Новинки законодательства по информационной безопасностиЗаконодательство
Дайджест изменений в российское законодательство по ИБ №17
0420
о Национальной системе управления данными (НСУД), который представляет из себя большой пакет правок в ФЗ-149 “Об информации, информационных технологиях и защите информации”, в случае своего принятия повлечет за собой достаточно много изменений в основополагающем законе в области работы с информацией. Среди предлагаемых правок: Новые определения терминов
Бизнес без опасности
Новинки законодательства по информационной безопасностиЗаконодательство
Дайджест изменений в российское законодательство по ИБ №16
31.1к.
11 июня этого года я начал регулярно публиковать дайджест изменений российского законодательства по ИБ. К текущему моменту вышло уже 15 выпусков, в которых упомянуто 107 нормативных актов разного статуса — «принят», «внесен», «опубликован». Если отбросить все выходные дни и равномерно распределить все НПА по дням
Бизнес без опасности
Законодательство
Куда падает качество нормативки наших регуляторов и что с этим делать?
7404
Вы обращали внимание на снижение качества нормативных документов от наших регуляторов? Когда смотришь в сторону только одного регулятора или одной сферы регулирования это не так заметно. Но когда пропускаешь через себя творчество всех органов исполнительной власти, то это очень сильно бросается в глаза. И дело не столько в синтаксических или орфографических
Бизнес без опасности
Законодательство
Моделирование угроз в процессе разработки ПО
141.3к.
Решил я тут раскрыть чуть больше краткую заметку в своем Telegram, посвященную моделированию угроз в процессе разработки ПО. Я написал следующее: «Методика оценки угроз ФСТЭК не применяется при моделировании угроз в рамках безопасной разработки. Учитывая, что ФСТЭК уделяет последней очень много внимания, стоит ли ждать отдельного документа/стандарта по этому вопросу?
Бизнес без опасности
Законодательство
Круглый стол «Формальная безопасность vs практическая безопасность: как достичь синергии»
299
Вторым круглым столом на конференции «Кибербезопасность нового времени», проведенной Innostage в рамках казанской DigitalWeek, был «Формальная безопасность vs практическая безопасность: как достичь синергии», который получился не таким, как я его задумывал изначально, готовя вопросы. Поэтому в этой заметке я буду говорить не столько
Бизнес без опасности
Законодательство
2 государевых модели угроз, авторы которых забили болт на требования ФСТЭК
5213
Вчера я наткнулся на модель угроз и нарушителя безопасности информации, обрабатываемой в программно-техническом комплексе дистанционного электронного голосования (ДЭГ). И хотя это всего лишь выписка, она все равно дает пищу для размышлений. В частности, беглый просмотр этого документа вызвал у меня следующие вопросы: Где модель нарушителя?
Бизнес без опасности
Законодательство
Калькулятор оценки технологической зрелости соответствия 239-му приказу
2375
 Несколько лет назад, а именно пять, я писал о том, как можно было бы облегчить жизнь с реализацией приказов ФСТЭК, внедрив неку/ю модель зрелости, которая бы позволила оценивать текущий уровень реализации требований регулятора и выстраивать некую дорожную карту достижения желаемого уровня соответствия. К сожалению, описанная мной тогда идея так
Бизнес без опасности
Законодательство
От техник и тактик угроз к мерам обнаружения и защиты. Как сопоставить первое со вторым?
0294
Читая методику оценки угроз ФСТЭК, собственно как и матрицу MITRE ATT&CK, понимаешь, что делается это все не просто так, а для какой-то цели (вот новость-то). И целью этой является выработка защитных мер, которые позволят нам противодейстовать выбранным нами как актуальными техникам и тактикам нарушителей. Еще во время появления первых документов
Бизнес без опасности
Законодательство
Что не покрывает методика оценки угроз ФСТЭК?
0161
Когда ФСТЭК выпустила новую методику оценку угроз, многие мои коллеги облегченно вздохнули и рьяно взялись за работу по моделированию угроз, считая, что теперь их жизнь наладится и то, чего они ждали столько лет наконец-то свершится. Но не тут-то было. Новая методика оценки позволяет оценивать вполне определенный спектр угроз, оставляя в стороне много из того, что […
Бизнес без опасности
Законодательство
Магия моделирования угроз по ФСТЭК
4240
Известно выражение, что когда готовишь какой-то курс и потом его преподаешь, то и сам начинаешь лучше разбираться в предмете. Так вот по просьбе одного учебного центра я разработал такой курс по новой методике оценки угроз ФСТЭК, в процессе которого я прохожу все этапы моделирования, наступая на все те грабли, которые, по идее, должны были отсутствовать, […
Бизнес без опасности