31.3.14

Кто все-таки будет отвечать за ИБ КВО - ФСТЭК или ФСБ?

Чуть больше недели назад в Москве прошла отличная конференция - "Безопасность КВО ТЭК", на которой обсуждались различные вопросы в такой горячей теме, как критически важные объекты. Не обошлось и без упоминания законопроекта "О безопасности критической информационной инфраструктуры", который я уже не раз упоминал в блоге и который сейчас находится на финальной стадии согласования перед внесением в Госдуму (в апреле должно состояться это знаменательное...

27.3.14

Как защищается China UnionPay?

Президент сегодня заявил, что Россия создаст свою национальную платежную систему, взяв пример с Китая (China UnionPay) и Японии (JCB), которые создав сначала чисто локальные платежные сервисы, затем расширили их до уровня международных. Собственно в данной заметке я хотел посмотреть на опыт JCB и CUP в контексте информационной безопасноти. С JCB никаких особенностей нет - на эту платежную систему распространяются требования PCI DSS. Более того, несмотря на не очень большой размер доли рынка, представитель JCB входит в исполнительный комитет...

Побуду рупором 8-го Центра :-)

Учитывая определенную закрытость ФСБ в целом и 8-го Центра в частности, решил на один день стать рупором этого регулятора, который вчера на РусКрипто озвучил ряд планов развития своих нормативно-правовых актов в области криптографии. Планов ровно 3: Новые требования к СКЗИ& Это, пожалуй, самое интересное для потребителей изменение. Тезисно: КВ1 - класс явно невостребованный. За последние 5 лет сертифицирована на КВ1 была всего одна СКЗИ. Поэтому этот класс, скорее всего, уберут из проекта новых требований к СКЗИ. 8-й Центр хочет наконец-то...

26.3.14

О риск-ориентированном подходе и статистике инцидентов ИБ в АСУ ТП

После публикации сегодня заметки о статистике реальных инцидентов ИБ в индустриальных системах Ригель меня покритиковал, ссылаясь на то, что в случае с критичными инфраструктурами данный риск-ориентированный подход не применим и в любом случае надо исходить из того, что даже при минимальной вероятности угрозы ущерб от ее реализации может быть настолько значительным, что с такой угрозой надо считаться и защищаться от нее. Могу сказать, что я с этим утверждением и не спорил и, более того, уже писал про него год назад :-) Но так как многие читатели...

Статистика реальных инцидентов ИБ в индустриальных системах

Когда речь заходит о выборе защитных мер, то существует два основных подхода. Первый - выбирается базовый минимальный набор, который должен быть реализован в любом случае, невзирая на наличие или отсутствие угрозы (считается, что базовый набор рассчитан на наиболее распространенные угрозы). Второй - меры выбираются на основе соответствующего моделирования. Какой бы вариант моделирования вы не выбрали, вы будете оперировать двумя понятиями - вероятность...

25.3.14

11 новых поглощений на рынке ИБ

Как-то упустил я из ввиду сделки по поглощению игроков рынка ИБ за последнее время. Наверстываю упущенное :-) Вчера частная калифорнийская компания Palo Alto объявила о подписании соглашения о приобретении другой частной израильской компании Cyvera. Детали сделки не разглашаются. Однако хочу заметить, что Palo Alto повторяет путь других игроков рынка сетевой безопасности, решивших расширить свое портфолио продуктами по защите оконечных устройств. В частности Cisco в прошлом году купила Sourcefire и получила в свое распоряжение систему защиты...

21.3.14

Кратко об очередных изменениях законодательства

Вчера вечером наткнулся на целый ряд новых (либо для меня, либо реально таковых) нормативных документов или разъяснений по информационной безопасности. Не буду их особо комментировать - просто выдам списком: Проект Постановления Правительства Российской Федерации "О международно-правовой защите присвоения (назначения) радиочастот или радиочастотных каналов и о порядке использования на территории Российской Федерации спутниковых сетей связи, находящихся под юрисдикцией иностранных государств". Движение в сторону цифрового суверенитета продолжается....

Мировой рынок средств ИБ индустриальных решений

Выступал вчера на форуме "Безопасность КВО ТЭК". Как мне потом рассказали коллеги, я был нестандартен, т.к. рассказывал не о нормативке :-) Интересное восприятие меня, неожиданное, так скажем :-)  В презентации, которая выложена ниже, я делал краткий обзор мирового рынка ИБ для индустриальных решений. За основу презентации были взяты три отчета: Industrial Control Systems (ICS) Security Market - Global Advancements, Market Forecast & Analysis (2013 - 2018) от Markets and markets ICS Cyber Security Solutions от ARC Advisory Group Industrial...

20.3.14

Lockheed Martin покупает Industrial Defender

12 марта известная мировая компания Lockheed Martin (аэрокосмическая отрасль) объявила о подписании соглашения о приобретении известного игрока рынка ИБ АСУ ТП, компании Industrial Defender, решения которой особенно популярны в нефтегазовой и химической отраслях, а также отрасли коммунальных услуг. Детали сделки не разглашаютс...

17.3.14

Что такое целенаправленная атака - демонстрация с цифрами в руках

В свое время я публиковал эту картину с целью продемонстрировать рост числа целенаправленных (APT) атак. Картинка интересна тем, что показывает серьезный рост того, чем сейчас активно пугают заказчиков все - журналисты, производители, интеграторы и другие ("Маска", "Красный октябрь" и т.п.). И это не просто страшилка, а данность, с которой кто-то уже сталкивается или столкнулся в недавнем прошлом. Но у данной картинки есть недостаток. Она...

13.3.14

Как читать заблокированные сайты?

