Сообщения

Сообщения за 2014

Общее. Лучшие специалисты в области ИБ 2014 *

Изображение
Алексей Волков – Лучший эксперт ИБ 2014. В номинации – самый бережливый  Алексей Комаров – Лучший эксперт ИБ 2014. В номинации – каталогизатор Алексей Лукацкий – Лучший эксперт ИБ 2014. В номинации – самый щедрый Андрей Прозоров – Лучший эксперт ИБ 2014. В номинации – самый эффективно развивающийся Артем Агеев – Лучший эксперт ИБ 2014. В номинации – самый захватывающий Илья Медведовский  – Лучший эксперт ИБ 2014. В номинации – самый критикуемый   Ксения Шудрова – Лучший эксперт ИБ 2014. В номинации – самый простонародный Михаил Емельянников – Лучший эксперт ИБ 2014. В номинации – самый правозащитный Ригель – Лучший эксперт ИБ 2014. В номинации – самый критический * Последнее время при проведении каких либо рейтингов или голосований не производится особых усилий для обеспечения объективности выбора призеров. Блог https :// sborisov . blogspot . ru решил поддержать эту традицию и приводит и

СЗПДн. Проектирование. Регистрация событий ИБ

Изображение
В рамках создания и эксплуатации любой СЗПДн необходимо регистрировать, собирать, просматривать, анализировать события ИБ и реагировать на выявленные нарушения. Чтобы ничего не упустить, вспомним требования из НД регуляторов: Приказ ФСТЭК Р №21: “8.5. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них. Приложение. V. Регистрация событий безопасности (РСБ) РСБ.1 Определение   событий   безопасности,   подлежащих регистрации, и сроков их хранения РСБ.2 Определение  состава  и  содержания  информации  о событиях безопасности, подлежащих регистрации РСБ.3 Сбор, запись  и  хранение  информации  о  событиях безопасности  в   течение   установленного   времени хранения РСБ.5 Мониторинг    (просмотр,    анализ)    результатов регистрации событий безопасности и  реагирование  на них

Общее. Не ассоциации, а клубы по ИБ

В начале года я писал сатирическую заметку про ассоциации по ИБ .  С тех времен, появления новых крупных ассоциаций мы не видели, зато появилось несколько сообществ клубного типа, которые объединяют небольшие группы инициативно настроенных единомышленников, которые готовы вкладывать не членские взносы, а свое время, опыт и идеи. И как мы видели в этом году, даже небольшая но инициативная группа ИБшников может сделать многое: ·         Товарищество Russian Information Security Club провели несколько интересных мероприятий и большое количество онлайн мастер-классов поИБ ·         Групп Defcon R ussia , объединяющая исследователей уязвимостей и специалистов offensive направления ИБ, провели большое количество встреч, разрабатывают различные онлайн проекты поИБ Есть и совсем новенькие: Сегодня первая встреча Russian IDM Architects Club   - междусобойчик специалистов по системам централизованного управления учетными записями. В ближайшее время состоится первая вс

Общее. Как выбирать ИБ

1. Регулярно сталкиваюсь с такой ситуацией, что специалисты со стороны компании – заказчика, под предводительством CISO пытаются детально разобраться в особенностях работы всех СЗИ и проводят тестирование/пилотирование всех доступных решений, пытаются найти себе “самое лучшее для компании решение”. (частично этот подход продвигал Алексей Волков ) Так как различных типов решений поИБ более 40, каждый тип представлен у 5 и более производителей, то их детальное изучение, тестирование и пилотирование могут занять значительные ресурсы. И все эти ресурсы будут потрачены компанией впустую, так как не связаны с проведением мероприятий по ИБ или эксплуатацией СОИБ и не уменьшают рисков ИБ компании. Иногда встречаются такие компании, которые вообще ничего не внедряют и мероприятий по ИБ не проводят, а все ресурсы ИБ тратят на изучение и тестирование. Это всё хорошо и приятно для самих специалистов, но надо понимать, что при этом реализуются их личные интересы, а не цели компании.

СОИБ. Анализ. Оценка ущерба в ИБ

Важно и нужно проводить оценку ущерба активам от угроз ИБ. Она потребуется при : ·         анализе рисков (ИСО 2700 x , Cobit и др.), ·         выполнении требований законодательства по ПДн ·         моделировании угроз безопасности ПДн, ГИС, АСУ ·         замене одних мер защиты ПДн, ГИС, АСУ на другие компенсирующие ·         внутреннего маркетинга ИБ, обосновании необходимости службы ИБ, обоснования любых инвестиций в ИБ и т.п. Не обязательно дожидаться запуска какого либо крупного проекта (например, по ПДн, АСУ, ГИС).   Провести высокоуровневую оценку ущерба нужно как можно раньше, а результаты использовать в следующих проектах / мероприятиях. Хорошо если активы в компании уже оценены в общем. Тогда ущерб активу от угроз ИБ будет составлять некоторую часть от его цены (не превышать). Даже если нет – самое время оценивать. Конечно же, к оценке будем привлекать владельцев активов.   Чтобы правильно оценить ущерб нужно кроме прямых финансовых потерь учесть

СЗПДн. Анализ. Определение нарушителя для СКЗИ

В связи с выходом приказа ФСБ России по защите ПДн, а так-же в связи со сложностями реализации СКЗИ высоких классов криптографической защиты есть несколько мыслей… Посмотрим какой порядок действий требуется в части СКЗИ: Приказ ФСБ Р №378: “5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N11191 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований: ... г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. 9. Для выполнения требования, указанного в подпунк

СОИБ. Анализ. Аттестация и проверка СЗИ

Сразу хочу отметить, что не являюсь сторонником аттестации ИС, не относящихся к гостайне, ведь те же самые работы можно выполнить под флагом аудита или оценки соответствия, с лучшим КПД. Но иногда Заказчики просят аттестацию, так что случается участвовать. Ликбез из ГОСТ РО 0043-003-2012 “Аттестация объектов информатизации: комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации. Обязательная аттестация проводится только в случаях, установленных федеральными законами, нпа Президента РФ, Правительства РФ, уполномоченных федеральных органов исполнительной власти и исключительно на соответствие системы защиты информации объекта информатизации требованиям безопасности информации, установленными  федеральными законами, нпа Президента РФ, Правительства РФ, уполномоченных федеральных органов исполнительной власти Добровольная аттестация может осущес

СЗПДн. Анализ. Выбор мер защиты

Изображение
Последний год в комментариях про последние документы ФСТЭК: приказы №17, 21, 31 регулярно встречаю фразы про невиданный ранее прорыв в требованиях регуляторв, про полную свободу выбора мер защиты Заказчиком. У Алексея Лукацкого так про это каждая заметка с тегом: ФСТЭК. Соглашусь с тем что есть прорыв – появился типовой каталог мер, сами меры сформулированы достаточно гибко, что позволяет при их реализации использовать почти всё что угодно. Но есть в документах ФСТЭК и моменты определенные достаточно жестко и не подразумевающие двойного толкования. Один из них – порядок выбора мер защиты. Определен порядок и действия которые необходимо выполнить на каждом этапе. В этом порядке исключение мер базового набора возможно только на этапе “адаптации”.. “в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информаци