21 декабря 2018 г.

Пугающие заголовки в СМИ (пародия)

Мы живем в самой прекрасной стране - стране победившего мракобесия
Нагнетаем страсти. Заставляем содрогнуться. Призываем включать мозг.

"Реально ли защитить себя от таких глобальных угроз, как "Уханьская лаборатория", козни Билла Гейтса, чипирование под видом вакцинации и других?"

13 декабря 2018 г.

Кибер-прогноз на 2019: выживут не все



В 2018 году количество кибератак по данным разных источников, совершенных на российские компании, увеличилось почти вдвое по сравнению с прошлым годом. Количество успешных кибератак с нанесением ущерба атакованной компании - наоборот, уменьшилось. Нет ли здесь некого противоречия? Действительно ли повысилась киберустойчивость компаний? Хочется верить…
Однако, два фактора видно невооруженным глазом: а) информационные инфраструктуры компаний, построенные на принципах 2000-х годов, давно уже ждут, кто их взломает и б) вал кибератак с возможным нанесением ущерба. Эти факторы являются в последнее время главенствующими рисками для компаний любых размеров и форм собственности. Подобные выводы подтверждаются ростом числа атак, в ходе которых злоумышленники пытаются получить контроль над инфраструктурой атакованных компаний.

29 ноября 2018 г.

Немного о восточнославянском фольклоре

"ЦБ указал ФСБ на невозможность в полном объеме выполнить требования службы по защите собираемых банками биометрических персональных данных граждан. Речь идет о криптографической защите на уровне гостайны, а необходимого российского оборудования для этого нет. Банкиры подтверждают наличие проблем, но в ФСБ смягчать требования не планируют" (Газета "Коммерсантъ")



Не всё то правда, что газетчики врут и всё же...
Предыстория (полная версия).
В рамках выполнения требований Федерального закона РФ от 31.12.2017 № 482, согласно которому были приняты дополнения в Федеральный закон от 07.08.2001 № 115-ФЗ и в Федеральный закон от 27.07.2006 № 149-ФЗ, кредитные организации должны до конца 2018 года создать центры регистрации биометрических, контрольных шаблонов для обеспечения возможности клиентам - физическим лицам проходить в офисах банков биометрическую идентификацию на безвозмездной основе, а также размещать и обновлять сведения, полученные в ходе биометрической идентификации (изображение лица и голос) в ЕСИА и в ЕБС.

24 октября 2018 г.

Что грядёт на смену 552-П


Обзор того, что в итоге стало называться Положение Банка России № 672-П здесь.
Ознакомившись с проектом нового Положения “О требованиях к защите информации в платежной системе Банка России", которое в скором времени придет на смену Положению от 24 августа 2016 г. № 552-П с тем же названием, сначала испытываешь шок от радикальности “обновления” документа.
Роднит эти два нормативных документа с одним и тем же названием только тот факт, что документы подготовлены Банком России. В остальном от 552-П почти ничего не осталось.

26 сентября 2018 г.

Что интересного по ИБ в проекте Положения Банка России “О требованиях к системе управления операционным риском…


Создается впечатление, что проект Положения ради рисков ИБ и ИТ и написан. Во всяком случае по тексту проекта документа в нескольких местах специально указывается: “операционный риск, включая риск ИБ и риск ИС”.

Документ солидный - из категории 90+ и это не возраст, а количество страниц в Положении. Далее по тексту мои комментарии будут выделяться так: (Прим.).
В проекте Положения Банк России устанавливает требования к системе управления операционным риском в кредитной организации и банковской группе (Прим. далее для краткости - просто “КО”), включая требования к системам управления риском информационной безопасности и риском информационных систем, а также ведению аналитической базы данных о событиях операционного риска и потерях, понесенных вследствие реализации этого риска.
Бегло пробежимся по тексту проекта Положения Банка России, специально выделяя требования Положения по ИБ- и ИТ-рискам.

14 сентября 2018 г.

План мероприятий (Дорожная карта) банка по реализации проекта подключения к ЕБС


Предыстория вопроса здесь.
С 30 июня 2018 года некоторые (единичные) банки начали собирать записи голоса и изображения лиц россиян и отправлять их в Единую биометрическую систему (ЕБС). ЕБС позволит гражданам подтверждать личность без предъявления паспорта и удаленно получать некоторые банковские услуги.
Большинство банков на текущий момент находятся пока еще в стадии разработки проекта по подключению к ЕБС и формирования бюджета.
Одним из вариантов Плана мероприятий (Дорожная карта) банка по реализации проекта подключения к Единой биометрической системе может быть следующий:

10 сентября 2018 г.

