Главная

Статьи и блоги

Davydych Viktor, CISO
14.10.2020
Краткая информация об изменениях в стандарте PCI DSS 4.0.
Шнайер Брюс, Американский криптограф
13.10.2020
One of the things we learned from the Snowden documents is that the NSA conducts “about” searches. That is, searches based on activities and not identifiers. A normal search would be on a name, or IP address, or phone number. An about search would something like “show me anyone that has used this particular name in a communications,” or “show me anyone who was at...
Прозоров Андрей Алексеевич, Эксперт по ИБ
12.10.2020
Недавно была опубликована свежая статистика по выданным сертификатам ISO, ISO Survey 2019. Выбрал самое важное. Общее количество выданных сертификатов на 31.12.2019, рост на 3.8% по сравнению с 2018 годом: Количество сертификатов по ISO 27001 выросло за год на 14%. Топ 10 стран по количеству сертификатов ISO 27001: China - 8356 Japan - 5245 United Kingdom of Great Britain and Northern...
Лукацкий Алексей, Бизнес-консультант по безопасности
12.10.2020
Зарекся писать про тему прав субъектов персональных данных и законодательство про это, так как не только перестал понимать логику его авторов, но и потому что исполнительная власть давно и успешно положила болт на это законодательство и комментировать его действия сложно. Вот про техническую защиту персональных данных пишу и рассказываю - там все чуть проще и понятнее. В мае вот выступал на GDPR...
Емельянников Михаил Юрьевич, Управляющий партнер
12.10.2020
Отдохнули? Продолжим анализ указа мэра Москвы № 97-УМ, начатый в пятницу. Тем более, что как раз сегодня, 12 октября, работодателям через личный кабинет на сайте mos.ruнадо сдать персональные данные (настаиваю на том, что это именно персональные данные, что бы не разъясняли по этому поводу в пресс-службе ДИТ Москвы, например, здесь) не менее 30% своих работников, отправленных на удаленку....
Шауро Евгений Анатольевич, ИБ
10.10.2020
Сейчас по время пандемии вопрос с банковскими курьерами стал с одной стороны якобы менее острым, а с другой стороны даже более острым. Обосную с каждой стороны. Вначале про ковидлу. Мы сидим ничего не делаем на диване дома, заказываем банковский продукт на сайте банка, и вот к нам мчится банковский курьер с картой в маске и перчатках. Будто бы самостоятельно съездить в офис также в маске и...
Емельянников Михаил Юрьевич, Управляющий партнер
09.10.2020
Интернет-ресурсы забиты дискуссиями по поводу нового указа мэра Москвы от 06.10.2020 № 97-УМ, предусматривающего предоставление работодателями сведений о работниках, переведенных на дистанционный режим работы. У нас в агентстве разрываются телефоны, заказчики пытаются понять, что им и как делать или не делать, когда будет хуже – если предоставить сведения о работниках, что может вызвать их...
Прозоров Андрей Алексеевич, Эксперт по ИБ
08.10.2020
Подготовил небольшую таблицу с ответом на вопрос "какие стандарты и лучшие практики использовать для защиты персональных данных". Есть из чего выбрать... Все ссылки и pdf-файл доступны мои подписчикам на Патреон - https://www.patreon.com/posts/42520555
Шудрова Ксения, Эксперт по информационной безопасности
08.10.2020
  Добрый день, коллеги! Привожу здесь продолжение своей шпаргалки по законодательству.   Основные Федеральные законы здесь. Основные Указы Президента РФ здесь. Основные Постановления Правительства РФ здесь. Приказ Министерства связи и массовых коммуникаций Российской Федерации "Об утверждении Административного регламента исполнения Федеральной службой по надзору в...
Лукацкий Алексей, Бизнес-консультант по безопасности
07.10.2020
Расскажу историю. Проводим мы тут аудит одного SOCа и в рамках выполняемых работ есть у нас задача проверки и выработки рекомендаций по улучшению системы показателей эффективности SOC (метрик), дашбордов, отчетности и вот этого вот всего. В процессе воркшопа, в рамках которого мы выясняем детали реализации процесса изменения эффективности, руководитель SOC делится своей болью. Мол, при построении...
