Личные блоги 
21.05.2012
Классификация ИСПДн: как правильно СЕЙЧАС?
В 2008-м был выпущен "приказ трех " по классификации ИСПДн. Но при его разработке была допущена ошибка и системы, разделенные на типовые и специальные, могли быть только специальными. И если методика классификации типовых систем на 4 класса была описана там де, в приказе трех, то методики классификации спецсистем не появилось до сих пор. Это позволило проявить креативность и на свет родилось несколько подходов:- ФСТЭК предлагала теже 4 класса натянуть на спецсистемы. - ЦБ назвал все системы спе...
18.05.2012
Киберпреступность и бездействие власти
В понедельник в рамках Russian Internet Governance Forum я выступал в секциипо киберпреступности, организованной Group-IB. А на следующий день уже в Киеве в рамках Cisco Security Forum, где также рассказывал о киберпреступности. Собственно презентацию выкладываю. Она отличается от понедельничной (в сторону увеличения объема) и тем более от прошлогодней, которую я читал в рамках ZeroNights.Бизнес-модель киберпреступности v2View more presentations from Alexey Lukatsky.Собственно я долго думал - вы...
17.05.2012
Нарушил 152-ФЗ? Выложи миллион!
Помните, в январе я писалпро новый законопроект о внесении поправок в КоАП в части появления новой подстатьи 13.111, которая устанавливает новую ответственность за нарушение правил обработки ПДн? Там же я написал, что готовится законопроект про увеличение штрафа по ст.13.11 за нарушение правил обработки ПДн. Но тогда но ни на сайте Минкомсвязи, ни на сайте Правительства или Минэкономразвития я этого законопроекта не нашел. И вот он проявился - на сайте Минэкономразвития выложентекст с поясните...
16.05.2012
О проектах Постановлений Правительства по ПДн
27 апреля я писало проектах новых Постановлений Правительства по ПДн. Они вызвали большую дискуссиюсреди специалистов. Кто-то сразу выступил негативно, кто-то проанализировал тексты и отправил разработчикам свои предложения по улучшению. Кто это сделал через антикоррупционную экспертизу (по ней пока результатов нет), кто-то через контакты с авторами проектов. Среди последних был я. Именно поэтому я не стал ничего публично комментировать, надеясь, что можно будет в диалоге с авторами попробовать ...
15.05.2012
Говоря о ДБО, о какой ДБО мы говорим?
Достаточно много эксперты говорят про безопасность систем ДБО (дистанционного банковского обслуживания). Предлагаются различные решения - токены с неизвлекаемыми ключами, LiveCD, Trusted Screen и т.п. Но... говоря о ДБО, какой тип ДБО мы имеем ввиду? Ведь их достаточно много. А внедряя в банке систему ДБО мы защищаем все ее компоненты или только Интернет-составляющую? Вот так выглядит деление на 2 основных типа - информационный (уведомление о платежах) и транзакционный (собственно сами платежи)...
14.05.2012
Как атаки на ДБО влияют на экономику страны
Готовясь к презентации на RIGF наткнулся на еще одну интересную картинку. Она иллюстрирует взаимосвязь различных киберпреступлений (онлайн-мошенничество, кража интеллектуальной собственности, кибершпионаж и т.д.) с последствиями для бизнеса и государства, а в итоге и для все экономики страны.Например, онлайн-мошенничества (атаки на ДБО), влияют не только на карман отдельно взятого индивидуума, но и снижают его доверие к онлайн-сервисам как таковым, а это влияет как уровень информатизации обществ...
14.05.2012
Где больше всего Stuxnet'а
Ваял презентацию по киберпреступности для сегодняшнего выступленияна Russian Internet Governance Forum и наткнулся на интересную диаграмму, показывающую Топ14 стран, чьи системы АСУ ТП заражены червем Stuxnet.Россия, хоть и не на первом месте, но 6-е место держит уверенно. А если сложить вместе доли Узбекистана, России, Казахстана, Беларуси, Кыргызстана, Азербайджана и Таджикистана, то 4-е, а то и 3-е место нам вполне светит.А вообще список стран очень интересный. Если с Ираном все понятно (по о...
