Главная » Участники » Сергей Борисов
СЗПДн. Анализ. Обработка фотографий и биометрия

По материалам блога http://sborisov.blogspot.ru/   14 декабря были опубликованы разъясненияРоскомнадзора по вопросам обработки персональных данных работников и соискателей, подготовленные совместно с экспертами: А.В. Лукацким, Емельянниковым М.Ю., Волковым А.Н., Токаренко А.В.   Появление такого документа радует, потому что подобные вопросы возникают у всех операторов ПДн и теперь могут быть решены гораздо быстрее.     Пока ожидаются разъяснения по другим темам, привожу информацию по вопросу обработки фотографий и классификации её как биометрии, которая может быть кому-то полезна. Данная тема боян поднималась…

(подробнее...)
СЗПДн. Анализ. Предложения по совершенствованию состава и содержания организационных и технических мер по ОБ ПДн от ФСТЭК

По информации блога http://sborisov.blogspot.ru/   В соответствии с информационным сообщением ФСТЭК России “о проекте приказа ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»” от 07 декабря 2012 г. № 240/22/4947 провел экспертизу проекта приказа ФСТЭК России “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных”.                                     В соответствии с предыдущим комплектом…

(подробнее...)
СОИБ. Проектирование. Усиленная аутентификация на уровне сети (UPD)

По информации блога http://sborisov.blogspot.ru/ В своем блоге я уже делал несколько заметок по теме усиленной аутентификации (например, эта), и теме защищенного доступа к сети. Сегодня ещё одна заметка в продолжение.   Большинство организаций уже осознает проблемы с классическими паролями – с их большим количеством, запоминанием, подбором, потерей и т.п. и пытаются разработать дополнительное решение.   Но на пути внедрения усиленной аутентификации могут встать технические ограничения: ·        большинство бизнес-приложений организации может не поддерживать усиленную аутентификацию (об этом я…

(подробнее...)
СОИБ. Проектирование. Недостающий элемент С-терра

По материалам блога http://sborisov.blogspot.ru/   В продолжение предыдущей заметки про решения С-терра СиЭсПи в этот раз хочу написать про приятную новость от коллег по Микротест у.   В рамках одного из проектов проектировалось решение для крупного заказчика. Требовалось создать систему защищенного взаимодействия между большим количеством крупных удаленных офисов Заказчика.  Требования по пропускной способности составляли порядка 20-30 Мбит, требования к форм-фактору – desktop, потому что не во всех офисах были стойки, криптография в соответствии с законодательством – по ГОСТ.   Так как у Заказчика…

(подробнее...)
СЗПДн. Проектирование. Как централизованно управлять криптошлюзами С-терра?

По материалам http://sborisov.blogspot.ru/   Есть два замечательных производителя СЗИ: Cisco Systems предлагает комплекс решений для создания защищенной сети без границ, но не имеет Российской криптографии; С-терра СиЭсПи – предлагает широкую линейки средств построения VPN включающих Российскую криптографию, но не производит других средств защиты. В маркетинговых материалах этих двух производителей говорится о тесной  интеграции  друг с другом.     Так получилось, что в одном проекте по защите ПДе планировалось использование и интеграция решений этих двух производителей.   Один из вопросов, который…

(подробнее...)
CЗПДн. Анализ. ИСПДн c общедоступными и обезличенными ПДн

По материалам блога http://sborisov.blogspot.ru/   Подписано ПП №1119, о проекте которого я уже писал в предыдущей заметке.  К замечаниям, которые я  приводил в данной заметке, добавляется следующее.   В данный момент в большей части информационных систем или технологических процессов обрабатываются общедоступные персональные данные или малоценные обезличенные персональные данные.   Примерами таких систем или технологических процессов являются: ·        Корпоративные справочники сотрудников ·        Перечни учетных записей пользователей в любом приложении (например, имя, должность, логин, контактный…

(подробнее...)
1
Общее. С чего начать CISO?

