Сообщения

Сообщения за декабрь, 2015

СОИБ. Анализ. 10 лучших практик по ИБ для Гос

Примерно месяц назад довелось выступить на совете ИБ правительства одной из республик. Дали всего 15 минут, при этом надо было рассказать что-то интересное в дополнение к выступлениям местных ФСТЭК и ФСБ. Решил сделать в виде 10 лучших практик / советов на основе опыта компании в работах с Гос. Выкладываю презентацию тут – возможно для кого-то будет полезной. 10 лучших практик иб для гос from Sergey Borisov

СОИБ. Исследования. Безопасность top 100 интернет-банков (DSec) и Экспертная оценка потерь от мошенничества (Джет)

Изображение
За последнюю неделю российские ИБ компании опубликовали 2 интересных отчета: “ Безопасность веб-ресурсов банков России ” от Digital Security и “ Экспертная оценка годовых потерь от мошенничества ” от Инфосистем Джет. Посмотрим на наиболее интересные моменты этих исследований. 1. Исследование от DSec было достаточно простым: взяли доменные имена интернет-банков топ 100 банков России и не уведомляя владельцев провели простейшие проверки, связанные настройками web серверов и dns . Подобные проверки может провести любой исследователь запуская публично доступные утилиты типа qualys ssl server test  100 раз. Но что мне понравилось в этом отчете: подробно и грамотно были описаны проверяемые параметры и возможные последствия от неправильной настройки. Подача информации в такой форме понятна неспециалисту по ИБ и может быть использована оператором web сервисов. Это я считаю основным достижением исследования и его отличием от других подобных исследований как тут и тут . В

СЗПДн. Законодательство. Изменение Уведомления РКН об обработке ПДн

Изображение
Роскомнадзор наконец выпустил долгожданный приказ о внесении изменений в административный регламент РКН поведению реестра операторов ПДн . Изменения 152-ФЗ, требующие указывать местонахождение БД с ПДн вступили в силу летом текущего года, и Роскомнадзор уже требовал с операторов указывать эти данные в уведомлении. А вот какие именно данные надо указывать и в каком именно месте уведомления – ответа не было. Новый приказ решает эти проблемы – поменялась форма уведомления в бумажном и электронном виде .  С бумажной формой все просто. Добавилось 2 строчки в которых нужно указать: страну, адрес местонахождения БД, наименование ИС (базы данных). А вот на операторов, решившие отправить уведомление в электронной форме берут на себя большую нагрузку: ·          Помимо адреса БД, нужно указать - собственность ЦОДа, сведения об организации ответственно за хранение данных ·          Помимо общей информации, теперь нужно указывать большое количество характеристик (кат

СЗПДн. Культура эксплуатации ИСПДн и СЗПДн

Изображение
Регулярно сталкиваюсь с ситуацией, когда в организации проведены работы по организации обработки и защиты ПДн, создании СЗПДн в соответствии с требованиями законодательства, но через некоторое время система защиты теряет эффективность, разработанные документы не выполняются, появляются несоответствия требованиям. Иногда это связано с отношением организаций к проектам compliance (соответствия требованиям законодательства) как к разовым, которые можно выполнять раз в три года и в промежутках забывать о них. Иногда у организации создается впечатление что требования невозможно выполнить и выполнять постоянно, поэтому основной акцент делается на подготовку к проверкам регуляторов – compliance на время проверки. По-моему мнению, требования законодательства в сфере обработки и защиты ПДн несложные, их можно выполнить и обеспечить  их  выполнение  постоянно. Даже если относится к процессам управления безопасностью ПДн как к циклическим "Планирование-реализация-проверка-со