11.05.2012
BeyondTrust покупает eEye
9 мая BeyondTrust, известная своими IAM-решениями, объявилао приобретении известной компании eEye Digital Security, знакомой по своему сканеру Retina, системам управления патчами, конфигурацией, сетевым анализатором Iris и системой защиты ПК Blink. Детали сделки пока не раскрываются - все должно быть объявлено 15 мая на публичном вебкасте.
11.05.2012
McAfee покупает Insightix
В феврале McAfee завершила покупку Insightix, компании по счастливой случайности тоже пионер и тоже лидер на рынке систем сетевого мониторинга в реальном времени. Никаких деталей по сделке не нашел. Сделка прошла как-то совсем мимо прессы и мимо специалистов. McAfee сильно этот факт не пиарил. Кроме невнятной страничкина сайте покупателя о сделке больше не слова.
05.05.2012
Как Европа предлагает защищать ПДн в электронных коммуникациях
В 2002-м году в Европе принялиДирективу 2002/58/EC относительно обработки ПДн и их защиты в секторе электронных коммуникаций (то чем у нас РАЭК занимается). 4-я статья этой директивы, которая так и называется "Безопасность ", буквально гласит следующее: "1. Провайдер публично доступных сервисов электронных коммуникаций обязан предпринимать соответствующие технические и организационные меры по обеспечению безопасности своих услуг; при необходимости привлекая оператора связи сети общего пользован...
04.05.2012
Мотиваторы и демотиваторы разных игроков рынка ИБ или почему регуляторам и потребителям сложно найти общий язык
30 апреля вышла интересная книжка - "Threats, Countermeasures, and Advances in Applied Information Security " Раджа Шармана, Маниша Гупты и Джона Валпа (все три работают в американских банках). И вот в 24-й главе представляют они динамическую экономическую модель кибербезопасности. Собственно не саму модель, а ее первый этап. Как они сами пишут: "Никто не может разработать эффективную экономическую модель для информационной безопасности, не имея представления и понимания о мотивах, препятствия...
03.05.2012
Музыкальные пароли - новое слово в ИБ
Одним из самых известных, даже кухаркам и домохозяйкам, понятий информационной безопасности является пароль, от стойкости которого зачастую зависит защищенность всех преград - домашних, банковских, корпоративных и иных. Из курса теоретической ИБ давно известно, что стойкость пароля зависит от информационной энтропии. Чем случайнее набор символов (в разных регистрах, разных алфавитах, цифры и спецсимволы...), тем надежнее пароль и тем сложнее его запомнить. Любые попытки сделать пароль запоминающ...
02.05.2012
Совместный онлайн-семинар Cisco и Group-IB
Совместно с компанией Group-IB мы рады пригласить Вас на бесплатный онлайн семинар, посвященный теме расследования инцидентов на базе оборудовании Cisco, который состоится 16 мая через систему Webex.Для того чтобы обеспечить эффективное движение к принятой на предприятии архитектуре информационной безопасности необходимо реализовать весь жизненный цикл системы ИБ, включающий в себя не только внедрение и эксплуатацию технических средств защиты, но и множество дополнительных сервисов и услуг. Все ...
28.04.2012
Защита критических инфраструктур в прицеле ученых
Продолжу тему критических инфраструктур. Брюс Шнайер дал ссылкуна интересную статью "Critical infrastructure protection: The vulnerability conundrum ", в которой два автора (Алан Мюррей и Тони Грубесик) попробовали обосновать немного отличную от принятой модели защиты критичных инфраструктур (АСУ ТП). Как рассуждали авторы? Они проанализировали множество исходных данных и пришли к выводу, что большинство строят защиту критичных инфраструктур из т.н. "worst case " ( "самый худший вариант ") сце...
27.04.2012
Делай, что должен, и будь, что будет!
