ФСТЭК
Уже по традиции февраль стал месяцем, в котором проходит два мероприятия главных регуляторов по ИБ — ФСТЭК России и Банка России. Первый проводит свою юбилейную, уже десятую конференцию «Актуальные вопросы защиты информации». Думаю, что юбилей вряд ли будет как-то с помпой отмечаться, но контент, который должен будет представить регулятор
Во вторник ФСТЭК выпустила информационное сообщение о ситуации с Windows 7 и Windows Server 2008 R2, чья поддержка закончилась 14 января 2020 года. Если тезисно, то письмо ФСТЭК содержит следующее: Microsoft прекратила поддержку и выпуск обновлений для Windows 7 и Windows Server 2008 R2. В ФОИВ, ОГВ, ОМС и других используется много сертифицированных копий данных […
Этой осенью мне довелось поучаствовать в нескольких региональных мероприятиях по ИБ, на которых я пообщался с представителями госорганов, которые поделились со мной своей болью относительно того, что происходит у них с точки зрения кибербезопасности. А на прошлой неделе на SOC Forum было искрометное выступление представителя Самарского ДИТа, который рассказывал о схожих проблемах.
В январе я написал заметку о том, что согласно новым подходам ФСТЭК, сертифицировать многие зарубежные средства защиты будет скоро невозможно. В апреле я продолжил тему, когда ФСТЭК выпустила письмо, требующее до 1-го января 2020 года (осталось 4 месяца) обновить все действующие сертификаты и подтвердить соответствие требованиям по доверию. И вот сейчас, спустя 4 месяца после […
Законодательство
Вчера я по приглашению выступал в рамках московского GDPR Day, на котором меня коллеги из Б-152 попросили разбавить рассказы юристов о мерах по защите прав субъектов ПДн экскурсом в технические меры по защите ПДн и насколько можно совместить требования 32-й статьи GDPR и 21-го приказа ФСТЭК, разработанного во исполнение ФЗ-152. Получилась вот такая презентация: Техническая […
На фоне обвинений Китая в закладках на уровне материнских плат, которые звучали в начале года, я прошел обучение по теме тестирования аппаратной части современных ИТ-решений на предмет поиска различных уязвимостей — от контрафакта или клонирования до закладок и временных бомб в кремнии. Это было очень познавательный тренинг, который расширил мои
На днях широко известная в широких кругах сенатор (или сенаторша) Мизулина написала обращение в Генпрокуратуру по поводу занятий йогой в московских СИЗО. По мнению Мизулиной позы йоги вызывают «неконтролируемое сексуальное возбуждение, а это в свою очередь может привести к гомосексуализму в изоляторах»! Хорошее начало, да?
Продолжу-ка я тему, начатую позавчера, и разверну вопрос, упомянутый вскользь, — облачная аналитика Threat Intelligence. Я упомянул, что новые сертификационные требования ФСТЭК по требованиям безопасности фактически делают невозможным оперативное получение данных об угрозах из облаков. Причина такого решения ФСТЭК мне понятна —
Вчера на сайте ФСТЭК было опубликовано информационное сообщение об утверждении требований по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий. Данный документ вступает в силу с 1-го июня 2019 года и приходит на смену РД на
На прошедшей 13-го марта «Нашей игре», посвященной сетевой безопасности, среди прочих я задал следующий вопрос: Ответом на него был «Google Dorks», то есть набор приемов, который позволяет с помощью специальных операторов Google находить всякие разные штуки, включая уязвимости, пароли, а также конфиденциальные документы, а также