стандарты
Законодательство
Продолжая вчерашнюю тему, хочу поделиться новостями по разработке ГОСТов в области защиты информации и информационной безопасности, которая ведется в рамках ТК 362. В 2014-м году планируется принятие следующих стандартов: Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем Защита информации.
Законодательство
Каждый из фактов пока не тянет на отдельную заметку, поэтому решил объединить их вместе. За последние пару недель на свет появилось сразу несколько документов, которые на ближайшие пару лет установят требования в области своей применимости. С 1-го января 2014-го года в силу вступил новый руководящий документ ФСТЭК с требованиями к средствам доверенной загрузки.
SecOps
Ну продолжим 🙂 Сразу скажу, что создание собственной системы ИБ-аналитики (хотя бы с точки зрения каркаса для последующего его наполнения данными) — задача нетривиальная. В качестве примера сошлюсь на наш собственный опыт, которым мы поделились в нашем корпоративном блоге: Часть 5. Антифишинг из облака Часть 4.
Психология
Продолжаю раскрывать впечатления от Инфоберега. На пленарном заседании выступал советник министра связи и массовых коммуникаций Дмитрий Сатин. Очень интересное выступление. Интересное по следующим причинам. Во-первых, он говорил живо, не по бумажке. Да и одет был неформально, что располагало к себе. Во-вторых, Сатин сразу заявил, что он гуманитарий
Законодательство
Сегодня я хотел рассказать о новом ГОСТе по безопасности облаков, который был подготовлен в ТК362 и сейчас находится на обсуждении членами технического комитета. Но стандарт оказался не так прост, как мне казалось сначала и я взял тайм-аут на его дополнительное изучение. Поэтому я поступлю просто и опубликую список тех нормативных документов, которые
Идеология защиты государственных информационных систем строится достаточно очевидным, но не очень простым в реализации образом. Начинаем мы с анализа рисков, причем рисков различных — не только традиционных для ИБ. Мы должны определить как стратегические, так и тактические. Это нечасто описываемый в деталях этап, но он самый важный, т.
Законодательство
Взял на себя смелость опубликовать эту новость, т.к. она достаточно важен на мой взгляд. Помните картинку из заметку про будущее НПС? В ней блок платежных карт был выделен в отдельное направление регулирование. Очевидно, что отдельной ветвью регулирования должна была стать и информационная безопасность денежных переводов с помощью платежных карт. У ЦБ же кроме писем 120-Т […
Технологии
В 2009-м году, в книге «Мифы и заблуждения информационной безопасности» я развенчивал миф №31 «Принтеры не надо защищать«. В 2011-м году я вновь вернулся к этом вопросу, рассмотрев его под прицелом аутентификации на принтерах. И вот снова… На этот раз хочется обратиться к теме безопасности принтеров под соусом оценки их соответствия требованиям безопасности.
Разное
На прошлой неделе я выступал на Инфобезопасности в трех секциях — по безопасности АСУ ТП, организованной Элвис+, по облакам и блоггер-панели, организованной Михаилом Емельянниковым. По облакам я никаких презентация не готовил, поэтому и выкладывать мне нечего. А вот по безопасности АСУ ТП и по панели презентации выкладываю. На круглом столе по АСУ ТП я делал […
Законодательство
6 сентября я писал про новые ГОСТы, которые должны появится в России в следующем годы. Но работа уже ведется и она не такая закрытая, как иногда кажется. В частности, Ассоциация RISSPA, представляющая Cloud Security Alliance в России, достигла договоренности с представителями ФСТЭК России о проведении публичного обсуждения терминологии облачных вычислений