Сразу хочу сделать замечание: я комментировать опубликованныепроекты Постановлений Правительства по персданным пока не буду. Ключевые моменты я отразил, рассказываяпро Форум директоров по ИБ. Дальше начинается уже глубокий анализ текста, который сейчас, наверное, не имеет смысла. Кто хочет, может посмотреть комментарии Алексея Волкова.Я от текста тоже не в восторге, но и критиковать их, не делая попытки что-то поправить, считаю не совсем правильным. Разумеется при условии, что можно что-то попр...
27.04.2012
Проекты новых Постановлений Правительства по ПДн опубликованы
На сайте ФСБ опубликовано два проекта Постановления Правительства по ПДн:Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данныхО требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных
27.04.2012
Кладезь информации по защите АСУ ТП
Завершу эту неделю постом опять про АСУ ТП, а точнее про то, как рекомендуют защищать их в США. Информация это публичная и может быть очень полезна и отечественным организациям, применяющим АСУ ТП в своей деятельности. Документы ФСТЭК по этой тематике имеют гриф и если, по счастливой случайности, компания, использующая АСУ ТП, не попала в перечень критически важных объектов, то она остается один на один с злоумышленниками. Никаких иных отечественных документов, описывающих требования по защите А...
26.04.2012
Безопасность электроэнергетики
Про безопасность электроэнергетики в разрезе защиты SmartGrid и АСУ ТП я уже неоднократно писал. Но тема не теряет своей актуальности, о чем говорит возрастающее число зарубежных материалов по этой теме. Например, большой исследовательский отчет Pike Research о безопасности SmartGrid, в котором не только озвучивается сумма инвестиций в это направление (18 миллиардов долларов до 2018 года), но и говорится, что 63% этих ресурсов пойдут на защиту АСУ ТП, используемых в электроэнергетике.Но несмотря...
25.04.2012
Краткий анализ 313-го Постановления, сменившего на посту ПП-957
16 апреля закончилась эпоха 957-го Постановления Правительства "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами ". Ему на смену пришлоновое Постановление № 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических...
24.04.2012
Безопасность мобильных платежей
Сегодня, в 12 дня в рамках MIPS открывается конференция "Безопасность платежных систем ". И пригласили меня сделать доклад на тему "Мобильные платежи в контексте СТО БР ИББС ". Z уж не знаю, почему пригласили меня прочитать эту тему; вроде как в ПК5 ТК122, который и отвечает за мобильный платежи, я не вхожу. Но раз уж пригласили, то надо отдуваться. Сначала я хотел прочитать что-нибудь похожее на то, что я читал на PCI DSS Russia 2012. Потом мне пришла в голову ценная мысль, что начать надо с ...
23.04.2012
Угроза АСУ ТП растет
Американцы отмечаютрост угроз для АСУ ТП. Это связано не только с ростом числа уязвимостей в системах, отвечающих за управление технологическими процессами, но и с ростом интереса различных хактивистских и анархистских групп. И если раньше атаки на АСУ ТП были уедом избранных, то сегодня это все больше и больше становится мейнстримом. Уже разработано немало инструментов, которые облегчают решение этой задачи. Речь идет и о специализированных поисковых системах, которые облегчают обнаружение АСУ ...
20.04.2012
Революция от ФСТЭК и новости от ФСБ
Форум закончился. Прошло пару дней. Впечатления сформировались - можно ими и поделиться. Мне понравилось И не только потому, что мы были спонсором. Просто мероприятие действительно было ориентировано на аудиторию, что бывает не часто. И особенно порадовало то, что присутствовали представители ФСТЭК и ФСБ, которые не молчали как обычно и не отделывались общими фразами. Выступления Олега Залунина и Виталия Лютикова были конкретны и насыщены фактами и интересными новостями. С них и начну.Тезисно и...
19.04.2012
Как меня развели или об очередном творении в моей библиотеке
Предыстория... Наткнулся на Озоне на книжку "Экономика защиты информации " некоего Шепитько Г.Е.Анонс меня привлек. Рецензии тоже. Там и про то, что ее все практики ИБ должны прочесть, и про возможность общаться с бизнесом после прочтения книжки, и про многое другое. Потом, правда, я обнаружил, что все рецензии даны в течение всего одной недели мая 2011 года. Содержание весомое.Начал читать. Вообще автор местами просто удивлял. Начиная от предложения использовать методы страхования информационн...
