Сообщения

Сообщения за декабрь, 2020

С наступающим новым годом и видео вебинара!!!

Изображение
Коллеги, поздравляю с окончанием 2020-ого года. Год выдался неординарный. Пришлось преодолевать много трудностей и испытаний, но они принесли бесценный опыт.  В этом году отменились офлайн мероприятия, зато много раз встречался с вами на онлайнах: 8 вебинаров УЦСБ и 9 межблогерских вебинаров. Надеюсь, что-то из этого было полезным, и спасибо за ваши отзывы, но   Последний выпуск межблогерского вебинара получился больше развлекательный и лайтовый, зато его можно пересмотреть в свободное время на новогодние каникулы. Собралась отличная ИБ компания и в меню были следующие блюда: ·         Антипредставления участников (что о тебе расскажут коллеги) ·         Про плюсы минусы разных регионов, с точки зрения путешествий, напитков, цен и т.п. ·         Про походы, про штрафы, про неотвратимость наказаний, комплаенс, актуальность ИБ в европе, про инструменты двойного назначения в открытом доступе ·         Про кейс чемпионаты, силу регионов на чемпионатах и сложность найма в москов

(UPDATE 2) Готовы ли ГИС к уровням доверия СЗИ?

Изображение
  С 1 января 2021 г. вступает в силу последний пункт изменений в приказ ФСТЭК России от 11февраля 2013 г. N 17 , посвященный уровням доверия в средствах защиты информации государственных информационных систем: “В пункте 26 абзац пятый изложить в следующей редакции: "В информационных системах 1 класса защищенности применяются сертифицированные средства защиты информации, соответствующие 4 или более высокому уровню доверия. В информационных системах 2 класса защищенности применяются сертифицированные средства защиты информации, соответствующие 5 или более высокому уровню доверия. В информационных системах 3 класса защищенности применяются сертифицированные средства защиты информации, соответствующие 6 или более высокому уровню доверия.";” Данный пункт уже откладывался на полгода, из-за того, что отрасль была не готова, но сейчас видимо всё-таки будет вступать в силу. Сейчас интересны 2 вопроса : ·         Насколько готовы производители СЗИ, традиционно используемых пр

Аналитика по бюджетам на ИБ КИИ в Европе от ENISA

Изображение
   Недавно европейский орган  European   Union   Agency   for   Cybersecurity  ( ENISA ) выпустили  отчет  NIS   Investments   Report   по анализу объема бюджетов на ИБ и состава входящих на него трат (также опираются на данные иных исследований, таких как  Gartner ). Давайте посмотрим на них подробнее (возможно будут параллели бюджетами на СОИБ ОКИИ в РФ): ·          В подавляющем большинстве организаций, бюджетом на ИБ владеет ИТ подразделение и ИБ отчитывается перед  CIO ·          В среднем бюджет ИБ не превышает 6% от бюджета на ИТ. Но также в среднем бюджет на ИБ ещё и зависит от отрасли компании ·          Интересно посмотреть и на натуральные размеры ИБ бюджета в зависимости от отраслей: самые большие у Телекома, Облаков, Водоканалы и Фин.сектора ·          Бюджеты на европейский аналог КИИ ( NIS ) в зависимости от отрасли ·          Также от отрасли сильно зависит на какие средства защиты тратится ИБ бюджет: ·          И на что тратится бюджет КИИ ( NIS ):  SIEM ,  Awareness ,

Новые требования к защите ГИС от ФСБ России

Изображение
  23 ноября 2020 на общественное обсуждение был выложен проект приказа ФСБ России "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации". 7 декабря закончились обсуждения и вряд ли предвидятся серьезные изменения данного документа. У Валерия Комарова видел замечания только к терминологии и мелочам. Я подготовил для вас видео обзор основных положений данного документа: https://youtu.be/gdlwzo5-ors Но здесь хочу обсудить несколько моментов которые не попали в видео: ·         В пункте 5 приказа ФСБ России №378 говорится об использовании использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации, но в пунктах 18, 21, 26 говорится о том, что для выполнения этого требования необходимо использовать СКЗИ класса КС1 и выше (то есть сертифицированные). ·         Хотя явных требований к оценк