КИИ
Вчера (28 сентября) я выступал на пленарной дискуссии конференции по промышленной кибербезопасности, устроенной Лабораторией Касперского в Санкт-Петербурге, и по ее результатам мне хотелось бы описать мысль, которую я пытался донести на мероприятии. Идея моего пятиминутного выступления была очень простой — риск-ориентированный подход в промышленной кибербезопасности не работает.
Иногда в разговорах с коллегами я слышу мысль, что вот выпустит Правительство постановление по процедуре категорирования объектов КИИ и можно будет осознанно выйти из под действия закона о БКИИ, прокатегорировав себя так, чтобы не иметь значимых объектов КИИ. Логичное предположение и я допускаю, что многие захотят занизить категорию своих объектов
28 августа Аркадий Дворкович подписал план-график подготовки нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации и федеральных органов исполнительной власти, необходимых для реализации норм Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской
В утвержденных СовБезом в 2012-м году основах госполитики в области безопасности АСУ ТП КВО дается такое определение критической информационной инфраструктуры: «критическая информационная инфраструктура Российской Федерации — совокупность автоматизированных систем управления КВО и обеспечивающих их взаимодействие информационно- телекоммуникационных
Законодательство
В пятницу мы провели вебинар на тему законодательства по безопасности критической инфраструктуры, презентацию по которому я и выкладываю. Я постарался учесть все ключевые моменты принятых трех законопроектов (на момент написания этой заметки Президент их еще не подписал). Скоро будет выложена запись с этого семинара и ссылку на нее я добавлю в конец этой заметки. Текущий […
Обучение
Продолжим тему двухнедельной давности про киберучения… Вчера я модерировал на конференции «ИБ КВО ТЭК» круглый стол по киберучениям и вот, что по результатам этого круглого стола я, тезисно, могу подытожить: РЖД проводило киберучения (в виде «штабных учений»), но на регулярную основу эта тема еще не вышла в этой компании.
Законодательство
Моя презентация с BIS Summit SPb 2017 с обзором положений законопроекта по безопасности критической инфраструктуры и сопутствующих документов ФСТЭК, ФСБ, Минкомсвязи, Минэнерго, а также планов по ним. Было всего 20 минут на выступление, так что пробежался по верхам, хотя в более полной версии каждый упомянутый документ расписан более подробно.
ФСТЭК опубликовала проект приказа, вносящего поправки в свои 21-й и 31-й приказы по защите информационных систем персональных данных и АСУ ТП соответственно. Об этих изменениях говорилось на конференции ФСТЭК и вот теперь они опубликованы в виде проекта, который врядли будет отличаться от своей финальной версии. Итак, что же говорит новая редакция 31-го приказа?
Пора уже завершать рассказ о конференции ФСТЭК, а то затянул я что-то. Правда, есть тому объяснение — я все ждал, что ФСТЭК выпустит обещанное информационное письмо по применению межсетевых экранов, о котором много говорилось на конференции, но, видимо, пошло что-то не так. Поэтому, не дожидаясь письма подведу краткое резюме по тому, что я услышал. Основная […
Если вы ждали сегодня обзора вчерашней конференции ФСТЭК, то вы ошиблись — сегодня будет обзор позавчерашнего Cyber Security Forum, на котором мне довелось выступить в секции про «Эпоху 4.0», а также помодерировать секцию по персональным данным. Вообще это мероприятие у меня всегда вызывает определенный диссонанс. В его названии встречается слово «