23.10.14

Что нас ждет в отечественном законодательстве по ИБ?

На мероприятии в Челябинске выступал с презентацией, в которой свел воедино ключевые изменения законодательства по ИБ и ПДн последнего времени и вкратце рассказал о том, что нас ждет в ближайший год-полтора. Последние изменения законодательства по ИБ и его тенденции from Alexey Lukatsky...

22.10.14

Обновление статистики по выпуску НПА по ИБ

Перед вчерашним выступлением на форуме по информационной безопасности в Челябинске обновил статистику выпуска нормативных актов в области информационной безопасности за последние 3 года. Картина получилась предсказуемая и нерадостная. Отрасль зарегулирована и процесс только нарастает. Среднее число нормативных актов, выпущенных в месяц, за последние 3 года - 4. В этом году этот показатель вырос до 6 нормативных актов в месяц. Хочу отметить,...

15.10.14

План деятельности ТК122 по стандартизации ИБ финансовых организаций

На днях в ПК1 ТК122 была утверждена программа по стандартизации вопросов безопасности финансовых операций на ближайшие пару лет. В план вошли следующие темы: Распространение действия СТО БР ИББС (1.0 и 1.2) на все финансовые организации, а не только на кредитные. Пересмотр СТО БР ИББС 1.1, 2.0, 2.1 и 2.2 Пересмотр РС 2.7 по ресурсному обеспечению, так и не вступившей в силу (очень непростой документ). Разработка новой РС по предотвращению утечек информации. Разработка новой РС по противодействию мошенничеству при переводе денежных средств. Разработка...

14.10.14

Как обнаруживать и подавлять посторонних в Wi-Fi-сети

Обратился к нам тут давеча заказчик с вопросом. Мол, внедрили мы мобильный доступ внутри сети, организовали гостевые подключения, и даже BYOD для отдельных категорий высокопоставленных пользователей замутили. Ну все чин чином, как положено при реализации корпоративной мобильности. Все на базе Cisco ISE (небольшая реклама :-) Но при этом возникли ряд проблем, о которых до этого момента никто не думал, находясь на волне интереса к BYOD и даруемым...

13.10.14

Можно ли исключать защитные меры при неактуальности угроз?

Моя пятничная заметка вызвала оживленную дискуссию в Twitter и Facebook на тему, можно ли отказываться от какой-либо защитной меры согласно приказу 17/21/31 при неактуальности угроз. Сергей Борисов даже пост на эту тему написал. Он считает, что в 21-м приказе отсутствует возможность исключения защитных мер только на основании неактуальности угроз, для которых эта мера предназначена. По причине отсутствия какой-либо информационной технологии можно, из-за определенных структурно-функциональных характеристик тоже можно, а вот по причине неактуальности...

10.10.14

Symantec тоже делится

Symantec тоже делится пополам. Подробно описывать не буду - все написал в посте про HP :...

Базовый - значит минимальный?

На данную заметку меня натолкнула статья "Как уйти от оценки соответствия СЗИ", в которой делается интересный, но неверный вывод "Простой пример: 2 уровень защищенности ПДн, СОВ обязательна, хошь-не хошь". Я с ним сталкиваюсь достаточно регулярно, разговаривая об алгоритме выбора защитных мер по 17/21/31-му приказам. Алгоритм, действительно, отличается от того, что было раньше. Сейчас появилась свобода выбора и она многих вводит в ступор. Это...

Запрет на хранение ПДн россиян отложен?..

Вчера прошла новость о том, что российские власти отложили принятие поправок в 242-ФЗ о запрете хранения ПДн россиян за границей с 1-го января 2015-го года. Отчасти этому поспособствовало недовольство бизнеса (тут и тут), который был не готов в столь короткие сроки осуществить перенос своих вычислительных мощностей в Россию. Это хорошо, но... Хочется отметить, что речь не идет (пока не идет) об отмене или переделке самого 242-ФЗ. Пока говорят лишь о том, что может быть оставить все как есть; тогда закон вступит в силу как и предполагалось раньше...

9.10.14

Можно ли обойтись без шифрования при передаче ПДн по каналам связи?

Вчера я должен был выступать на конференции по защите персональных данных, проводимых компанией "Авангард-Про". Так случилось, что здоровье подкачало и выступить я не смог. Но в любом случае я выкладываю свою презентацию по такой непростой теме, как обязательность применения средств шифрования для защиты персональных данных. Тема, безусловно, дискуссионная, но думаю, что в презентации вы сможете найти какие-либо полезные мысли :-) Можно ли обойтись без шифрования при защите персональных данных from Alexey Lukatsky...

8.10.14

Изменяется перечень адекватных стран по части ПДн

Как Роскомнадзор и планировал в 2014-м году изменить перечень стран с адекватной защитой прав субъектов ПДн, так он и сделал. Подготовлен проект приказа о внесении изменений в приказ Роскомнадзора от 15 марта 2013 г. № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных». Из нового, уже согласованного приказа, будут изъяты специальный административный...

6.10.14

HP покидает рынок безопасности?

Сегодня стало известно, что компания HP решила разрезать себя пополам, разделив свой бизнес на две части - HP Enterprise, которая будет заниматься корпоративными решениями, и HP Inc, которая займется персоналками и принтерами. В пресс-релизе компании ни слова о направлении безопасности (что уже говорит о приоритетах), но можно предположить, что оно уйдет в HP Enterprise. Также сообщается о сокращении 55 тысяч (55000!) человек в процессе разделени компании, которое будет происходить до октября 2015-го года. Сейчас сложно предсказывать, что будет...

3.10.14

Законопроект по гособлаку представлен общественности

На днях на портале regulation.gov.ru выложили очередную реинкарнацию законопроекта по облакам. Когда я ее скачивал, я предвкушал возможность прокомментировать там многие вещи. Все-таки к майской версии законопроекта было немало вопросов. Каково же было мое удивление, когда я увидел не только совершенно иной текст, но и совершенно иное название законопроекта. Первоначально речь шла о законопроекте под названием “О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений”, инициатором...

2.10.14

Об отключении Интернет, которое было предсказуемо еще 14 лет назад

Вчера прошло заседание Совета Безопасности, посвященное информационной безопасности России в целом и Рунета в частности. Само мероприятие вызвало уже немало откликов, комментариев, статей и репортажей в СМИ. Однако для большинства пользователей Интернет и просто обывателей главным был вопрос, который подняла совсем недавно газета “Ведомости”  - отключат нас от Интернет или нет? Собственно временная шкала в мозгу рядового россиянина выглядела...

1.10.14

Мужские запахи и ИБ

Постоянно летая самолетами разных авиакомпаний волей-неволей, но погружаешься в чтение журналов, вкладываемых в карман впереди стоящего кресла. Журналы бывают интересные, бывают не очень. В зависимости от длительности полета, либо не успеваешь прочитать журнал целиком и остается еще что-то на обратную дорогу, либо перелет достаточно длинный, чтобы прочитать один журнал от корки до корки и нацелиться на другие творения авиационной полиграфии. У Аэрофлота...