Главная

Новости

Статьи и блоги

Рутковская Йоанна, Эксперт и исследователь в области компьютерной безопасности
11.06.2021
On behalf of the whole team, I’m proud to announce the first public release of Wildland client! This is a reference implementation of the Wildland protocol, which we have described in our “Why, What and How” (aka W2H) paper. Leaving aside all the usual disclaimers about how early-beta and for-power-users-only this version really is, I’d like to focus on what’s already working and possible :) The...
Лукацкий Алексей, Бизнес-консультант по безопасности
10.06.2021
Читая методику оценки угроз ФСТЭК, собственно как и матрицу MITRE ATT&CK, понимаешь, что делается это все не просто так, а для какой-то цели (вот новость-то). И целью этой является выработка защитных мер, которые позволят нам противодейстовать выбранным нами как актуальными техникам и тактикам нарушителей. Еще во время появления первых документов ФСТЭК в 2013-м году многие эксперты задавались...
Лукацкий Алексей, Бизнес-консультант по безопасности
08.06.2021
В последнее время в России активно взялись за образование по ИБ и стали... нет, не готовить больше специалистов и лучше. Стали больше формализовать их навыки и знания в профстандартах, которым этим специалисты должны соответствовать, чтобы смело называть себя специалистами и претендовать на работу по этой востребованной (если отбросить риски не поехать за границу, присесть за сотрудничество с...
Лукацкий Алексей, Бизнес-консультант по безопасности
07.06.2021
Занимаясь проектами по SOC (как проектированием, так и оценкой существующих и разработкой их улучшений) постоянно сталкиваюсь с темой развития центров мониторинга в соответствие с лучшими практиками. Готовя такие планы, обычно включаешь в них только то, что уже проверено и действительно дает эффект. Понятно, что есть различные идеи и технологии, которые вроде и появились на рынке, но пока...
Лукацкий Алексей, Бизнес-консультант по безопасности
02.06.2021
Когда ФСТЭК выпустила новую методику оценку угроз, многие мои коллеги облегченно вздохнули и рьяно взялись за работу по моделированию угроз, считая, что теперь их жизнь наладится и то, чего они ждали столько лет наконец-то свершится. Но не тут-то было. Новая методика оценки позволяет оценивать вполне определенный спектр угроз, оставляя в стороне много из того, что может произойти и нанести ущерб...
Лукацкий Алексей, Бизнес-консультант по безопасности
31.05.2021
Известно выражение, что когда готовишь какой-то курс и потом его преподаешь, то и сам начинаешь лучше разбираться в предмете. Так вот по просьбе одного учебного центра я разработал такой курс по новой методике оценки угроз ФСТЭК, в процессе которого я прохожу все этапы моделирования, наступая на все те грабли, которые, по идее, должны были отсутствовать, если бы регулятор сам бы прошел по своей...
Шудрова Ксения, Эксперт по информационной безопасности
22.05.2021
Добрый день, коллеги! Ранее я писала о своем опыте создания и продажи электронных книг здесь. В этом вопросе ясность достигнута, менять пока ничего не хочу. Но мне всегда было интересно, как издать бумажную книгу, все-таки хочется подержать плоды своих трудов в руках. Расскажу вам о своих экспериментах.  Из четырех моих книг выбрана была "Мысли про... информационную безопасность и жизнь". Во...
Добрый день, коллеги!    Прошло 2 недели с кибератаки на трубопроводы США, по горячим следам написаны заметки, прошли обсуждения в соцсетях.    Думаю, кибератака на Colonial Pipeline и её последствия теперь станет основным примером на конференциях по безопасности АСУТП, затмив собой Stuxnet, хотя утверждается, что «на данный момент нет признаков того, что сети...
Добрый день, коллеги!    Месяц назад я писал об указе президента России "Об утверждении Основ государственной политики Российской Федерации в области международной информационной безопасности" и упоминал о новых санкциях против Российской Федерации, введённых администрацией президента США Байдена буквально через три дня (15 апреля), в том числе содержащих обвинения нашей...
Добрый день, коллеги! Банально, но правда – будущее уже наступило, и многие из нас приложили к его нынешнему состоянию свои усилия. Каким оно будет дальше? Хотелось бы, чтобы тоже хоть немного зависело от нас. Мы поговорим о работе многих людей с горизонтом планирования 2035 года и далее, когда окончательно уйдут ресурсы, созданные в СССР, и, самое печальное, специалисты, профессионально...
