Блог Сергея Борисова про ИБ

  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). ...

  Недавно прошло онлайн совещание кредитных организаций, АРБ с Банка России по информированию клиентов по вопросам противодействия мошенничеству.   Совещание было посвящено недавним методическим рекомендациям Банка России 3-МР по «усилению кредитными организациями информационной работы с клиентами в целях противодействия несанкционированным операциям» от 19.02.2021 Обязанность формировать для клиентов рекомендации по защите информации и доводить до клиентов информацию о возможных рисках установлена рядом документов: ·         пунктом 7 положения 683-П ·         пунктом 2 положения 684-П Задача повышения киберграмотности населения и координация деятельности в этойсфере поднадзорных организаций установлена п. 2.2.1.5 Положения о Департаменте информационной безопасности Банка России. В свое время финансовые организации задавали вопросы, о том, что включать в рекомендации, в каком формате и по каким кан...

11 марта 2021 вместе с Ксенией Лебедевой (Шудровой) и Алексеем Лукацким провели вебинар по моделированию угроз информационной безопасности. Уже прошел почти месяц с момента публикации новой методики ФСТЭК России , а никаких обзоров, анализа и обсуждений ещё не было. Нужно было кому то начинать и мы взяли на себя это. Лично я начинал анализ новой методики с того, что сделал для себя mind карту документа – отметил там основные тезисы, проблемы, направления будущей аналитики. Её же использовал при подготовке вебинара и пару раз она промелькнула на самом вебинаре. В связи с большим количеством запросов на её в комментариях – выкладываю эту карту в картинке тут. А исходники будут в группах в VK и FB Основные мои мысли по поводу новой методики: ·         В методике достаточно много остается на экспертную оценку, экспертное определение и нужно много придумывать. Соответственно нужно закладывать большое количество трудозатрат по сравнению с предыдущими в...

 Вчера на сайте ФСТЭК России были опубликованы 2 методических документа: ·         Рекомендации по оценке показателей критериевэкономической значимости объектов критической информационной инфраструктурыРоссийской Федерации ·         Методика моделирования угроз безопасностиинформации Обзор первого методического документа я сделал в формате короткометражного видео. Рекомендую ознакомится: https://youtu.be/CTRp5GF4uRQ Обзор проекта методики моделирования угроз я делал ранее , но как я не старался сделать это в максимально обобщенном виде, всё равно изменения итоговой методики получились значительные – значит обзор надо будет переделывать. Но этот подробный разбор будет чуть позже. А пока отмечу что: ·         поменялся рекомендованный порядок этапов моделирования: ·         т...

Недавно АРСИБ обновили свой документ “ Общие рекомендации по безопасности объектов критической информационной инфраструктуры организации ” – теперь версия 2.0 и соответствие свежим правкам в законодательстве Последний год на конференциях, вебинарах, блогах, соцсетях, телеграм-каналах задаются в общем то одни и те же вопросы из области КИИ: а мы субъект КИИ? а это объекты КИИ? а что писать? а куда отправлять? … В отличие от ассоциации электросвязи , рабочая группа АРСИБ не сделала за вас вашей работы, но они постарались ответить все вопросы, которые вы только планируете задать. Поэтом предлагаю для начала ознакомится с этим методическим документом. Возможно, этого вам будет достаточно.   “В главах данного пособия, авторы, специалисты практики в сфере информационной безопасности, концентрируются на рассмотрении проблемных вопросов, касающихся практического применения Закона «О безопасности КИИ».” Тут обращу внимание на некоторые моменты, которые мне особенно понрав...

Как вы могли заменить из предыдущей статьи Центр Компетенций Роскомнадзора создал рабочие группы для методической помощи операторам ПДн. В этой заметке я хочу рассказать вам про вторую важную задачу этих групп. Перед внедрением сложных СЗИ широко практикуются так называемые Пилотные проекты / тестовые зоны / опытная эксплуатация, в рамках которых проверяется работоспособность технического решения и его соответствие требованиям и только потом решение распространяется на всю организацию и вводится в действие. Для организационных мер ничего подобного не применяется: разрабатываем регламенты, по которым будут функционировать процессы обработки и защиты ПДн и сразу утверждаем, и внедряем их в организации. Потом оказывается, что процессы не соответствуют требованиям законодательства РФ и все нужно переделывать, менять устоявшиеся правила и переобучать персонал.   Теперь в тестовом режиме Роскомнадзор вводит услугу по предварительной проверке пакета документов по ПДн, ...

Продолжаем разбирать «Методику определения угроз безопасности информации в информационных системах» (далее – новая методика). Ряд экспертов, анализировавших новую методику, отметили, что ей не хватает логических схем. Я решил восполнить данный недостаток. Общая схема процесса определения угроз безопасности информации Схема моделирования нарушителя Схема моделирования угроз Большая схема с указанием зависимостей рассчитываемых показателей от исходных данных Пока отрисовывал схемы всплыли следующие недостатки: ·         Во второй части документа используется термин “идентификация источников угроз”, а в третьей “оценка возможностей нарушителей по реализации угроз безопасности информации”. Это одно и тоже или разный анализ? Нужны пояснения или привести к единому виду ·         Во второй части документа используется термин “идентификация угроз”, а в третьей “определение у...

7 апреля 2015 г. NIST опубликовал проект отчета по обезличиванию ПДн ( NIST Draft NISTIR 8053 , De-Identification of Personally Identifiable Information, далее – документ NIST) Документ NIST описывает терминологию, процессы и процедуры обезличивания ПД и является результатом обследования различных техник обезличивания ПДн из электронных ресурсов.   Для сравнения в качестве результатов аналитической работы по запросу РКН явились " Методические рекомендации по применению Приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (утв. Роскомнадзором 13.12.2013,  далее  - МД РКН) В документе NIST рассматриваются ситуации, когда оператору требуется выгружать / передавать ПДн из ИСПДн и при этом необходимо обеспечивать безопасность ПДн. Обезличивание ( de - identification ) рассматривается как один из путей выполнения данной задачи. Давайте посмотрим на наиболее интересные положения документа. ...