Хроники Совета Федерации или как пишется Стратегия кибербезопасности

Сегодня мне довелось побывать на 3-м совещании в Совете Федерации, инициированном сенатором Русланом Гаттаровым и посвященном вопросам создания Стратегии кибербезопасности РФ. Тема безусловно важная, т.к. с момента выхода Доктрины ИБ прошло уже больше 10-ти лет и с тех пор многое поменялось - в поведении людей, в технологиях, в Интернет... Но как оказалось не поменялись только наши силовики, иначе как ретроградами после вчерашнего заседания я назвать не могу ;-(Как не хотелось опускаться на уровень терминологических споров в самом начале работы,...

Подробнее…

Поведение российских подростков в Интернет: уроки для служб ИБ

В прошлый четверг я писал об американском исследовании поведения молодежи в Интернет с точки зрения информационной безопасности. Было бы неправильно не рассказать и об отечественных исследованиях по данной тематике. В 2011-м году Факультет психологии МГУ, Федеральный институт развития образования и Фонд развития Интернет опубликовали большое исследование "Пойманные одной сетью: социально-психологическое исследование представлений детей и взрослых...

Подробнее…

А где установлена обязанность проводить анализ качества кода?

Анализ качества кода на Уральском форуме в Магнитогорске стал одной из самых актуальных тем - ему было посвящено целых 3 доклада и отдельные высказывания представителей ГУБиЗИ и ДРР Банка России. С точки зрения здравого смысла очевидно, что анализировать качество кода нужно. Это повышает стабильность, надежность и защищенность готового продукта. Но является ли это обязательным требованием или всего лишь пожеланием со стороны экспертов? Как это ни странно, но это является требованием не в одном, и даже не в двух нормативных актах. Начнем с СТО...

Подробнее…

Поведение молодежи в Интернет как угроза безопасности

Выражение "поколение Next" или "поколение Пепси" стало известным в 90-х - начале 2000-х годов и оно отражало совершенное новое поколение молодых людей, выросших в условиях полного отсутствия советской идеологии, в условиях перестройки, рыночных отношений и т.д. Сегодня появляется новый термин, отражающий очередную смену поколений. Это термин "поколение Y" или "millennial". Надо заметить, что в отличие от многих читателей этого блога, поколение Y...

Подробнее…

Американцы активизируют усилия по защите критически важных объектов

12 февраля президент США Барак Обама подписал очередной указ "Усиление кибербезопасности критических инфраструктур", который наметил ряд первоочередных задач по повышению уровня защищенности американских критических инфраструктур. Данный указ состоит из 6-ти направлений, которые будут реализовываться различными агентства и федеральными структурами: Координация усилий. Лишний раз уточняется, что все разрозненные спецслужбы и федеральные структуры, задействованные в процессе защиты критических инфраструктур, должны координировать свои усилия в...

Подробнее…

Завтра не умрет никогда. Поле биты - Интернет

В прошлый вторник по "Культуре" показывали документальный фильм "Завтра не умрет никогда. Поле битвы - Интернет". Я там давал интервью и побыл немного консультантом ;-) ...

Подробнее…

Уральский форум - впечатления

Вся прошлая неделя прошла под Магнитогорском на Уральском форуме по информационной безопасности банков. Мероприятие стало еще лучше. По многим показателям. Тут вам и деловая программа, и спортивная, и культурная. Даже метеорит в пятницу и то был ;-) Я свел все впечатления от деловой программы в одну презентацию, которую и выкладываю. 5 дней Уральского форума за 15 минут from Cisco Russia&CIS На Уральском форуме в последний день была у меня еще одна презентация, помимо  опубликованной выше. Назвалась она "Как стать известным специалистом...

Подробнее…

Обновление программы курса по защите информации в НПС

Обновил программу курса по НПС. В текущей версии 1.6 добавлены следующие темы: Требования ДИС Банка России по защите информации в системах ДБО Все нормативные требования по защите информации в системах ДБО (ФСТЭК, ФСБ, Банк России) Обновление списка операторов платежных систем Список операторов электронных денежных средств Планы развития СТО БР ИББС на 2013 год Планы развития требования по защите информации в НПС на 2013 год Рекомендации НП НПС о порядке использования электронных средств платежа Деятельность НП НПС в части уточнения работы с...

Подробнее…

Контроль качества ПО с точки зрения ИБ становится обязаловкой?!

Об анализе кода я писал не раз и даже спрогнозировал в конце прошлого года, что тема эта поднимется с колен и начнет свое победное шествие по миру. И дело даже не в том, что по другому очень сложно бороться с НДВ, которое так необдуманно было вставлено в ПП-1119, а в том, что этого требует современное состояние защищенности многих корпоративных приложений. Ведь не секрет, что абсолютное большинство атак реализуется уже не на сетевом, а на прикладном уровне. Еще в середине 2000-х я выступал с презентациями, в которых приводилась цифра 75% - именно...

