пятница, 4 августа 2017 г.

PaymentSecurity - как это было, материалы докладов, фото, видео

Добрый день, дорогие читатели! Чуть больше месяца назад я принимала участие в конференции PaymentSecurity. Международная конференция по информационной безопасности состоялась с 29 по 30 июня в Санкт-Петербурге. Было очень приятно снова увидеть Андрея Прозорова, Алексея Лукацкого, а также многих интернет-знакомых. Перечень спикеров был настолько хорош, что приходилось постоянно перебегать из зала в зал (доклады шли в три потока). И все равно много полезного мы с мужем пропустили. Радует, что все презентации сейчас можно посмотреть на сайте. Там же можно поискать себя на фотографиях, которых очень много. Обычно мне не особо нравятся фотоотчеты с таких мероприятий, но в этот раз по-крайней мере свои изображения мне нравятся.
Мне удалось послушать доклады Джереми Кинга, Владимира Комлева, Кристины Андреевой, Рустэма Хайретдинова, Алексея Лукацкого и Андрея Дроздова. К сожалению, из-за пересечения с матер-классом не видела доклады Андрея Прозорова, Моны Архиповой и Юлии Омельяненко. 
Конечно, за те три года, что не работаю в банковском секторе, многое подзабыла (а еще больше не знала), поэтому информация в докладах по большей части была для меня новой (и часто не совсем понятной). Выводы для себя сделала - нужно поизучать "МИР", машинное обучение в ИБ может быть опасным, а криминальный бизнес неплохо организован.
Отдельно хочу выразить благодарность всем, кто был на моем мастер-классе по защите персональных данных. Коллеги, спасибо вам, что слушали, задавали вопросы и выдержали целых три часа выступления! А это было нелегко, ведь тема законодательства довольно тяжелая, особенно в конце насыщенного дня. Мне было очень приятно, когда вы не отпускали меня на перерыв и забрасывали вопросами. Многие из них до сих пор крутятся у меня в голове и заставляют задуматься, еще раз поискать ответы.
О моем выступлении организаторы начали договариваться еще в начале марта - это просто растопило мое сердце :) Люблю, когда все по плану и тщательно подготовлено. Спикеры, доклады, еда, место - все было на уровне. На сегодняшний день лично для меня - это была лучшая конференция. Если говорить о недостатках (ведь всегда есть куда расти), то можно отметить отсутствие видеозаписи в двух залах (записи из основного зала здесь). То, что мы пытались записать на видео самостоятельно, было к сожалению засвечено и для публичного выкладывания не годится. Иногда доклады немного наползали друг на друга, и становилось сложно рассчитать время начала следующего доклада в другом зале. Но с этим сложно бороться - спикеров буквально закидывали вопросами и никак не хотели отпускать. Кратко о том, как все прошло можно почитать в итоговом отчете, который представлен здесьСтоит отметить, что вообще все было организовано отлично - спасибо Сергею Шустикову и Ирине Лонкиной! 
Также не могу не отметить, что благодаря конференции удалось еще раз повидаться с руководителем RISC-клуба Марией Сидоровой. Маша, мы отлично провели время и вспоминаем вас с Сергеем каждый раз, когда пьем чай из фирменных кружек :) Санкт-Петербург просто прекрасен, в этом году удалось воплотить некоторые экскурсионные планы, не сбывшиеся в прошлом - прогулку по Неве, Петергоф, посещение Александро-Невской лавры и знаменитой пышечной. В некоторые места, например, в кафе "Север" заглянули повторно. В общем, эти неполных четыре дня прошли просто замечательно. Привет из Красноярска! :)

https://vk.com/kshudrova - ссылки на свежие посты, интересные материалы других авторов и новости из мира ИБ. Присоединяйтесь!

среда, 12 июля 2017 г.

Презентация мастер-класса с конференции Paymentsecurity 2017

Добрый день, дорогие читатели! Выкладываю презентацию своего мастер-класса с конференции Paymentsecurity 2017. О том, как прошла сама конференция расскажу в следующий раз.


Безопасность платежей 2017 from Ksenia Shudrova


https://vk.com/kshudrova - ссылки на свежие посты блога, новости и интересные материалы других авторов.

четверг, 6 июля 2017 г.

