15-го января я опубликовал слайдкаст про проект требований по защите информации к организаторам торговли. Мне было невдомек, что к тому моменту это уже был не проект, а утвержденное положение Банка России №437-П от 17.10.2014 "Положение о деятельности по проведению организованных торгов".
Обновил под это дело презентацию со слайдкаста:...
26.2.15
APT и АСУ ТП - горячие темы на IDC IT Security Roadshow в Москве
18 марта в Москве пройдет очередное мероприятие в рамках IDC IT Security Roadshow 2015. Я буду вести на этом мероприятии две секции, посвященных целенаправленным угрозам и безопасности АСУ ТП. Мероприятия IDC снискали славу хорошо организованных, но изобилующих рекламой. Я попробую вторую часть немного исправить :-)
Секция по APT
Термин "целенаправленная атака" (Advanced Persistent Threat, APT) появился в 2006 году, но до сих пор эксперты спорят о том, что это такое? Представляют ли эти атаки что-то новое, или это просто маркетинг со стороны...
19.2.15
Какие требования по защите предъявляются к СМЭВ?
В п.71 приказа Минкомсвязи от 27.12.2010 №190 «Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия» говорится, что в целях обеспечения защиты информации, содержащейся в информационных системах, подключенных к системе взаимодействия, участники информационного взаимодействия должны исполнять установленные требования по информационной безопасности. Я решил...
Сколько нужно сертификатов на МСЭ для реализации 120-го приказа Минкомсвязи?
Продолжая утреннюю заметку, хотелось бы привести еще один ответ Минкомсвязи на вопрос, который возникал уже неоднократно и который мне задавали заказчики и слушатели на разных мероприятиях. Он простой.
В п.7 приказа Минкомсвязи от 09.12.2013 №390 «Об утверждении требований к информационным системам организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления...
Кем определяются уровни/классы защищенности в приказах 390/120/190/221 Минкомсвязи?
Кто смотрел мой недавний слайдкаст про требований по защите информационных систем госорганов, отличных от 17-го приказа ФСТЭК, могли обратить внимание, что в некоторых документах есть не до конца понятные пункты.
В частности, в п.9 приказа Минкомсвязи от 09.12.2013 №390 «Об утверждении требований к информационным системам организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем,...
17.2.15
Коллизия ФЗ-531 и ФЗ-242 в части хранения ПДн россиян за пределами РФ при оказании госуслуг
Те, кто внимательно следит за хитросплетениями законодательства в области защиты информации и персональных данных, тот помнит, что 31-го декабря ушедшего года было принято два федеральных закона - 526-ФЗ и 531-ФЗ. Первый внес поправки в ФЗ-242 и перенес дату вступления его в силу с 1-го сентября 2015-го года. С этой даты "первичный" сбор ПДн россиян может производиться только на территории РФ, исключая ряд ситуаций, в том числе и обработку ПДн для...
Новости ФСТЭК по моделированию угроз
Доклад Елены Борисовны Торбенко из 2-го управления ФСТЭК стал для меня неожиданностью по нескольким причинам. Во-первых, нечасто от регулятора в области ИБ выступает представительница прекрасной половины человечества :-) Во-вторых, ФСТЭК поделилась своим опытом по анализу присланных им в 2014-м году моделей угроз и выделила типовые ошибки, которые посоветовала не повторять. Такое бывает не часто - регуляторы обычно говорят, что надо делать, но...
16.2.15
Новости защиты ГИС или как Барак Обама нарушил бы 17-й приказ, если бы он был российским чиновником
12-го февраля, во время церемонии подписания своего указа об обмене информацией об угрозах информационной безопасности, Президент США признался, что долгое время в качестве своих паролей использовал "классические" - "password" и "123457" :-)
Нарушитель 17-го приказа ФСТЭК гражданин Барак Хуссейнович Обама
Будь Барак Обама российским чиновником, то он бы нарушил 17-й приказ ФСТЭК, а точнее требование ИАФ.4 "Управление средствами аутентификации",...
Впечатления от конференции ФСТЭК
В четверг, 12-го февраля прошла долгожданная 5-я ежегодная конференция ФСТЭК "Актуальные вопросы защиты информации", на которой был не только анонсирован ряд новых, основополагающих документов по защите информации, но и специалисты регулятора поделились опытом по отдельным сферам своего регулирования. Выступая уже на второй конференции, могу сказать, что по сути эта конференция превращается в аналог Магнитогорского форума (а он, кстати, начинается...
13.2.15
А что если завтра нас отключат от CVE?
