Блог Сергея Борисова про ИБ

Раз уж получилось, что выходные затягиваются, а из дома выходить нельзя – это хорошая возможность для специалистов поИБ прокачать свои компетенции. Есть различные способы, но в рамках данной статьи поговорим про вебинары и видео. 1. На канале ПроИБ стараюсь подбирать для вас наиболее интересные видео с сортировкой по темам: ИБ Решения, Эксперты, Угрозы, Законодательство, Проектирование, Асу Тп, Аналитика.   На данный момент ИБ решения самый наполненный раздел – представлены основные ИБ решения рынка РФ. 2. Много полезных видео представлено на платном портале Код ИБ Академия и их бесплатном youtube канале Полосатый инфобез . Также всё ещё можно заскочить на поезд Код ИБ ПРОФИ 3. После PHDays остается столько классных докладов на канале PT , что посмотреть их все в обычное время нет никакой возможности. Сейчас самое время. 4. На 01 апреля в 15.00 у нас с Ксенией Шудровой был запланирован межблогерский вебинар по проверкам регуляторов (по персональным да...

Вчера 28 января 2020 состоялся публичный семинар Роскомнадзора по итогам их работы за 2019 г. по теме персональных данных. ·         Выложена запись основной части семинара.   На самом деле там было мало нового. Примерно те же типовые нарушения, примерно те же причины обращений, немного меняется статистика. Но из интересного, например было про деятельность центра компетенций и рабочих групп Роскомнадзора в общем и ЦФО+СЗФО в частности ·         Больший интерес представляет секция вопросов и ответов от РКН. По многим темам позиция РКН меняется, в том числе и в следствии судебной практики. Рекомендую ознакомится, много интересных вопросов. Ответы, конечно, не всегда дают ту информацию, которая была нужна оператору – уворачиваться РКН умеет и многое остается на ответственность самого оператора. Также 24 января 2020 года принял участие в заседании рабочей группы РКН по ЮФО (той самой которая разработает ...

В связи с существенным ростом заражения вирусами-шифровальщиками и атак на сетевое оборудование за последний год, по инициативе администрации края и территориальных органов безопасности проводилось информирование гос. органов и учреждений. Мы поддержали эту тему, проведя ряд ВКС, семинаров, вебинаров для учреждений здравоохранения, труда, соц. защиты и других. Причем началось информирование  ещё до эпидемии wannacry . Так что пришлось по ходу дела адаптироваться и дополнять презентации и памятки. Выкладываю последнюю версию моей презентации по этой теме , возможно кому-то будет полезна. Вирусы-шифровальщики и фишинг from Sergey Borisov Кроме того, этой весной также проводил мини семинары или инструктажи – разъяснял для спецов местных гос. учреждений по выполнению требований законодательства РФ в части Разработки модели нарушителя безопасности информации Модель нарушителя безопасности информации from Sergey Borisov Обеспечения безопасности по...

Наконец у меня нашлось время написать пару слов про ИБ конференцию ZeroNights , прошедшую 17-18 ноября 2016 г.  Несомненно, это было одно из лучших практических ИБ мероприятий РФ. Со стандартным отчетом я не успел (если не считать twitter), поэтому порекомендую вам ознакомится с отчетами коллег . Я же хотел порассуждать на следующую тему: для специалистов занимающихся исследованием безопасности ПО и ТС, пенсетеров, охотников за уязвимостями, разработчиков СЗИ это мероприятие просто не имеет альтернатив и обязательно для посещения ; а что на счет обычных специалистов по ИБ ? Это те, которые занимаются управлением ИБ в организации, администрированием СЗИ,  комплаенсом, внутренним аудитом и т.п.? Таких ИБшников в сотни раз больше. Стоит ли их пускать им идти на ZeroNights ? Я в лице обычного ИБшника (с опытом консультации, комплаенса, проектирования) попытался найти ответ на самом мероприятии. На первый взгляд все выступления на мероприятии сводились примерно к следу...