По материалам блога http://sborisov.blogspot.ru/   Недавно с коллегами обсуждали интересный вопрос – с чего начать CISO недавно пришедшему в компанию, если до него полноценно ИБ не занимались, доверия от руководства ещё нет, бюджеты, выделяемые раньше на ИБ были минимальными, хочется в кратчайшие сроки укрепить лично свои позиции перед руководством, а службу ИБ вывести в состав важнейших, хотя бы на уровне службы ИТ?   Тут я вижу 3 варианта действий: бизнес подход, жесткий контроль, лучший специалист.   Вариант ИБ “бизнес подход”: ·         Собрать комитет по ИБ ·         Определить требования…

(подробнее...)
СОИБ. Анализ. Предложения по совершенствованию Требований ФСТЭК России

  По материалам блога http://sborisov.blogspot.com/   В соответствии с информационным сообщением ФСТЭК России “о проекте Требований о защите информа-ции, не составляющей государственную тайну, содержащейся в государственных информационных системах” от 12 октября 2012 г. № 240/22/4140 провел экспертизу проекта приказа ФСТЭК России “Об утверждении Требований о защите ин-формации, не составляющей государственную тайну, содержащейся в государственных информационных системах”.   Из основного могу отметить: В документ отсутствует раздел с терминами и определениями. Есть ссылки на ряд внешних документов,…

(подробнее...)
2
СОИБ. Анализ. Вызовы для ИБ

По материалам блога http://sborisov.blogspot.com/ В ряде случаев возникает необходимость привести примеры инцидентов ИБ и других сложных ситуаций, которые возникают у ответственных за ИБ в случае отсутствия комплексной системы обеспечения информационной безопасности. Привожу ниже те случаи и инциденты, которые связаны с наиболее ценной защищаемой информацией (остальные остались за границами данной заметки): 1.      Администратор бизнес приложения или БД, используя локальный доступ к консоли сервера, сделал копию большого объема данных и записал её на свой АРМ или съемный носитель; 2.      Пользователь…

(подробнее...)
Общее. Материалы с мероприятий по ИБ за сентябрь-октябрь

В этот раз не смог посетить очно ряд мероприятий по ИБ, так что смотрел онлайн или пересматривал в записи. Возможно вам тоже пригодится подборка..   ХI конференция "Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ-2012": ·        программа конференции ·        презентации докладчиков   Конференция DLP-RUSSIA 2012: ·        программа и материалы конференции ·        видеозаписи докладов   Выставка InfoSecurity Russia 2012: ·      программа конференции ·      материалы конференции доступны после регистрации,  входа с аутентификацией, добавлении нужных докладов себе в отчет и просмотра…

(подробнее...)
СОИБ. Анализ. Регистрация событий доступа.

По материалам блога http://sborisov.blogspot.com/ После реализации ряда проектов связанных и использованием специализированных средств защиты приложений и БД стал задумываться - как без них удается реализовать требования по регистрации и аудиту доступа к защищаемым данным?   О необходимости такой таких мероприятий для эффективного обеспечения ИБ я писал в одной из предыдущих заметок.   Но кроме этого есть ещё требования законодательства: ·         149-ФЗ, Статья 16: “4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны…

(подробнее...)
СЗПДн. Проектирование. Сертифицированные ОС

По информации из блога http://sborisov.blogspot.com/ В сегодняшней заметке хотелось бы уделить внимание сертифицированным в системе ФСТЭК России операционным системам, использующимся в качестве средств защиты информации, на примере ОС семейства Microsoft Windows.   В большинстве случаев сертификация ОС в системе сертификации ФСТЭК России применяется не для уменьшения рисков ИБ, поэтому проводить экспресс анализ рисков, как в предыдущих заметках, смысла нет.   А вот для уменьшения регуляторных рисков, то есть для выполнения требований законодательства, данная мера применяется очень часто (разрабатываемые…

