Главная

Статьи и блоги

Царев Евгений, Независимый эксперт
21.02.2020
В британских школах были распространены плакаты со списком ПО, в случае обнаружения которого на компьютерах учеников их родителям и учителям рекомендовали обратиться в полицию. В списке были: ОС Kali Linux, браузер Tor, мессенджер Discord, ПО для виртуализации VirtualBox и специфический софт, например, Metasploit. На самих плакатах был изображен логотип Национального агентства по борьбе с...
Борисов Сергей, ведущий инженер нИБ
21.02.2020
Исследование Verisonговорит, что 80% инцидентов ИБ связано с аутентификацией. В соответствии с обзором ФинЦЕРТа Банка России, слабости в аутентификации и парольной защите являются первоочередной причиной инцидентов ИБ. Проблемы классической парольной аутентификации очевидны. Так почему так много вопросов вызывает требования банковского ГОСТ 57580.1 к применению двухфакторной аутентификации (...
Прозоров Андрей Алексеевич, Эксперт по ИБ
20.02.2020
Обновил свою майндкарту с основными этапами внедрения СУИБ по ISO 27001.  Скачать ее в pdf и xmind могут подписчики моего Патреон - https://www.patreon.com/posts/isms-roadmap-34193352 В этой версии карты добавил некоторые рекомендации и положения из ISO 27003-2017, а также заменил часть про контекст и заинтересованных лиц на положения из COBIT2019, там они описаны лучше... ...
Прозоров Андрей Алексеевич, Эксперт по ИБ
19.02.2020
Стандарт ISO 27001:2013 был пересмотрен в 2019 году и признан актуальным ("This standard was last reviewd and confirmed in 2019. Therefore this version remains current"), в ближайшие годы его изменение не ожидается... P.S. Но стоит учитывать, что 2 раза в его текст были внесены мелкие технические корректировки. Cor.1:2014 Page 12, Subclause A.8.1.1 Replace Control Assets associated with...
Шнайер Брюс, Американский криптограф
17.02.2020
This paper describes the flaws in the Voatz Internet voting app: "The Ballot is Busted Before the Blockchain: A Security Analysis of Voatz, the First Internet Voting Application Used in U.S. Federal Elections." Abstract: In the 2018 midterm elections, West Virginia became the first state in the U.S. to allow select voters to cast their ballot on a mobile phone via a proprietary app called "Voatz...
Прозоров Андрей Алексеевич, Эксперт по ИБ
17.02.2020
Сделал для себя список хороших европейских конференций и выставок по ИБ и privacy, часть из которых я планирую посетить. Такие мероприятия удобно совмещать с отпуском... Зима (уже прошли) Qualys Security Conference (QSC), 21.01.2020, Munich, Germany - https://www.qualys.com/qsc/2020/munich CPX 360 Cyber Security Conference Europe, 04.02-06.02.2020, Vienna, Austria - https://www....
Борисов Сергей, ведущий инженер нИБ
14.02.2020
Достаточно часто слышу от коллег, такую информацию, что ГОСТ Р 57580.1-2017 по безопасности финансовых (банковских) операций сильно сложнее для выполнения, чем СТО БР ИББС-1.0-2014 и старое 382-П. Высказываются тезисы что в ГОСТ появилось большое количество новых требований, которых не было ранее, что соответственно приводит к получению низких оценок. Это так, с другой стороны, при работе по...
Царев Евгений, Независимый эксперт
14.02.2020
Минкомсвязи планирует сертифицировать оборудование с поддержкой Wi-Fi 6. Об этом стало известно из опубликованного проекта на regulation.gov.ru. Сертификация таких устройств нужна прежде всего Samsung, Apple, а также Huawei. Как сообщил источник из одного вендора газете «Коммерсантъ», эти компании обращались с просьбой ускорить сертификацию в Минкомсвязи еще осенью предыдущего года. Хотя...
Лукацкий Алексей, Бизнес-консультант по безопасности
14.02.2020
Пятница... День подготовки к выходным, день шуток, анекдотов и фантазий. Вот об одной такой фантазии я и хочу поведать. Пришла она мне в голову после общения с коллегами из разных структур, с которыми мы пересеклись на конференции ФСТЭК. Фантазия носит конспирологический характер, но для пятницы вполне пойдет. Итак, что мы сейчас видим. ФСТЭК, вопреки своим предыдущим шагам (а попытка включить...
Лукацкий Алексей, Бизнес-консультант по безопасности
13.02.2020
Вчера, я вкратце пробежался по последствиям, которые повлечет за собой принятие поправок в 239-й приказ. Сегодня я хотел бы коснуться одной из формулировок этих поправок чуть более подробно. Но для этого, я бы хотел, чтобы вы представили себе ситуацию. Обычный русский город Осташков. Население по итогам 2019-го года составляет 15666 человек. Единственное медицинское учреждение на весь...
