Главная

Статьи и блоги

Лукацкий Алексей, Бизнес-консультант по безопасности
13.04.2021
Одним из камней преткновения в новой методике оценки угроз является пункт о необходимости составления перечня возможных сценариев реализации угроз, который нереализуем сегодня. Во-первых, нет средств автоматизации, а использование зарубежных разбивается о нестыковки и несовместимость ТТУ и TTP ФСТЭК и MITRE соответственно. Во-вторых, вы должны досконально знать все методы злоумышленников, чтобы...
Davydych Viktor, CISO
12.04.2021
В феврале появилась свежая версия Secure Software Standard (скачать можно по ссылке). Данная реализация идет на замену стандарту PA DSS, который будет актуален до 2022 года. Краткое ознакомление позволило сформулировать перечень требований, которые указаны ниже.  Прописанные навыки для каждой роли. Критерии оценки компетенций персонала. Ежегодная проверка компетенций....
Лукацкий Алексей, Бизнес-консультант по безопасности
12.04.2021
Для курса по моделированию угроз, который я читаю в Информзащите, и курса по методике оценки угроз именно ФСТЭК, который я читаю в Аста74, в последнее время я стал глубже копать то, что сотворил наш регулятор, чтобы попробовать сделать что-то практичное и практически полезное. Учитывая, что ключевой проблемой всей методики является ее последняя часть, посвященная составлению списка возможных...
Емельянников Михаил Юрьевич, Управляющий партнер
08.04.2021
Сегодня, 8 апреля, исполняется ровно 10 лет с того дня, когда наше Консалтинговое агентство «Емельянников, Попова и партнеры» было зарегистрировано как юридическое лицо и вышло на рынок. Срок вроде бы и не большой, но сколько всего поменялось на рынке за это время! Принимались и изменялись законы и подзаконные акты, появлялись новые трактовки положений, казавшихся очевидными, суды принимали...
Борисов Сергей, ведущий инженер нИБ
01.04.2021
Как вы, наверное, слышали недавно госдумой были внесены изменения в ФЗ «об образовании в РФ» в части регулирования просветительской деятельности. Сразу же появилось много вопросов, о том, что блогеры по информационной безопасности тоже попадают под эти требования и как именно их будут регулировать? Как будто в ответ на эти вопросы недавно был утвержден и опубликован Профессиональный стандарт «...
Борисов Сергей, ведущий инженер нИБ
30.03.2021
  В конце прошлого года создалось впечатление что отсутствует даже базовый набор средств защиты информации подходящий под новые требования к уровням доверия. Даже у российских производителей традиционно известных только сертифицированными решениями был провал. С этим была связана последняя моя статья и аналитика в 2020 году. С момента её публикации новости о сертификации по ОУД посыпались...
Лукацкий Алексей, Бизнес-консультант по безопасности
29.03.2021
Если мне не изменяет память, то в одном из романов Айзека Азимова из серии про Академию (она же "Фонд", она же "Основание") был фрагмент о том, что речь галактического чиновника прогнали через специальный алгоритм оценки осмысленности речи, чтобы понять, что важного было сказано за всей той канцелярщиной, которой так изобилует речь государевых мужей. И, о, ужас, оказалось, что несмотря на...
Шудрова Ксения, Эксперт по информационной безопасности
28.03.2021
 Добрый день, коллеги! 10 лет назад, 28 марта 2011 года я завела этот блог. 10 лет! Мне было 23 года, в феврале 2011 я получила диплом специалиста по защите информации, в марте поступила в аспирантуру. С сентября 2010 работала единственным специалистом по информационной безопасности на предприятии. Я выполняла множество интересных задач и поэтому в какой-то момент решила, что мой голос очень...
Шудрова Ксения, Эксперт по информационной безопасности
28.03.2021
 Добрый день, коллеги! Про новую методику оценки угроз безопасности информации у меня есть два материала: 1. Текстовый документ про моделирование угроз для информационных систем персональных данных, он же - 11 глава из моей книги. Это глава на замену. Если вы уже купили книгу в прошлой редакции, то просто замените часть текста в doc формате. Новым читателям будет отправлена актуальная...
Родыгин Евгений Валентинович, Менеджер по ИБ
23.03.2021
У всякого крупного вендора в штате должен быть специалист, осуществляющий сертификационное сопровождение. Что это такое и какие пользы бизнесу он принесет? 1 - формирование дорожной карты по сертификации продуктов вендора: на год или на 3 года вперед формируется перечень продуктов, которые разработаны или разрабатываются. Каким требованиям эти продукты должны соответствовать: по линии МО РФ...
