Анализ

СОИБ. Анализ. Платформы для Bug Bounty

...

Каждая приличная западная ИТ-компания или вендор (Google, Microsoft, Twitter, Tesla, Github, Blogger, Drupal, eBay, Facebook, Instagram и многие другие) обязательно проводит программы выплаты вознаграждений за найденные уязвимости – Bug Bounty, в дополнение к внутреннему и внешнему аудиту ИБ. Это позволяет максимально уменьшить риски для их клиентов.  

СОИБ. Анализ. Политики vs положения ИБ

...

Постоянно спотыкаюсь о следующее противоречие: в лучших практиках, стандартах по ИБ рекомендуется четкая иерархия документов, с выделением общей политики ИБ, частных политик, документированных процедур и документов, содержащих свидетельства выполнения деятельности.

СОИБ. Анализ. Определение угроз безопасности. Часть 1

...

7 мая 2015 г. ФСТЭК России выложила на рассмотрение «Методику определения угроз безопасности информации в информационных системах» которую мы так долго ждали. До 10 июня 2015 года принимают предложения и замечания. Но скорее всего существенных изменений не будет. Поэтому можно брать в работу. Пока появилось свободное время буду разбирать и публиковать частями. По самым проблемным местам напишу в ФСТЭК.

СОИБ. Анализ. Свежие документы ЦБ РФ по ИБ

...

15 апреля 2015 г. ЦБ РФ опубликовал информационное сообщение “О несанкционированных операциях, совершенных с использованием устройств мобильной связи”.

СЗПДн. Анализ. Проект отчета NIST по обезличиванию ПДн

...

7 апреля 2015 г. NIST опубликовал проект отчета по обезличиванию ПДн (NIST Draft NISTIR 8053, De-Identification of Personally Identifiable Information, далее – документ NIST)

СЗПДн. Анализ. Вопросы применения СКЗИ для защиты ПДн

...

В конце прошлого года у меня подобралось несколько вопросов в рамках защиты ПДн, по которым не было однозначного ответа. При этом ряд знакомых экспертов (Артем Агеев, Николай Домуховский и д.р.) советовали не заниматься публичными рассуждениями, а писать письма регуляторам.

СОИБ. Анализ. Замещение ИБ

...

Что делать, если для реализации меры Nx в компании хочется внедрить/купить/продать техническое решение NG, но вот незадача - в прошлом году было приобретено/продано некое техническое решение G...

СЗПДн. Анализ. Оценка соответствия

...

Выводом из предыдущей статьи орегистрации событий ИБ была необходимость оценки соответствия большинства компонентов ИС / ИТ-инфраструктуры. Так как этих компонентов много, не все они сертифицированные, есть задача обеспечения оценки соответствия наиболее простым способом. Большое количество экспертов, в том числе Алексей Лукацкий, придерживаются мнения что способ оценки соответствия оператор выбирает самостоятельно в соответствии с ФЗ-184 (в условиях пока не опубликован и не зарегистрирован ПП 330)

СЗПДн. Анализ. Выбор мер защиты

...

Последний год в комментариях про последние документы ФСТЭК: приказы №17, 21, 31 регулярно встречаю фразы про невиданный ранее прорыв в требованиях регуляторв, про полную свободу выбора мер защиты Заказчиком. У Алексея Лукацкого так про это каждая заметка с тегом: ФСТЭК.

СОИБ. Анализ. Новые угрозы ИБ нарушения контролируемой зоны компании

...
На состав актуальных угроз ИБ компании оказывают влияние не только новые ИТ технологии, но и новые технологии в смежных областях – миниатюризации и робототехники.  Наверное, все слышали об угрозах ИБ, связанных с очками Google Glass. Cегодня другая история.