Последние законодательные инициативы по информационной безопасности from Alexey Lukatsky...
23.4.14
22.4.14
Бизнес-идея по дистанционному ИБ-обучению
Вчера в Фейсбуке поле заметки Марии Сидоровой о бесперспективности в России идеи ИБ-ассоциаций было продолжение этой непростой дискуссии. После нее у меня и родилась (а точнее дооформилась) идея, которую я и решил опубликовать (а вдруг кто-то захочет реализовать). Идея проста - создание площадки для дистанционного обучения по ИБ темам. На данной площадке любой желающий может разместить на определенных условиях свой курс по ИБ, который могут прослушать также любые желающие.
В чем отличие от обычного УЦ?
Отличие очевидное - гибкость и широта охвата....
21.4.14
Законопроект о "СОРМ-4" и блогерах прошел второе чтение
Помните я писал про СОРМ-4? В пятницу Госдума во втором чтении приняла этот законопроект и подготовила редакцию к 3-му чтению, добавив в него новый раздел про блогеров. Судя по всему, законопроект примут уже не сильно изменяя, и можно уже сейчас сказать, что нас ждет. А ждет нас очень много "приятных" вещей:
Во-первых, появился новый субъект правоотношений, а точне целых два субъекта. Первый - организатор распространения информации в сети "Интернет", а второй - блогер, т.е. владелец сайта и (или) страницы в сети "Интернет", на которой размещается...
18.4.14
Сертификация средств защиты информации: текущий статус
А вот и вторая заметка про оценку соответствия, но уже более приземленная, чем вчерашние рассуждения. Т.к. у нас продолжает активно меняться нормативная база ФСТЭК для разных видов защищаемой информации/информационных систем, то регулярно всплывает вопрос о необходимости применения сертифицированных средств защиты информации. Решил свести все воедино (по состоянию на момент написания заметки).
Итак, у нас есть 3 основных документа ФСТЭК, которые...
17.4.14
Подходы к оценке соответствия требуют коренного пересмотра
В последние дни что-то часто опять стала подниматься тема оценки соответствия по информационной безопасности. Поэтому решил разродиться парочкой заметок по этой теме. Давайте начнем с определения. Согласно ФЗ-184 "оценка соответствия - это прямое или косвенное определение соблюдения требований, предъявляемых к объекту". Очень простое и емкое определение, за которым скрывается очень много уровней и подводных камней. Именно эта емкость и подсказывает, что форм оценки соответствия может быть (и должно быть) больше одной.
Сегодня у нас регулятор...
"Всех впускать - никого не выпускать". Об однонаправленных МСЭ
С пару недель назад имел беседу с коллегой, который пытался доказать, что в технологических сетях имеют право на жизнь только однонаправленные межсетевые экраны, т.к. они обеспечивают идеальную защиту индустриальных сегментов от направленных или случайных воздействий. А вчера услышал про идею стартапа о создании "чисто российского" однонаправленного МСЭ (на волне разговоров об импортозамещении очень модная тема).
Собственно, критиковать идею однонаправленных МСЭ я не планирую. Она вполне себе ничего. Ничем не лучше и не хуже других средств управления...
15.4.14
А я опять про 8-й Центр ФСБ :-)
Вчера в Твиттере я опубликовал заметку такого содержания "Злорадно жду, когда 8-й Центр примет свой приказ по ПДн. Как же они поднасрут всем своим лицензиатам, работающим под Linux и не имеющим КА". Не все поняли ее смысла, поэтому решил чуть раскрыть ее суть.
Если мы посмотрим на 43-ю редакцию проекта приказа ФСБ по защите персональных данных, то там есть такой пассаж (п.14) "СКЗИ класса КА применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленные в пунктах 10 –...
Новый обзорный курс по защите информации в государственных информационных системах
Перейдя на новую систему нормативных документов, ФСТЭК сделала благое дело и для тех, кто занимается разработкой курсов обучения :-) Достаточно досконально разобраться с защитными мерами для персональных данных, как 2/3 работы по государственным и муниципальным системам уже сделано. Достаточно обвесить ГИСовской тематикой и готов новый курс. Что, собственно, я и проделал, разработав обзорный курс "Защита информации в государственных и муниципальных информационных системах".
Программа следующая:
История регулирования вопросов ИБ в государственных...