Лукацкий Алексей, Бизнес-консультант по безопасности
12.02.2020
Сегодня проходит конференция ФСТЭК, на которой... не будут рассказывать о КИИ. И вообще из 14 докладов, заявленных в программе, представители ФСТЭК читают только 3 из них. А раз так, то позволю себе высказаться о проекте поправок в 239-й приказ ФСТЭК, который на днях был выложен на общественное обсуждение и который уже вызвал большой отклик в СМИ. Я бы отметил, что этот приказ совсем не про...
Шнайер Брюс, Американский криптограф
11.02.2020
The Swiss cryptography firm Crypto AG sold equipment to governments and militaries around the world for decades after World War II. They were owned by the CIA: But what none of its customers ever knew was that Crypto AG was secretly owned by the CIA in a highly classified partnership with West German intelligence. These spy agencies rigged the company's devices so they could easily break the...
Лукацкий Алексей, Бизнес-консультант по безопасности
11.02.2020
На новогодних праздниках я настраивал новый телевизор с функцией Smart TV и загрузил на него приложения нескольких онлайн-кинотеатров - Okko (годовая подписка вместе с покупкой телевизора), КиноПоиск HD (подписка при покупке Яндекс.Плюс), ivi (подписка сына), Netflix (подписка сына). Помимо этого я активно пользовался еще и Apple TV. Итого 5 стриминговых кинотеатра по подписке и почти полный...
Прозоров Андрей Алексеевич, Эксперт по ИБ
10.02.2020
Подготовил список ресурсов, по которым можно подготовиться к экзамену CIPM (Certified Information Privacy Manager): IAPP: CIPM Study guide (official by IAPP) -  https://pages.iapp.org/cipm-study-guide-request.html  Privacy Program Management (Russell Densmore) - https://iapp.org/store/books/a191P0000035FGjQAM  Official Sample Questions -  https://iapp.org/store/examprep/...
Царев Евгений, Независимый эксперт
10.02.2020
Естественное и логичное развитие регуляции КИИ. В чем сюрприз? Субъекты КИИ уже несколько лет как выпиливают западные решения из своей инфраструктуры. В четверг, 6 февраля, Федеральная служба по техническому и экспортному контролю опубликовала на regulation.gov.ru проект поправок в приказ о защите объектов КИИ. Данные изменения коснутся критически важных сетей, а также информационных систем...
Борисов Сергей, ведущий инженер нИБ
10.02.2020
Несмотря на то, что требования законодательства РФ по криптографии не меняются по 5-10-20 лет, вопросы с ними связанные остаются самыми востребованными. Ниже статистика интереса с прошлого опроса. С чем это может быть связано? Возможно, это: наиболее глубокие проверки именно со стороны ФСБ России периодические вбросы от СМИ о суровых последствиях сложно реализовать все до конца “...
Лукацкий Алексей, Бизнес-консультант по безопасности
10.02.2020
Добьем уж тему рационализаторских предложений для нашего регулятора по ИБ и завершим ее сайтом. Да, сайт ФСТЭК - это уникальное явление в Интернет третьего десятилетия 21-го века. Я такие же, условно, сайты делал в середине 90-х годов, когда в Информзащите отвечал за корпоративный сайт, его создание и развитие (да, был в моей карьере такой интересный опыт). С тех пор прошло много времени,...
Царев Евгений, Независимый эксперт
07.02.2020
Федеральная антимонопольная служба предлагает обязать разработчиков операционных систем Apple, Google и Microsoft так же, как и производителей смартфонов, планшетов и компьютеров отвечать за предустановку российских приложений и программ. В соответствии с предложением ФАС, разработчики ОС будут обязаны отвечать требованиям по предустановке российского ПО на планшеты, смартфоны, компьютеры и...
Лукацкий Алексей, Бизнес-консультант по безопасности
07.02.2020
Ну раз уж я последние три дня публиковал некоторые рекомендации по возможному улучшению результатов работы ФСТЭК, то закончу эту неделю еще одним набором рекомендаций. Их тоже будет три и я их "подсмотрел" у уже не раз упомянутого на неделе Center of Internet Security (CIS). С CIS Controls и Community Attack Model вроде мы разобрались. Что еще есть у CIS? CIS Benchmarks - набор рекомендаций по...
Лукацкий Алексей, Бизнес-консультант по безопасности
06.02.2020
Продолжим рационализацию по части приказов ФСТЭК. Заходим мы на сайт ФСТЭК (это, кстати, еще одна тема для улучшения, но совсем отдельная) и хотим начать выстраивать процесс работы с требованиями по безопасности. Выбираем нужный нам приказ и... понимаем, что работать-то с ними и не очень удобно. Нам предлагается на выбор три варианта: RTF, PDF и HTML. С PDF работать невозможно - только читать...