Две бессонные ночи и 3 перелета в 3 разных государства за 3 дня не способствуют подробному рассказу о той феерии, которая была сегодня на конференции ФСТЭК в рамках форума "Технологии безопасности". Напишу про нее отдельную заметку на следующей неделе и даже не одну. А пока выложу свою презентацию по созданию системы Threat Intelligence, которую я читал на конференции.
Как создать в России свою систему Threat intelligence? from Alexey Lukatsky
ЗЫ. Но хочу отметить, что мероприятие прошло на высоком уровне. Несмотря на отсутствие перерывов...
11.2.15
HP покупает Voltage Security
Компания HP подписала соглашение о приобретении Voltage Security, занимающейся вопросами криптографией и вопросами токенизации. Детали сделки не разглашаютс...
6.2.15
Каким мне видится автоматизированный календарь безопасника?
В жизни каждого безопасника немалое время занимает работа, связанная с временем. Но не в контексте его траты, а в контексте привязки к тому или иному временному моменту - экзамен на получение сертификата CISSP, прохождение аудита на соответствие СТО БР ИББС, встреча с руководством по поводу выделения бюджета, поучаствовать в вебинаре Алексея Лукацкого... Т.е. тайм-менеджмет и правильное использование личного календаря - это то, что составляет львиную долю рабочего времени безопасника.
Но помимо личного календаря, есть ряд задач, которые регулярно...
5.2.15
Сбор ПДн и их хранение - в чем разница в контексте 242-ФЗ?
Продолжаю выкладывать фрагменты письма Роскомнадзора касательно ФЗ-242. Тем более, что сейчас как-то активизировалась эта тема именно среди иностранных компаний. Мероприятие в Ассоциации Европейского Бизнеса (АЕБ), в Бейкер-Маккензи, в Франко-Российского Торгово-промышленной палате, в The Moscow Times... Сегодня вот представители иностранных компаний собираются в РКН, чтобы обсудить эту тему. Я не думаю, что сейчас представители регулятора смогут...
4.2.15
"Гражданство" персональных данных и позиция РКН
Продолжаю публиковать выдержки из последнего письма Роскомнадзора касательно применимости ФЗ-242 к отдельным видам обработки ПДн российских граждан. В этом раз возьмем последний кусок этого письма, посвященный вопросу определения "гражданства" персональных данных. Как и предполагалось, РКН ответил, что это проблема не закона, а оператора ПДн.
ЗЫ. Текст ответа РКН целиком выложу, видимо, в пятниц...
Чего я жду от магнитогорского форума #ibbank?
16-го февраля, всего через 2 недели, начнется очередное знаковое событие в банковской ИБ - Уральский форум "Информационная безопасность банков". Я туда езжу уже много лет и это одно из четырех региональных событий общероссийского масштаба, которые мне нравится посещать (еще IT & Security Forum, "Код безопасности" и ИнфоБЕРЕГ, если последний вернется из Крыма в Сочи :-) Еду я и в этот раз; причем от текущего мероприятия у меня особые ожидания.
И...
3.2.15
Ответ Минкомсвязи про обработку ПДн иностранным работодателем в контексте ФЗ-242
Ответ Минкомсвязи про обработку ПДн иностранным работодателе...
Где установлены требования по защите госорганов? Триптих. Часть II
Продолжаем триптих, начатый темой "Что такое государственная информационная система?" и, незапланированным слайдкастом "Как защищать ГУПы и ФГУПы?". Сегодня мы перейдем ко второй части триптиха, посвятив ее теме, вытекающей из вопроса: "Если не 17-й приказ, то где еще установлены требования по защите информационных систем, не являющихся государственными, но используемыми в государственных органах?"
Оказалось, что существует еще 11 нормативных акта, устанавливающих вполне конкретные требования к защите информации в информационных системах, отличных...
2.2.15
Новости ФСТЭК
За последнюю неделю произошло два события, связанных с ФСТЭК, которые сами по себе может быть и не столь значительны, но определят развитие отрасли ИБ на ближайшее время. Итак, начнем со второго события - 29-го января ФСТЭК разместила у себя на сайте информационное сообщение о начале сбора предложений по внесению изменений в 17-й приказ по защите государственных информационных систем. Я уже как-то писал, что у ФСТЭК есть желание выйти на двухлетний жизненный цикл своих документов и вот первое доказательство. Будучи утвержденным в феврале 2014-го...
Что такое "база данных" в контексте ФЗ-242?
Пытливые исследователи российского законодательства по персональным данным наверное не раз задавали себе вопрос о том, что такое "база данных"? Этот термин, появившись еще в первой редакции ФЗ-152 в определении информационной системы персональных данных (правда, во множественном числе), получил новый толчок в его изучении после принятия ФЗ-242, который очень активно использовал понятие базы данных.
В своей практики мне приходилось сталкиваться...
Подписаться на:
Сообщения (Atom)
