Блог Сергея Борисова про ИБ

Недавно прошел двухсерийный вебинар Positive Technologies посвященный их опыту создания центров ГосСОПКА. С видео и основными тезисами из вебинара можно ознакомится по ссылке Тут же хотелось бы обсудить некоторые интересные цитаты и идеи. 1. На вебинаре ФСТЭК и ФСБ показаны как противопоставляющие и дополняющие друг друга. ·          ФСТЭК дает базовые требования. ФСБ дает дополнительные требования” ·          ФСТЭК требует защиты критических систем – ГИС. ФСБ требует защищенности объекта в целом ·          ФСТЭК наказывает за формальное несоблюдение требований. ФСБ наказывает за пропущенные атаки и инциденты Может быть это такое желание у PT , но на практике мы не сталкиваемся с подобным. За инциденты никто не наказывается. Проверок ИБ со стороны ФСТЭК и ФСБ фактически не проводится, а если проводится, то и тот и другой регулятор выделяют в нарушения - только обязательные требования. И при правильном подходе, требования ФСТЭК к ГИС – это не базовые меры. Если мы пра

Полторы недели назад Код Безопасности неожиданно объявил о выпуске межсетевого экрана для web приложений ( web application firewall ) «Континент WAF ». А на прошлой неделе на вебинаре КБ раскрыли подробности нового продукта и сказали, что он уже доступен для продажи и тестирования. Как так? Без предварительных анонсов и спойлеров? Без упоминания в прошлогодних планах? Просто взяли и выпустили технологически сложный продукт. Ответ вы узнаете чуть позже, а пока кратко пройдемся по истории. С 2003 года, а может быть и ранее в РФ наиболее популярным вариантом защиты web приложений был опенсорсный modsecurity . Несмотря на сложности в настройке, он был и, пожалуй, остается одним из наиболее эффективных решений. Но корпоративным заказчикам было неудобно с ним работать. В связи с этим стало появляться много коммерческих продуктов которые взяли за основу modsecurity , сигнатуры или работали по схожему принципу. Примерно в 2008 году на рынке корпоративного ИБ РФ начало продвиг

Периодически случается встречать организации, в которых персональные данные (ПДн) обрабатываются на объектах, подпадающих по требования обеспечения транспортной безопасности (ТБ), причем требования к ТБ полностью выполнены, а к требованиям ПДн только подступаются. Что кстати не удивительно, учитывая более серьезную ответственность в области ТБ и более серьезный государственный контроль.   Вполне резонный вопрос таких организаций – как мы можем использовать уже полностью реализованные меры ТБ для защиты ПДн и выполнения требований ПДн?   Был проведен анализ требований ТБ на предмет соответствия требованиям ПДн. К слову сказать, система НПА в области транспортной безопасности достаточно разветвленная и зависит от видов транспорта.  Не буду её всю здесь приводить, отмечу только что хотя и детальные требования для разных видов транспорта определяются отдельными ПП РФ и приказами регуляторов, но во многом они совпадают.  Приведу результаты сравнения требований на примере морс