Подробнее…

Какие нормативы регулируют защиту ДБО?

Позавчера на Инфофоруме, в секции по НПС звучало немало нелестных слов от банкиров, которых видимо уже достало увеличение числа нормативных требований по защите, которые навешивают на них регуляторы. Они хотели бы жить по западным правилам игры, когда особых требований к защите ДБО никто не предъявляет и каждый банк исходит из принципа разумной достаточности и экономической целесообразности. У нас же все иначе. Сегодня требований по безопасности...

Подробнее…

Как взломали один банк...

UPDATE : Вопрос частично разрулили. Служба ИБ банка отработала сигнал оперативно. Деньги должны вернуть! Что-то банковская тема не сдается и постоянно дает о себе знать. Вроде как еще вчера на секции по НПС была активная дискуссия на тему взаимоотношения банка, клиента и регулятора, а тут практическая ситуация ;-) Позвонила знакомая и сообщила, что ее счет в одном крупном банке взломали. Взломали очень интересно. Если дело было действительно так, как она описывала, то это верх разгильдяйства и непрофессионализма тех, кто выстраивал АБС. Ну и...

Подробнее…

Новая методичка Банка России по безопасности ДБО

Те немногочисленные посетители последней секции вчерашнего Инфофорума, посвященной защите дистанционного банковского обслуживания (ДБО), помнят доклад Андрея Щербакова, советника ДИС Банка России. Он анонсировал методические рекомендации по безопасности ДБО, разработанные ДИСом и Российской Академией Наук. Это было не только ново, но и неожиданно. Раньше ДИС не был замечен в этой области. Да и вопрос компетенции тоже сразу возник; все-таки это скорее...

Подробнее…

Промышленная безопасность != информационная безопасность?

Есть такой Федеральный Закон "О промышленной безопасности опасных производственных объектов" (116-ФЗ). Очень нужный закон, который устанавливает "правовые, экономические и социальные основы обеспечения безопасной эксплуатации опасных производственных объектов и направлен на предупреждение аварий на опасных производственных объектах и обеспечение готовности эксплуатирующих опасные производственные объекты юридических лиц и индивидуальных предпринимателей...

Подробнее…

Финализирована программа 5-го дня Уральского форума

Пару недель я писал, что я модерирую 5-й, последний день Уральского форума по банковской ИБ. Тогда я дума, что программа финализирована, но ситуация поменялась в лучшую сторону ;-) Впервые в истории Уральского форума презентационные доклады сменяются на практические, «живые» демонстрации того, с чем службам информационной безопасности приходится сталкиваться ежедневно в своей работе, а также того, о чем службам ИБ приходилось только слышать. Специалисты ведущих отечественных компаний, специализирующихся в практической безопасности, продемонстрируют...

Подробнее…

Два вебинара Cisco - по угрозам ИБ и по ввозу и использованию шифровальных средств

В ноябре 2011 года компания Cisco с успехом провела онлайн-семинар по вопросам импорта шифровальных средств, материалы с которого сразу стали популярны в среде специалистов по информационной безопасности, т.к. разъясняли непростые вопросы ввоза и применения шифровальных средств иностранного производства. За прошедшие почти полтора года ситуация с законодательством немного изменилась – какие-то процедуры ввоза шифровальных средств упростились, какие-то получили новое толкование, какие-то полностью поменялись. Аналогичные изменения коснулись и...

Подробнее…

Список мероприятий по ИБ на 2013 год

Решил обновить свой перечень мероприятий по ИБ на 2013 год. Получилось много. Особенно в марте - 10 мероприятий из них 9 в Москве. Обратите внимание на 13-е, 14-е и 21-е марта - по два, а то и три пересечения. Удачи организаторам пересекающихся событий ;-) В список попали те, что были в прошлогоднем списке, а также были добавлены новые мероприятия. Причем не все из них, по моему личному мнению, стоят того, чтобы их посещали. Часть мероприятий - это полный отстой, как в части контента, так и в части организации. Но я их все-таки решил включить,...

Подробнее…

Горизонт планирования кибервойн - 30 лет

Завершу эту неделю заметкой опять про кибервойны и деятельность России в этом направлении. Собственно вчера я уже написал про два заявления Рогозина по поводу активностей в области информационного противоборства и кибербезопасности. Сегодня стоит вспомнить про "русское DARPA", т.е. Фонд перспективных исследований, который был создан в конце прошлого года Указом Президента Путина. Согласно справке Государственно-правового управления Фонд будет преследовать пять основных целей: содействие научным исследованиям и разработкам для достижения новых...

Подробнее…