Борисов Сергей, ведущий инженер нИБ
19.03.2021
  Недавно прошло онлайн совещание кредитных организаций, АРБ с Банка России по информированию клиентов по вопросам противодействия мошенничеству.  Совещание было посвящено недавним методическим рекомендациям Банка России МР-3 по «усилению кредитными организациями информационной работы с клиентами в целях противодействия несанкционированным операциям» от 19.02.2021 Обязанность...
Добрый день, коллеги!    Третья заметка – и снова о мероприятии. Нет, я не собираюсь становиться профессиональным обозревателем и подменять как официальные ресурсы, так и блогеров-комментаторов. Но умолчать о некоторых событиях, в которых к тому же принял личное и активное участие, не могу.    На этот раз прилетел в Омск для участия в международном ИТ-форуме «...
Борисов Сергей, ведущий инженер нИБ
16.03.2021
11 марта 2021 вместе с Ксенией Лебедевой (Шудровой) и Алексеем Лукацким провели вебинар по моделированию угроз информационной безопасности. Уже прошел почти месяц с момента публикации новой методики ФСТЭК России, а никаких обзоров, анализа и обсуждений ещё не было. Нужно было кому то начинать и мы взяли на себя это. Лично я начинал анализ новой методики с того, что сделал для себя mind карту...
Лукацкий Алексей, Бизнес-консультант по безопасности
16.03.2021
На прошедшем эфире AM Live, посвященном киберучениям, о котором я написал отдельно, но в Фейсбуке, в рамках проводимого опроса четверть респондентов ответило, что хотело бы получить набор готовых сценариев для проведения киберучений. А так как я достаточно активно за последние несколько лет провожу публичные и не очень киберучения, то я решил поделиться заглавными идеями сценариев, которые очень...
Лукацкий Алексей, Бизнес-консультант по безопасности
15.03.2021
Страна просыпается от изоляции, организаторы мероприятий выходят из онлайн-спячки и начинают планировать очные мероприятия по ИБ. Пришло время и мне вернуться к ведению списка значимых мероприятий по ИБ, о которых уже известно, что они будут проходить в очном формате в этом году. Сразу отмечу, что список носит сугубо субъективный характер и не претендует на полноту (многие региональные...
Лукацкий Алексей, Бизнес-консультант по безопасности
12.03.2021
Когда я готовился к вчерашнему межблогерскому вебинару, где мы обсуждали новую методику оценки угроз ФСТЭК, я составил список замечаний, которые хотел озвучить и не постеснялся и озвучил их :-) Но в структурированном формате я их никуда не выкладывал и в презентацию не вставлял; поэтому сегодня можно посвятить отдельную заметку этому документу, который, как гром с ясного неба, без какого-либо...
Davydych Viktor, CISO
07.03.2021
Уже скоро, будет 3 года с момента вступления в действие требований GDPR. Но многие вопросы так и остались не до конца прозрачными в трактовках и требованиях и еще менее простыми в применении.  Остановимся на вопросе soft opt-in.  Контролирующие органы Великобритании (Guidance on the use of cookies and similar technologies, dated 3 July 2019) и Франции (Recommendation on the practical...
Емельянников Михаил Юрьевич, Управляющий партнер
01.03.2021
24 февраля подписан Федеральный закон № 19-ФЗ, которым в КоАП РФ вводятся новые виды административных нарушений, связанных с использованием и обеспечением безопасности сети Интернет, ресурсов и сервисов сети, а также устанавливается ответственность за них. В лучших традициях последних лет в тексте законопроекта для второго чтения появились дополнения и изменения в статью 13.11 КоАП РФ «Нарушение...
Борисов Сергей, ведущий инженер нИБ
26.02.2021
Вчера совместно с Ксенией Лебедевой (Шудровой) провели вебинар в новом для нас мини формате. Если предыдущие межблогерские вебинары стремились по времени к 3 часам, то этот удалось уместить в 1 час. Сделали обзор законодательства и судебной практики РФ по обезличиванию ПДн. В большинстве случаев обезличивание ПДн остается добровольным мероприятием оператора ПДн. Но постепенно появляется все...
Лукацкий Алексей, Бизнес-консультант по безопасности
26.02.2021
Кто активно мониторит то, что происходит на конференции "Актуальные вопросы защиты информации", которые ФСТЭК проводит в рамках ТБ-Форума, тот образал внимание на то, что последние несколько лет эти конференции стали тематическими, посвященными каким-либо ключевым темам, которыми ФСТЭК занималась годом ранее. КИИ, безопасная разработка и т.п. В этом году регулятор посвятил большую часть своих...