Сообщения

Сообщения за 2020

С наступающим новым годом и видео вебинара!!!

Изображение
Коллеги, поздравляю с окончанием 2020-ого года. Год выдался неординарный. Пришлось преодолевать много трудностей и испытаний, но они принесли бесценный опыт.  В этом году отменились офлайн мероприятия, зато много раз встречался с вами на онлайнах: 8 вебинаров УЦСБ и 9 межблогерских вебинаров. Надеюсь, что-то из этого было полезным, и спасибо за ваши отзывы, но   Последний выпуск межблогерского вебинара получился больше развлекательный и лайтовый, зато его можно пересмотреть в свободное время на новогодние каникулы. Собралась отличная ИБ компания и в меню были следующие блюда: ·         Антипредставления участников (что о тебе расскажут коллеги) ·         Про плюсы минусы разных регионов, с точки зрения путешествий, напитков, цен и т.п. ·         Про походы, про штрафы, про неотвратимость наказаний, комплаенс, актуальность ИБ в европе, про инструменты двойного назначения в открытом доступе ·         Про кейс чемпионаты, силу регионов на чемпионатах и сложность найма в москов

(UPDATE 2) Готовы ли ГИС к уровням доверия СЗИ?

Изображение
  С 1 января 2021 г. вступает в силу последний пункт изменений в приказ ФСТЭК России от 11февраля 2013 г. N 17 , посвященный уровням доверия в средствах защиты информации государственных информационных систем: “В пункте 26 абзац пятый изложить в следующей редакции: "В информационных системах 1 класса защищенности применяются сертифицированные средства защиты информации, соответствующие 4 или более высокому уровню доверия. В информационных системах 2 класса защищенности применяются сертифицированные средства защиты информации, соответствующие 5 или более высокому уровню доверия. В информационных системах 3 класса защищенности применяются сертифицированные средства защиты информации, соответствующие 6 или более высокому уровню доверия.";” Данный пункт уже откладывался на полгода, из-за того, что отрасль была не готова, но сейчас видимо всё-таки будет вступать в силу. Сейчас интересны 2 вопроса : ·         Насколько готовы производители СЗИ, традиционно используемых пр

Аналитика по бюджетам на ИБ КИИ в Европе от ENISA

Изображение
   Недавно европейский орган  European   Union   Agency   for   Cybersecurity  ( ENISA ) выпустили  отчет  NIS   Investments   Report   по анализу объема бюджетов на ИБ и состава входящих на него трат (также опираются на данные иных исследований, таких как  Gartner ). Давайте посмотрим на них подробнее (возможно будут параллели бюджетами на СОИБ ОКИИ в РФ): ·          В подавляющем большинстве организаций, бюджетом на ИБ владеет ИТ подразделение и ИБ отчитывается перед  CIO ·          В среднем бюджет ИБ не превышает 6% от бюджета на ИТ. Но также в среднем бюджет на ИБ ещё и зависит от отрасли компании ·          Интересно посмотреть и на натуральные размеры ИБ бюджета в зависимости от отраслей: самые большие у Телекома, Облаков, Водоканалы и Фин.сектора ·          Бюджеты на европейский аналог КИИ ( NIS ) в зависимости от отрасли ·          Также от отрасли сильно зависит на какие средства защиты тратится ИБ бюджет: ·          И на что тратится бюджет КИИ ( NIS ):  SIEM ,  Awareness ,

Новые требования к защите ГИС от ФСБ России

Изображение
  23 ноября 2020 на общественное обсуждение был выложен проект приказа ФСБ России "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации". 7 декабря закончились обсуждения и вряд ли предвидятся серьезные изменения данного документа. У Валерия Комарова видел замечания только к терминологии и мелочам. Я подготовил для вас видео обзор основных положений данного документа: https://youtu.be/gdlwzo5-ors Но здесь хочу обсудить несколько моментов которые не попали в видео: ·         В пункте 5 приказа ФСБ России №378 говорится об использовании использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации, но в пунктах 18, 21, 26 говорится о том, что для выполнения этого требования необходимо использовать СКЗИ класса КС1 и выше (то есть сертифицированные). ·         Хотя явных требований к оценк

Лучшие практики. Руководство по управлению уязвимостями от OWASP

Изображение
  Достаточно части организации задают вопрос – как построить процесс управления уязвимостями в организации. Недавно сообщество OWASP опубликовало документ Vulnerability Management Guide ( OVMG ) – по сути руководство по построению процесса управления уязвимостями. Давайте посмотрим подробнее на наиболее интересные моменты: ·         Чтобы “съесть” большого слона и не подавиться предлагается разделить его на маленькие понятные части ·         Поэтому общий процесс управления уязвимостями рассматривается как тройной цикл из подпроцессов, каждый из которых состоит из повторяющихся задач и подзадач o    Detection (Обнаружение) §   Define/Refine scope (Определение области применения) §   Optimize Tools (Оптимизация средств анализа) §   Run Vulnerability Tests ( Запуск тестов ) §   Confirm Findings (Подтверждение результатов) o    Reporting ( Отчетность ) §   Create Asset Groups ( Классификация активов ) §   Define/Refine Metrics (Определение метрик критичности)

Запись 10-ого межблогерского вебинара про современные технологии в обучении ИБ

Изображение
Недавно у нас с Ксенией Шудровой прошел уже 10-тый юбилейный межблогерский вебинар. В этот раз гостями были Вячеслав Золотарев и Мария Сидорова и обсуждали мы с ними современные технологии и подходы в обучении ИБ. Все четыре докладчика рассказывали про разные стороны обучения ИБ, каждый исходя из своего опыта: ·         Я рассказал про современные технологии и подходы в корпоративном обучении ИБ, про попытки привлечь внимание пользователей за счет геймификации, интерактива, удобства, интересного контента, микрокурсов. Немного пересказов gartner много картинок из современных систем обучения ИБ и лучшие карточные игры ИБ, как подручный материал для тренинга. ·         Ксения Шудрова, наоборот, призывала брать пример с вузов при корпоративном обучении ИБ, совместно читать библию законодательство в первоисточниках, писать конспекты, использовать доски, учебники, методички, давать побольше самостоятельных работ и практических работ с кейсами, ну и конечно тесты с билетами. ·      

Лучшие практики. Модель угроз ИБ для 2020 от ENISA

Изображение
Недавно европейский орган European Union Agency for Cybersecurity (ENISA) выпустили документ ENISAThreat Landscape 2020 (ETL). Для случаев, когда организация не обязана использовать БДУ ФСТЭК, но ей нужна актуальная модель угроз, то данный документ может стать хорошей лучшей практикой. Давайте разберем подробнее, почему это так: ·         Актуальная. ETL – это отчет об актуальных угрозах по результатам большого исследования. Рабочая группа проанализировала всю публично доступную аналитику за последний год (более 100 ссылок), информацию об инцидентах ИБ за последний год, и провели большой опрос специалистов. Такое исследование обычная организация провести не может, поэтому любая собственная аналитика в рамках моделирования угроз будет гораздо слабее ·         Есть модель нарушителя. Для модели нарушителя отображена динамика (что более актуально именно за последний год) ·         Есть рейтинг актуальных угроз – собственно это и есть сама модель угроз (загружайте и печатайте как