28.2.20

Почему спиваются CISO?

На проходящей на этой неделе RSA Conference в первый день проводили интересный круглый стол на тему "Цифровая трансформация, обман и детокс: опрос лидеров ИБ", на котором поднималась очень интересная и очень дискуссионная тема, связанная с влиянием работы CISO на его жизнь. В прошлый года на RSA Conference был отдельный трек, посвященный роли CISO, развитию его карьеры, лайфхакам коллеги и т.п. В этом году этот трек решили начать с наболевшего и...

27.2.20

Дифференциация требований по ИБ на примере новой системы сертификации МинОбороны

Наблюдая за тем, что делает ФСТЭК (ФСБ тоже), а точнее как, замечаешь одну вещь. Регулятор воспринимает только два цвета - белое или черное. Вспоминается дискуссия во время принятия последней редакции Постановления Правительства о лицензировании отдельных видов деятельности и перечня требования к лицензиатам на мониторинг ИБ. Кто помнит, там есть такие пункты, которые обязывают владельца коммерческого SOC иметь ряд сертифицированных средств защиты,...

26.2.20

Кибербезопасность прорывных технологий (презентация)

Ну и чтобы завершить с темой моих выступления на Уральском форуме, которая была начата предыдущими двумя заметками, выкладываю свою презентацию, посвященную аспектам кибербезопасности, которые надо учитывать при внедрении прорывных технологий - больших данных, блокчейна, машинного обучения, квантовых вычислений, биометрии, 5G и т.п. Кибербезопасность прорывных технологий from Aleksey Lukatskiy...

Бизнес-метрики ИБ для руководства финансовой организации (презентация)

На Уральском форуме мне довелось не только собрать воедино все регулятивные новости, но и выступить еще дважды с темами, которые были одобрены программным комитетом. Одна из них была посвящена метрикам и подходам, которые руководитель ИБ финансовой организации мог бы использовать при общении с Правлением или исполнительным органом организации. Особенно приятно было услышать отзыв об этой презентации, в котором сквозило удивление, что я понимаю банковский бизнес лучше чем банкиры :-) Это, конечно, преувеличение, но я действительно немного понимаю...

25.2.20

Уральский форум за 15 минут (презентация и видео)

На прошлой неделе закончился Уральский форум по информационной безопасности финансовых учреждений. Это мероприятие, уже ставшее традиционным место сбора банковских безопасников, в этом году особенно удалось. Тут наложилось много обстоятельств. И работа организаторов, которая была на высоте, и снежная зима, которой в Москве так и не было, и культурная программа, и новые знакомства и старые друзья... И очень интересной и насыщенной на мой взгляд оказалась программа. Тут и активно представленный Банк России (я не помню, чтобы на предыдущих форумах...

14.2.20

Сценарий, по которому ФСТЭК прекратит свое существования

Пятница... День подготовки к выходным, день шуток, анекдотов и фантазий. Вот об одной такой фантазии я и хочу поведать. Пришла она мне в голову после общения с коллегами из разных структур, с которыми мы пересеклись на конференции ФСТЭК. Фантазия носит конспирологический характер, но для пятницы вполне пойдет. Итак, что мы сейчас видим. ФСТЭК, вопреки своим предыдущим шагам (а попытка включить требование по применению чисто российских средств...

13.2.20

Как ФСТЭК запрещал пользоваться услугами Вымпелкома, Яндекса и множества других российских компаний

Вчера, я вкратце пробежался по последствиям, которые повлечет за собой принятие поправок в 239-й приказ. Сегодня я хотел бы коснуться одной из формулировок этих поправок чуть более подробно. Но для этого, я бы хотел, чтобы вы представили себе ситуацию. Обычный русский город Осташков. Население по итогам 2019-го года составляет 15666 человек. Единственное медицинское учреждение на весь Осташковский район - Осташковская центральная районная больница....

12.2.20

О проекте поправок в 239-й приказ ФСТЭК

Сегодня проходит конференция ФСТЭК, на которой... не будут рассказывать о КИИ. И вообще из 14 докладов, заявленных в программе, представители ФСТЭК читают только 3 из них. А раз так, то позволю себе высказаться о проекте поправок в 239-й приказ ФСТЭК, который на днях был выложен на общественное обсуждение и который уже вызвал большой отклик в СМИ. Я бы отметил, что этот приказ совсем не про защиту информацию и не про кибербезопасность. Кто-то...