Информационное сообщение ФСТЭК от 2 июля 2017

Добрый вечер, дорогие читатели! Сегодня благодаря Валерию Комарову и FB узнала о свежем информационном сообщении ФСТЭК. Спешу с Вами поделиться ссылкой. В сообщении речь идет о вредоносном ПО типа WannaCry, Petya или Misha. 
Предлагаю Вам краткий пересказ. 
Для ГИС/ИСПДн/АСУ ТП нужно применять 17/21/31 приказы ФСТЭК соответственно.
Основные меры защиты:
  • обновление программного обеспечения до актуальных версий;
  • выявление и анализ уязвимостей и их оперативное устранение;
  • обнаружение и реагирование на поступление незапрашиваемых электронных сообщений (электронных писем, документов);
  • периодическое резервное копирование информации на резервные машинные носители информации и обеспечение возможности восстановления информации;
  • защита периметра информационной системы (исключение доступа к ТСР-портам 139 и 445).
Также нужно применять ситемы антивирусной защиты, в которых реализованы эвристические методы выявления вредоносного программного обеспечения, системы обнаружения (предупреждения) вторжений (атак) и системы управления и корреляции событий с настроенными индикаторами.
Все)

Галимов Азат. Летний сад. "Времена суток". Источник

В следующем посте я расскажу Вам о прошедшей конференции Paymentsecurity в Питере. 

https://vk.com/kshudrova - группа ВК, присоединяйтесь!


понедельник, 3 июля 2017 г.

Аттестация объектов информатизации (видео)

Добрый день, дорогие читатели! Разбирая архивы, наткнулась на видео с семинара, которое вы еще не видели. 22 апреля 2017 года региональное отделение товарищества RISC провело в Красноярске очный семинар «Аттестация объектов информатизации». В качестве основного докладчика на семинаре выступил специалист по защите информации 1 категории Владимир Жираков. 






Все видео с семинаров здесь.
https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов. Присоединяйтесь!

среда, 14 июня 2017 г.

Тезисы мастер-класса по защите персональных данных

Добрый день, дорогие читатели! В прошлом посте я уже рассказывала вам о своем участии в питерской конференции "Безопасность платежей", сегодня вашему вниманию предлагается краткое содержание предстоящего мастер-класса (3 часа).

Часть 1. Законодательство в области персональных данных.
1. Краткая история защиты персональных данных в РФ.
2. Действующие НПА:
  • Федеральный закон РФ «О персональных данных» от 27.07.2006 № 152-ФЗ.
  • Постановление Правительства Российской Федерации[править «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 № 1119. 
  • «Об утверждении требований и методов по обезличиванию персональных данных» приказ Роскомнадзора от 05.09.2013 № 996 (Зарегистрировано в Минюсте России 10.09.2013 N 29935). 
  • "Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» утв. Роскомнадзором 13.12.2013. 
  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года. 
  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утв. ФСТЭК РФ 14 февраля 2008 года. 
  • «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» приказ ФСТЭК России от 18.02.2013 № 21 (Зарегистрировано в Минюсте России 14.05.2013 № 28375). 
  • «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» приказ ФСБ России от 10.07.2014 № 378.

3. Что поменялось за 2015-2017 годы? 242-ФЗ: хранение в РФ. Штрафы повышены. Отменены 2 ФСБ документа. Пакет Яровой.
4. Что мы ждем в будущем?

Часть 2. Практическая защита.
1. Судебная практика (в том числе о банках).
2. Вопросы внедрения системы защиты ПДн в банках. Типичные ситуации и их разбор.

3. Вопросы слушателей.

Напоминаю, что всем желающим послушать мастер-класс нужно зарегистрироваться заранее: http://paymentsecurity.ru/.

https://vk.com/kshudrova - вступайте в группу, посвященную блогу, здесь можно найти новости мира ИБ, ссылки на свежие посты и интересные материалы других авторов.

четверг, 8 июня 2017 г.

