оценка соответствия

Позавчера был опубликован принятый ФСТЭК еще в феврале приказ (видимо, на передержке держали) о внесении изменений в 239-й приказ с требованиями по обеспечению безопасности значимых объектов КИИ. Этим приказом регулятор, качество документов которого в последнее время скатилось ниже плинтуса, в очередной раз подтвердил, что думать о потребителях, то

Одним из часто звучащих вопросов от руководства, которое мало что смыслит в ИБ, но хочет держать руку на пульсе, среди прочих, является: «Как мы соотносимся с конкурентами?» За этим, казалось бы простым и сложным одновременно, вопросом скрывается вполне понятные управленческие решения. Мы хуже других —

Наблюдая за тем, что делает ФСТЭК (ФСБ тоже), а точнее как, замечаешь одну вещь. Регулятор воспринимает только два цвета — белое или черное. Вспоминается дискуссия во время принятия последней редакции Постановления Правительства о лицензировании отдельных видов деятельности и перечня требования к лицензиатам на мониторинг ИБ.

Ну раз уж я последние три дня публиковал некоторые рекомендации по возможному улучшению результатов работы ФСТЭК, то закончу эту неделю еще одним набором рекомендаций. Их тоже будет три и я их «подсмотрел» у уже не раз упомянутого на неделе Center of Internet Security (CIS). С CIS Controls и Community Attack Model вроде мы разобрались. Что […

Во вторник ФСТЭК выпустила информационное сообщение о ситуации с Windows 7 и Windows Server 2008 R2, чья поддержка закончилась 14 января 2020 года. Если тезисно, то письмо ФСТЭК содержит следующее: Microsoft прекратила поддержку и выпуск обновлений для Windows 7 и Windows Server 2008 R2. В ФОИВ, ОГВ, ОМС и других используется много сертифицированных копий данных […

Основатель компании Toyota, господин Тойода, постоянно пользовался правилом «пяти почему» или «пять зачем», которое помогало ему добраться до сути многих сложных процессов и разбираться во многих непонятных ситуациях. Давайте попробуем применить его к кибербезопасности. Например, стоите вы перед выбором, купить вам межсетевой экран

В январе я написал заметку о том, что согласно новым подходам ФСТЭК, сертифицировать многие зарубежные средства защиты будет скоро невозможно. В апреле я продолжил тему, когда ФСТЭК выпустила письмо, требующее до 1-го января 2020 года (осталось 4 месяца) обновить все действующие сертификаты и подтвердить соответствие требованиям по доверию. И вот сейчас, спустя 4 месяца после […

Наткнулся тут на новый канал в Телеграме — СекьюриСТ, в котором автор недавно коснулся темы пентестов и описал вкратце, что это такое. Я вообще не очень люблю эте тему, но тут так совпало, что при формировании программы сочинского «Код ИБ. Профи«, по просьбам участников в нее был включен практический доклад Жени Волошина из BI.ZONE, как […

После того, как осенью прошлого года ЦБ получил новые полномочия по установлению требований по безопасности не только в рамках НПС, но и вообще для кредитных и некредитных организаций, финансовой регулятор выпустил сразу несколько новых нормативных актов: 672-П — положение по защите информации в платежной системе Банка России, которое пришло на смену 552-П.