Сегодня РКН выдал предписание операторам связи на блокирование ряда сайтов, содержащих якобы вредоносный контент. Комментировать политическое решение РКН не буду, хочу поднять тему, вынесенную в заголовок заметки - как читать заблокированные сайты? Так уж сложилось, что несмотря на наличие рекомендаций РКН по блокированию сайтов, многие операторы по-прежнему тупо рубят по IP-адресам, на которых могут находится сотни и тысячи доменов. Почему-то провайдеры не могут применить блокирование по DNS или URL, а также не применяют DPI... В итоге страдают...

12.3.14

Размышления о взломе SearchInform

Сегодня были опубликованы факты о взломе известной в узких кругах компании SearchInform, занимающейся борьбой с утечками информации. По некоторым сведениям, это не фейк и не своеобразная PR-компания одиозного руководителя SearchInform, как некоторые предположили. Т.е. компанию действительно скомпрометировали. Особую пикантность событию придает тот факт, что утекли конфиденциальные данные о сделках, клиентах, особенностях работы DLP-системы компании,...

Об обязательности обезличивания

Есть такое Постановление Правительства №211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", определяющее, как видно из названия, перечень мер, которые должны реализовать госы и муниципалы в области обработки персональных данных. И есть среди прочего в этом перечне такая мера - "согласно требованиям и методам, установленным...

11.3.14

О лицензировании деятельности по защите информации и криптографии

О лицензировании деятельности я пишу регулярно и решил снова обратиться к этой теме, тем более, что повод более чем хороший. На днях прошло заседание рабочей группы при Минкомсвязи (в т. ч. и с участием представителей ФСБ), которое было посвящено вопросу внесения поправок в законодательство о лицензировании отдельных видов деятельности с целью приведения вопросов лицензирования ТЗКИ и криптографии в соответствующее реалиям русло. Была недлинная дискуссия, на которой пришли к мнению, что текущие формулировки слишком расплывчаты и под них попадают...

7.3.14

Законопроект о запрете хостинга госсайтов за пределами РФ

В четверг в Госдуму был внесен законопроект о запрете размещения сайтов государственных органов за пределами Российской Федерации. Если тезисно, то в нем интересны следующие моменты: распространяется на государственные и муниципальные сайты средства защиты таких сайтов должны соответствовать законодательству о техническом регулировании (про сертификацию ни слова) наконец-то дан ответ про ФГУПы, государственные и муниципальные учреждения (ради одного этого можно было бы принять этот законопроект) и кто им устанавливает требования все сведения...

Презентация по проекту приказа ФСТЭК по защите информации в АСУ ТП

Вчера выступал с рассказом о проекте приказа ФСТЭК по защите информации в АСУ ТП и готовил к выступлению презентацию, которую и выкладываю ( в конце будет немного информации о Cisco). Проект приказа ФСТЭК по защите информации в АСУ ТП from Alexey Lukatsky Кстати, 5-го марта закончился этап общественного обсуждения и началась антикоррупционная экспертиза, а затем и регистрация в Минюсте. Поэтому можно считать, что текст, выложенный на сайте (кстати, в формате DOC, а не PDF как у ФСТЭК), уже финальный и врядли изменитс...

6.3.14

Что такое государственная информационная система или на кого рассчитан 17-й приказ ФСТЭК?

Решил я тут разобраться в том, что же такое государственная информационная система, для защиты которых разработан и 17-й приказ и методичка по защитным мерам. Оказалось это непросто. Существует несколько неоднозначных точек зрения по этому вопросу. Начну я с мнений коллег: Артем Агеев считает, что ГИСами по сути можно считать только те ИС, которые находятся в реестре Минкомсвязи.  Андрей Прозоров считает, что не каждая ИС в госоргане является государственной и попадает под действие 17-го приказа. Михаил Новокрещенов считает аналогично, но...

5.3.14

Впечатления от RSA Conference от того, кто на ней не был :-)

В прошлом году я проанализировал встречаемость различных слов в программе RSA Conference за шесть лет - с 2008-го по 2013-й год. Решил повторить :-) Если взять темы 310 докладов и без обработки загнать их в соответствующий сервис, то получится такая картинка. Слово "security" предсказуемо выбивается на общем фоне и не позволяет адекватно оценить направления развития отрасли (если считать, что RSAC задает тон всей индустрии). Я убрал слово "security"...

И еще 2 проекта документов ФСТЭК

И в заключение еще пара документов, которые так и не увидели свет :-( Первый должен был дополнить набор документов по "Общим критериям", который в середине 2000-х годов был принят в России, но так и не получил адекватного распространения. Сейчас ФСТЭК к нему вернулась, выпуская новые РД с требованиями к средствам защиты в виде адаптированных "Общих критериев". Второй документ более интересен. Он определяет основные направления совершенствования...

4.3.14

Концепция аудита ИБ от ФСТЭК

Вчера я рассказал про проект РД ФСТЭК по жизненному циклу изделий ИТ в контексте информационной безопасности. Но это еще не все. В списке разработанных проектов была и концепция аудита ИБ систем ИТ и организаций. Предпосылка создания документа была описана в преамбуле: "Вместе с тем, в стране отсутствует единая система взглядов на государствен-ное регулирование процессов аудита информационной безопасности организаций и систем информационных...

3.3.14

Документ ФСТЭК по жизненному циклу, так и не увидевший свет

09.09.09 я написал заметку о том, как 10 лет назад должна была развиваться система нормативно-методических документов ФСТЭК России. На тот момент не получилось :-( Хотя часть документов была разработана, но не принята. И вот вчера, в очередной раз разбирая свою библиотеку я наткнулся на ряд документов, которые так и остались в статусе проектов. Первый из них - РД по обеспечению безопасности в жизненном цикле изделий ИТ. Обратите внимание на дату!...