Главная

Статьи и блоги

Борисов Сергей, ведущий инженер нИБ
17.01.2019
Пару дней назад обновился реестрсертифицированных СЗИ в системе ФСТЭК России. Там появились свеже сертифицированные серийные СЗИ. Но мне было интересно посмотреть на некоторые штучные. Как вы, наверное, знаете, требуемые меры защиты можно реализовать как накладными внешними СЗИ, так и встроенными возможностями прикладного ПО ИС. Как правило, в крупных федеральных порталах (ГИСах) как правило...
Лукацкий Алексей, Бизнес-консультант по безопасности
17.01.2019
Есть три вещи, которые меня раздражают в российских новогодних праздниках - безделье (но я научился с ним бороться), фейрверки в новогоднюю ночь до 4-х утра и бесконечная еда (кого-то еще раздражает постоянные возлияния горячительными напитками, но не меня). Вот про еду мы сегодня и поговорим :-) Когда-то я написал несколько заметок, которые проводили параллели между ИБ и ремонтом, поясом...
Царев Евгений, Независимый эксперт
16.01.2019
В российском парламенте ведутся обсуждения законопроектов о наказании за публикации, выражающие неуважение к государству, а также о штрафах за недостоверную информацию в СМИ. Проекты уже вызвали неоднозначную реакцию в обществе. Их автор, сенатор Андрей Клишас, считает, что Россия может взять на вооружение мировой опыт регулирования данной сферы, с учетом того, что и в некоторых западных странах...
Шудрова Ксения, Эксперт по информационной безопасности
16.01.2019
Добрый день, дорогие читатели! Недавно в группе ВК завершился опрос о том, какой пост должен выйти первым. Вы выбрали тему КИИ. Что же, с нее и начнем. Остальные темы будут позже. Критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов. Начать изучение темы стоит, конечно...
Царев Евгений, Независимый эксперт
15.01.2019
ЦБ начал работать над методическими рекомендациями, которые помогут обеспечить регуляторных и организационно-технических мер по недопущению мошенничества в сфере применения удаленной идентификации с использованием биометрии. Ожидается, что это сведет к минимуму риск «подмена личности», который возможен при идентификации клиентов банков с помощью ранее сданных в Единую биометрическую систему (ЕБС...
Лукацкий Алексей, Бизнес-консультант по безопасности
15.01.2019
Новогодние праздники достаточно длинны и их можно тратить на что-то более полезное, чем обжирание и пьянство :-) Вот и я, после чтения купленных на праздники книг по математике и регулярных коньков, перемежающихся расчисткой дорожек от снега на даче, решил пройти обучение. Давеча завершил я прохождение онлайн курса про программе CompTIA Cybersecurity Analyst CySA+ и хотел бы поделиться...
Царев Евгений, Независимый эксперт
14.01.2019
Норма правильная, только запоздала лет на 10. Главный фактор неопределенности — органы следствия. Возбудить дело — очень нетривиальная задача. Минфин выпустил письмо о возможности учитывать убытки от таких атак в расходах для целей расчета налога на прибыль. Условием для включения убытков в расходы будет наличие документа органа государственной власти об отсутствии виновных лиц....
Лукацкий Алексей, Бизнес-консультант по безопасности
14.01.2019
На прошлой неделе несколько человек спросило меня, буду ли я делать в очередной раз календарь мероприятий по ИБ на 2019-й год. Если честно, то я не планировал это делать, так как работа немного теряет смысл. Новые мероприятия появляются достаточно редко, уже проводимые не раз повторяются примерно в те же даты и на том же уровне, корпоративные мероприятия (а их становится все больше) ограничены...
Шнайер Брюс, Американский криптограф
11.01.2019
This is a fantastic video of a young giant squid named Heck swimming around Toyama Bay near Tokyo. As usual, you can also use this squid post to talk about the security stories in the news that I haven't covered. Read my blog posting guidelines here.
Царев Евгений, Независимый эксперт
11.01.2019
Власти разрешили следить за детьми с помощью мобильников. Госдума одобрила в первом чтении законопроект, разрешающий искать пропавших без вести детей с помощью геолокации их мобильных телефонов. Для этого нужно иметь согласие владельцев таких устройств. МВД требует повысить штрафы для интернет-провайдеров в 10 раз. МВД предлагает ввести штрафы для владельцев интернет-сайтов, пропагандирующих...
