Чего не хватает 17-му приказу?

Не за горами принятие промежуточной версии 17-го приказа, за которой воспоследует и уже полноценный вариант новых требований для госорганов, а также иных организаций, обрабатывающих информацию, владельцем которой являются госорганы. Учитывая, что прошлая версия 17-го приказа вышла аж 4 года назад (хотя у ФСТЭК и было желание выйти на двухлетний цикл обновления своих НПА), стоит поразмышлять, чего не хватает текущей редакции и что могло бы появиться...

Подробнее…

Законопроект по штрафам в области ПДн. Что нас ждет в скором будущем?

Прошлая неделя ознаменовалась не только празднованием китайского Нового года, но и международным днем защиты персональных данных, который празднуется во всем мире 28-го января. И аккурат к этому празднику Госдума приняла в третьем чтении законопроект о штрафах в области ПДн, которого все так ждали и страшились одновременно. Сейчас, глядя на текст законопроекта, можно уже утверждать, что его не изменят и вероятность его отмены Советом Федерации или Президентом близка к нулю. Я попробую сформулировать тезисно ключевые моменты, связанные с новыми...

Подробнее…

Новые требования по ИБ для финансовых организаций

А продолжу-ка я обзор последних изменений нормативных актов по ИБ, но в этот раз коснусь финансовой сферы. Она, наряду с госорганами, у нас наиболее заурегулирована и все равно на месте не стоит. Собственно, как и во всем мире. В конце прошлого года требования по ИБ разработала SWIFT, а "Минфин" штата Нью-Йорк разработал проект своих требований по безопасности финансовых организаций (вступят в силу с 1-го марта 2017-го года). Что же у нас появилось или появится в обозримом будущем и о чем можно будет поговорить/узнать на Магнитогорском форуме,...

Подробнее…

Промежуточная версия нового 17-го приказа

В недалеком октябре 2015-го года всенародно избранный Президент выпустил очередной (дспшный) перечень поручений, направленный на усиление контроля за защитой информации в государственных органах. В нем было целых 8 пунктов, результаты по многим из которых мы сейчас и наблюдаем: обязательное уведомление об инцидентах распространение требований ФСТЭК не только на ГИС, но и на операторов информационных систем, обрабатывающих информацию, обладателем...

Подробнее…

Чего не хватает российской нормативке или почему одна картинка говорит больше тысячи слов?

Во вчерашней заметке про новые требования по безопасности SWIFT я упомянул, что отечественным регуляторам не хватает умения визуализировать свои требования и свои документы, что сильно затрудняет применение их на практике. Я уже писал про сложность восприятия документов ФСТЭК (тут, тут и тут), но сегодня я решил чуть раскрыть эту тему. Правда, уже с другой точки зрения, а точнее с точки зрения формата представления документов. Все мы знаем про...

Подробнее…

Новые требования по кибербезопасности SWIFT

В собственный Топ 5 международных событий по ИБ прошлого года на последнее место я включил атаки на SWIFT, систему, которая раньше не часто попадала в прицел злоумышленников. И вот в конце прошлого года, в рамках программы Customer Security Programme (CSP), SWIFT выпустила документ под названием "SWIFT Customer Security Framework. Supplementary Guide", который устанавливает набор обязательных и рекомендательных защитных мер для клиентов SWIFT. Первые...

Подробнее…

Корпоративные тренинги по ИБ набирают популярность

Если продолжить тему корпоративных мероприятий по ИБ, то немного особняком стоят корпоративные тренинги по ИБ. С одной стороны у них те же преимущества, что у корпоративных мероприятий (основное - ориентация на нужды заказчика), а с другой - немного иной масштаб и глубина погружения. Речь идет обычно об одной теме, которая развораивается на несколько часов или даже один-два дня и раскрывается одним-двумя лекторами для группы корпоративного заказчика. Мне в прошлом году довелось участвовать в целом ряде таких тренингов, посвященных следующим темам: Законодательство...

Подробнее…

О корпоративных мероприятиях по ИБ

Так сложилось, что я достаточно часто пишу про различные ИБ-мероприятия - их фишки, достоинства и недостатки, а также рекомендации организаторам, которые, так уж сложилось, далеко не всегда следуют им, считая, что им, организующим 2-3 мероприятия в год, лучше знать, чем мне, участвующем ежегодно в около сотне мероприятий в разных городах и странах. Ну да ладно, история сама расставит все по своим местам. А сейчас я хотел бы упомянуть еще один формат,...

Подробнее…

Какой должна быть атрибуция кибератак?

Завершу неделю, прошедшую под знаком атрибуции киберугроз, еще одной заметкой. Если посмотреть на то, что я написал в среду и свести в таблицу, то мы увидим вот такую картину: Получается, что одby и тот же набор фактов может трактоваться совершенно по-разному; местами даже диаметрально противоположно. А это означает, что представленные "доказательства" не могут служить для целей атрибуции, как бы того не хотелось американским официальным лицам....

Подробнее…

Почему российские ИБ-компании не комментируют Гризлигейт

Ну и чтобы закончить (возможно на время) с темой Гризлигейта задамся простым вопросом. Почему ни одна российская компания не прокомментировала отчет DHS и не опровергла приведенные в нем "факты"? Новогодние праздники или нежелание попасть в черный список США? Возьмем Mandiant (часть FireEye) или CrowdStrike, которые прямо называют Россию, как источника последних кибератак на американскую администрацию и стратегически важные американские компании и организации. Они не боятся, так как в России бизнеса или не имеют вовсе или он незначителен. Им...

Подробнее…

А ФСТЭК все молчит...

1-го декабря вступили в силу новые правила ФСТЭК, согласно которым, все новые разрабатываемые, производимые и поставляемые межсетевые экраны должны соответствовать новым требованиям ФСТЭК, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. №9.  При этом в информационном сообщении ФСТЭК от 28 апреля 2016 г. N 240/24/1986 "Об утверждении требований к межсетевым экранам" прямо сказано, что "межсетевые экраны, установленные до 1 декабря 2016 г., могут эксплуатироваться без проведения повторной сертификации на соответствие Требованиям". Все...

Подробнее…

Почему американцы винят именно русских в кибератаках на себя?

Процесс Threat Hunting практически всегда начинается с гипотезы о наличии (или, реже, отсутствии) угрозы в анализируемых данных, которую вы, с помощью собранных или собираемых доказательств, должны подтвердить или опровергнуть. В атрибуции, то есть определении того, кто стоит за той или иной угрозой, ситуация аналогичная. Сначала мы высказываем гипотезу о том, кто стоит за той или иной кампанией или инцидентом, а потом пытается это доказать или...

Подробнее…

Новости ИБ за новогодние праздники (остальное)

Продолжаем начатую прошлой заметкой тему с ИБ-событиями, произошедшими за новогодние праздники. К ним, помимо Гризлигейта, я бы еще отнес: 31 декабря Вашингтон-пост опубликовала статью о взломе российскими хакерами электросети в Вермонте. Потом, правда, оказалось, что взломанный компьютер не был подключен к электросети, а русский след отсутствовал, но американские СМИ успели подхватить столь лакомую идею об очередном доказательстве путинских кибератак....

Подробнее…