14.4.14
43-я редакция проекта приказа ФСБ по ПДн - адский ад
Вот опять не выдержал и опять буду критиковать 8-й Центр ФСБ :-) Ну а как иначе? Не получается смотреть на то, что они делают и молчать. Выпущена уже 43-я редакция проекта приказа по защите ПДн. Нужное вроде бы дело. Все давно ждут этот документ; уже скоро 1,5 года как ждут. Все надеются, что документ ответит на основные вопросы, связанные с защитой персональных данных с помощью СКЗИ и у нас наконец-то появится первый официальный и легитимный документ от ФСБ по защите ПДн (а то у нас с момента принятия ФЗ-152 ФСБ на эту тему так ничего официально...
11.4.14
Почему мне не быть инвестором или стартапером по ИБ
В 2008-м году я написал статью для журнала M&A по перспективам инвестиций в области информационной безопасности в России. С тех пор прошло уже много времени, но ситуация изменилась мало. Серьезных инвестиций в наш сегмент пока так и не пришло, хотя определенный интерес к нему я вижу. Причем с разных сторон - и со стороны некоторых инвесторов, и со стороны стартапов, которые решили посвятить себя развитию какого-либо ниши в области ИБ. Сам я для себя понял, что врядли когда-нибудь стану инвестором или стартапером, ищущим инвестиций, - слишком...
10.4.14
Фермеры, патологоанатомы и 21/17-й приказы ФСТЭК
Выступая в последнее время на разных региональных мероприятиях, где среди прочего рассказываю и о 17/21-м приказах ФСТЭК регулярно слышу две кардинально противоположные точки зрения об этих документах. Первая высказывается представителями крупного бизнеса, которые теперь получили возможность самостоятельно выбирать защитные меры, исходя из особенностей своей информационной системы и принятой или принимаемой модели угроз. Вторая высказывается малым бизнесом и некоторыми интеграторами, которые теперь вынуждены что-то придумывать, а не ориентироваться...
9.4.14
Чиновникам запретят использование несертифицированных мобильников! Есть ли альтернатива?
Вчера, депутат Гутенев внес в Гоcдуму законопроект №492034-6 "О внесении изменений в некоторые законодательные акты Российской Федерации", суть которого проста до безобразия - запретить чиновникам и госслужащим пользоваться несертифицированными мобильными устройствами. В качестве решаемой законопроектом проблемы депутат Гутенев называет защиту служебной тайны и персональных данных федеральных госслужащих от действий иностранной технической разведки посредством использования недекларированных возможностей технических средств мобильной связи. Ну...
8.4.14
ЦБ закручивает гайки?..
Пока госорганы бомбили ФСТЭК запросами о том, что делать с сертифицированной Windows XP, срок поддержки которой закончился аккурат сегодня (а вчера ФСТЭК опубликовала сообщение по этому поводу), банки задумывались совсем по другому поводу - не начинает ли их кошмарить Банк России вопросами ИБ. Эти вопросы возникали в Фейсбуке, на прошедшей РусКрипто (кстати, материалы с нее уже выложили), в частных беседах. Основания для этого есть :-(
Если посмотреть на упоминаемое мной уже письмо 42-Т от 14-го марта 2014 года "Об усилении контроля за рисками,...
4.4.14
Новая версия курса по моделированию угроз
Обновил программу курса по моделированию угроз. Достаточно много изменений появилось в версии 1.6, что обусловлено последними событиями в мире геополитики и в мире ИБ, а также активизацией темы по защите АСУ ТП и КВО:
Автоматизация моделирования угроз с помощью R-Vision
Расчет стоимости угрозы ДБО, PCI, мобильного банкинга
Модель угроз беспилотника (в качестве примера)
Примеры ошибок восприятия угроз
Как моделировать быстро и просто (экспресс-метод)
Детальное рассмотрение понятия "область применения модели угроз"
Примеры последствий угроз на...
Новые требования Банка России по защите от вредоносного кода
ЦБ в лице г-на Симановского, первого зампреда Банка России, выпустил новое письмо 49-Т от 24 марта 2014-го года "О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности". Если мне не изменяет память, слухи об этом документе ходили достаточно давно (чуть ли не с конца 2012-го года), но тогда он по разным причинам так и не увидел свет. И вот сейчас свершилось - 16 страниц разъяснений...
2.4.14
Мастер-класс по персональным данным - Нижний Новгород - 16 апреля
15-17 апреля в Нижнем Новгороде пройдет 7-й Международный форум "ITForum 2020 / Эволюция", на котором традиционно демонстрируются последние достижения ИТ. Среди прочего не будет обойдена вниманием и тема информационной безопасности и персональных данных. ФСТЭК проведет свой круглый стол по защите информации для муниципальных предприятий. Екатерина Старостина проведет круглый стол по кибербезопасности с привлечением большого числа экспертов по ИБ...
1.4.14
Подписаться на:
Сообщения (Atom)