Мое участие в конференции Безопасность платежей 2017

Добрый день, дорогие читатели! Спешу поделиться с вами радостной новостью о предстоящем выступлении на конференции: 29-30 июня в г. Санкт-Петербурге пройдет II ежегодная международная конференция на тему безопасности платежей "Безопасность платежей 2017". На конференции будут интереснейшие доклады Алексея Лукацкого, Андрея Прозорова, Моны Архиповой, Андрея Дроздова, также среди докладчиков: Джереми Кинг - международный директор Совета PCI SSC и Владимир Комлев - генеральный директор АО НСПК. и многих других. Для представителей платёжной индустрии: банков, платёжных сервисов, магазинов, ресторанов, отелей, предприятий электронной коммерции, регуляторов отрасли, а также производителей платёжных решений и членов НП АБИСС регистрация БЕСПЛАТНАЯ (ссылка), для представителей поставщиков услуг в области информационных технологий и информационной безопасности, а также всех прочих компаний, не являющихся участниками платежной индустрии участие платное - 10000 рублей (ссылка). Материалы прошлой конференции можно посмотреть здесь.
Пара слов о моем участии. Я проведу для вас трехчасовой мастер-класс "Защита персональных данных". О чем буду рассказывать? О законодательстве: пробежимся по основным документам, еще раз вспомним, что изменилось за последнее время. Об июльском повышении штрафов, о том как проходят проверки, какие нарушения выявляют. О перспективах в области персональных данных, что нас ждет, к чему стоит готовиться. Ну и, конечно, все это в привязке к основной теме конференции - безопасности платежей. Несколько лет назад я работала старшим специалистом по безопасности в банке, так что не опасайтесь излишней «теоретичности» доклада, будем рассуждать с практической точки зрения. А чтобы мое выступление было максимально полезным – отправляйте интересующие вас вопросы, для связи можете использовать социальные сети, группу блога ВК. Приходите, будет интересно! И не забывайте зарегистрироваться заранее, чтобы всем хватило места J

В лесах под Красноярском
https://vk.com/kshudrova - ссылки на свежие посты, новости из мира ИБ и ПДн, интересные материалы других авторов. 

среда, 7 июня 2017 г.

Изменения в 17 Приказе ФСТЭК

Добрый день, дорогие читатели! Сегодня хочу поделиться с вами шпаргалкой по изменениям в 17 Приказе ФСТЭК (Приказ ФСТЭК России от 15.02.2017 N 27 "О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17").
1. Действие 17 Приказа теперь не распространяется на Высший Арбитражный Суд Российской Федерации.
2. Защита информации осуществляется не только в процессе эксплуатации, но и при выводе из эксплуатации.
3. Вместо 4 классов информационных систем - 3.
4. Угрозы берутся из bdu.fstec.ru.
5. Добавлены новые пункты в частное техническое задание:
  • стадии работ;
  • требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;
  • функции заказчика и оператора по обеспечению ЗИ в ИС;
  • требования к защите средств и систем.
6. Для определения требований к системе защиты информации ИС учитываются положения политик обеспечения ИБ только если политики разработаны по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
7. При проектировании системы защиты информации - вместо параметров настройки указываются требования к параметрам.
8. При макетировании и тестировании системы защиты информации исключена корректировка проектной и эксплуатационной документации.
9. По результатам анализа нужно подтвердить, что уязвимости отсутствуют или их использование невозможно.
10. Должностные лица, которые проектировали и внедряли систему защиты информации, не могут ее аттестовывать.
11. Перечислены методы аттестационных испытаний:
  • экспертно-документальный;
  • анализ уязвимостей системы;
  • осуществление попыток НСД.
12. Срок действия аттестата не может превышать 5 лет.
13.  ИС, функционирующие на базе общей инфраструктуры, подлежат аттестации в составе указанной инфраструктуры. Если ИС создана на базе ЦОД, класс ЦОД должен быть не ниже класса ИС.
14. Формулировку "Нейтрализация и блокирование" заменили на "защиту".
15. 
Было:

1 класс
2 класс
3 класс
4 класс
СВТ
Не ниже 5 класса
СОВ
Не ниже 4 класса
1. С Интернетом – не ниже 4 класса
Не ниже 5 класса
2. Без Интернета – не ниже 5 класса
САВЗ
Не ниже 4 класса
1. С Интернетом – не ниже 4 класса
Не ниже 5 класса

2. Без Интернета – не ниже 5 класса
МЭ
1. С Интернетом – не ниже 3 класса
Не ниже 4 класса
2. Без Интернета – не ниже 4 класса
НДВ
Не ниже 4 уровня
-

Стало:

1 класс
2 класс
3 класс
СЗИ
Не ниже 4 класса
Не ниже 5 класса
Не ниже 6 класса
СВТ
Не ниже 5 класса
НДВ
Не ниже 4 уровня
-

16. Состав мер защиты информации. Изменены меры УПД3 и ЗСВ10.
Было:
УПД3
4
3
2
1
-
-
+
+

Стало:
УПД3
3
2
1
+
+
+

Было:
ЗСВ10:
4
3
2
1
-
-
+
+

Стало:
ЗСВ10:
3
2
1
+
+
+
О. Ренуар. Дворец Дожей. Источник
https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов. Присоединяйтесь!