Сообщения

Сообщения за февраль, 2020

Лучшие практики ИБ для больниц и медицинских центров

Изображение
Пару дней назад европейский регулятор ENISA выпустил руководство по обеспечению кибербезопасности при оснащении больниц и медицинских центров (Procurement Guidelines for Cybersecurity in Hospitals) В отличие от других лучших практик и рекомендаций по обеспечению ИБ, в данном документе отдельно рассматривается процесс оснащения современным оборудованием, ПО и сервисами больниц и медицинских центров и даются рекомендации по встраиванию безопасности в этот процесс. Рассматриваются разные виды возможного оснащения     Возможные проблемы, связанные с оснащением разного вида – например, необходимость проверять производителя и тестировать оборудование с точки зрения безопасности Приводится модель угроз для ИТ инфраструктуры и анализ рисков, связанных с оснащением современным оборудованием И наконец приводится набор лучших практик по обеспечению кибербезопасности в больницах, распределенных по 3-м этапам жизненного цикла оборудования и ПО: планирование, закупк

Двухфакторная аутентификация. Уже пора?

Изображение
Исследование Verison говорит, что 80% инцидентов ИБ связано с аутентификацией. В соответствии с обзором ФинЦЕРТа Банка России, слабости в аутентификации и парольной защите являются первоочередной причиной инцидентов ИБ. Проблемы классической парольной аутентификации очевидны. Так почему так много вопросов вызывает требования банковского ГОСТ 57580.1 к применению двухфакторной аутентификации (2 FA )? Давайте разбираться. Что в НПА? Посмотрим, где есть требования к 2 FA : В приказах ФСТЭК №17, 21 и 239 есть меры группы ИАФ, которые требуют аутентификацию пользователей и управление средствами аутентификации, но применение 2 FA остается на усмотрение оператора. В методическом документе ФСТЭК «Меры защиты информации в ГИС» ещё в 2014 г. появляются обязательные требования 2 FA для ГИС 1 и 2 класса защищенности: “Требования к усилению меры ИАФ.1 1-2) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для удаленного досту

Сложно ли Банкам соответствовать ГОСТ 57580?

Изображение
Достаточно часто слышу от коллег, такую информацию, что ГОСТ Р 57580.1-2017 по безопасности финансовых (банковских) операций сильно сложнее для выполнения, чем СТО БР ИББС-1.0-2014 и старое 382-П. Высказываются тезисы что в ГОСТ появилось большое количество новых требований, которых не было ранее - приводит к получению низких оценок. C другой стороны, при работе по ГОСТ 57580.1 у меня создалось впечатление что это более гибкий документ и имеет особенности, которые, наоборот, позволяют получить высокие оценки соответствия. На них и хотелось бы остановится в данной статье. Во-первых, у Финансовой организации имеется возможность выбора мер защиты по аналогии с защитой ПДн и КИИ – базовый состав мер, это только отправная точка, далее меры можно адаптировать/исключать с учетом модели угроз, нарушителей и структурно-функциональных характеристик объектов. Также меры защиты могут быть заменены на компенсирующие, в случае технической невозможности их реализации или экономической ц

Вебинар - актуальные вопросы по криптографии и выполнение требований ФСБ.

Изображение
Несмотря на то, что требования законодательства РФ по криптографии не меняются по 5-10-20 лет, вопросы с ними связанные остаются самыми востребованными. Ниже статистика интереса с прошлого опроса . С чем это может быть связано? Возможно, это: наиболее глубокие проверки именно со стороны ФСБ России периодические вбросы от СМИ о суровых последствиях сложно реализовать все до конца “классические” меры в нашем современном быстро меняющемся в части ИТ мире почти полное отсутствие разъяснительной работы по криптографии для обычных операторов со стороны регулятора (РусКрипто не в счет, там только специализированные компании и лицензиаты) Мы с Ксенией Шудровой и Павлом Коростелевым постараемся восполнить хотя бы последний пункт – Завтра (11.02.2020) с 15.00 до 16.чч проведем с вами межблогерский вебинар по теме “СКЗИ. Вопросы и ответы”.  Проблема обычных докладов – односторонний взгляд на проблему. Чтобы избежать такого мы собрали экспертов с разным опытом :