,...
2.11.12
Олимпийский цикл CISO
Ехал тут с работы домой и слушал "Эхо Москвы", где обсуждали проблемы отечественного футбола. Ничего нового не сказали, но прозвучала интересная мысль о том, что одной из причин того, что наши футболисты находятся на задворках мирового спорта, является несоблюдение олимпийского цикла для главного тренера сборной России. Их слишком часто меняют - после 1-2 лет работы. При этом, для демонстрации каких-то позитивных результатов тренер должен проработать не менее 4-х лет, т.е. так называемый олимпийский цикл (между Олимпийскими Играми).
Суть цикла...
1.11.12
Международная информационная безопасность
Аккурат год назад на конференции "ИТ-Стандарт" я рассказывал о том, как вопросы ИБ решаются на международной арене. Когда я делал ту презентацию, мне казалось, что я указал почти все международные инициативы на тот момент. Оказывается нет. И хотя общее направление было указано верное, многие активности остались за пределами моего внимания. Посетив вчера мероприятие Центра политических исследований России (ПИР), я погрузился в совершенно иную среду....
Подписаться на:
Сообщения (Atom)
