оценка соответствия
17 февраля, в рамках конференции «Кибербезопасность. Наши дни. Промышленные технологии» прошел телемост «Москва-Урал» с участием Виталия Сергеевича Лютикова, заместителя директора ФСТЭК, который отвечал на вопросы, полученные от отрасли. Я вел этот телемост на стороне Урала и позволил себе составить краткое резюме по прозвучавшим ответам.
На прошедшем на прошлой неделе эфире AM Live, посвященном средствам защиты от несанкционированного доступа, был поднят вопрос о том, зачем нужны средства защиты, которые покупаются преимущественно госорганами для выполнения «бумажных» требований, которые, при этом, не менялись с 1992-го года (да, РД на СВТ не менялся уже почти 30 лет).
Законодательство
В январе выступал на конференции Oracle Security Day с рассказом об актуальных на тот момент требованиях регуляторов к средствам защиты информации. Оказывается видео этого выступления было официально выложено на Youtube: ЗЫ. Понятно, что с января много воды утекло, но многие аспекты остаются пока еще актуальными.
Позавчера был опубликован принятый ФСТЭК еще в феврале приказ (видимо, на передержке держали) о внесении изменений в 239-й приказ с требованиями по обеспечению безопасности значимых объектов КИИ. Этим приказом регулятор, качество документов которого в последнее время скатилось ниже плинтуса, в очередной раз подтвердил, что думать о потребителях, то
Одним из часто звучащих вопросов от руководства, которое мало что смыслит в ИБ, но хочет держать руку на пульсе, среди прочих, является: «Как мы соотносимся с конкурентами?» За этим, казалось бы простым и сложным одновременно, вопросом скрывается вполне понятные управленческие решения. Мы хуже других —
Наблюдая за тем, что делает ФСТЭК (ФСБ тоже), а точнее как, замечаешь одну вещь. Регулятор воспринимает только два цвета — белое или черное. Вспоминается дискуссия во время принятия последней редакции Постановления Правительства о лицензировании отдельных видов деятельности и перечня требования к лицензиатам на мониторинг ИБ.
Ну раз уж я последние три дня публиковал некоторые рекомендации по возможному улучшению результатов работы ФСТЭК, то закончу эту неделю еще одним набором рекомендаций. Их тоже будет три и я их «подсмотрел» у уже не раз упомянутого на неделе Center of Internet Security (CIS). С CIS Controls и Community Attack Model вроде мы разобрались. Что […
Во вторник ФСТЭК выпустила информационное сообщение о ситуации с Windows 7 и Windows Server 2008 R2, чья поддержка закончилась 14 января 2020 года. Если тезисно, то письмо ФСТЭК содержит следующее: Microsoft прекратила поддержку и выпуск обновлений для Windows 7 и Windows Server 2008 R2. В ФОИВ, ОГВ, ОМС и других используется много сертифицированных копий данных […
Основатель компании Toyota, господин Тойода, постоянно пользовался правилом «пяти почему» или «пять зачем», которое помогало ему добраться до сути многих сложных процессов и разбираться во многих непонятных ситуациях. Давайте попробуем применить его к кибербезопасности. Например, стоите вы перед выбором, купить вам межсетевой экран
В январе я написал заметку о том, что согласно новым подходам ФСТЭК, сертифицировать многие зарубежные средства защиты будет скоро невозможно. В апреле я продолжил тему, когда ФСТЭК выпустила письмо, требующее до 1-го января 2020 года (осталось 4 месяца) обновить все действующие сертификаты и подтвердить соответствие требованиям по доверию. И вот сейчас, спустя 4 месяца после […