Лукацкий Алексей, Бизнес-консультант по безопасности
06.10.2020
На днях Минюст зарегистрировал новое Положение Банка России 719-П, которое пришло на смену 382-П. У него есть несколько отличий от отменяемого с 1-го января 2022-го года 382-П: Расширен перечень лиц, на которых распространяется 719-П. Теперь это не только операторы по переводу денежных средств, операторы услуг платежной инфраструктуры, операторы платежных систем и банковские платежные агенты и...
Шудрова Ксения, Эксперт по информационной безопасности
06.10.2020
 Добрый день, коллеги! Знаю, что многим неудобно вытаскивать информацию из видеозаписи вебинара, поэтому прилагаю выборку судебной практики в текстовом формате. Источник: https://sudrf.ru/. Дело 1. Костромская область. Спортивная школа Кратко: Межрайонная прокуратура провела проверку соблюдения требований действующего законодательства при организации трудовой занятости...
Шнайер Брюс, Американский криптограф
05.10.2020
Interesting usability study: “More Than Just Good Passwords? A Study on Usability and Security Perceptions of Risk-based Authentication“: Abstract: Risk-based Authentication (RBA) is an adaptive security measure to strengthen password-based authentication. RBA monitors additional features during login, and when observed feature values differ significantly from previously seen ones,...
Лукацкий Алексей, Бизнес-консультант по безопасности
05.10.2020
За последнее время 8-й Центр ФСБ объявил госзакупок по теме квантового распределения ключей на сумму более 200 миллионов рублей. И уже достаточно активно стали появляться различные новости о том, что то одна, то другая российская компания (преимущественно из финансового сектора) вместе с каким-либо из российских разработчиков СКЗИ, запустили прототип системы квантового шифрования. Если чуть...
Прозоров Андрей Алексеевич, Эксперт по ИБ
02.10.2020
Обновил и выложил на Патреон (платная подписка) все свои майндкарты по стандартам и "лучшим практикам", которые использую в своей работе.  Держите весь список: ISMS ISO 27001:2013 - https://www.patreon.com/posts/32914010 The ISF Standard of Good Practice for Information Security 2020 (SoGP) - https://www.patreon.com/posts/36496886 NIST SP 800-53 rev.5 "Security and Privacy...
Комаров Алексей, 1
01.10.2020
По приглашению коллег из ЭКСПО-ЛИНК принял участие в их проекте “Безопасная среда” и прочитал короткий доклад про особенности мониторинга информационной безопасности для АСУ ТП. Постарался перечислить основные сложности практического создания систем мониторинга для промышленных сегментов, а также варианты их (сложностей) нивелирования. Запись велась и после обработки будет выложена на YouTube, а...
Шнайер Брюс, Американский криптограф
30.09.2020
Really interesting conversation with someone who negotiates with ransomware gangs: For now, it seems that paying ransomware, while obviously risky and empowering/encouraging ransomware attackers, can perhaps be comported so as not to break any laws (like anti-terrorist laws, FCPA, conspiracy and others) ­ and even if payment is arguably unlawful, seems unlikely to be prosecuted. Thus, the...
Борисов Сергей, ведущий инженер нИБ
29.09.2020
Недавно National Institute of Standards and Technology в США (NIST) обновили свой документ “Security and Privacy Controls for Information Systems and Organizations” до версии 5. Предыдущая версия была опубликована достаточно давно – почти 6 лет назад и за это время её скачали несколько миллионов раз, в том числе разработчики приказов ФСТЭК России брали за основу набор мер...
Шудрова Ксения, Эксперт по информационной безопасности
25.09.2020
Добрый день, коллеги! Мы с Сергеем Борисовым ждем всех на очередном Межблогерском вебинаре. На этот раз говорить будем о защите персональных данных в образовательных учреждениях.   Наш гость, Сергей Городилов (Аспект СПб), не понаслышке знает о защите персональных данных в этой отрасли, а практика слушать всегда интересно и полезно. Богатый практический опыт Сергея Борисова (УЦСБ...
Шнайер Брюс, Американский криптограф
23.09.2020
A Dusseldorf woman died when a ransomware attack against a hospital forced her to be taken to a different hospital in another city. I think this is the first documented case of a cyberattack causing a fatality. UK hospitals had to redirect patients during the 2017 WannaCry ransomware attack, but there were no documented fatalities from that event. The police are treating this as a homicide.