Емельянников Михаил Юрьевич, Управляющий партнер
13.05.2021
В понедельник-вторник 17 и 18 мая буду вести обновленный курс КП32 "Защита персональных данных" в формате онлайн на площадке Учебного центра "Информзащита". В программе: новые редакции ст.13.11 КоАП, практика по частям 8 и 9, правоприменение статьи 13.11 в последнее время, согласие на распространение персональных данных, изменения, связанные с расширением сферы применения Единой биометрической...
Борисов Сергей, ведущий инженер нИБ
26.04.2021
PCI Software Security Framework (SSF) это набор стандартов и сопутствующих им дополнительных материалов. В данный момент набор включает в себя 2 параллельно работающих стандарта, имеющих общую основу, а также свои особенности: ·        Secure Software Standard – требования к функциям и возможностям безопасности ПО · ...
Борисов Сергей, ведущий инженер нИБ
19.04.2021
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ, такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз...
12 апреля был опубликован указ Президента РФ № 213 "Об утверждении Основ государственной политики Российской Федерации в области международной информационной безопасности".    А через три дня администрация президента США Байдена ввела новые санкции против Российской Федерации, в том числе обвиняя нашу страну во вредоносной кибердеятельности.    Здесь мы не будем...
Лукацкий Алексей, Бизнес-консультант по безопасности
19.04.2021
В последнее время, либо готовясь к выступлению на различных мероприятиях, либо помогая нашим заказчикам в понимании методики оценки угроз ФСТЭК, я в очередной раз убеждаюсь, что регулятор сам так и не попробовал незамутненным взглядом пройтись по своему документу и никак не учитывал, что компании и производители средства защиты уже не первый год занимаются моделированием угроз немного не так, как...
Лукацкий Алексей, Бизнес-консультант по безопасности
13.04.2021
Одним из камней преткновения в новой методике оценки угроз является пункт о необходимости составления перечня возможных сценариев реализации угроз, который нереализуем сегодня. Во-первых, нет средств автоматизации, а использование зарубежных разбивается о нестыковки и несовместимость ТТУ и TTP ФСТЭК и MITRE соответственно. Во-вторых, вы должны досконально знать все методы злоумышленников, чтобы...
Davydych Viktor, CISO
12.04.2021
В феврале появилась свежая версия Secure Software Standard (скачать можно по ссылке). Данная реализация идет на замену стандарту PA DSS, который будет актуален до 2022 года. Краткое ознакомление позволило сформулировать перечень требований, которые указаны ниже.  Прописанные навыки для каждой роли. Критерии оценки компетенций персонала. Ежегодная проверка компетенций....
Лукацкий Алексей, Бизнес-консультант по безопасности
12.04.2021
Для курса по моделированию угроз, который я читаю в Информзащите, и курса по методике оценки угроз именно ФСТЭК, который я читаю в Аста74, в последнее время я стал глубже копать то, что сотворил наш регулятор, чтобы попробовать сделать что-то практичное и практически полезное. Учитывая, что ключевой проблемой всей методики является ее последняя часть, посвященная составлению списка возможных...
Емельянников Михаил Юрьевич, Управляющий партнер
08.04.2021
Сегодня, 8 апреля, исполняется ровно 10 лет с того дня, когда наше Консалтинговое агентство «Емельянников, Попова и партнеры» было зарегистрировано как юридическое лицо и вышло на рынок. Срок вроде бы и не большой, но сколько всего поменялось на рынке за это время! Принимались и изменялись законы и подзаконные акты, появлялись новые трактовки положений, казавшихся очевидными, суды принимали...
Борисов Сергей, ведущий инженер нИБ
01.04.2021
Как вы, наверное, слышали недавно госдумой были внесены изменения в ФЗ «об образовании в РФ» в части регулирования просветительской деятельности. Сразу же появилось много вопросов, о том, что блогеры по информационной безопасности тоже попадают под эти требования и как именно их будут регулировать? Как будто в ответ на эти вопросы недавно был утвержден и опубликован Профессиональный стандарт «...