Сообщения

Сообщения за март, 2021

Разъяснения ФСТЭК по поводу уровней доверия СЗИ для ГИС

Изображение
  В конце прошлого года создалось впечатление что отсутствует даже базовый набор средств защиты информации подходящий под новые требования к уровням доверия. Даже у российских производителей традиционно известных только сертифицированными решениями был провал. С этим была связана последняя моя статья и аналитика в 2020 году . С момента её публикации новости о сертификации по УД посыпались как из рога изобилия и острота проблемы спала. В той статье я обещал поделиться ответами ФСТЭК по поводу применения новых требований. И хотя представители ФСТЭК в этом году и так уже публично дали на удивление много публичных комментариев ( рекомендую пересмотреть видео записи ), но возможно кому-то будет полезным посмотреть и письменные ответы органа гос. контроля на мои вопросы: “Прошу уточнить возможность применения в ГИС средств защиты информации, имеющих действующий сертификат или техническую поддержку, но не сертифицированные по уровням доверия:   ·         Можно ли использовать такие ср

Рекомендации Банка России по информирование клиентов кредитных организаций

Изображение
  Недавно прошло онлайн совещание кредитных организаций, АРБ с Банка России по информированию клиентов по вопросам противодействия мошенничеству.   Совещание было посвящено недавним методическим рекомендациям Банка России 3-МР по «усилению кредитными организациями информационной работы с клиентами в целях противодействия несанкционированным операциям» от 19.02.2021 Обязанность формировать для клиентов рекомендации по защите информации и доводить до клиентов информацию о возможных рисках установлена рядом документов: ·         пунктом 7 положения 683-П ·         пунктом 2 положения 684-П Задача повышения киберграмотности населения и координация деятельности в этойсфере поднадзорных организаций установлена п. 2.2.1.5 Положения о Департаменте информационной безопасности Банка России. В свое время финансовые организации задавали вопросы, о том, что включать в рекомендации, в каком формате и по каким каналам надо доводить эту информацию до клиентов. Собственно недавние МР-3 и являю

Mind map по моделированию угроз ИБ

Изображение
11 марта 2021 вместе с Ксенией Лебедевой (Шудровой) и Алексеем Лукацким провели вебинар по моделированию угроз информационной безопасности. Уже прошел почти месяц с момента публикации новой методики ФСТЭК России , а никаких обзоров, анализа и обсуждений ещё не было. Нужно было кому то начинать и мы взяли на себя это. Лично я начинал анализ новой методики с того, что сделал для себя mind карту документа – отметил там основные тезисы, проблемы, направления будущей аналитики. Её же использовал при подготовке вебинара и пару раз она промелькнула на самом вебинаре. В связи с большим количеством запросов на её в комментариях – выкладываю эту карту в картинке тут. А исходники будут в группах в VK и FB Основные мои мысли по поводу новой методики: ·         В методике достаточно много остается на экспертную оценку, экспертное определение и нужно много придумывать. Соответственно нужно закладывать большое количество трудозатрат по сравнению с предыдущими вариантами методик. ·         Хот