(подробнее...)
СЗПДн. Анализ. Проекты новых ПП РФ по защите ПДн 3

  В продолжение предыдущей заметки http://sborisov.blogspot.com/2012/09/2.html    Основные мысли по документу Требования: ·        СЗИ необходимо выбирать в соответствии с актами ФСТЭК России и ФСБ России (будущими, так как в текущих нет упоминания уровней защищенности) ·        Кроме того в зависимости от уровня защищенности необходимо выполнять следующие общие требования, в соответствии с таблицей ниже     ·        Контроль выполнения требований организуется и проводится Операторами самостоятельно или с привлечением лицензиатов (но не регуляторов).     Основные замечания по документу Требования:…

(подробнее...)
СЗПДн. Анализ. Проекты новых ПП РФ по защите ПДн 2

  По материалам блога http://sborisov.blogspot.com/ Первая версия постановления правительства по защите ПДн, подготовленные ФСБ России и рассмотренная в одной из моих предыдущих заметок не прошла согласования в правительстве. Вторая попытка ФСБ России подготовить постановления правительства по защите ПДн: ·         Проект ПП РФ «Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных» (далее, Уровни) ·         Проект ПП РФ «О требованиях к защите персональных данных при их обработке…

(подробнее...)
1
СОИБ. Проектирование. Защита баз данных

По материалам блога http://sborisov.blogspot.com/   В сегодняшней заметке хотелось бы уделить внимание комплексным решениям по защите баз данных.   Для каких организация и систем наиболее актуальны решения по защите БД: ·        для организаций в которых наиболее ценная информация хранится в БД (в других видах хранится менее ценная информация); ·        для организаций которых ценная информация хранится в БД разных производителей, имеющих разные встроенные возможности безопасности.   Примерами таких организаций являются: ·        кредитные организации; ·        платежные агенты или системы; ·        транспортные…

(подробнее...)
Общее. Ассоциация DLP-эксперт

по материалам блога http://sborisov.blogspot.com/       В рунете достаточно много информационных площадок в тему ИБ. В последний месяц мне нравится активность на площадке ассоциации DLP-эксперт.   По сравнению с информационными порталами других ИБ ассоциаций (АРСИБ, ABISS, RISSPA) на портале DLP-expert куда как интереснее: ·        Блоги. Там не только трансляции блогов экспертов с других площадок, но так-же “эксклюзивные” заметки специально для DLP-эксперт (например эта)   ·       …

(подробнее...)
2 2
СОИБ. Анализ. Инвентаризация активов

По материалам блога http://sborisov.blogspot.com/ С одной стороны инвентаризация информационных активов не совсем прерогатива ИБ. Скорее это часть управления информационными активами которое является частью управления ИТ. С другой стороны достаточно много мероприятий ИБ зависят от инвентаризации активов и очень часть приходится делать ещё в рамках проектов по ИБ. Часть таких работ я уже описывал в одной изпредыдущих заметок. Действительно, нам нужно четко понимать что мы защищаем, как изменяется объект защиты, когда меняется объект защиты.   Кроме того, есть несколько двигателей в виде законов,…

(подробнее...)
1
Общее. Обзор утилит с Def Con 20

По материалам блога  http://sborisov.blogspot.com/  Пару недель назад прошло крупнейшая мировая конференция по ИБ Def Con 20, на которой собрались лучшие спецы – как в белых, так и в черных шляпах.   В рамках конференции, хакерскими группами было продемонстрировано ряд новых утилит. На сайте конференции они не опубликованы, но в недрах интернета их можно найти. Посмотрим на самые интересные из них,  так как скоро придется защищаться от угроз связанных с большим количеством подобных атак. Subterfuge 4.0 от команды kinozoa. Предназначено для тестирования защищенности от атак типа “человек посередине”…

(подробнее...)
1
СОИБ. Проектирование. Усиленная аутентификация

По материалам блога http://sborisov.blogspot.com/2012/08/blog-post_8.html   В продолжение одной из предыдущих заметок об усиленной аутентификации.     Допустим, что вы уже осознали всю опасность использования классических паролей, например, прочитав эту заметку, решили внедрять усиленную аутентификацию по сертификатам или однократным паролям, в качестве дополнительного устройства аутентификации выбрали например, eToken или телефон, в качестве системы управления усиленной аутентификацией выбрали например, SafeNet Authentication Manager, SAM (бывший TMS). Достаточно ли этого, чтобы отказаться от…

