Ухожу в Новый год! Там и свидимся!
ЗЫ. Для тех, кого интересует, кто рядом со мной. Это мое альтер эго. А как вы думали, я пишу так часто и так много?! Без помощников никак ;-...
29.12.12
28.12.12
Прогнозы на грядущий год Змеи
Пришла пора поговорить и о прогнозах на грядущий год змеи. Тема эта благодарно-неблагодарная. Почему неблагодарная? Потому что предсказывается не то, что реально может произойти, а то, с чем неплохо знаком предсказатель. Вот пример сравнения предсказаний 7 различных вендоров по ИБ на 2012-й и 2013-й года. Разброс очень сильный. Поэтому буду говорить о более-менее ясных мне вещах, т.е. о законодательстве. Разумеется, это будут не 100%-е прогнозы,...
27.12.12
Чем мне запомнился 2012 год: часть третья, финальная
В финальной части анализа итогов 2012-го года с точки зрения информационной безопасности я хочу остановиться на двух моментах. Первый - это провал выстаовк по информационной безопасности и изменение формата проведения мероприятий по ИБ. Про провал (несмотря на победные реляции организаторов) Инфобеза и Infosecurity не писал только ленивый - повторяться не буду. Причин тут, на мой взгляд, несколько. И непонимание организаторами отечественного рынка ИБ (а может быть и нежелание инвестировать в такое мероприятие), и отсутствие продуктового рынка...
26.12.12
Чем мне запомнился 2012 год: часть вторая
Что еще было знаменательного в году уходящем? Регуляторы и нормативная база. Они уже стали притчей воязыцех и врядли в году Змеи перестанут свою деятельность; они вошли во вкус. 3-го декабря я уже приводил статистику за 2012 год - за этот месяц ситуация почти не поменялась, исключая появление проектов документов РКН по обезличиванию, проекта приказа ФСТЭК по ПДн, и рекомендаций ЦБ по выполнению 9-й статьи ФЗ-161 и рекомендаций НП НПС по применению электронных средств платежа. Так что усредненная цифра в 4 нормативных акта в месяц соблюдена и в...
25.12.12
Чем мне запомнился 2012 год: часть первая
Последняя рабочая неделя перед Новым годом. Пора подводить какие-то итоги и делать какие-то прогнозы. Но поскольку никаких серьезных новостей к концу года не предвидится, а к серьезной аналитике народ в предверии НГ тоже не готов, то растяну я свои "итоги" аккурат до конца недели. При этом не буду говорить ни о личных итогах (тут все супер), ни об итогах в Cisco (тут тоже офигенно). Поговорим об отрасли.
Начну, пожалуй, с относительно новой темы - борьбы с киберпреступностью. Мне эта тема напоминает то, что несколько лет назад происходило с DLP....
21.12.12
Сравнение четверокнижия, приказа 58 и проекта нового приказа по ПДн
Прочитал на DLP-Expert открытое письмо Геннадия Атаманова директору ФСТЭК с резкой критикой нового проекта приказа ФСТЭК. К сожалению, 40 страниц конкретных замечаний, о которых пишет Геннадий, я не видел, поэтому не буду обсуждать данное письмо. Скажу только, что я не согласен с оценкой, данной Геннадием. Я считаю, что новый проект не просто коренным образом отличается от всего предыдущего сделанног оФСТЭК, но и является серьезным скачком вперед,...
20.12.12
Dell покупает Credant, а Blue Coat покупает Crossbeam
18 декабря компания Dell анонсировала соглашение о приобретении компании Credant, известной своими решениями по защите данных (преимущественно шифрованию) на ПК, серверах, в системах хранения и облаках. Детали сделки не разглашаются. Могу сказать, что я пользуюсь продукцией Credant уже больше пяти лет и никаких нареканий и претензий к ней ней. Да и покупка Credant хорошо укладывается в стратегию и портфельный ряд Dell.
Днем ранее, 17-го декабря Blue Coat анонсировала приобретение компании Crossbeam. И вот тут ситуация сложнее. Во-первых, Blue...
19.12.12
Российские силовики проявляют недюжий интерес к банкам
Не хватало банкам контроля со стороны Росфинмониторинга, ЦБ, ФНС, Роспотребнадзора и Роскомнадзора, как внимание к кредитным организациям стали проявлять еще и российские силовики. Причем в тех вопросах, которые раньше как-то не попадали в прицел сотрудников банков; преимущественно региональных. Вот, например, какое письмо получил недавно один из банков:
"В соответствии с Федеральными законами Российской Федерации от 30.06.2003 года № 86-ФЗ "О...
18.12.12
Составлен список стран, адекватных с точки зрения персданных
Составление списка стран, с адекватной защитой прав субъектов ПДн, - это одна из больных тем законодательства о ПДн. Начиная с 2006-го года, вопрос о том, что же такое "адекватная" страна задается постоянно и до прошлогодней редакции ФЗ-152, никто не мог на него ответить. Я про него как-то писал даже. С июля 2011-го года эта обязанность легла на плечи Роскомнадзора, который и должен был составить соответствующий перечень стран.
