Сообщения

Сообщения за 2013

СЗПДн. Анализ. Зимний пакет изменений 152-ФЗ

Сегодня зарегистрирован очередной законопроект о внесении изменений в 152-ФЗ . Обычно я не пишу про законопроекты, так как не все они принимаются, а иногда слишком меняются по ходу дела. Но сегодняшний - слишком хорош чтобы пропустить его. Положительные изменения : ·         Поправили определение биометрических персональных данных. О проблеме с ними я неоднократно писал в блоге . РКН выпускал информационное письмо, но не все рассматривали его как обязательную норму ·         Ещё раз обратили внимание на первостепенное значение частных законов (банковская тайна, врачебная тайна) над общими (ФЗ о ПДн) ·         Убрали лишнюю обязанность обеспечивать конфиденциальность общедоступных и обезличенных данных. Нерационально и невозможно защитить то, что субъект ПДн не считает нужным защищать Об этой проблеме я так-же писал в блоге ·         Нормально определили Обработчика и переписали разделы связанные с Обработчиком. Аналогично тому, как это определено в европейской конв

СОИБ. Анализ. Модель угроз SAP

Изображение
В сегодняшней заметке хочу начать серию (возможно две) статей по защите ИС на платформе SAP .  По данной теме написано немало информации, но я постараюсь добавить что то новое, чтобы вам было интересно. Изначально мне надо было подобрать комплекс технических решений по защите SAP , потом возникло желание протестировать применение приказов 17, 21 и недавнего проекта методического документа ФСТЭК Р на практике. Для начала зафиксируем характеристики ИС, на основе которых в дальнейшем будем делать выбор мер защиты. Так как регулятор нам не дал нам необходимого перечня – придется придумывать самому. Далее начинаем двигаться в сторону выбора мер защиты. Но первым делом нужно определить перечень актуальных угроз. В предыдущих заметках ( тут и тут ) я приводил результаты моделирования угроз /экспресс-анализа рисков в виде таблицы. В этот раз я решил выполнить модель угроз в виде графической схемы .  А почему бы и нет, если методические документы ФСТЭК нам не

СОИБ. Анализ. Что может выбирать оператор / эксперт

Последнее время от многих экспертов слышу: чем меньше обязательных правил / требований -> тем больше свобода выбора  -> тем лучше систему обеспечения ИБ можно построить. А зачем организации вообще обращаются к каким-то стандартам, методикам, design guide -ам или другим лучшим практикам?  Если эти ограничения делают систему хуже, зачем тогда появились все эти серии документов от ISO , NIST , SANS , OWASP , СТО БР ИББС, ГОСТ ИСО/МЭК? Пожалуй, потому, что с ним СОИБ приобретает ряд полезных свойств: ·         Накопление и передача знаний. Даже если человек занимается безопасностью всю жизнь, он не может быть экспертом во всех областях (не касается Алексея Лукацкого) ·         Системность подхода. В информационной безопасности самые опасные инциденты начинаются с самого слабого звена, поэтому надо не забыть рассмотреть все звенья ·         Независимость системы от одного ответственного за ИБ. Если система построена полностью на базе знаний и суждений одного человека, то

СОИБ. Анализ. Серия 2. предложения к Методическим рекомендациям ФСТЭК по защите ГИС

Проект методического документа ФСТЭК России “Меры защиты информации в государственных информационных системах”. Продолжаю замечания и предложения: 1.       Опять СЗИ или не СЗИ? Приказ 17 ФСТЭК требует: "11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации" В очередной раз Регулятор не воспользовался возможностью чтобы объяснить:  что же такое средство защиты информации при принятии решения о необходимости сертификации. Это не было сделано в постановлении правительства 1119. Не было сделано в приказе 17 и 21 ФСТЭК. Казалось бы ,  если не в методическом документе, то где? Посмотрим на проблему в конкретной ситуации: Например, в ИАФ.1 есть требование "Пользователи информационной системы должны однозначно идентифицироваться и аутентифицироваться для всех видов досту

СОИБ. Анализ. Мои предложения к Методическим рекомендациям ФСТЭК по защите ГИС.

Проект методического документа ФСТЭК России “Меры защиты информации в государственных информационных системах” . Замечания и предложения : 1.       Мерам защиты – короткие и запоминающиеся имена. Разработчики документов ФСТЭК загнали себя в терминологическую ловушку. По закону они должны были разработать состав и содержание мер защиты. По логике они должны были для начала придумать понятные и удобные наименования для мер защиты. Они попытались это совместить. Вышло неудачно . Например “ЗИС.28. Воспроизведение ложных и (или) скрытие истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы или ее сегментов, обеспечивающее навязывание нарушителю ложного представления об истинных информационных технологиях и (или) структурно-функциональных характеристиках информационной системы” Почему не годится такое наименование меры? Потому что в процессе жизненного цикла СОИБ участвует большое количество лиц: регулятор, разра

Общее. Конференция Antifraud Russia 2013

Изображение
На днях прошла четвертая международная конференция Antifraud Russia 2013 посвященная борьбе с мошенничеством в сфере высоких технологий, а особенно в банковской сфере, телекоммуникациях, ритейле, электронной торговле. На конференцию было зарегистрировано порядка 450 участников. Так как к концу пленарного заседания конференц-зал был полон (а в нем, 672 места), то эта цифра очень похожа на правду.  Один из основных трендов, который озвучивался большинством докладчиков – активно развиваются платежи с мобильных платформ под управлением ОС Android , которая не обеспечивает ни какой безопасности (примерно об этом я и писал в предыдущей статье ). Основные тезисы с пленарного заседания подробно представлены в обзоре на banki . ru . Отмечу те моменты, которые понравились лично мне. (В течении конференции публиковал их в твиттере с тегом # antifraudrussia ) Как всегда, было интересно послушать Илью Сачкова из Group-IB . Он приводил основные моменты из отчета своей ком