Блоги

 Доброй пятницы, коллеги! Предлагаю вам собственноручно отобранные картинки-вырезки на тему защиты персональных данных. Их можно будет вставлять в ваши презентации для руководства и обосновывать бюджеты на ИБ. Итак, зачем обрабатывать персональные данные? Причины на мой взгляд две. Первая - получать выгоду от защиты персональных данных. 1. Безопасность ПДн продавать как услугу:

 Добрый день, коллеги! Сегодня на сайте ФСТЭК России появилось информационное сообщение от 2 сентября 2021 г. N 240/24/4303 "Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну".

В пятницу, на конференции Kaspersky ICS Cybersecurity Conference, я выступал с темой "Основные сценарии реализации угроз на АСУ ТП и их преломление на методику оценки угроз ФСТЭК" (презентацию выложил в своем Telegram-канале). К этому выступлению я планировал завершить перевод последней версии матрицы MITRE ATT&CK v9 на русский язык и маппинг техник ФСТЭК в техники MITRE ATT&CK, что и было сделано (ссылки будут ниже).

Если не рассматривать крупные организации, службы ИБ которых насчитывают сотни человек, то в массе своей нам обычно не хватает людей на все наши хотелки и мы всегда чувствует дефицит персонала. И чем мельче компания, тем сильнее этот дефицит, который надо как-то закрывать. И когда ты приходишь к генеральному директору за одобрением новых ставок в штат ИБ, ты часто слышишь: "Вас и так много (а "вас" в реальности всего один или двое)" или "И так непонятно, что вы там в ИБ делаете, дармоеды". И ты выходишь весь оплеванный и не знаешь, как обосновать выделение ресурсов.

Елена Покатаева из «Банковского обозрения» подготовила интересную и детальную публикацию, ну, а я немного прокомментировал. «Тайна частной жизни и приватность существуют ровно до того момента, когда человек, к которому эти сведения относятся, сам сохраняет их в тайне. Написал на заборе (в соцсети) — забудь о приватности. Ее больше нет».

Вчера я наткнулся на модель угроз и нарушителя безопасности информации, обрабатываемой в программно-техническом комплексе дистанционного электронного голосования (ДЭГ). И хотя это всего лишь выписка, она все равно дает пищу для размышлений. В частности, беглый просмотр этого документа вызвал у меня следующие вопросы:

 

Для тех, кто проводит работы по анализу соответствия техник и тактик из разных каталогов, визуализация зачастую позволяет быстро, одним взглядом увидеть интересные закономерности и сделать полезные выводы.

 Как вы, наверное, знаете, новая методика моделирования угроз ФСТЭК России сделала революцию в российских подходах к моделированию угроз – теперь нужно рассматривать угрозы – как комбинацию сценариев действий нарушителей, составленных из элементарных частиц – техник и тактик.

С 30 июня этого года прекращена сертификация на соответствие PA DSS. Сам стандарт останется актуальным до 28 октября 2022 года, после чего прекратит свое существование.