В октябре на заседании Консультативного Совета при РКН мы обсуждали первый вариант соответствующего приказа, который...
17.12.12
Как РКН дело доброе делал
Все помнят (наверное), что я неоднократно (как минимум дважды) писал о том, что РКН готовится выложить в публичный доступ свои рекомендации по проверкам операторов персданных, которые он рассылает своим терорганам. Об этом мне говорили в РКН, но, к сожалению, дело так и не двигалось с мертвой точки. Внутренняя позиция РКН так и оставалась внутренней и операторы один на один сталкивались с позицией тероргана при проведении проверки.
В начале сентября я был в РКН, где совместно с Романом Валериевичем Шередиными и возникла идея о создании некоторой...
13.12.12
Как Роскомнадзор спамерам помогал
Есть такое требование ФЗ-152 - оператор должен уведомить РКН о начале обработки ПДн, а РКН должен внести такого оператора в реестр. Форма уведомления описана в приказе Роскомнадзора от 19 августа 2011 г. №706 "Об утверждении
Рекомендаций по заполнению образца формы уведомления об обработке (о
намерении осуществлять обработку) персональных данных", а сам реестр находится в открытом доступе на портале РКН. Это все присказка, сказка будет впереди...
11.12.12
Как строится защита государевых информационных систем в США
Идеология защиты государственных информационных систем строится достаточно очевидным, но не очень простым в реализации образом. Начинаем мы с анализа рисков, причем рисков различных - не только традиционных для ИБ. Мы должны определить как стратегические, так и тактические. Это нечасто описываемый в деталях этап, но он самый важный, т.к. позволяет оценить те ограничения, в которых будет строиться система защиты в организации. Причем защита не сферического...
7.12.12
Cisco SecCon: постскриптум или почему так важен SDLC
Сегодня закончился второй день конференции SecCon, о которой я начал писать вчера. Основным лейтмотивом мероприятия была защита кода во всех ее проявлениях и на всех стадиях его жизненного цикла - начиная от разработки и тестирования и заканчивая обучением специалистов. При этом, как я уже писал, хотя мероприятия было рассчитано на сотрудников Cisco (собралось человек 300-350), выступали с докладами представители разных компаний. Если не брать в...
6.12.12
Citrix покупает Zenprise
5-го декабяря Citrix подписал соглашение о покупке Zenprise, компании являющейся одним из лидеров MDM-сегмента. Детали сделки не разглашаются. Цель сделки понятна - рынок средств управления мобильными устройствами растет, интерес к MDM со стороны заказчиков также возрастает - Citrix решила застолбить место в первом ряд...
НДВ, SDLC, fuzzing и всякое такое
Нахожусь я сейчас на ежегодной конференции Cisco SecCon 2012, которая как и всегда посвящена совершенно различным аспектам обеспечения информационной безопасности. О прошлогодней конференции я уже писал; теперь обращусь к тому, что говорилось на этой (в первый день).Тон задала Reeny Sondhi (фиг знает, как индийские имена переводятся на русский), директор по качеству безопасности продуктов EMC.
Она рассказывала о проблемах с качеством безопасности...
5.12.12
Какие системы сертификации существуют в США?
Аккурат сегодня закончил я прохождение обучения на тему оценки соответствия средств защиты по различным международным системам сертификации. Как это ни странно, но лидером по числу систем сертификации являются США - у них существует 4 системы сертификации:
FIPS 140 - проверка корректности реализации криптонрафических характеристик. Признается она, помимо США, еще в Великобритании и Канаде. По своей сути схожа с тем, что организует у нас ФСБ, но...
4.12.12
Кто кого и кто под кем?
На прошлой неделе довелось мне слушать Джона Пескаторе, вице-президента Gartner, руководителя всех исследований Gartner по информационной безопасности. Сам доклад был достаточно интересным, но хотелось бы мне коснуться только одного из его моментов. Его спросили о том, каковой должна быть подчиненность руководителя ИБ? Должен ли он быть под CIO или лучше использовать другие варианты?
Ответ на вопрос, который часто задается и на отечественных мероприятиях (а лет 5-6 назад я даже вел круглый стол на эту тему), был универсальным и многозначительным,...
3.12.12
Статистика по российскому законодательству за второе полугодие 2012 года
Летом я уже публиковал статистику по принятым, принимаемым или готовящимся к принятию нормативным актам. Прошло полгода - пришло время обновить цифры. Картина получается следующая.
Тенденция выноса темы ИБ на уровень Федерального закона или Постановления Правительства сохраняется.
Сфера применения нормативных актов делится достаточно условно, но в целом, основные требования касаются потребителей (банки, участники НПС, операторы связи и т.д.)....
Подписаться на:
Сообщения (Atom)
