Главная » Участники » Сергей Борисов
1
СОИБ. Анализ. Уведомление регуляторов о компьютерных инцидентах

по информации блога http://sborisov.blogspot.ru/   На 20-22 сентября выставке InfoSecurity Russia 2016 Дмитрий Николаевич Шевцов из ФСТЭК России рассказал о планируемых изменениях в 149-ФЗ в части информирования ФСТЭК России и ФСБ России о компьютерных инцидентах.       У меня сразу же возникли вопросы: как, кого и о чем необходимо будет информировать. Обязательно или добровольно? К сожалению, во время доклада никаких подробностей по этой теме не прозвучало. Давайте проведем самостоятельный анализ и попробуем определить, как оно может быть.   Текст законопроекта, о котором говорил Дмитрий Шевцов…

(подробнее...)
1
СОИБ. Лучшие практики уровня государств. Директива Евросоюза по повышению безопасности сетей и информационных систем (NIS Directive)

по информации блога http://sborisov.blogspot.ru/     В то время пока у нас в очередной раз откладывается принятие закона по критически важным объектам, в Евросоюзе 6 июля 2016 г. утвержден (в августе вступил в силу) новый нормативный документ, устанавливающий требования по ИБ для операторов ключевых / критически важных / жизненно важных услуг (operators of essential services) и провайдеров цифровых услуг (digital service providers).     Да! Да! Требования касаются не Госов и не операторов ПДн. И не надо больше говорить, что у нас в РФ самый страшный комплаенс по ИБ.    Сам документ очень хорош…

(подробнее...)
СОИБ. Лучшие практики уровня государств. Директива Евросоюза по повышению безопасности сетей и информационных систем (NIS Directive)

В то время пока у нас в очередной раз откладывается принятие закона по критически важным объектам, в Евросоюзе 6 июля 2016 г. утвержден (в августе вступил в силу) новый нормативный...

(подробнее...)
СОИБ. Анализ. Новости и маркетинг о DDoS атаках

За последний месяц вышло очень много новостей по теме DDoS. Даже если не брать во внимание Кребса и атаки западных ресурсов, можно увидеть, что за последний месяц-два произошло очень...

(подробнее...)
СОИБ. Анализ. Уведомление регуляторов о компьютерных инцидентах

На 20-22 сентября выставке InfoSecurity Russia 2016 Дмитрий Николаевич Шевцов из ФСТЭК России рассказал о планируемых изменениях в 149-ФЗ в части информирования ФСТЭК России и ФСБ России...

(подробнее...)
Обучение. Профессиональные стандарты по ИБ. Часть 2

Продолжение предыдущей статьи. Итак, мы ожидаем в этом году принятие 6 проф. стандартов по ИБ. Что в них есть? Что с ними делать? В стандартах есть общая функциональная карта...

(подробнее...)
Обучение. Профессиональные стандарты по ИБ. Часть 1

Наверное, все вы сталкивались с тем, что ответственными за защиту информации назначались лица, не имеющие необходимых знаний, умений или опыта подобной работы (ИТ специалисты, кадровики...

(подробнее...)
СОИБ. Анализ. Защита пользователей систем банк-клиент

Почти на каждом мероприятии по ИБ говорят о проблемах с защитой систем банк-клиент и о регулярных инцидентах с хищениями средств, а воз и ныне там – у большинства организаций с которыми...

(подробнее...)
СОИБ. Анализ. Разработка безопасного ПО

В сегодняшней заметке хотелось бы поговорить про свежий ГОСТ Р 56939-2016 ЗАЩИТА ИНФОРМАЦИИ. РАЗРАБОТКА БЕЗОПАСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ. ОБЩИЕ ТРЕБОВАНИЯ. Разработан ЗАО НПО Эшелон...

