Главная

Новости

Статьи и блоги

Шудрова Ксения, Эксперт по информационной безопасности
17.09.2021
 Доброй пятницы, коллеги! Предлагаю вам собственноручно отобранные картинки-вырезки на тему защиты персональных данных. Их можно будет вставлять в ваши презентации для руководства и обосновывать бюджеты на ИБ. Итак, зачем обрабатывать персональные данные? Причины на мой взгляд две. Первая - получать выгоду от защиты персональных данных. 1. Безопасность ПДн продавать как услугу: источник 2....
Добрый день, коллеги!    В предыдущих статьях я обещал, что мы будем и далее наблюдать за мерами по обеспечению кибербезопасности критический инфраструктуры США. За три летних месяца, помимо опубликованного мною, выделю: создание государственного ресурса по борьбе с кибервымогателями, активное наполнение соответствующих разделов на сайте CISA, выдвижение в июне House Energy and...
Шудрова Ксения, Эксперт по информационной безопасности
13.09.2021
 Добрый день, коллеги! Сегодня на сайте ФСТЭК России появилось информационное сообщение от 2 сентября 2021 г. N 240/24/4303 "Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну". Сам порядок находится в разделе Документы/Акты. Ссылка...
Лукацкий Алексей, Бизнес-консультант по безопасности
13.09.2021
В пятницу, на конференции Kaspersky ICS Cybersecurity Conference, я выступал с темой "Основные сценарии реализации угроз на АСУ ТП и их преломление на методику оценки угроз ФСТЭК" (презентацию выложил в своем Telegram-канале). К этому выступлению я планировал завершить перевод последней версии матрицы MITRE ATT&CK v9 на русский язык и маппинг техник ФСТЭК в техники MITRE ATT&CK, что и...
Лукацкий Алексей, Бизнес-консультант по безопасности
03.09.2021
Если не рассматривать крупные организации, службы ИБ которых насчитывают сотни человек, то в массе своей нам обычно не хватает людей на все наши хотелки и мы всегда чувствует дефицит персонала. И чем мельче компания, тем сильнее этот дефицит, который надо как-то закрывать. И когда ты приходишь к генеральному директору за одобрением новых ставок в штат ИБ, ты часто слышишь: "Вас и так много (а "...
Емельянников Михаил Юрьевич, Управляющий партнер
01.09.2021
Елена Покатаева из «Банковского обозрения» подготовила интересную и детальную публикацию, ну, а я немного прокомментировал. «Тайна частной жизни и приватность существуют ровно до того момента, когда человек, к которому эти сведения относятся, сам сохраняет их в тайне. Написал на заборе (в соцсети) — забудь о приватности. Ее больше нет». «Суды пошли еще дальше и пытаются запретить любому...
Лукацкий Алексей, Бизнес-консультант по безопасности
24.08.2021
Вчера я наткнулся на модель угроз и нарушителя безопасности информации, обрабатываемой в программно-техническом комплексе дистанционного электронного голосования (ДЭГ). И хотя это всего лишь выписка, она все равно дает пищу для размышлений. В частности, беглый просмотр этого документа вызвал у меня следующие вопросы: Где модель нарушителя? Предположу, что это в неопубликованной части, но что-то...
Казанцев Николай, Специалист по информационной безопасности
18.08.2021
  Создавая и поддерживая системы информационной безопасности на протяжении многих лет я всегда сталкивался с потребностью в правильной автоматизации процессов. В области управления безопасностью это прежде всего автоматизация управления рисками, защитными мерами и обеспечение соответствия множеству требований регуляторов и лучших практик одновременно. Было перепробовано множество...
Борисов Сергей, ведущий инженер нИБ
16.08.2021
Для тех, кто проводит работы по анализу соответствия техник и тактик из разных каталогов, визуализация зачастую позволяет быстро, одним взглядом увидеть интересные закономерности и сделать полезные выводы. В сравнении исходим из предпосылки что база MITRE более подробная, чаще обновляется, содержит более современные техники поэтому с большей вероятность её надо брать за эталон и смотреть чего не...
Борисов Сергей, ведущий инженер нИБ
11.08.2021
 Как вы, наверное, знаете, новая методика моделирования угроз ФСТЭК России сделала революцию в российских подходах к моделированию угроз – теперь нужно рассматривать угрозы – как комбинацию сценариев действий нарушителей, составленных из элементарных частиц – техник и тактик. Но техники и тактики из методики ФСТЭК немного, они недостаточно сбалансированы и пока не обновляются....
