Блог Сергея Борисова про ИБ

Недавно европейский орган European Union Agency for Cybersecurity (ENISA) выпустили документ ENISAThreat Landscape 2020 (ETL). Для случаев, когда организация не обязана использовать БДУ ФСТЭК, но ей нужна актуальная модель угроз, то данный документ может стать хорошей лучшей практикой. Давайте разберем подробнее, почему это так: ·         Актуальная. ETL – это отчет об актуальных угрозах по результатам большого исследования. Рабочая группа проанализировала всю публично доступную аналитику за последний год (более 100 ссылок), информацию об инцидентах ИБ за последний год, и провели большой опрос специалистов. Такое исследование обычная организация провести не может, поэтому любая собственная аналитика в рамках моделирования угроз будет гораздо слабее ·         Есть модель нарушителя. Для модели нарушителя отображена динамика (что более актуально именно за последний год) ·       ...

Недавно  National Institute of Standards and Technology в США (NIST)  обновили свой документ  “ Security and Privacy Controls for Information Systems and Organizations ”  до версии  5. Предыдущая версия была опубликована достаточно давно – почти 6 лет назад и за это время её скачали несколько миллионов раз, в том числе разработчики приказов ФСТЭК России брали за основу набор мер из 800-53. Давайте посмотрим на интересные изменения: ·         Правила выбора мер, базовые наборы мер защиты, правила оценки соответствия, правила управления рисками были отделены от основного документа в отдельные документы: 800-53 A , 800-53 B и SP 800-37. Область применения этих документов не такая широкая как у основного документа ·         В основном документе 800-53 был оставлен только каталог мер защиты и комментарии по их применению. Сам каталог может использоваться самыми различными организациями для к...

15 сентября в Минюсте был зарегистрирован (26 сентября 2020 г. вступает в силу) приказ ФСТЭК Росссии  от 28.05.2020 № 75 "Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования" В отличие от предыдущих вариантов (проектов приказа), документ достаточно простой и сам не вносит дополнительных требований к защите ЗО КИИ.   Давайте немного взглянем на новый порядок жизни объекта КИИ, с учетом недавних комментариев представителя ФСТЭК России на онлайн конференции "Кибербезопасность АСУ ТП критически важных объектов". Теперь при необходимости подключения объекта КИИ к сети Интернет, необходимо до ввода в действие нового/модернизации объекта КИИ согласовать такую возможность с ФСТЭК России. Приказ устанавливает перечень сведений, ...

11 сентября 2020 г. в Минюсте были зарегистрированы изменения в приказ ФСТЭКРоссии №239 "Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" Я подготовил для вас небольшой видео обзор основных изменений. Но рекомендую также и самостоятельно ознакомится с измененным документом

  Хотя в общем виде использование сертифицированных СКЗИ в явном виде в высокоуровневых документах не требуется, но именно для финансовых организаций есть достаточно большое количество новых отдельных НПА, требующих применения таких СКЗИ: ·         Указание Банка России №3889-У – Про угрозы специальным ПДн ·         Указание Банка России №4859-У – Про угрозы биометрическим ПДн (ЕБС) ·         382-П ·         672-П ·         683-П ·         684-П ·         ГОСТ 57580 ·         Требования к предоставлению информации с использованием СКЗИ o    ФНС России (440-П) o    ФТС России (390-П) o    РосФинМониторинг (655-П) o    Фонд социального страховани...

  Хотя Gartner кажется что средства защиты от утечек конфиденциальной информации уже вышли на плато продуктивности и даже включены в требования регуляторов и национальные стандарты, на практике все ещё очень много проблем и споров касательно разных аспектов применения DLP – начинать от каналов утечки или от бизнеса,   решение “из коробки” или изучение и адаптация к бизнес процессам организации, предотвращение или мониторинг, машинное обучение или удобный интерфейс оператора, большие данные или экономия ресурсов. Не успели мы разобраться с DLP , а тут к плато продуктивности подступают новые типы решений, которые тоже надо смотреть и возможно внедрять: cloud access security brokers , dynamic data masking , secure instant communications , behavior analytics , data sanitization и другие. Разовые внедрения против постоянного совершенствования и повышения зрелости процессов защиты данных. Все эти вопросы можно обсудить 3 сентября в Краснодаре на конференции Код ИБ . ...

Несколько дней назад на сайте ДИТ Минздрава России для общественного обсуждения был выложен проект документа Методические рекомендации по категорированию объектовкритической информационной инфраструктуры сферы здравоохранения Давайте посмотрим на основные тезисы данного документа и отличия от остальных методических документов в сфере КИИ. ·         Явно перечислены виды организаций сферы здравоохранения, на которые распространяются действия МР – органы управления, лечебные организации, мед. организации особого типа, мед. организации по надзору, организации, осуществляющие фармацевтическую деятельность и т.п. ·         Подробные рекомендации по формированию комиссии по категорированию, в том числе форма приказа о создании, положение о комиссии, заключение комиссии. ·         Приведена форма и пример заполнения реестра бизнес-процессов (крайне полезно) ·     ...