(подробнее...)
Общее. Недавние нестандартные онлайн мероприятия по ИБ

Так как являюсь регулярным участником онлайн мероприятий по ИБ, кровно заинтересован в их улучшении и развитии. Обсудим два недавних – Код ИБ онлайн и КибербаталииКод ИБ онлайн:· лично...

(подробнее...)
СОИБ. Анализ. Хорошие времена для исследователей безопасности российских СЗИ. Часть 2

Вводную часть вынес в отдельную статью чтобы не загружать читателей прописными истинами. Часть 2. К сути Так получилось, что каждая неожиданно опубликованная уязвимость в сертифицированном...

(подробнее...)
СОИБ. Анализ. Хорошие времена для исследователей безопасности российских СЗИ. Часть 1

Часть 1. Вводная (вынес сюда прописные истины, всем известные)До недавнего времени добропорядочные исследователи безопасности (white hat) фактически не занимались исследованиями безопасности...

(подробнее...)
СОИБ. Анализ. Сертифицированные средства криптозащиты / кодирования не сертифицированные

Вчерашнее Извещение ФСБ России«об использовании несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно- телекоммуникационной сети «Интернет» понаделало...

(подробнее...)
Общее. Результаты ИБ конкурса

Когда задумывал конкурс розыгрыша билетов на Код ИБ Онлайн идея была следующая: беру в основном вопросы из истории ИБ, тогда опытные, но более ленивые ИБ специалисты могут на них легко...

(подробнее...)
Общее. Как получить качественный ИБ контент - Код ИБ онлайн (конкурс)

После череды ИБ мероприятий регулярно поднимается обсуждение о том, как же слушателям получить качественный контент? В случае, когда ИБ мероприятие организуется одной компанией – все...

(подробнее...)
СОИБ. Анализ. (UPDATE) Пакет изменений в законодательство от Яровой “антитеррористический” и ИБ

Возможно многие уже слышали о ФЗ Яровой вносящем изменения вФедеральный закон «О противодействии терроризму» и отдельные законодательные актыРоссийской Федерации в части установления...

(подробнее...)
СОИБ. Анализ. Безопасность NFC

NFC технологии последнее время активно продвигаются в массы. Ещё бы, ведь это удобно - использовать какую-нибудь одну маленькую штучку типа браслета, карты или даже телефона как универсальное...

(подробнее...)
СОИБ. Анализ. Учить!

В предыдущей статье я отметил что в ряде свежих нормативных документов не уделяется внимания квалификации, повышению осведомленности и обучению ответственных лиц.   Давайте порассуждаем логически – может ли сотрудник, ранее не сталкивавшийся с ПДн, ГИС и СЗИ и не обладающий никаким знаниями в этой теме обеспечивать работоспособность и эффективность системы защиты? Даже если все меры и система защиты создана под ключ консультантом / интегратором? Если ответственные лица не будут знать и уметь, то меры защиты перестанут или даже не начнут работать, документы уйдут в шкаф, а СЗИ мешающие работе будут…

(подробнее...)
СОИБ. Анализ. Учить или не учить?

по информации блога http://sborisov.blogspot.ru/       Посмотрим на недавние (недавно обновленные) нормативные документы РФ в области ИБ, такие как 152-ФЗ, 149-ФЗ, Постановление правительства №1119, Приказ ФСТЭК №21 о мерах защиты ПДн, Методические рекомендации ФСТЭК по защите ГИС, Приказ ФСБ №378 о мерах защиты ПДн  - там фактически ничего нет про квалификацию (знания и умения) лиц, ответственных за организацию обработки информации ограниченного доступа (ПДн) или за защиту информации, про проверку и повышение квалификации этих лиц, про необходимость повышения осведомленности и обучения в области…

