23-го июля Президент подписал закон 251-ФЗ "О внесении изменении в некоторые законодательные акты Российской Федерации в связи с передачей Центральному банку Российской Федерации полномочий по регулированию, контролю и надзору в сфере финансовых рынков". 300 с лишним страниц текста, суть которых заключается в том, что Банк России теперь становится мегарегулятором в области финансовых рынков. Помимо кредитных организаций и участников Национальной платежной системы (НПС) под контроль Банка России теперь попали организаций, осуществляющие деятельность:
профессиональных...
26.7.13
25.7.13
Так готова Россия к информационному противоборству или нет?
Про отношение к кибервойнам в РФ я уже писал неоднократно (тут, тут и тут). Сначала это было скорее негативное отношение. После активного вовлечения Рогозина и Шойгу в этот процесс появилась некоторая надежда. Сначала замначальника Генштаба выступил на последнем Инфофоруме с очень неплохим докладом, показывающим понимание проблемы. Потом появилась информация что одно Минобороны РФ объявило тендер на
исследования в сфере информационной безопасности. Среди прочего
вооруженные силы РФ заинтересовались "методами и средствами обхода антивирусных...
24.7.13
Cisco покупает Sourcefire
23 июля компания Cisco объявила о намерении приобрести американскую компанию Sourcefire, известную своими системами предотвращения вторжений и поддерживаемым open-source проектом Snort (IDS) и ClamAV (антивирус). Размер согласованной обеими сторонами сделки составляет около 2.7 миллардов долларов. Завершение сделки планируется во второй половине этого года. До завершения поглощения компании будут продолжать свою деятельность независимо друг от друга.
Учитывая не самую высокую распространенность Sourcefire в России и невысокую активность в области...
22.7.13
Финансовая эффективность программ Bug Bounty для разработчиков
О программах Bug Bounty слышали многие. Это программа финансового вознаграждения, получаемого независимыми исследователями, находящими уязвимости в программном обеспечении того или иного производителя. Такие программы есть у многих компаний - Facebook, Microsoft, Google, Avast, PayPal, Mozilla, Qiwi, Yandex. И это только верхушка айсберга - наиболее полный список приведен на сайте Bugcrowd.
Часто возникает вопрос, в чем смысл запуска такой программы? Зачем платить кому-то деньги, если можно нанять в QA-департамент грамотных исследователей, которые...
19.7.13
Мои статьи об оценке эффективности ИБ
За последнее время я опубликовал несколько статей об оценке эффективности информационной безопасности. И если вам сложно смотреть пятисотслайдовую презентацию, то вот вам несколько других ссылок на мои статьи, написанные в разные годы. Некоторые я даже не смог идентифицировать, для кого написаны ;-)
статья на GlobalCIO - "Что понимается под оценкой эффективности ИБ?" (2013)
статья в IT-Manager - "Как измерить безопасность рублем?" (2013)
публикация Cisco - "Информационная безопасность в условиях кризиса" (2009)
статья для Connect - "Подходы к...
17.7.13
Что ждет финансовую отрасль с точки зрения нормативного регулирования ИБ
Столкнула меня тут судьба с рядом новых проектов нормативных документов по информационной безопасности в финансовой сфере. Поделюсь некоторыми впечатлениями о них.
Первый блок новостей по СТО БР ИББС. Вопреки мнению некоторых коллег о том, что СТО (на фоне 382-П) не выживет и постепенно проиграет соревнование, могу сказать, что все не так. СТО развивается очень активно и вокруг него создается очень неплохое и перспективное нормативное окружение. Про проект Указания Банка России "Об определении угроз безопасности персональных данных, актуальных...
16.7.13
Разъяснение ФСТЭК по 17-му и 21-му приказам
Вчера под вечер ФСТЭК опубликовала информационное сообщение о том, как следует читать отдельные фрагменты 17-го и 21-го приказа, устанавливающие требования по защите персональных данных и государственных информационных систем. Я не буду пересказывать само сообщение ФСТЭК (оно достаточно понятно написано), а просто перечислю те вопросы, на которые оно отвечают (удалив бюрократическую шелуху и оставив простой человеческий язык):
Когда вступают в силу 17-й и 21-й приказы и надо ли переаттетсовывать ИС (АС), если они проходили аттестацию до вступления...
15.7.13
Лебедь, рак и щука информационной безопасности
Современные службы информационной безопасности (да и регуляторы заодно) сегодня стоят перед непростым выбором - как строить систему корпоративной (или ведомственной) защиты? Еще несколько лет назад такого выбора и в помине не было. Парадигма была проста - внутри злоумышленника быть не могло и поэтому защищаться надо было на периметре (и даже если он был, его можно было остановить на периметре); оборона должна быть эшелонированной; и конечно же,...