Царев Евгений, Независимый эксперт
11.01.2019
Соответствующий законопроект уже рекомендовали к принятию в первом чтении. «В рамках борьбы с кибермошенничеством Банк России намерен развивать деятельность по совершенствованию нормативно-правового регулирования, обеспечивающего защиту информации при предоставлении финансовых сервисов в сети Интернет. В частности, предполагается законодательно закрепить полномочия Банка России по блокированию...
Лукацкий Алексей, Бизнес-консультант по безопасности
11.01.2019
Нередко слышу от людей комментарии, что они "выросли на моем блоге", что мой блог сильно помог им разобраться в ИБ и т.п. А вчера, в группе RuScadaSec в Telegram всплыл вопрос о том, что делать, если появится требование об обязательном повышении квалификации по ИБ для защиты КИИ. Кто-то написал, что он читает мой блог и ему не нужны никакие дополнительные программы повышения квалификации (даже...
Царев Евгений, Независимый эксперт
10.01.2019
Обратил внимание, что в группе было только 2 человека с техническими знаниями и навыками. А истерия была как будто целая армия работала. Хакер из группировки «Анонимный интернационал» Константин Тепляков заявил, что группа работала под руководством сотрудников ФСБ. Это стало его первым заявлением после условно-досрочного освобождения из петербургской ИК-5. «Связь с сотрудниками ФСБ держал...
Прозоров Андрей Алексеевич, Эксперт по ИБ
10.01.2019
Чаще всего, когда я решаю какие-либо менеджерские/процессные вопросы информационной безопасности и ищу вдохновения и хороших идей, то обращаюсь к стандартам и "лучшим практикам". Чаще всего это ISO 27001/27002 и COBIT5 for Information Security. Но недавно коллега (спасибо, Евгений) подсказал еще один хороший документ - "The ISF Standard of Good Practice for Information Security 2018". "The ISF...
Лукацкий Алексей, Бизнес-консультант по безопасности
10.01.2019
Пока не все еще вступили в боевой режим работы, а кто-то и вовсе не вернулся с отдыха, не буду постить что-то серьезное. Просто поделюсь двумя примерами повышения осведомленности, которые мне попались в рамках новогодних подарков. Первый - перекидной настольный календарь от Газпромбанка с лайфхаками о том, что можно и что нельзя делать рядовому пользователю с точки зрения информационной...
Davydych Viktor, CISO
09.01.2019
Прошло уже полгода с момента вступления в силу требований GDPR (General Data Protection Regulation). За это время количество утечек судя по публикациям в СМИ не только не уменьшилось, но и даже возросло (или осталось таким же, но возросло количество информации о данных инцидентах?). К чему это привело для компаний? Были ли штрафы и какого размера? Прецеденты действительно были. Самые известные...
Царев Евгений, Независимый эксперт
09.01.2019
Ситуация напоминает тупик. Зачем делалось то, что делалось и что дальше? — непонятно. Санкционная война с Западом, которая началась в 2014 г., заставила власти задуматься о безопасности критической инфраструктуры интернета. После этого Минкомсвязи начало подготовку законопроекта «О критической инфраструктуре интернета». Документ предполагает создание информационной системы (ИС) «Интернет»,...
Лукацкий Алексей, Бизнес-консультант по безопасности
09.01.2019
Уже по традиции решил сделать блиц-обзор новостей, которые попали в поле моего зрения за последние почти две праздничные недели. Ничего похожего на прошлогодние Spectre и Meltdown не произошло, но были другие интересные события: Число утечек продолжает активно расти и новогодние праздники не стали исключением - почти на всех материках (кроме Антарктиды) зафиксированы инциденты с персональными...
Прозоров Андрей Алексеевич, Эксперт по ИБ
07.01.2019
Задумался о получении международного сертификата про Privacy и рассматриваю систему сертификации IAPP - https://iapp.org/certify/programs. У них представлено 3 довольно интересных сертификата: CIPP, CIPM и CIPT. Для своих нужд сделал небольшую презентацию - обзор (с основной полезной информацией).  IAPP certification programs overview from Andrey Prozorov, CISM Если...
Шнайер Брюс, Американский криптограф
05.01.2019
It's growing. As usual, you can also use this squid post to talk about the security stories in the news that I haven't covered. Read my blog posting guidelines here.