28.6.13

Этих людей ничего не исправит ;-(

Еду после семинара в метро. На Пушкинской захожу в вагон и, видя свободное место, хочу на него сесть. Но вдруг вижу под сиденьем бесхозный чемоданчик от инструментов. Первая реакция - отойду от греха подальше, что и делаю, отойдя к соседней двери. Над чемоданчиком садится какой-то мужчина. Потом вступает в игру натура безопасника и я иду к кнопке вызова, чтобы сообщить о подозрительном предмете машинисту. В этот момент вижу, как женщина, сидевшая напротив чемоданчика, говорит мужчине, что стоило бы нажать на кнопку вызова, находящуюся у него над...

Текущее значение индекса безопасности

Помните в 2011-м году я писал про индекс кибербезопасности, который отражает меру воспринимаемого экспертами риска ИБ. В мае значение было таким. ...

27.6.13

SilverSky покупает MSS-подразделение от StillSecure

5 июня американская SilverSky, занимающаяся облачной безопасностью, объявила о приобретении подразделения Managed Security Services от другой американской компании StillSecure. За счет этого приобретения SilverSky сможет предложить своим заказчикам теперь еще и услуги по облачному управлению логами и облачный WAF. Детали сделки не разглашаютс...

Malwarebytes покупает ZeroVulnerabilityLabs

20 июня Malwarebytes, известная своими решениями по борьбе с вредоносным кодом, купила небольшую калифорнийскую компанию ZeroVulnerabilityLabs, малоизвестную в России и занимающуюся исследованиями и разработками в области угроз и уязвимостей. Детали сделки не разглашаютс...

Управление информационными потоками: с чем его едят?

Есть у нас в 17-м и 21-м приказах ФСТЭК такая защитная мера как УПД.3 и звучит она как "Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами". Для среды виртуализации есть требование аналогичное - ЗСВ.4 - "Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная...

25.6.13

8-й Центр ФСБ. Размышления на тему.

Незапланированный пост. Под впечатлением участия в CTCrypt в Екатеринбурге. Хорошее мероприятие, интересное. Изначально было ориентировано на общение криптографов из научной и академической среды. В этом году попытались включить еще и "общественность", т.е. понять и услышать потребности бизнеса и общества в современной криптографии. Чем может помочь регулятор и научная среда в части криптографии?.. Первый опыт. Получилось динамично, хотя и не до конца это оказался круглый стол, как было заявлено ;-) Язык не поворачивается назвать его круглым,...

Почему я не завидую ФСТЭК: аттестация облачного оператора ГИС

Про 17-й приказ ФСТЭК пока мало кто пишет, привыкая пока к 21-му приказу того же регулятора. Я же хочу сразу погрузиться в глубины 17-го приказа и рассмотреть одну тему, которая всплывет у многих государственных и муниципальных органов, которых силком загоняют в облака Ростелекома. Но пока начну с прелюдии. В 13-м пункте приказа №17 перечислены следующие защитные мероприятия: формирование требований разработка системы защиты внедрение системы...

24.6.13

Безопасность облаков. Просто? А вот фиг!

Все как сговорились и все пишут и пишут про безопасность облаков, про то, как это легко сделать на той-то или иной платформе. Правда, рассматривают этот вопрос почему-то с точки зрения облачного провайдера и только с технологической точки зрения. Обычно все приводят примерно такую схему и начинают ее обсуждать. А вот в IaaS можно сделать так и активно задействовать механизмы защиты на уровне виртуализации. А вот в PaaS мы можем на приложения возложить...

20.6.13

Ах, обмануть меня не трудно, я сам обманываться рад...

Normal 0 false false false RU X-NONE X-NONE ...

19.6.13

Обновление программы курса по оценке эффективности ИБ

Обновил программу курса по оценке эффективности ИБ. В текущей версии 1.6 добавлены следующие темы: Процесс измерения эффективности ИБ по NIST SP800-55 Связь ИТ/ИБ-задач с целями бизнеса по COBIT Метод оценки (сравнения) двух и более средств защиты информации Метрики оценки средств аудита ИБ 6 причин защиты информации Оценка возможностей, которые дает ИБ Связь курсовой стоимости акций с инцидентами ИБ Финансовые методы оценки ИТ/ИБ (TVO, TEI, REJ, EVA, EVS, CI, IE, AIE) Конкретные примеры оценки эффективности проектов/продуктов по ИБ (удаленный...