(подробнее...)
2 1
СОИБ. Автоматизация анализа рисков ИБ

По материалам блога http://sborisov.blogspot.com/2012/08/blog-post.html   Оценка рисков ИБ является основой риск-ориентированного подхода к обеспечению ИБ, когда обосновываются и внедряются только те мероприятия по ИБ, которые необходимы уменьшения или нейтрализации неприемлемых рисков ИБ.   Оценка рисков ИБ является обязательным требованием законодательства РФ:   ·        161-ФЗ «О НПС» и подзаконных актов; o   Требования ЦБ РФ; o   Требования PCI DSS; o   Требования других операторов ПС; ·        152-ФЗ «О ПДн» и подзаконных актов (Оценка вреда, моделирование угроз – часть оценки рисков ИБ);…

(подробнее...)
1
CОИБ. Проектирование. Мобильные рабочие места 2

По материалам блога http://sborisov.blogspot.com/2012/07/2.html Через непродолжительное время после выхода предыдущей статьи про мобильные рабочие места, 19 июля прошел партнерский семинар Застава и Aladdin, на кортом было представлено новое решение на эту тему. Решил написать о нем пару слов и добавить в сравнение.   Решение основано на трех уже существующих и сертифицированных продуктах: ·        Альт Линукс СПТ 6.0 – операционная система, сертифицированная в системе ФСТЭК России на соответствие РД “показатели защиты от НСД” по 4 классу защищенности, на соответствие РД “классификация по отсутствию…

(подробнее...)
1
СЗПДн. Анализ. Сколько сотрудников необходимо для организации обработки и обеспечения безопасности ПДн

По материалам блога http://sborisov.blogspot.com/2012/07/blog-post_24.html Ни  для кого не секрет, что федеральный закон 152-ФЗ “О персональных данных” и подзаконные акты требуют от Оператора ПДн выполнения определенных мероприятий и соответственно накладывают на него дополнительные затраты: приобретение оборудования, оплата услуг консультантов, зарплата дополнительным сотрудникам. В данной заметке хочу опустить разовые затраты Оператора на разработку первоначального комплекта документов и первоначального внедрения системы защиты персональных данных. Пусть эти работы уже проведены, внедрена СЗПДн,…

(подробнее...)
1
СОИБ. Анализ. Государственные информационные системы и информационные системы критически важных объектов

По материалам блога http://sborisov.blogspot.com/2012/07/blog-post_16.html   13 июля ФСТЭК России опубликовал на своем сайте Проект федерального закона "О внесении изменений в Федеральный закон 149-ФЗ "Об информации, информационных технологиях и о защите информации"   Планируется придать 2 новых толчка обеспечению ИБ (в дополнение к активно развивающейся защите персональных данных и платежных систем): ·        Защита информации в государственных информационных системах (ГИС) ·        Защита информации в информационных системах критически важных объектов (ИСКВО)   1.           В направлении защиты…

(подробнее...)
1
СОИБ. Проектирование. Виртуальные мобильные рабочие места

По материалам блога http://sborisov.blogspot.com/2012/07/blog-post.html               В сегодняшней заметке хотелось бы уделить внимание решениям типа Защищенные мобильные виртуальные рабочие места на базе съемного USB носителя. Написать данную заметку меня сподвигла статья Андрея Комарова на Хабре, к которой я вернусь ниже.   Для кого защиты, каких объектов могут использоваться такие решения: ·        для сотрудников, которым необходимо поработать с корпоративной защищаемой информацией находясь за пределами контролируемой территории – в командировках, при работе из дома, на площадке партнера/клиента/заказчика…