18.04.2012
Все ли метрики нужны? Все ли метрики важны?
И вновь вернусь к одной из дискуссий, поднятых на форуме директоров ИБ. Была поднята тема измерения эффективности ИБ. Нередко упоминались метрики ИБ, KPI ИБ и т.д. Но... стоило копнуть глубже и тема сдувалась. Выступающие, как правило, приводили в пример простейшие метрики ИБ. Вроде времени реагирования на рассмотрение заявки на доступ к ресурсам. Правильная ли это метрика? Безусловно. Важна ли она? Нет. Она никак и ни на что не влияет. Это пример технической метрики, которая нужна только для вн...
18.04.2012
Как считать риски?
Вчера, на форуме директоров по ИБ опять подняли тему оценки рисков. Традиционно. И опять ни к чему не пришли. Зрители в зале пытались получить серебряную пулю в виде конкретных рекомендаций, а выступающие отговаривались общими фразами про классическую формулу "риск = вероятность * ущерб ". На вопрос про оценку ущерба ответ был предсказуем - "экспертная оценка ". На вопрос о вероятности - экспертная оценка или база инцидентов. В итоге все остались недовольны. Одни - ответом. Другие - вопросом Я...
17.04.2012
Мои презентации с форума директоров по ИБ
Вчера, на первом дне межотраслевого форума директоров по ИБ я делал две презентации. Первая была посвящена тенденциям, на которые стоит обратить внимание руководителей ИБ в ближайший год-полтора.Security trends for Russian CISO in 2012-2013View more PowerPoint from Alexey LukatskyВторая презентация была вводной к секции по безопасности ЦОДов, которую я вел.Data Centers SecurityView more presentations from Alexey Lukatsky.Общие впечатления от форума с акцентом на наиболее интересные выступления (...
16.04.2012
TIBCO покупает LogLogic
3 апреля американская TIBCO объявилао намерении приобрести производителя решений по управления логами LogLogic. Детали сделки не раскрываются, как и причина приобретения. TIBCO раньit не была замечена в этом сегменте рынка.
16.04.2012
Руководство NIST по дизайну криптографических ключевых систем
NIST выпустил Special Publication 800-130 "A Framework for Designing Cryptographic Key Management Systems ", посвященный, как это видно из названия, вопросам дизайн ключевых систем для СКЗИ. 111 страниц достойнейшего чтива; и чтива публичного, не скрытого никакими грифами и ограничениями. Генерация ключей, активация ключей, регистрация владельцев ключей, деактивация ключей, перевыпуск ключей, отзыв ключей, блокирование ключей, уничтожение ключей, восстановление ключей, архивирование ключей, вво...
16.04.2012
Проверьте свои сайты. Быстро!
По плану сегодня я хотел опубликовать другую заметку. Но так получилось, что планы мои поменялись. В пятницу вечером я активно гуглил в поисках нужной мне информации. Сначала я искал просто ссылки, потом сконцентрировался на поиске конкретных презентаций, ну а потом затянуло Я стал играться с Google, вспомнив, как прошлой осенью в Интернете разгорелся скандал по поводу выкладывания многими госорганами у себя на сайтах конфиденциальной информации, служебной тайны, а в ряде случаев (по словам кол...
13.04.2012
Сертификация специалистов по ИБ. Какая правильная?
Вопрос, вынесенный в заголовок, возникает, сколько я себя помню, регулярно. То на bankir.ru, то на professional.ru, то на Linkedin (одна из самых последних), а то и просто в частных беседах. Те, кто не имеет пока блях на груди, спрашивают у "гуру ": "Ну какая же сертификация самая-самая?! " Гуру, почесывая в затылке, как правило отвечают - CISSP, CISM или CISA. А потом начинается флейм Так какая же правильная? Универсального ответа, к счастью, нет. Также как и нет ответа на вопрос "Кто такой...
Подписка
Вирусы