18.6.13

Повышение осведомленности по вопросам SDLC: один из примеров

Про SDLC я писал неоднократно. И про повышение осведомленности тоже. И вот решил совместить ;-) Выложу несколько наших плакатов, которые направлены на формирование у разработчиков правильных мыслей о безопасном ПО. ...

Бизнес-модели в деятельности безопасников

На казанском IT & Security Forum читал вот такую презентацию. Она продолжила тему альтернативного курса по ИБ, которую я начал в своей утренней презентации и которую выложил вчера. Не могу сказать, что тема раскрыта даже на 25%. Это скорее некоторое направление для размышлений и дальнейшей работы. Из презентации полностью исключена тема собственного развития безопасника, его карьерного роста и используемых для этого различных моделей. Возможно эту тему подхватит Андрей Прозоров, который активно в своем блоге драйвит тему личностного развития. ...

17.6.13

Очередной законопроект по персданным

В пятницу, когда прогрессивное человечество находилось в Казани на IT & Security Forum, депутаты, одновременно с рассмотрением вопроса о запрете орального секса в России, приняли во втором чтении законопроект № 47538-6 "О внесении изменений в подраздел 3 раздела I части первой Гражданского кодекса Российской Федерации". Идея у законопроекта красивая - обновить и привести в соответствие с реалиями Гражданский Кодекс. С этой целью и была затеяна еще при Медведеве эта эпопея и вот ее продолжение. Вносили его в апреле прошлого года и никаких...

Кто такой новый ИБшник?!..

Тема некачественного обучения по вопросам ИБ поднималась уже неоднократно; и у меня в блоге и на различных мероприятиях. Искать и изучать причины сейчас бессмысленно - лучше подумать над тем, как ситуацию изменить. Как сделать так, чтобы выпускники ВУЗов получали востребованные на практике знания, а не устаревшие и теоретические сведения, которые скорее мешают, чем помогают при выборе своего пути и своей профессии. Повлиять на Министерство образования я не могу. Да и не горю желанием погружаться в эту клоаку подковерных игр и конфликтов интересов....

14.6.13

Какую тему выбрать для диплома по ИБ?

Нашел тут старую презентацию 2010-го года, которую я читал на заседании УМО вузов по информационной безопасности. Она рассказывает о ключевых направлениях развития исследований в области ИБ в России и в США. Так как нередко мне задают вопрос или я вижу на тематических форумах вопросы: "Какую тему выбрать для диплома по ИБ?", то вот вам на выбор ;-) Будущие исследования ИБ from Alexey Lukatsky...

13.6.13

Почему мы никак не дождемся от 8-го Центра ФСБ моделей угроз ПДн?

Давайте взглянем на ст.19 ФЗ-152 в разрезе определения угроз безопасности персональных данных. В соответствие с п.1 ч.2 ст.19, это то, с чем начинается процесс обеспечения безопасности ПДн. Кто может определять такие угрозы? В соответствие с частью 5 той же статьи 19 могут это делать только: Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной...

11.6.13

8 типов шифровальных средств, существующих в России!

Продолжу тему ликбеза по криптографии с точки зрения нормативного регулирования. Почти 4 года назад в рамках написания книги "Мифы и заблуждения информационной безопасности" я опубликовал миф №50 "В нашем шифраторе мы используем ГОСТ 28147-89 и поэтому чисты перед законом". Но до сих пор бытует мнение, что если взять и реализовать ГОСТ, то это решит все проблемы с легальностью применения шифровального средства. Ни фига! Важно учитывать, кто и где...

10.6.13

4 ветви регулирования криптографии в России

Про регулирование криптографии я уже писал неоднократно. И специализированные семинары проводились тоже неоднократно. И в рамках других выступлений и курсов я про это тоже говорил неоднократно. А вопросы всплывают постоянно. Долгие годы. И все без официального ответа. Складывается такое впечатление, что 8-му Центру ФСБ и ЦЛСЗ выгодна такая ситуация и они делают все, чтобы у потребителей и дальше была полная сумятица в голове относительно того, что...