(подробнее...)
Общее. Розыгрыш билетов на BIS Summit 2015

18 сентября 2015 года будет проходить конференция BIS Summit 2015, интересная участием в ней большого количество иностранных спикеров, местных экспертов, и наличием онлайн-трансляции, что большая редкость для российских мероприятий.   По информации блога http://sborisov.blogspot.ru/   В предыдущие годы я как раз смотрел онлайн-трансляцию с мероприятия, так как не удавалось выбраться из Краснодара. В этот раз буду на конференции очно, посмотрю на высокий уровень проведения мероприятия, о котором отзываются многие коллеги.   Организаторы BIS Summit 2015 попросили разыграть несколько билетов на просмотр…

(подробнее...)
СОИБ. Анализ. Платформы для Bug Bounty

Каждая приличная западная ИТ-компания или вендор (Google, Microsoft, Twitter, Tesla, Github, Blogger, Drupal, eBay, Facebook, Instagram и многие другие) обязательно проводит программы выплаты вознаграждений за найденные уязвимости – Bug Bounty, в дополнение к внутреннему и внешнему аудиту ИБ. Это позволяет максимально уменьшить риски для их клиентов.       Последнее время программы Bug Bounty запускают также многие российские компании такие, как  Вконтакте, Yandex, Mail.ru, QIWI, Telegram, Anistar.ru, Ok.ru, Крайинвестбанк, Рокетбанк и т.п.   Когда принимается решение о запуске программы выплаты…

(подробнее...)
1
СОИБ. Анализ. Серьезные недостатки защищенного соединения с web приложениями

Есть сложно выявляемые уязвимости и недостатки безопасности web приложений, которые приходится искать в рамках дорогостоящих аудитов или пентестов.  А есть такие, в которые вляпываешься зайдя один раз обычным браузером на сайт. Ко второму случаю относится неправильный SSL / TLS-сертификат для обеспечения для обеспечения защищенного взаимодействия между сервером и клиентом по протоколу HTTPS или неправильная конфигурация группы протоколов SSL / TLS на сервере.   Хотелось бы показать, что проблема актуальна, но не светить при этом конкретных заказчиков, поэтому я сделал отдельный экспресс анализ…

(подробнее...)
СЗПДн. Вопросы и ответы. Вопросы применения СКЗИ для защиты ПДн

По информации блога http://sborisov.blogspot.ru/ В конце прошлого года у меня подобралось несколько вопросов в рамках защиты ПДн, по которым не было однозначного ответа. При этом ряд знакомых экспертов (Артем Агеев, Николай Домуховский и д.р.) советовали не заниматься публичными рассуждениями, а писать письма регуляторам.   Письма были написаны, давайте посмотрим что получилось с вопросами к ФСБ России:   Вопрос 1. На основании чего (какого мероприятия, документа) Оператор персональных данных должен определять необходимость использования СКЗИ или отсутствие необходимости использования СКЗИ для…

(подробнее...)
СЗПДн. Вопросы и ответы. Выбор мер обеспечения безопасности ПДн и проблема СЗИ

По информации блога http://sborisov.blogspot.ru/ В конце прошлого года у меня подобралось несколько вопросов в рамках защиты ПДн, по которым не было однозначного ответа. При этом ряд знакомых экспертов (Артем Агеев, Николай Домуховский и д.р.) советовали не заниматься публичными рассуждениями, а писать письма регуляторам.   Письма были написаны, давайте посмотрим что получилось с вопросами к ФСТЭК России:   Вопрос 1. Возможно ли при выборе мер обеспечения безопасности ПДн в ИСПДн исключать меры защиты из базового набора, на том основании, что связанные с данной мерой угрозы безопасности ПДн –…

(подробнее...)
СОИБ. Внедрение. Настройка web application firewall, часть 2

По информации блога http://sborisov.blogspot.ru/   Продолжаем предыдущую статью и настраиваем некий обобщенный WAF: ·        настраиваем политики безопасности: o   для определенных ранее объектов защиты назначаем политику сетевой безопасности (открыты порты только связанные с web приложением, из подсети управления разрешен так-же трафик для сервисов управления) o   для каждого web сервиса настраиваем политики защиты web сервиса (могут быть разрешены нестандартные HTTP запросы, такие как HEAD,  могут быть разрешены SQL команды и т.п.), включаем группы сигнатур и  выбираем реакцию на основные типы…

