Законодательство
Актуальные требования регуляторов к средствам защиты (видео)
156
В январе выступал на конференции Oracle Security Day с рассказом об актуальных на тот момент требованиях регуляторов к средствам защиты информации. Оказывается видео этого выступления было официально выложено на Youtube: ЗЫ. Понятно, что с января много воды утекло, но многие аспекты остаются пока еще актуальными.
Бизнес без опасности
Законодательство
Про обязательную сертификацию для всех без исключения значимых объектов КИИ
885
Позавчера был опубликован принятый ФСТЭК еще в феврале приказ (видимо, на передержке держали) о внесении изменений в 239-й приказ с требованиями по обеспечению безопасности значимых объектов КИИ. Этим приказом регулятор, качество документов которого в последнее время скатилось ниже плинтуса, в очередной раз подтвердил, что думать о потребителях, то
Бизнес без опасности
Законодательство
Как ДИБ и ФинЦЕРТ могли бы улучшить кибербезопасность финансовых организаций?
074
Одним из часто звучащих вопросов от руководства, которое мало что смыслит в ИБ, но хочет держать руку на пульсе, среди прочих, является: «Как мы соотносимся с конкурентами?» За этим, казалось бы простым и сложным одновременно, вопросом скрывается вполне понятные управленческие решения. Мы хуже других —
Бизнес без опасности
Законодательство
Дифференциация требований по ИБ на примере новой системы сертификации МинОбороны
018
Наблюдая за тем, что делает ФСТЭК (ФСБ тоже), а точнее как, замечаешь одну вещь. Регулятор воспринимает только два цвета — белое или черное. Вспоминается дискуссия во время принятия последней редакции Постановления Правительства о лицензировании отдельных видов деятельности и перечня требования к лицензиатам на мониторинг ИБ.
Бизнес без опасности
Законодательство
Что еще могла бы сделать ФСТЭК по аналогии с CIS
1138
Ну раз уж я последние три дня публиковал некоторые рекомендации по возможному улучшению результатов работы ФСТЭК, то закончу эту неделю еще одним набором рекомендаций. Их тоже будет три и я их «подсмотрел» у уже не раз упомянутого на неделе Center of Internet Security (CIS). С CIS Controls и Community Attack Model вроде мы разобрались. Что […
Бизнес без опасности
Законодательство
Долгожданное письмо ФСТЭК про Windows 7
2558
Во вторник ФСТЭК выпустила информационное сообщение о ситуации с Windows 7 и Windows Server 2008 R2, чья поддержка закончилась 14 января 2020 года. Если тезисно, то письмо ФСТЭК содержит следующее: Microsoft прекратила поддержку и выпуск обновлений для Windows 7 и Windows Server 2008 R2. В ФОИВ, ОГВ, ОМС и других используется много сертифицированных копий данных […
Бизнес без опасности
Стратегия
Метод «пяти почему» в ИБ
22334
Основатель компании Toyota, господин Тойода, постоянно пользовался правилом «пяти почему» или «пять зачем», которое помогало ему добраться до сути многих сложных процессов и разбираться во многих непонятных ситуациях. Давайте попробуем применить его к кибербезопасности. Например, стоите вы перед выбором, купить вам межсетевой экран
Бизнес без опасности
Законодательство
О сертификации NGFW — текущий статус
0143
В январе я написал заметку о том, что согласно новым подходам ФСТЭК, сертифицировать многие зарубежные средства защиты будет скоро невозможно. В апреле я продолжил тему, когда ФСТЭК выпустила письмо, требующее до 1-го января 2020 года (осталось 4 месяца) обновить все действующие сертификаты и подтвердить соответствие требованиям по доверию. И вот сейчас, спустя 4 месяца после […
Бизнес без опасности
Тенденции
Тенденции рынка пентестов — от полной автоматизации до краудсорсинга
074
Наткнулся тут на новый канал в Телеграме — СекьюриСТ, в котором автор недавно коснулся темы пентестов и описал вкратце, что это такое. Я вообще не очень люблю эте тему, но тут так совпало, что при формировании программы сочинского «Код ИБ. Профи«, по просьбам участников в нее был включен практический доклад Жени Волошина из BI.ZONE, как […
Бизнес без опасности
Законодательство
Новые положения Банка России: новые требования и новые вопросы
1313
После того, как осенью прошлого года ЦБ получил новые полномочия по установлению требований по безопасности не только в рамках НПС, но и вообще для кредитных и некредитных организаций, финансовой регулятор выпустил сразу несколько новых нормативных актов: 672-П — положение по защите информации в платежной системе Банка России, которое пришло на смену 552-П.
Бизнес без опасности