(подробнее...)
СОИБ. Анализ. Актуальные угрозы непрерывности бизнеса

В продолжение предыдущих заметок на тему непрерывности деятельности Институт Chartered Management Institute провел обследование и недавно опубликовал отчет об угрозах непрерывности бизнеса за 2011 год в Великобритании. Наиболее интересные выводы: ·        План обеспечения непрерывности разработан в 61% опрошенных компаний       ·        Наиболее вероятные угрозы в общем: o   Тяжелые погодные условия o   Нарушение ИТ компонентов o   Потеря (болезнь) ключевых сотрудников o   Нарушение связи o   Митинги и забастовки o   Закрытие и садиков школ o   Нарушение работы транспорта o   Невозможность доступа…

(подробнее...)
1
СОИБ. Кто защищает платежные системы

В соответствии с со статьей 3  161-ФЗ в область действия НПС попадают: ·        оператор по переводу денежных средств ·        оператор электронных денежных средств ·        платежный агент ·        банковский платежный агент ·        банковский платежный субагент ·        организаций федеральной почтовой связи при оказании ими платежных услуг ·        операторов платежных систем ·        операторов услуг платежной инфраструктуры Все участники НПС обязаны защищать платежную информацию и выполнять требования  ФЗ о НПС и подзаконных актов. И это не только кредитные организации. Попадают под требования…

(подробнее...)
1
СОИБ. Отчетность о защите информации в ПС

Как Вы наверное знаете, Банк России ведет активную нормотворческую деятельность в области защиты Национальной платежной системы. Недавно были разработан и утвержден ряд документов. Все документы по теме НПС перечислены тут.   Сегодня хотелось бы рассмотреть «УказаниеЦБ РФ 2831-У от 9 июня 2012 года "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств" (зарегистрировано Министерством юстиции Российской Федерации 14 июня 2012 года № 24575, опубликовано…

(подробнее...)
1
СОИБ. Проектирование. Обеспечение непрерывности бизнеса и восстановление деятельности 4

В продолжение предыдущих заметок на тему непрерывности деятельности.   19 июня учебный центр Микротест провел вебинар “ Знакомство со стандартом АРБ по непрерывности деятельности кредитных организаций”. Мой анонс этого и других вебинаров был тут.     Докладчиком выступил Алексей Бореалис, который также является руководителем группы разработчиков стандарта АРБ по непрерывности деятельности, который рассказал об основных этапах внедрения стандарта. Ниже основные тезисы с его доклада: ·        Анализ влияния на бизнес o   Определяем системы, которые защищаем o   Необходимо оценить ущерб при прерываниях…

(подробнее...)
1
СЗПДн. Анализ. Нет необходимости получать лицензию ТЗКИ

Неконец опубликовано информационное письмо ФСТЭК, которого все ждали. http://fstec.ru/_razd/Doc27.pdf Данное письмо ставит точку в спорах о необходимости получения лицензий операторами ПДн.   В письме начальник 2 управления ФСТЭК А. Куц официально заявляет что лицензия на ТЗКИ нужна только:    Организациям получающим прибыль от деятельности по ТЗКИ  Организациям оказывающим услуги по ТЗКИ  Организациям обрабатывающим КИ по поручению владельца (аутсорсинг), в обязанности которых входит защита КИ   Остальным организациям лицензия на ТЗКИ не обязательна

(подробнее...)
1
СОИБ. Проектирование. Защищённый доступ к сети

По материалам Блога http://sborisov.blogspot.com/2012/05/blog-post_27.html Недавно компания Cisco обновила архитектуру безопасности Cisco SecureX и решение по управлению защищенным доступом к сети Cisco TrustSec 2.0. Решение Cisco TrustSeс 2.0 является развитием технологии, ранее известной как Cisco NAC.   Ключевым компонентом решения является новый продукт Cisco  Identity Services Engine (Cisco ISE). А в реализации единых политик доступа к сети участвует всё активное сетевое оборудование Cisco:  коммутаторы¸ маршрутизаторы, межсетевые экраны, средства построения VPN, точки доступа и контроллеры…

(подробнее...)
121–150 из 158
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии