Анализ качества ПО: международный опыт (презентация с РусКрипто)

Вчера на РусКрипто делал презентацию по обеспечению качества ПО с точки зрения ИБ и международного опыта. Учитывая выделенных 12 минут на доклад, особо много не писал - скорее пробежался по опыту ведущих ИТ-компаний, занимающихся данной задачей. Обеспечение качества ПО: международный опыт from Alexey Lukatsky...

Подробнее…

Тенденции рынка ИБ с 2008 по 2013 годы

Сегодня у меня 2 выступления на РусКрипто - на секции по глобальным системам противодействия компьютерным атакам и на секции по анализу кода. Времени писать что-то не было, поэтому решил разместить 6 картинок, иллюстрирующих ежегодные тенденции в области ИБ, о которых говорилось на последней RSA Conference. Нельзя сказать, что этот анализ является репрезентативным на 100%. Но если уж рассматривать RSA Conference, как зеркало мировой ИБ-индустрии,...

Подробнее…

Что нас ждет с точки зрения персональных данных в ближайшее время?!

Сегодня на одном закрытом мероприятии читаю презентацию по ключевым планируемым изменениям в области законодательства о персональных данных. Но сама презентация ничего секретного не содержит, поэтому выкладываю. Ключевые планируемые изменения законодательства по персональным данным from Alexey Lukatsky...

Подробнее…

Почему пентесты все равно не помогут или зачем в ИБ нужна поведенческая психология?!

В среде некоторых специалистов по ИБ до сих пор бытует мнение, что информационная безопасность - это прежде всего технологии и именно от них зависит уровень защищенности современного предприятия; мол, именно техника первична, а все остальное вторично. В этом плане хотелось бы напомнить классический тезис о том, что безопасность системы равна безопасности самого слабого звена. А им является пресловутый человеческий фактор. Какие бы не были замки, достаточно оставить ключ под ковриком, и вся безопасность пойдет коту под хвост. Почему же пользователи...

Подробнее…

1 сентября в отрасли ИБ может наступить коллапс...

1-го сентября в России начинается учебный год. Каждый год. Образовательные учреждения, готовящие специалистов по информационной безопасности, исключением не являются и каждый год они открывают свои двери будущим или уже состоявшимся специалистам, желающим повысить свою квалификацию по той или ной теме. Образование в области ИБ в России, как известно, делится на два больших направления - высшее профессиональное и дополнительное профессиональное (обычно послевузовское). Так уж сложилось, что первое есть не у всех - в России тему ИБ преподают не...

Подробнее…

Tripwire покупает nCircle

Одна из старейших компаний на мировом рынке ИБ, американская Tripwire, известная изначально своими решениями по контролю целостности, а потом вышедшая в ряд новых сегментов (управление конфигурацией, обнаружение атак, расследования инцидентов, анализ защищенности и т.д.), покупает также американскую nCircle, активино работающую в сегменте управления информационными рисками. Детали сделки не разглашаютс...

Подробнее…

Презентация по 21-му приказу ФСТЭК по ПДн

В пятницу на вебинаре RISSPA рассказывал о новом приказе ФСТЭК по ПДн. Выкладываю презентацию: New fstec order for pd from RISSPA Презентация с аудиосопровождением доступна по ссылке на Webex. Хотелось бы ответить на 3 вопроса, которые возникли в ходе мероприятия, на 2 из которых я не смог сразу ответить, а на 1 хоть и ответил, но все равно потом задавались наводящие вопросы. Итак, по порядку: Где в приказе говорится про средства борьбы со спамом? Это ОЦЛ.4 (стр.53 презентации). Где в приказе говорится про DLP-решения? Это ОЦЛ.5 (стр.53...

Подробнее…

Базель II все-таки становится обязательным для банков?!

Не так чтобы активно и публично, но в законодательство "О банках и банковской деятельности" вносятся свои коррективы. Одним из последних событий, стало появление на сайте Правительства России его поправок к законопроекту "О внесении изменений в федеральные законы "О банках и банковской деятельности" и "О Центральном банке Российской Федерации (Банке России)". Они достаточно объемны, но к нашей тематике относятся следующие изменения: Кредитная организация, банковская группа и банковский холдинг обязаны будут ежеквартально публиковать информацию...

Подробнее…

Обновление программы курса по персданным

Новые изменения в версиях 4.8, 4.9, 5.0 и 5.1 курса по персданным (оказалось, что давно не выкладывал обновления программы): Законодательство Законопроект о штрафах за нарушение ФЗ-152 Законопроект Аксакова по внесению изменений в ФЗ о банках и ГК РФ в части ПДн Постановление Правительства №940 об отраслевых моделях угроз Постановление Правительства №1119 по уровням защищенности и требованиям по безопасности Проект Постановления Правительства по надзору в сфере обработки ПДн Проект методических рекомендаций РКН по обезличиванию Приказ ФСТЭК...

Подробнее…

Возможен ли в России цифровой суверенитет

В последнее время в определенных кругах очень часто  звучит такой термин как "цифровой суверенитет России", т.е. самостоятельность и независимость в сфере информационно-коммуникационных технологий (ИКТ). Быть суверенным государством - это право решать контролировать свои внутренние дела и оно ни у кого не вызывает вопросов (исключая отдельные случаи международного вмешательства). Наряду с государственным суверенитетом существует еще и национальный, т.е. право нации на самоопределение. Но имеет ли право на жизнь термин "цифровой суверенитет"?...

