Уральский форум: СТОБР станет обязательным

Убедившись, что с июля 2016-го года национальные стандарты, определяющие требования по защите сведений ограниченного доступа, к которым может относиться и банковская тайна, и инсайдерская информация, могут быть обязательными, мы вновь возвращаемся к вопросу обязательности СТО БР ИББС Банка России. Если вспомнить предысторию, то в 2011-2012-м годах эта тема уже поднималась и Банк России хотел перевести СТО в ранг ГОСТа. Но тогда это не имело большого...

Подробнее…

Может ли ГОСТ быть обязательным? Теперь может!

4 года назад я написал заметку про "обязательность" национальных стандартов (ГОСТов), которые могли получить статус обязательного применения не только путем включения упоминаний в ТЗ, но и в том случае, если автором ГОСТа был один из 4-х регуляторов в области защиты информации ограниченного доступа - ФСТЭК, ФСБ, МинОбороны и СВР. Шли годы и ситуация изменилась. В июле 2015-го года был принят новый закон №162-ФЗ "О стандартизации в Российской Федерации" (на сайте "Российской газеты", в Консультанте, в Гаранте, у Президента). Согласно данному закону,...

Подробнее…

Уральский форум: почему половина презентаций были бестолковы

Я взял за правило в 15-тиминутный обзор Уральского форума не включать то, что говорили вендоры в своих презентациях. Отчасти потому, что там редко бывает что-то интересное, отчасти потому, что там одна реклама... В первые два раза, когда я делал обзор, я еще пытался указать спикерам на типичные ошибки при выступлении, но потом отказался от этой идеи. Все-таки каждый сам кузнец своего счастья и каждый самостоятельно определяет как он отбивает маркетинговые затраты на поездки в Магнитогорск. Для кого-то основная задача - поймать тепленького клиента...

Подробнее…

BlackBerry покупает Encription

24 февраля канадская компания BlackBerry объявила о приобретении английской Encription Limited, занимающейся консалтинговыми услугами в области кибербезопасности. Размер сделки не сообщаетс...

Подробнее…

Уральский форум: Роскомнадзор и кредитные организации

Начну потихоньку выкладывать расширенные мысли и впечатления от Уральского форума по ИБ финансовых организаций, который закончился на прошлой неделе в Магнитогорске. В первой заметке выложу запись презентации замначальника РКН Приезжевой А.А. Причин две. Во-первых, это выступление было самым технически продвинутым (сделано и показано в Prezi), а, во-вторых, его удалили с сайта Prezi в тот же день и доступа к нему ни у кого не оказалось (причины удаления мне непонятны). Хотя в нем были очень интересные мысли и факты относительно деятельности РКН...

Подробнее…

Реестр отечественного софта в контексте информационной безопасности

Все думал, писать или не писать про реестр якобы отечественного софта в контексте информационной безопасности. Но тут, после публикации новости о внесении в реестр около сотни российских продуктов, все-таки решил выплеснуть ушат эмоций на околореестровую тему. Собственно, даже это будут не эмоции, а скорее мысли вслух по поводу конкретно этого реестра и способа его ведения. Сразу скажу, что я не против развития отечественной ИТ/ИБ-индустрии. Только вот делается это как-то несуразно и вот несколько тому подтверждений. Итак, данный реестр создается...

Подробнее…

Своя ИБ-игра: как это было

В декабре я уже писал, что на Уральском форуме по информационной безопасности я буду проводить Свою ИБ-игру, которая похожа на то, что показывали по НТВ, но полностью ориентированной на банковскую тематику. В итоге я ее все-таки сделал и провел в последний день форума. В качестве платформы был выбран PowerPoint ввиду его распространенности и относительной простоты реализации (вся логика работы, подсчет очков, вопросы-аукцион были реализованы на...

Подробнее…

Уральский форум за 15 минут (видео + презентация)

Вчера завершил свою работу Уральский форум по информационной безопасности... нет, не банков, а финансовых организаций. С этого года спектр организаций, которые на целую неделю попадают в реальную зиму, расширился за счет некредитных финансовых организаций, для которых на мероприятии был целый отдельный поток. Я уже традиционно завершаю весь форум 15-тиминутным обзором ключевых новостей, мыслей и тезисов, прозвучавших в течение пяти дней деловой программы. В этот раз традиция тоже не была нарушена и в ночь с четверга на пятницу я сводил все в...

Подробнее…

Конференция ФСТЭК: банк данных угроз и уязвимостей

Еще одним интересным докладом на конференции ФСТЭК оказалось выступление Владимира Минакова из воронежского ГНИИ ПТЗИ, который рассказывал о том, что из себя сегодня представляет банк данных угроз и уязвимостей, разработку и ведение которого поручено ФСТЭК России. За прошедший с прошлой конференции год БДУ сильно изменился - добавилось 20 новых угроз и около 3000 тысяч уязвимостей, общее число которых составило соответственно 182 и 13052 (на...

Подробнее…

Конференция ФСТЭК: АСУ ТП, ГОСТы, методички, моделирование угроз, сертификация

Среди других документов, которые готовит ФСТЭК стоит отметить новую методичку по 31-му приказу, которая раскроет, что скрывается за многими, не всегда понятными защитными мерами для промышленных сетей. Это будет полный аналог методического документы "Меры защиты информации в государственных информационных системах", который был выпущен в дополнение к 17-му приказу. ФСТЭК называет срок - конец 2016-го года, но я побуду пессимистом и предположу, что...

Подробнее…

Конференция ФСТЭК: новые требования к средствам защиты

Вспомните вот эту картинку: Она была представлена на конференции ФСТЭК в феврале 2015-го года, то есть ровно год назад. А теперь посмотрите вот на эту картинку: Она была представлена в одном из выступлений ФСТЭК осенью 2015-го года. Прошло всего полгода, а какие изменения произошли в ней - на первые два места вышли требования к операционным системам и системам управления базам данных. А вот картинка уже этого года. Из списка исчезли требования...