11.7.13
Чернильница бешеного принтера перед каникулами выплеснула напоследок...
Уже и не думал, что Госдума чем-то еще порадует в эту сессию, ан нет, порадовала. Целыми тремя своими инициативами.
В апреле Правительство направило в Госдуму законопроект "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления административной ответственности за нарушение требований о защите информации)". Его зарегистрировали под номером 260123-6. Идея проста - ввести два новых состава правонарушений по ст.13.12 КоАП.
Согласно предложениям теперь у нас будут наказывать за нарушение требований...
10.7.13
Новое указание Банка России по защите информации в НПС
1 июля Минюст зарегистрировал новое Указание Банка России №3007-У от 05.06.2013 года "О внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (текст в Консультант+). Изменений не так уж и много:
Вводится понятие инцидента, связанного с нарушениями требований к обеспечению защиты информации...
9.7.13
EMC покупает Aveksa
Вчера, 8-го июля, компания EMC объявила о приобретении частной компании Aveksa, еще одного лидера в области идентификации и аутентификации. Решения приобретенной компании вольются в состав RSA и, в частности, в состав решения Adaptive IAM. Детали сделки традиционно не раскрываютс...
8.7.13
Безопасность критических инфраструктур. Международные аспекты
Сегодня я выступал на Летней школе по проблемам глобальной безопасности, организованной ПИР-Центром. Сегодняшний день был посвящен вопросом кибербезопасности и меня пригласили выступить с рассказом о безопасности критических инфраструктур. Но так как участниками школы являются дипломаты, офицеры, другие государственные служащие, ученые-международники, журналисты, аспиранты из разных государств, то рассказывать им технические презентации о защите индустриальных систем я посчитал неправильным. Поэтому я сваял совершенно иную презентацию, рассказывающую...
5.7.13
А что думают в ФСТЭК и ФСБ о SmartTV и электронных весах с подключением к Интернет?
Позавчера мне-таки вручили на прошедшее с месяц назад день рождения наушники, при изучении которых оказалось, что они не только имеют собственное приложение в AppStore для управления ими с iPhone, но и еще за прошивкой ПО лезут в Интернет через подключенный телефон или ПК.
Вчера с коллегами в офисе зашел разговор о фитнес-браслетах, которые "сдают" всю информацию в облако и могут ее расшарить через Facebook. Потом плавно перешли на наполные весы,...
4.7.13
Мои критерии выбора участия в мероприятии по ИБ
Так случилось, что на сентябрь я получил 14 (!) приглашений выступить на различных мероприятиях в разных частях России, дальнего и ближнего зарубежья - Москва, Сочи, Лондон, Белокуриха, Нижний Новгород... Список впечатляет. И если раньше можно было спокойно выбраться на 5-6 мероприятий, то 14 - это перебор. Поэтому возникла идея составления критериев выбора мероприятий. Критерии озвученные Рустемом (тут и тут) интересны, но рассчитаны на спонсоров, к каковым я не отношусь.
В итоге родился вот такой список критериев:
Полезность для работодателя
Возможность...
2.7.13
Security for Dummies
Все, наверное, видели книжки из серии "для чайников" (for Dummies). На Западе это достаточно популярная серия, насчитывающая за сотню различных наименований по различным направлениям. Есть такие книжки и по теме информационной безопасности (это, кстати, неполный перечень - на Amazon есть еще). Но помимо платных изданий, существует практика выпуска и бесплатных книг, распространяемых в маркетинговых целях и спонсируемых той или иной компанией. Но при этом содержание в них вполне адекватное. Вот небольшой список таких книг:
IT Security for Dummies
Web...
1.7.13
Измерение эффективности ИБ (презентация с курса)
Ну что, опять понесем в массы свои семинарские выкрутасы ;-) На этот раз презентация с курса по измерению эффективности ИБ или, если быть точнее, вообще по измерениям в ИБ. Тема непростая, скользкая, но интересная. А главное, модная ;-) Кто-то скажет, что профанация. Кто-то, что ничего нового. Для кого-то материал будет либо полезным, либо даст толчок к размышлениям и новым идеям. Поэтому и выкладываю.
Развивать тему планирую активно. Идей уже немало. Буду добавлять больше практики и конкретных расчетов. Вообще, этот блог 6 лет назад затевался...
Подписаться на:
Сообщения (Atom)