Подробнее…

Моя презентация с конференции "Безопасность КВО ТЭК"

Вчера прошла конференция "Безопасность в КВО ТЭК", организованная АИС. Хорошее мероприятие - новое на российском рынке ИБ. Потому и интерес вызвало со стороны отрасли - аудитория в зале сидела интересная - действительно те, кто отвечает за безопасность, в т.ч. и индустриальных систем. Меня просили сделать краткий доклад на тему стандартов Североамериканской электрический корпорации (NERC) по информационной безопасности критических инфраструктур (CIP). Но я чуть расширил тему, рассмотрев общие вопросы ИБ в американской электроэнергетике. ...

Подробнее…

Что нас ждет в части нормативки по ИБ в ближайшие 9 месяцев

Вчера я выступал на IDC IT Security Roadshow, куда меня пригласили рассказать о том, что ждет российских специалистов по ИБ в обозримое будущее. Т.к. времени было немного (всего 25 минут), то пришлось ужиматься и коснуться только наиболее важных и касающихся большинства специалистов тем - ПДн, НПС, государственные информационные системы и КВО. Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода? from Cisco Russia&CIS Кстати, если вам интересно узнать, что же написано в финальной версии приказа ФСТЭК по персданным,...

Подробнее…

Кому нужно ломать приложения для мобильного банкинга? Никому!

Не смог не запостить еще и сюда ;-) Идет в LinkedIn дискуссия. Одна из многих. Местами жаркая. Обсуждаем, как водится, технический подход к ИБ и бизнес-подход. Доходит дело до отчета Digital Security о безопасности приложений для мобильного банкинга. И Илья Медведовский делает такое заявление: "Что касается мобилок, то в самих мобильных банкингах масса проблем и их актуальность на практике мне очевидна. Сидя в чужой WiFi сети, делаешь перевод Васе, а деньги уходят Пети и всего делов - и никакой конопли не нужно :). И никакого тут FUDа впомине...

Подробнее…

Америка не готова к кибервойне

Именно такой вывод делают американские эксперты, в течение 18 месяцев изучившие возможности американского МинОбороны в части возможностей противодействия киберугрозам. Но обо всем по порядку. В январе был опубликован частично рассекреченный отчет "Resilient Military Systems and the Advanced Cyber Threat" (скачать), в котором группа экспертов, проводившая исследование американских способности по отражению кибератак, сделала вывод, что несмотря на...

Подробнее…

Обновление программы курса по защите информации в НПС

Обновил программу курса по НПС. В текущей версии 1.7 добавлены следующие темы: Новая форма отчетности 0409258 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт» и порядок составления и представления отчетности по форме 0409258 Новости регулирования от ГУБЗИ и ДРР (по итогам Магнитогорского форума) Уточненные планы развития СТО БР ИББС на 2013 год Краткие результаты по собранной 203-й отчетности Письмо №34-Т по безопасности банкоматов Письмо №172-Т о рекомендациях по вопросам применения статьи 9 ФЗ-161 Новости...

Подробнее…

Очередные размышления о лицензировании деятельности по ТЗКИ

Перечитывая в очередной раз ПП-1119 наткнулся на один абзац, который заставил меня в очередной раз задуматься о лицензировании деятельности по ТЗКИ. Хотя, казалось бы, после опубликования в прошлом году позиции ФСТЭК ситуация стала предельно понятной - лицензия на ТЗКИ нужна только в трех случаях: организация извлекает прибыль из деятельности по ТЗКИ деятельность по ТЗКИ прописана в уставных документах организации (в первую очередь, для некоммерческих) защита конфиденциальной информации в явной форме поручена ее обладателем организации (именно...

Подробнее…

О дуализме Центробанка в контексте банковской ИБ

Пока ехал вчера в метро с курсов по НПС, думал о дуализме роли Банка России в области информационной безопасности банковской среды. С одной стороны ЦБ нередко закручивает гайки в части установления требований по ИБ. "Хорошим" примером этого является п.2.13.1 положения 382-П Банка России, согласно которому кредитная организация обязана ежемесячно направлять оператору платежной системы информацию об инцидентах ИБ. Ну должна и должна, в чем проблема-то? А в том, что кредитная организация должна слать такие отчеты ежемесячному КАЖДОМУ оператору платежной...

Подробнее…

Банк России обратил пристальное внимание на безопасность платежных карт

Про перевод стандарта PCI DSS под эгидой Банка России я уже писал (перевод осуществляется АБИСС). Это важная новость, последствия которой российским банкам еще предстоит познать. Но Банк России не стоит на месте и в конце прошлого года выпускает новое Указание 2926-У от 03.12.2013 «О внесении изменений в Указание Банка России от 12 ноября 2009 года № 2332-У «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации» которым вводит новые формы отчетности. Среди них...

Подробнее…

Об анализе качества кода системно и архитектурно

К теме анализа качества кода я уже обращался неоднократно и буду и дальше эту тему поднимать. Но все это эпизодические вкрапления, несвязанные в единое целое. Как должен выглядеть процесс создания качественного кода у разработчика или у потребителя, имеющего собственное подразделение по разработке? Картинка достаточно "проста" ;-) Она отражает все необходимые аспекты, которые надо учитывать при разработке качественного, надежного и безопасного...

Подробнее…

Писателям сплойтов посвящается...

В последнее время очень много говорится об ответственности бизнеса за надежность своей ИТ-инфраструктуры и ее безопасность. Мол, найдена уязвимость на сайте, надо срочно устранять, а то ай-яй-яй, какие последствия наступят! КАКИЕ? Это первый вопрос, который задает бизнес. При это любые глубокомысленные заявления о репутации, о серьезности ущерба, о важности последствий, фразы "ну вы же все понимаете" ни к чему не приводят. Бизнес не понимает. Не потому, что он дурак, а потому что он понимает только вопрос денег (утрирую немножко, конечно). Покажите,...

Подробнее…