11.2.20

Безопасность по подписке

На новогодних праздниках я настраивал новый телевизор с функцией Smart TV и загрузил на него приложения нескольких онлайн-кинотеатров - Okko (годовая подписка вместе с покупкой телевизора), КиноПоиск HD (подписка при покупке Яндекс.Плюс), ivi (подписка сына), Netflix (подписка сына). Помимо этого я активно пользовался еще и Apple TV. Итого 5 стриминговых кинотеатра по подписке и почти полный отказ от обычной телевизионной программы. Мир переходит...

10.2.20

Сайты иностранных "ФСТЭК"ов - что есть интересного?

Добьем уж тему рационализаторских предложений для нашего регулятора по ИБ и завершим ее сайтом. Да, сайт ФСТЭК - это уникальное явление в Интернет третьего десятилетия 21-го века. Я такие же, условно, сайты делал в середине 90-х годов, когда в Информзащите отвечал за корпоративный сайт, его создание и развитие (да, был в моей карьере такой интересный опыт). С тех пор прошло много времени, изменились подходы к Web-дизайну, Web-технологии, возможности...

7.2.20

Что еще могла бы сделать ФСТЭК по аналогии с CIS

Ну раз уж я последние три дня публиковал некоторые рекомендации по возможному улучшению результатов работы ФСТЭК, то закончу эту неделю еще одним набором рекомендаций. Их тоже будет три и я их "подсмотрел" у уже не раз упомянутого на неделе Center of Internet Security (CIS). С CIS Controls и Community Attack Model вроде мы разобрались. Что еще есть у CIS? CIS Benchmarks - набор рекомендаций по настройке широкого спектра ПО (серверное, операционные...

6.2.20

3 рекомендации по улучшению приказов ФСТЭК. Экселизация

Продолжим рационализацию по части приказов ФСТЭК. Заходим мы на сайт ФСТЭК (это, кстати, еще одна тема для улучшения, но совсем отдельная) и хотим начать выстраивать процесс работы с требованиями по безопасности. Выбираем нужный нам приказ и... понимаем, что работать-то с ними и не очень удобно. Нам предлагается на выбор три варианта: RTF, PDF и HTML. С PDF работать невозможно - только читать. Та же ситуация и с HTML и RTF. Допустим, я...

5.2.20

3 рекомендации по улучшению приказов ФСТЭК. Привязка защитных мер к угрозам

В конце января я написал заметку о том, как можно было развить БДУ, добавив в нее привязку к этапам атаки (там где угроза является низкоуровневой, а не стратегической) и затем уже к матрице MITRE ATT&CK. Сегодня я хотел бы посмотреть на эту проблему немного с другой стороны. Одним из часто задаваемых вопросов касательно инициатив ФСТЭК является - "Как связать угрозы из БДУ с защитными мерами из приказов?". Сергей Борисов уже писал об этом и...

4.2.20

3 рекомендации по улучшению приказов ФСТЭК. Приоритезация!

3 с лишним года назад я написал пару заметок о том, как можно было бы улучшить 17-й (ну и до кучи 21-й, 31-й и 239-й) приказ ФСТЭК (тут и тут) с точки зрения его обвязки (по контенту у меня тоже были предложения). И вроде бы ничего сложного я не предложил, но, видимо, идея с самооценкой регулятору не зашла. Но в преддверии конференции ФСТЭК у меня вновь появились рацпредложения :-) Целых 3! В этой заметке я напишу про приоритезацию защитных мер. В...

3.2.20

Что я жду от Уральского форума, организованного Банком России?

В пятницу я написал про мероприятия двух регуляторов, но у нас есть и еще один. Последний в списке, но не последний по значимости, регулятор, - Банк России, который по традиции организует уже 12-й Уральский форум, легендарную "Магнитку", который в этом году стоит посетить хотя бы только ради нормальной зимы (там она всегда такая, какой и должна быть - снег, сугробы, мороз, солнце, иногда метеориты падают). У меня немного субъективное мнение...