14 июля 2019 г.

Эмоциональное выгорание работников служб ИБ или Дефейс* профессии


Хоть плачь, хоть смейся — всё едино:
Ошибочен программный код,
Хромает всюду дисциплина,
Сайт поломают, рухнет ЦОД

*Дефейс (англ. deface — уродовать, искажать) — тип хакерской атаки, при которой страница веб-сайта заменяется на другую (обычно это главная страница, а доступ ко всему остальному сайту блокируется или же прежнее содержимое сайта вовсе удаляется) — это может быть реклама, предупреждение, угроза, и т. д.
Disclaimer: В контексте данной статьи термин “дефейс” следует рассматривать как предупреждение и не более того. Автор не имел намерения очернить профессию безопасника в сфере информационной безопасности или принизить значимость профессии.
В последнее время в некоторых СМИ - как западных, так и российских – стали мелькать материалы про тенденцию в сфере информационной безопасности, связанную с “синдромом эмоционального выгорания у сотрудников ИБ-отделов” в компаниях. Попробуем порассуждать, имеются ли под этими “новостями” какие-либо основания.

2 июня 2019 г.

Дорожный атлас банковской службы ИБ


(161-ФЗ[1]: статья 27, п.3) Обеспечить защиту информации при осуществлении переводов денежных средств в соответствии с требованиями (382-П[2]), установленными Банком России.
(382-П: абзац 2, пп. 2.5.5.1, п. 2.5) Ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
(382-П: пп. 2.15.2, п. 2.15) Обеспечить проведение оценки соответствия не реже одного раза в два года, а также по требованию Банка России.
Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести первую оценку соответствия в течение 6 месяцев после получения соответствующего статуса.

(382-П: абзац 2 и 3, пп. 2.13.(1)) Информировать Банк России, а именно Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ), об инцидентах ИБ, а также о планируемых мероприятиях по раскрытию информации об инцидентах.
(382-П: пп. 2.8.3, п. 2.8) Установка ограничений на основании заявления клиента по параметрам операций, которые могут осуществляться клиентом с использованием системы Интернет-банкинга.
(382-П: абзац 1, пп. 2.9.1, п. 2.9) Если принимается решение, что защита ПДн будет обеспечиваться с помощью СКЗИ, то применение средств защиты должно соответствовать 378-му приказу ФСБ.

26 мая 2019 г.

Обзор Положения Банка России от 17.04.2019 № 683-П



Мысль при первом прочтении Положения Банка России 683-П:
зачем потребовалось переписывать 382-П?
Мысль при втором прочтении: это всё про что?
Мысль при третьем прочтении: совсем беда!

Зачем?
21 мая 2019 года Банк России обнародовал Положение № 683-П “Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
Документ вступает в силу по истечении 10 дней после официального опубликования, то есть с 01.06.2019 (за исключением отдельных положений).
Документ, как документ, начинаешь бегло читать – вроде, ничего особенного. Вчитываешься – адский ад.

2 мая 2019 г.

Каждый готов работать “за идею” при условии достойной оплаты труда

Однажды я пришел к руководителю общей безопасности с намерением добиться справедливости и спросил его, почему руководителям и некоторым работникам во всех вверенных ему службах значительно повысили оклады, обойдя только Службу ИБ. Ответ поразил меня как нелогичностью, так и неприкрытым цинизмом: “А что, если бы я вам повысил зарплату вы стали бы работать лучше?”.

28 апреля 2019 г.

Жизнь – боль или как перестать быть успешным в своем воображении


“Практическое знание – продукт опыта,
его можно приобрести, но невозможно передать в виде общих формул.
Абстрактное знание, напротив, дело техники,
его можно легко систематизировать, передавать и применять”
(цитата из книги Джерри Мюллера “Тирания показателей”)


О чем говорят эксперты
Слушая на разных ИБ-конференциях разных ИБ-экспертов, очень важно научиться фильтровать контент и не "попадаться на крючок" красиво сформулированных постулатов на слайдах докладчиков.

1 апреля 2019 г.

День дурака и безопасник


“…старший брат работает – он дурак,
средний брат работает – дурак,
младший сидит на печи,
дальше он ловит щуку –
у него все хорошо…

Сергей Швецов
первый зампред Банка России

Жизнь меняется и правоту русских сказок каждый оценивает из собственного опыта. Но безопасник в компании – точно не “младшенький” из цитаты выше. Надо обладать 100-пудовыми связями, врожденной чуйкою, изрядной гибкостью и невероятной везучестью, чтобы продолжительное время выживать в токсичных условиях российского бизнеса – бессмысленного и беспощадного. Если вам это удается, то я вас искренне поздравляю и желаю всяческих успехов.

29 марта 2019 г.

Обзор Положения Банка России от 09.01.2019 № 672-П


Новое Положение Банка России № 672-П (вступает в силу с 06.04.2019) множит текущие печали банков (АРМ КБР-Н, ЕБС, КИИ), готовя их к неизбежному: выполнению к середине 2021 года требований ГОСТ Р 57580.1-2017 “Безопасность финансовых (банковских) операций. При этом формально отменяя требования 552-П, Банк России оставляет за собой право спросить с банков во время аудиторских проверок отчет о выполнении всех требований 552-П, которые заблаговременно (я бы сказал “технично”) перенесены в Договор кредитной организации с Банком России  (см. Приложение 12 “Требования к защите информации, выполняемые клиентом - пользователем СПФС)”.