(подробнее...)
СОИБ. Внедрение. Настройка Web Application Firewall, часть 1

По информации блога http://sborisov.blogspot.ru/   Некоторые тестеры-разоблачители WAF, считают что достаточно поставить коробочку / подключить сервис и всё - можно проводить свои изощренные эксперименты, выдавать разоблачительные статьи и разрабатывать на коленке собственные спасительные утилиты.   Моё мнение - WAF отлично справляется со своей задачей и нужно просто правильно его "готовить".   Посмотрим какие настройки должны выполняться на WAF в реальных проектах (не считая инициализации, базовых и сетевых настроек, подключения онлайн-сервисов)  и разберем подробно для чего эти настройки нужны:…

(подробнее...)
СОИБ. Анализ. Пентест н-надо?

По информации блога http://sborisov.blogspot.ru/ В последние 3 месяца мы наблюдаем растянутую во времени публичную дискуссию про пентесты. Вот эта история:   1. Очередной виток начал известный блогер, рассказав как одна компания-пентестер обманула ввела в заблуждение заказчика, а именно: был проведен пентест, который показал, что система защищена, а через неделю после окончания работ в системе была обнаружена критическая уязвимость, посредством которой она была вероятно взломана.   В результате были подняты вопросы: ·        А нужен ли пентест вообще на таких условиях? Он не гарантирует что отсутствуют…

(подробнее...)
СЗПДн. Анализ. Выбор мер защиты

По информации блога http://sborisov.blogspot.ru/ Последний год в комментариях про последние документы ФСТЭК: приказы №17, 21, 31 регулярно встречаю фразы про невиданный ранее прорыв в требованиях регуляторв, про полную свободу выбора мер защиты Заказчиком. У Алексея Лукацкого так про это каждая заметка с тегом: ФСТЭК.   Соглашусь с тем что есть прорыв – появился типовой каталог мер, сами меры сформулированы достаточно гибко, что позволяет при их реализации использовать почти всё что угодно. Но есть в документах ФСТЭК и моменты определенные достаточно жестко и не подразумевающие двойного толкования.…

(подробнее...)
СОИБ. Анализ. Аттестация и проверка СЗИ

По информации блога http://sborisov.blogspot.ru/   Сразу хочу отметить, что не являюсь сторонником аттестации ИС, не относящихся к гостайне, ведь те же самые работы можно выполнить под флагом аудита или оценки соответствия, с лучшим КПД. Но иногда Заказчики просят аттестацию, так что случается участвовать. Ликбез из ГОСТ РО 0043-003-2012 Давайте посмотрим что может привести владельца ИС, не относящейся к гостайне, на эту темную сторону. Аттестация по требованиям ИБ обязательна для обеспечения ИБ в (возможно приведены не все варианты, дополняйте): ·        ГИС Приказ ФСТЭК №17: “13. Для обеспечения…

(подробнее...)
СЗПДн. Анализ. Определение нарушителя для СКЗИ

В связи с выходом приказа ФСБ России по защите ПДн, а так-же в связи со сложностями реализации СКЗИ высоких классов криптографической защиты есть несколько мыслей…   Посмотрим какой порядок действий требуется в части СКЗИ: Приказ ФСБ Р №378: “5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N11191 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных…

(подробнее...)
31–60 из 147
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии

Работал в области ТЭК, нескольких банках, последние 5 лет в системной интеграции по ИБ. В данный момент работаю в интеграторе "РосИнтеграция". Занимаюсь комплексными проектами СОИБ, СЗПДн, экспертизой в проблемных случаях, развитием и продвижением новых продуктов - docshell, bughunt и других

Все, что написано в этом блоге, отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения (если это не выделено особо).