АСУ ТП
Законодательство
5-6 июня на IT & Security Forum в Казани выступал с 4-мя презентациями, в одной из которых сопоставлял приказы ФСТЭК по защите информации в ключевых системах информационной инфраструктуры (КСИИ) 2007-го года и по защите информации в автоматизированных системах управления технологическими процессами (АСУ ТП) 2014-го года.
Обучение
На прошлой неделе я в Академии информационных систем прочитал новый курс по стратегии информационной безопасности критически важных объектов. Я хотя был не в роли слушателя, но все равно хочу поделиться впечатлениями 🙂 Новых тем в области ИБ сейчас очень много. Актуальных тоже немало. Интересных поменьше. А вот востребованных аудиторией и имеющих
Разное
Через неделю с небольшим в Казани начнет работу восьмой IT & Security Forum, организуемый ICL КПО ВС. Я про него уже писал неоднократно — отличное мероприятие с отличной организацией, с отличной культурной программой, с интересной программой. Правда, программа пока не опубликована, — находится в стадии формирования. Вообще это бич многих мероприятий по ИБ —
На днях на семинаре у атомщиков выступал с рассказом про информационную безопасность ядерных объектов в прицеле новой нормативки ФСТЭК по защите АСУ ТП. Очевидно, что высокоуровневый приказ регулятора применим к практически любой АСУ ТП любой отрасли, включая и атомную энергетику. Но такая универсальность несет с собой и ряд отрицательных моментов
А вот и вторая заметка про оценку соответствия, но уже более приземленная, чем вчерашние рассуждения. Т.к. у нас продолжает активно меняться нормативная база ФСТЭК для разных видов защищаемой информации/информационных систем, то регулярно всплывает вопрос о необходимости применения сертифицированных средств защиты информации.
Технологии
С пару недель назад имел беседу с коллегой, который пытался доказать, что в технологических сетях имеют право на жизнь только однонаправленные межсетевые экраны, т.к. они обеспечивают идеальную защиту индустриальных сегментов от направленных или случайных воздействий. А вчера услышал про идею стартапа о создании «
Разное
После публикации сегодня заметки о статистике реальных инцидентов ИБ в индустриальных системах Ригель меня покритиковал, ссылаясь на то, что в случае с критичными инфраструктурами данный риск-ориентированный подход не применим и в любом случае надо исходить из того, что даже при минимальной вероятности угрозы ущерб от ее реализации может быть настолько
Когда речь заходит о выборе защитных мер, то существует два основных подхода. Первый — выбирается базовый минимальный набор, который должен быть реализован в любом случае, невзирая на наличие или отсутствие угрозы (считается, что базовый набор рассчитан на наиболее распространенные угрозы). Второй — меры выбираются на основе соответствующего моделирования.
Законодательство
Вчера вечером наткнулся на целый ряд новых (либо для меня, либо реально таковых) нормативных документов или разъяснений по информационной безопасности. Не буду их особо комментировать — просто выдам списком: Проект Постановления Правительства Российской Федерации «О международно-правовой защите присвоения (назначения) радиочастот или радиочастотных
Технологии
Выступал вчера на форуме «Безопасность КВО ТЭК«. Как мне потом рассказали коллеги, я был нестандартен, т.к. рассказывал не о нормативке 🙂 Интересное восприятие меня, неожиданное, так скажем 🙂 В презентации, которая выложена ниже, я делал краткий обзор мирового рынка ИБ для индустриальных решений. За основу презентации были взяты три