Сообщения

Сообщения за апрель, 2020

Сравнение области действия НПА для финансовых организаций

Изображение
Почти на каждом вебинаре встречаются вопросы про сферу действия 683-П, 684-П, 672-П, 382-П (старого и нового). Подготовил немного инфографики по этому поводу : Область действия Положений по типам организаций Область действия Положений по типам защищаемой информации Область действия Положений по типам объектов, для которых необходимо обеспечить уровень защиты по ГОСТ 57580.1 и проводить оценку соответствия по ГОСТ 57580.2 Область действия Положений по типам объектов, для которых необходимо проводить тестирование на проникновение Область действия Положений по типам ПО, для которых необходимо проводить сертификацию или анализ уязвимостей по ОУД 4 И добавлю подборку с примерами организаций, на которые распространяются требования Положений. Финансовые организации : Кредитные организации системно значимые КО значимые на рынке пл

Часто задаваемые вопросы по безопасности финансовых организаций

Изображение
Совместно с компаний УЦСБ провели уже два вебинара по безопасности финансовых организаций. В рамках подготовки к вебинару собрал наиболее интересные вопросы из разъяснений и информационных сообщений Банка России по вопросам применения НПА, связанных с информационной безопасностью.   Туда же добавил интересные ответы на вопросы с вебинаров.   Получился хороший такой FAQ , примерно на 50 вопросов, с ссылкой на источники. Вынес FAQ на отдельную страничку – пользуйтесь. Также будут пополнения по мере проведения остальных вебинаров – есть смысл добавить в закладки. Планируем ещё задать ещё серию вопросов в ЦБ РФ. Коллеги, можете добавить свой вопрос в общий пакет. Кстати, следующий вебинар по теме «Анализ уязвимостей по требованиям к ОУД4» состоятся уже в среду – 29.04.2020 в 11.00. Эксклюзив. Такой анализ нужен всем, а материалов по нему фактически нет. Успевайте зарегистрироваться . PS : Ну и в целом, сделал небольшой редизайн в блоге.   Мне такой больше подхо

Новый сезон вебинаров посвященный безопасности финансовых организаций

Изображение
В текущих условиях, когда все очные мероприятия отменены, хорошей возможность поучится и обсудить насущные вопросы дают вебинары. Подавляющее большинство их сейчас посвящено удаленному доступу, а по другим темам почти ничего нет. Поэтому мы с УЦСБ решили запустить новый большой сезон экспертных вебинаров, посвященный безопасности финансовых организаций - много новых требований, мероприятий, много вопросов по их выполнению. Уже вышел первый вводный вебинар для некредитных ФО: В следующую среду, 22.04.2020 в 11.00 пройдет второй вводный вебинар, для кредитных ФО. Обсудим требования 683-П, 672-П, 382-П, системы на которые они распространяются, информационные сообщения и разъяснения ЦБ РФ и поговорим про рекомендуемую дорожную карту мероприятий, с учетом всех этих документов. Успевайте зарегистрироваться тут . Следующие вебинары серии будут посвящены: анализу уязвимостей по ОУД 4 внедрению ГОСТ 57580.1 аудиту по ГОСТ 57580.2 тестированию на проникновение в ФО криптографии

Методика моделирования угроз БИ от ФСТЭК России

Изображение
9 апреля 2020 года в сопровождении информационного сообщения ФСТЭК России N 240/22/1534 на общественное рассмотрение был выложен проект методики моделирования угроз безопасности информации. Основные идеи и этапы моделирования угроз в соответствии с новой методикой я осветил в коротком 5-минутном видеоролике. Также выкладываю mind карту Методики , которую я делал в рамках подготовки видеоролика, возможно кому-то такой формат будет удобнее Ну и отдельно хотелось бы оставить мой отзыв о методике, дать предложения и замечания: 1.       Как мне показалось, авторы хотели как-то совместить угрозы, сценарии, техники и тактики, но так и не успели (хотя прошло 5 лет с момента прошлого проекта) до конца все продумать, четко и понятно донести до читателя. Вот несколько свидетельств этому : ·         В методике нет четкого определения “угрозы БИ” и того на каком этапе она должна возникнуть в методике: o    В пункте 3.4 в таблице 1 приводится перечень неких угроз (возмож

Организация работы с СКЗИ

Изображение
По приглашения Павла Коростелева из Кода Безопасности 07.04.2020 принял участие в совместном вебинаре по вопросам и проблемам организации работы с СКЗИ. Сделали по небольшому докладу и потом отвечали на вопросы. Не смотря на то, что требования к сертифицированным СКЗИ не меняются уже много лет, но они все так же актуальны и к тому же меняются подходы регулятора, меняются требования которые закладываются в документацию на СКЗИ. Впихнуть весь доступный материал в один вебинар не удалось, но большое количество, вопросов заданных по ходу, говорит о том что стоит продолжать. Запись видео прикладываю ниже. Паузы не вырезали, так что можно ставить скорость 1.25 В продолжении темы можно рассматривать следующие вопросы: Как правильно планировать новые сертифицированные СКЗИ? Как правильно закупать серт. СКЗИ? Как организовать установку в распределенных организациях? Учет, обучение и допуск пользователей к СКЗИ Обновление сертифицированных СКЗИ Как правильно организовать эксплу

Безопасность онлайн совещаний и переговоров

Изображение
В свете последних событий большая часть коммуникаций ушла на онлайн платформы для конференций. Зачастую с одних и тех же устройств и платформ, мы общаемся с фитнес инструктором, преподавателем иностранного языка, на них подключаемся в школьные конференции и факультативы для детей и на них же нам приходится вести онлайн совещания и переговоры с клиентами и коллегами по работе. Каждый использует что придется, настраивает как получится и вся страна “сидит в Zoom -е”. Сейчас лучшее время чтобы провести повышение осведомленности ваших работников по вопросам безопасности онлайн совещаний и переговоров.   И возможно в этом вам пригодится мой перевод и его адаптация плаката от NIST . PS : Вопрос - интересно было бы обсудить эту тему на вебинаре? Чтобы не пропустить важную информацию по ИБ подписывайтесь в вашем любимом канале TWITTER  FACEBOOK   VK   Telegram   Дзен

Чем заняться ИБшнику во время длинных выходных: выбрать фреймворк для ИБ

Изображение
Раз уж получилось, что выходные затягиваются, а из дома выходить нельзя – это хорошая возможность для специалистов поИБ прокачать свои компетенции. Есть различные способы, но в рамках данной статьи поговорим про фреймворки ИБ. В прошлойстатье мы рассмотрели на каких стендах можно потренироваться техническим специалистам ИБ. Но для CISO тоже есть чем заняться. Для чего нужен фреймворк ИБ в вашей организации? ·         для того чтобы применяемые меры ИБ не были хаотическими и противоречащими друг другу ·         для того чтобы увязать в одном цели бизнеса, требования законодательства и особенности используемых технологий ·         для того чтобы мы могли определить приоритеты и порядок внедрения мер защиты ·         для того чтобы зрелость процессов защиты было согласована с текущей зрелостью ИТ и бизнеса В качестве фреймворков для ИБ я бы рассматривал следующие стандарты/лучшие практики: ·         ISO 27001 ·         CIS Controls ·         NIST Cyber Securi