Модель угроз ИБ, актуальных при обработке биометрических ПДн в банке и передаче в ЕБС





Перечень угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в банке, определен Банком России  и ПАО "Ростелеком" в Указании от 09.07.2018 № 4859-У.
В таблице ниже представлена Модель угроз ИБ, актуальных при обработке биометрических персональных данных в банке, их проверке в Единой биометрической системе (ЕБС) и передаче информации о степени их соответствия в ЕБС.

23 августа 2018 г.

Алгоритм действий при получении email-сообщения от неизвестного адресата




"При получении подозрительного email-сообщения сделайте подозрительное лицо". Шутка!





А если серьезно...
Типовая схема современной целевой кибератаки на компанию обычно начинается с массовой рассылки электронных писем, содержащих вредоносные вложения, на корпоративную почту компании. Поэтому в рамках повышения осведомленности персонала в вопросах информационной безопасности необходимо приучать своих сотрудников внимательно изучать электронные сообщения от неизвестных адресатов прежде, чем что-то делать (открывать вложения, кликать по ссылке, выполнять действия, изложенные в сообщении).

18 июля 2018 г.

Алгоритм действий банка в случае инцидентов в ДБО согласно закону РФ от 27 июня 2018 №167-ФЗ

Согласно закону РФ от 27 июня 2018 № 167-ФЗ, в закон от 27 июня 2011 года №161-ФЗ "О национальной платежной системе" внесен ряд изменений (вступают в силу спустя 90 дней с момента опубликования). Таким образом, с 26 сентября 2018 года, согласно закону РФ № 167-ФЗ, банки должны будут оценивать риски несанкционированных переводов денежных средств и разрабатывать свои критерии таких переводов*. Банк России, в свою очередь, должен опубликовать критерии определения потенциально мошеннических операций**.

24 июня 2018 г.

Что ИБ может позаимствовать у игры в футбол?


В разгар Чемпионата мира по футболу вопрос, вынесенный в заголовок, как никогда актуален.
Что заставляет болельщиков в разных странах интересоваться всем на свете, что касается футбола? Или безопасников информационной безопасностью (ИБ)? Только ли когда-то выбранная любимая команда или профессия? Можно ли это назвать страстью? Как научиться играть так, чтобы постоянно выигрывать? Ради каких выигрышей стоит готовить себя денно и нощно?

16 мая 2018 г.

Трое в лодке, не считая ...

К годовщине WannaCry Рустем Хайретдинов (Rustem Khairetdinov) у себя на странице в Facebook опубликовал пьесу "Трое и Пипец".
На мой взгляд, 100%-е попадание в тему. 

С разрешения автора привожу этот маленький шедевр у себя в блоге.

14 мая 2018 г.

О создании правильной структуры ИТ-безопасности с точки зрения руководителя ИБ



Поговорим о создании правильной структуры служб информационной безопасности (ИБ), экономической безопасности (ЭБ) и информационных технологий (ИТ) и проблемах взаимоотношений этих служб в банке с позиции руководителя ИБ.

29 апреля 2018 г.

Проклятие цифровых технологий

"Большинство современных технологий - отсроченное наказание"
 Нассим Талеб




На заре своего зарождения, Интернет воспринимался как разумная глобализация мира, в котором возможности всех объединяются для решения задач каждого. Теперь, как мы знаем, у отдельного пользователя Глобальной Сети есть возможность причинить ущерб каждому... и это не только печалит, но и отваживает многих от цифровых технологий.

15 апреля 2018 г.

Последствия событий, которыми вы не управляете, невозможно просчитать



Если вы занимаетесь информационной безопасностью в компании, перед вами возникают проблемы сиюминутных решений, действий и, конечно, ответственности. Иногда даже при решении простых задач возникают невероятные сложности или происходят открытия со знаком «минус». Как регулировать, например, моменты, связанные с тем, что что-то может пойти не так? Не все в ИБ можно предвидеть, а любая ситуация из-за сложной комбинации действий субъектов-участников может пойти не по сценарию.