Подробнее…

Конференция ФСТЭК: межсетевые экраны

Судя по статистике ФСТЭК - межсетевые экраны являются самыми распространенными сертифицированными средствами защиты информации в России - они составляют четверть от общего числа. Поэтому неслучайно, что ФСТЭК решила обновить давно необновляемые (с 97-го года) требования к МСЭ. Приказом №9 от 9 февраля 2016 года были утверждены новые требования к ним, которые начнут применяться с 1-го декабря 2016-го года. Это, пожалуй, первый пример, когда ФСТЭК...

Подробнее…

Конференция ФСТЭК: требования по защите

Ну вот и обещанный рассказ о планах по нормотворчеству ФСТЭК. Тут тоже надо сразу оговориться. Виталий Сергеевич Лютиков сразу признался, что при численного людей, занимающихся нормотворчеством, а это 6 человек, не всегда удается следовать озвученным ранее планам. По этой же причине и в плане ФСТЭК указано гораздо меньше документов, чем может появиться в реальности. Итак, ключевые изменения коснутся, как я уже и писал, 17-го приказа, распространяющегося пока на государственные и муниципальные информационны системы, а в перспективе и на иные системы,...

Подробнее…

Конференция ФСТЭК: в прицеле - госорганы

В конце декабря я уже писал про план нормотворческой деятельности ФСТЭК, опубликованный у нее на сайте. В нем было не так уж и много информации, что вызвало определенные вопросы у специалистов. Но вот на прошлой неделе прошла конференция ФСТЭК, которая расставила если не все, то многие точки над i. В этой, и ряде последующих заметок мне бы хотелось сфокусироваться на ключевых на мой взгляд моментах, которые ожидают специалистов по информационной безопасности в этом и следующем году. Начну с того, что основным “разводящим” на мероприятии был,...

Подробнее…

Моделирование угроз для BIOS / UEFI (презентация)

Вчера на конференции ФСТЭК я выступал с темой "Моделирование угроз для BIOS / UEFI", в которой попытался за ограниченный интервал времени объединить две муссируемые в последнее время темы - моделирование угроз и угрозы на аппаратном уровне. Получилось вот такая презентация. Моделирование угроз для BIOS и UEFI from Aleksey Lukatskiy Есть у нее и второй уровень восприятия. Она описывает подходы к моделированию угроз и сложности с их выбором, что и усложняет принятие методики моделирования угроз ФСТЭК. Перед регулятором стоит непростая задача...

Подробнее…

FireEye покупает Invotas

Не успел FireEye приобрести iSIGHT Partners, как он объявил о новом приобретении - компании Invotas International Corporation, компании занимающейся автоматизацией и оркестрацией технологий по ИБ. Сумма сделки не сообщается. Что интересно, на перспективах компании с точки зрения рынка ни это приобретение, ни предыдущее не сказались - падение стоимости акций продолжается (за год уже в 4 раза). ...

Подробнее…

Шифрование трафика - вторая палка ИБ о двух концах

О конфиденциальности информации говорят все и временами даже требуют ее обеспечения. Но мало кто задумывается о том, куда такие требования нас заводят? С одной стороны - да, приватность, тайна личной жизни, тайна переписки... Все это нам даровано Конституцией и вроде как является правом неотчуждаемым. Отсюда и рост объема зашифрованного трафика в Интернете согласно последним исследованиям Cisco. Положительным образом на увеличение этого показателя...

Подробнее…

Надежность - палка безопасности о двух концах

В последнее время очень часто приходится слышать о том, что мол сегодня производители ИТ-продукции не заинтересованы в выпуске надежной продукции и специально делают продукты так, чтобы они "жили" не больше 1-2 лет, тем самым заставляя пользователей переходить на более дорогие новые модели своих товаров. При этом все приговаривают, что, мол, в прошлом, такой проблемы не было и оборудование или софт могли работать годами, не требуя обслуживания и...

Подробнее…

Очередной мертворожденный законопроект по ИБ в России

В прошлом апреле я писал про проект законопроекта (да-да, именно так) "О мерах по обеспечению информационной безопасности Российской Федерации" и вот, спустя девять месяцев, законопроект внесен в Государственную Думу тем же депутатом Потаповым. Что нам предлагает депутат в разрезе обеспечения информационной безопасности и что должен рассматривать комитет по информационной политике (а не безопасности): Создать реестр ВСЕГО ПО, разработанного в России, включая и его исходные коды, а также средства разработки и отладки. В реестр включается...

Подробнее…

Лицензия ТЗКИ для собственных нужд больше не потребуется

На портале проектов нормативных актов выложен неприметный документ с неприметным названием: "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности", который при этом касается именно нашей с вами темы, а точнее вопросов лицензирования деятельности по технической защите конфиденциальной информации (ПП-79). Самое главное, что предлагается изменить, - в явной форме зафиксировать мысль, что лицензия для обеспечения собственных юрлица или индивидуального предпринимателя не требуется....

Подробнее…

"Налог на Гугл" не самое страшное в поручении Президента или когда в России запретят западную криптографию?

Вчера многие СМИ, анализируя список поручений Президента, писали только про "налог на Гугл", поставив его на первое место. У меня немного иная точка зрения по поводу последствий принятия нормативных актов, которые вытекают из этих поручений. 12-м пунктом в поручении Президента значится регулирование вопросов шифрования данных в отечественных сетях связи. Сначала я думал, что это та идея, которая уже звучала многократно на разных открытых и не очень площадках - отделить государственную криптографию от гражданской. Но потом обратил внимание, что...

Подробнее…