Davydych Viktor, CISO
11.08.2021
С 30 июня этого года прекращена сертификация на соответствие PA DSS. Сам стандарт останется актуальным до 28 октября 2022 года, после чего прекратит свое существование.  Ему на замену пришел документ SSF или SSS (Software Security Framework (Standard)), который описывает требования к процессам разработки, о котором я писал ранее. В свою очередь серию документов SPoC и CPoC объединят в...
Лукацкий Алексей, Бизнес-консультант по безопасности
09.08.2021
На очередном мероприятии, где я выступал с рассказом о стратегии борьбы с шифровальщиками, и поднял тему об оплате выкупа вымогателям, завязалась дискуссия, в которой я отстаивал точку зрения, что оплата выкупа - это бизнес-решение, а мои оппоненты, сплошь одни безопасники, защищали противоположную точку зрения, что платить вымогателям нельзя, тем самым мы стимулируем их на совершение еще больших...
Добрый день, коллеги!    Продолжим наше наблюдение за развитием системы обеспечения кибербезопасности критической информационной инфраструктуры США.    Я уже писал про меры, по обеспечению безопасности цепочки поставок ПО и защите гражданских не силовых ведомств, про меры по борьбе с вредоносным ПО и директиву об установлении и реализации требований к кибербезопасности для...
Борисов Сергей, ведущий инженер нИБ
03.08.2021
  Недавно европейский орган о кибербезопасности EuropeanUnion Agency for Cybersecurity (ENISA) выпустили свежий отчет CYBERSECURITY FORSMESпо анализу актуальных угроз ИБ для малого и среднего бизнеса, а также дал рекомендации по защите. Давайте посмотрим на них подробнее: ·        В Европе 99% компаний относятся к SME, поэтому их...
Лукацкий Алексей, Бизнес-консультант по безопасности
27.07.2021
 Несколько лет назад, а именно пять, я писал о том, как можно было бы облегчить жизнь с реализацией приказов ФСТЭК, внедрив неку/ю модель зрелости, которая бы позволила оценивать текущий уровень реализации требований регулятора и выстраивать некую дорожную карту достижения желаемого уровня соответствия. К сожалению, описанная мной тогда идея так и осталась идеей и, в отличие от NIST, который...
Казанцев Николай, Специалист по информационной безопасности
26.07.2021
Иметь под рукой актуальную и архивные конфигурации сетевого оборудования важно и для ИТ, и для ИБ. Быстрый доступ к конфигурациям позволяет: Восстановить оборудование в случае его поломки; Обнаружить и откатить нежелательные изменения, сравнив актуальную и архивные версии конфигурации; Быстро найти нужный параметр среди сотен устройств; Построить процесс контроля безопасности конфигураций....
Казанцев Николай, Специалист по информационной безопасности
23.07.2021
Используя Office 365 и корпоративный OneDrive для работы недавно столкнулись с его странным поведением в отношении личных данных пользователей. Теперь приложение Microsoft OneDrive для Android при входе запрашивает доступ к контактам на телефоне. И если доступ не предоставить - пользоваться приложением невозможно. Казалось бы, зачем файловому хранилищу Microsoft контакты с...
Лукацкий Алексей, Бизнес-консультант по безопасности
19.07.2021
Вы думали, почему на конференциях по ИБ выступают Рустем Хайретдинов, Дима Мананников, Алексей Качалин, Антон Карпов, Дима Гадарь, Мона Архипова и другие достойные специалисты? Я не знаю, почему. Да и наверное неправильно додумывать за них об их причинах. Я хочу поделиться своим видением того, почему человек начинает выступать на конференциях. Будем считать это продолжением моего опуса об ИБ-...
Борисов Сергей, ведущий инженер нИБ
16.07.2021
  На прошлой неделе провели с Ксенией Шудровой (RISC) и Денисом Лукашем (Infobip) провели межблогерский вебинар в котором в режиме батла обсудили разные подходы к назначению, опыту, знаниям и подходам DPO и выстраиванию его взаимодействия с бизнесом. Раньше я уже делал подобный анализ исходя из требований к функциям, образованию и квалификации DPO, происходящих из нормативных требований и...
Добрый день, коллеги!    В пятницу Президент Российской Федерации В.В. Путин подписал указ № 400 «О Стратегии национальной безопасности Российской Федерации».    За последние 13 лет - это третья Стратегия, все они утверждались президентскими указами:    от 12 мая 2009 г. № 537;    от 31 декабря 2015 года № 683;    от 2 июля 2021 года...