Сообщения

Сообщения за июль, 2011

СОИБ. Проектирование. Распределение ролей по ИБ в Банке 2

Продолжу тему о распределении ролей, поднятую мной в предыдущей заметке . Детально изучив требования СТО БР ИББС к мероприятия по обеспечении ИБ мы приходим к следующему перечню персональных ролей, которые необходимо определить и персонифицировать небольшом типовом Банке: 1. Ответственный за эксплуатацию СЗИ 2. Ответственный за антивирусную защиту 3. Ответственный за установку ПО 4. Ответственный за эксплуатацию СВТ 5. Администратор ИС 6. Администратор информационной безопасности 7. Ответственный за безопасность помещений 8. Ответственный за безопасность персонала 9. Ответственный за прием на работу 10. Ответственный за использование ресурсов Интернет и электронной почты 11. Ответственный за непрерывность бизнеса 12. Ответственный за обработку ПДн 13. Ответственный за обеспечение безопасности ПДн 14. Ответственный за оценку рисков ИБ 15. Ответственный за планирование обработки рисков ИБ

Обучение. Применение модуля Cisco RVPN в крупных сетях

13 Июля принял участие в достаточно интересном вебинаре, посвященном применению модуля Cisco RVPN (С-терра) в крупных компаниях. Запись вебинара доступна тут . В первой части было вебинара была продемонстрирована возможность конфигурации Маршрутизатора + RVPN по аналогии с технологией Cisco DMVPN . Таким образом мы получаем возможность сэкономить трудозатраты на первоначальной конфигурации и последующей переконфигурации больших отказоустойчивых сетей на базе C -терровских VPN -устройств. Вопрос об этой возможности недавно как раз задавали коллеги. Во второй части демонстрировалась новая система централизованного управления С-терра VPN Updater . Система позволяет : · мониторинг состояния и параметров VPN-устройств; · изменение локальных политик безопасности VPN-продуктов; · замена сертификатов VPN-устройств; · распространение списков отозванных сертификатов на VPN-устройствах; · замена предопределенных ключей VPN-устройств; ·

СЗПДн. Анализ. Письмо АРБ по поводу 152-ФЗ

Наконец к критике новой версии 152-ФЗ стали подтягиваться общественные организации. Так, АРБ отправило письмо председателю Правительства РФ и письмо президенту РФ Позиция АРБ аргументирована и понятна. Банки рассчитывали, что выполнение требований СТО БР ИББС будет достаточным. Новая версия ФЗ-152 может перечеркнуть всю работу по стандартизации ИБ Банков. Ведь преимущество СТО БР было в том, что он определял схожие методы по защите платежной информации и ПДн. Если Правительство РФ установит уровни защищенности и требования, которые не будут совместимы со СТО БР, то стандарт сразу потеряет свою привлекательность для Банков. Надеюсь, когда Правительство РФ будет устанавливать уровни защищенности и требования они учтут этот момент и не допустят, чтобы усилия большой группы специалистов по разработке стандарта пропали даром.

СЗПДн. Внедрение. Заклинание на защиту ПДн

Изображение
В качестве пятничного юмора коллега прислал заметку про обеспечение безопасности альтернативным комплексом защитных мероприятий. J Как жаль что в свете новой версии ФЗ-152 применение данных мероприятий не попадает в типовые уровни защищенности. Ведь для многих небольших организаций данный комплекс мер был бы оптимальным решением. Итак, заклинание на защиту ИСПДн 3-его класса: «Земля и Ветер, Огонь и Море, Луна и Солнце, прошу вас о защите, объедините ваши силы, моей системе помогите. Пусть персональные данные будут целы, надежно работает ИСПДн, не нарушат правила пользователи, сроки обработки да не истекут и принципы да будут нерушимы. О Боги, прошу защитите базы все и программы. Земля и Луна и Ветер, Солнце, Огонь Океан!»

Общее. Рейтинг ИТ компаний Юга

Изображение
Надо поддерживать местную специфику, потому напишу про интересную для меня новость: деловым журналом «Эксперт ЮГ» совместно с аналитическим центром «Эксперт ЮГ» подготовлен рейтинг компаний на рынке информационных и коммуникационных технологий Юга России по итогам 2010 года. http://expert.ru/south/2011/23/uspet-k-razdelu-it-piroga/ Примерно половина этих компаний предоставляет услуги в области ИБ. На первом месте ЗАО «Орбита» - тут всё понятно. Удивило следующее – из Московских интеграторов в рейтинг попал только Микротест. Где же другие интеграторы, работающие в ЮФО, такие как NVision , АМТ-Груп, Инфосистемы Джет? Не ужели у них нет достаточного объема проектов, чтобы попасть в область анализа «Эксперта ЮГ»? Так-же интересно, что в рейтинг попала довольно новая местная компания Орион, но в то же время отсутствуют местные интеграторы ИБ, такие как Росинтеграция и Евромост. Неужели скрывают свои доходы и проекты ?

СОИБ. Проектирование. Распределение ролей по ИБ в банке

Стандарт Банка России вводит достаточно большое количество ролей в области ИБ (порядка 30) с которыми необходимо работать. Пока БР ещё не разработал РС по распределению ролей, а стандарту уже хочется соответствовать, попытаемся придумать хороший вариант выполнения положений стандарта. Рассмотрим основные требования СТО БР ИББС–1.0–2010 связанные с ролями: “7.2.1. В организации БС РФ должны быть выделены и документально определены роли ее работников. Формирование ролей, связанных с выполнением деятельности по обеспечению ИБ, среди прочего, должно осуществляться на основании требований 7 и 8 разделов настоящего стандарта. 7.2.2. Роли следует персонифицировать с установлением ответственности за их выполнение. Ответственность должна быть документально зафиксирована в должностных инструкциях.” При этом у работников могут быть роли в организации в целом и могут быть роли в определенной информационной системе (например, АБС). Допустим у нас часть общеорганизационных рол

СОИБ. Анализ. Аудит ИБ Банков

Только что вернулся с обучения по курсу «аудит информационной безопасности организаций банковской системы Российской Федерации». По сравнению с предыдущей версией учебного курса, преподавательский состав был очень сильный: · Дроздов Андрей – партнер компании «4 x 4» (ранее ведущий менеджер компании «КПМГ»), эксперт ABISS , CISM, CISA, CGEIT. · Булгаков Андрей - директор департамента ИБ «Метробанк» с огромным практическим опытом внедрения Стандарта Банка России и проведения Самооценки. · Велигура Александр - председатель комитета по ИБ Ассоциации Российских банков, заместитель директора «Аднэк консалтинг», CISA . На курсе в качестве наблюдателя присутствовал секретарь ABISS Павел Гениевский. В качеству участников курса подобралась отличная команда из представителей интеграторов (Микротест, Deiteriy , Информзащита, ReignVox , Орбита и др.) и нескольких банков (ЦБ РФ и др). Сразу скажу, что на курсе почерпнул много полезной информации, а по его итогам