На этой неделе выступил с докладом на комиссии по защите информации одного из регионов РФ. Рассказывал про актуальное для гос. законодательство, новости, инициативы, и некоторые истории из нашего опыта работы с государственными органами и учреждениями. Выкладываю презентацию – возможно кому-то из гос. будет полезной. Актуальные вопросы защиты информации для государственных оранов from Sergey Borisov В целом приятно что вопросами защиты информации в конце 2016 года активно занялись не только Государственная дума и Правительство РФ, но и государственные органы в регионах РФ. Главное, чтобы в начале 2017 года не было забыто то, о чем говорили в конце 2016-ого.  

Продолжение предыдущей статьи . Итак, мы ожидаем в этом году принятие 6 проф. стандартов по ИБ.  Что в них есть? Что с ними делать?                 В стандартах есть общая функциональная карта Есть описание обобщенной трудовой функции с указанием наименования должностей, требованиями к образованию и опыту. Есть описание отдельной трудовой функции с указанием трудовых действий, необходимых знаний и умений. Как работодатели будут применять эти проф. Cтандарты по ИБ?   ·          цитировать из стандарта требования к образованию, опыту, знаниям и умениям в описании вакансии при поиске персонала ·          проверять соответствие квалификации при найме персонала ·          вносить изменения в действующие трудовые договора/должностные инструкции – приводить описание трудовых функций в соответ...

Так как являюсь регулярным участником онлайн мероприятий по ИБ, кровно заинтересован в их улучшении и развитии. Обсудим два недавних – Код ИБ онлайн и Кибербаталии Код ИБ онлайн: ·          лично для меня неудобное время проведения – с 18.30 до 20, это время я стараюсь проводить с семьей + домашние дела. На 3 дня отказаться от этого я готов только за что-то реально стоящее. мне было бы удобнее в рабочее время. по факту – смотрел в записи ·          для платного мероприятия слишком многовато проблем (проблем со звуком, размером презентаций, видео, громки эхо и т.п.). Я попал на не менее 5 проблем. ·          площадка проведения не подходит для платного участия. Алексей Комаров уже писал про возможность само регистрации на мероприятие. Да и по сути есть статические ссылки на вебинары типа https://my.webinar.ru/record/791606/ (эта фейковая, нашел перебором о...

Когда задумывал конкурс розыгрыша билетов на Код ИБ Онлайн идея была следующая: беру в основном вопросы из истории ИБ, тогда опытные, но более ленивые ИБ специалисты могут на них легко ответить, ведь они начинали с этих тем, а молодые ИБ специалисты должны быть более прокачаны в поиске информации (гуглении) и для них тоже не составит найти нужный ответ. К моему удивлению, многие знакомые признались, что не смогли ответить и поэтому не стали участвовать. Другие сказали, что решили сразу купить билетик и не парится.  Но были и те которые ответили и победили. Краткий обзор ниже. 1.        Назовите самый старый из действующих федеральных законов в котором упомянута необходимость защиты информации, данных или тайн Тут я загадал ФЗ о Банках от 1990 г. Он действующий. В нем упомянута защита банковской тайны. И он самый старый из вариантов приведенных в ответе. Закон СССР не считаю, так как он не федеральный.  2.     ...

Подготовил небольшой отчет о шестом форуме PHDays . Если кратко - в очередной раз убедился, что это лучшее ИБ мероприятие в России. По самым интересным моментам я вел трансляцию в твитере и других соцсетях.  Ещё неделю после мероприятия, пересматривал пропущенные доклады. Ниже выжимка из этих впечатлений. Итак, почему всё-таки лучшее мероприятие? ·          Большое количество моделей систем (ГЭС, электроподстанция, ЖД, другие АСУ ТП, сетка с дронами, автомобиль, сеть оператора мобильной связи), которые можно было изучать и тестировать безопасность. Но самое главное это ИТ модель мегаполиса в рамках Противостояния. Организаторы, в отличие от некоторых других CTF , постарались сделать модель максимально приближенной к реальной жизни (банк, телеком, корпоративные ИС, СМИ, соцсети, компании, занимающиеся защитой информации, SOC ) что позволяет использовать результаты в реальных сферах ИБ. Думаю, дампы трафика с Противостояния ещё долго...