29 декабря 2019 г.
5 декабря 2019 г.
Лебедь, Рак и Щука биометрии и Соболь - в придачу
Помните загадку про крестьянина, волка, козу и капусту?
Суть: Однажды крестьянину понадобилось
перевезти через реку волка, козу и капусту. У крестьянина есть лодка, в которой
может поместиться, кроме самого крестьянина, только один объект — или волк, или
коза, или капуста. Если крестьянин оставит без присмотра волка с козой, то волк
съест козу; если крестьянин оставит без присмотра козу с капустой, коза съест
капусту.
30 ноября 2019 г.
4 ноября 2019 г.
За что Банк России может наказать банки при проверке ИБ
"И рассказать бы Гоголю
Про нашу жизнь убогую, —
Ей-богу, этот Гоголь бы нам не поверил бы"
В.Высоцкий
“Городничий. Я пригласил вас, господа, с тем
чтобы сообщить вам пренеприятное известие: к нам едет ревизор.
Аммос
Федорович.
Как ревизор?
Артемий
Филиппович.
Как ревизор?
Городничий. Ревизор из Петербурга, инкогнито. И еще с секретным предписаньем.
Аммос
Федорович.
Вот те на!
Артемий
Филиппович.
Вот не было заботы, так подай!
Лука Лукич. Господи Боже! еще и с секретным предписаньем!
Городничий. Я как будто предчувствовал: сегодня мне всю ночь снилось…”
…что в понедельник начинается проверка ЦБ по ИБ.
20 октября 2019 г.
Про социальную инженерию
У меня зазвонил телефон.
- Кто говорит?
- Вован. Интерпол.
-Что вам надо?
- Хотим спасти ваши вклады.
- От чего и от кого?
- От всего, но сначала от взлома.
-Гудбай, Вова!
Хочется
поделиться вот этим материалом – назовём его - исследованием. Чем больше будет
таких статей, тем меньше будет случаев кражи денег у населения.
О чём речь? Не
секрет, что нас в последнее время настойчиво атакуют телефонные мошенники. Если
вас сейчас никто не атакует, значит, атакуют других и пока до вас не дошла “очередь”.
У атакующих налажены эффективно действующие дистанционные каналы одурачивания
клиентов банков и всегда под рукой ваш телефон и, возможно, кое-какие ваши
персональные данные.
Наша задача лучше
разобраться в том, что происходит и как-то справиться с этим злом и что-то ему
противопоставить. Ситуация более серьёзна, чем кажется и все мы должны быть заинтересованы
в пресечении подобной противоправной деятельности.
На примере
материала, на который дана ссылка выше можно сделать следующие выводы.
29 сентября 2019 г.
ЕБС: от регламентов к исполнению (слухи, домыслы, версии)
Когда
б был выбор из решений,
Да
знать несказанное вслух,
То мы
бы: "Эх, бы!" Мы бы: "Ох, бы!"
Да
что стесняться! Мы бы Ух!
Почему у нас всё превращается в бег наперегонки?
Почему
внедрение платформы удаленной идентификации
(Единая биометрическая система - ЕБС) насильно навязывается регулятором в условиях технологической
неготовности банков, технической неподготовленности поставщиков решений для ЕБС
и в сроки (до 31.12.2019[1]),
в которые невозможно уложиться с учётом подготовки конкурсных
процедур для закупки соответствующих отечественных, сертифицированных решений,
а также при формировании технических заданий в рамках проектов по реализации
технологии сбора биометрии?
6 сентября 2019 г.
Роль СТО БР ИББС
“Никто
не ценит положительного вклада новых НПА.
Все замечают только косяки.”
Все замечают только косяки.”
Алексей Лукацкий (вчера в 16:21)
В августе 2019 года произошло почти никем незамеченное событие в банковской информационной безопасности, которое подвело своеобразную черту под целой эпохой – эпохой появления и развития Комплекса стандартов СТО БР ИББС от Банка России. Финансовые организации РФ через свои личные кабинеты на площадке Банка России получили письма от регулятора с темой сообщения “О проведении оценки соответствия требованиям СТО БР ИББС-1.0-2014”.
14 июля 2019 г.
Эмоциональное выгорание работников служб ИБ или Дефейс* профессии
Хоть плачь, хоть смейся — всё едино:
Ошибочен программный код,
Хромает всюду дисциплина,
Сайт поломают, рухнет ЦОД
*Дефейс (англ.
deface — уродовать, искажать) — тип хакерской атаки, при которой страница
веб-сайта заменяется на другую (обычно это главная страница, а доступ ко всему
остальному сайту блокируется или же прежнее содержимое сайта вовсе удаляется) —
это может быть реклама, предупреждение, угроза, и т. д.
Disclaimer: В контексте
данной статьи термин “дефейс” следует рассматривать как предупреждение и не
более того. Автор не имел намерения очернить профессию безопасника в сфере
информационной безопасности или принизить значимость профессии.
В последнее время
в некоторых СМИ - как западных, так и российских – стали мелькать материалы про
тенденцию в сфере информационной безопасности, связанную с “синдромом эмоционального выгорания у сотрудников ИБ-отделов” в компаниях. Попробуем порассуждать,
имеются ли под этими “новостями” какие-либо основания.
2 июня 2019 г.
Дорожный атлас банковской службы ИБ
(161-ФЗ[1]:
статья 27, п.3) Обеспечить защиту информации при
осуществлении переводов денежных средств в соответствии с требованиями (382-П[2]), установленными Банком России.
(382-П:
абзац 2, пп. 2.5.5.1, п. 2.5) Ежегодное
тестирование на проникновение и анализ уязвимостей информационной безопасности
объектов информационной инфраструктуры.
(382-П:
пп. 2.15.2, п. 2.15) Обеспечить проведение оценки
соответствия не реже одного раза в два года, а также по требованию Банка
России.
Организация, ставшая оператором по переводу денежных средств, оператором
платежной системы, оператором услуг платежной инфраструктуры, должна провести
первую оценку соответствия в течение 6 месяцев после получения соответствующего
статуса.
(382-П:
абзац 2 и 3, пп. 2.13.(1)) Информировать Банк
России, а именно Центр мониторинга и реагирования на компьютерные атаки в
кредитно-финансовой сфере (ФинЦЕРТ), об инцидентах ИБ, а также о планируемых
мероприятиях по раскрытию информации об инцидентах.
(382-П:
пп. 2.8.3, п. 2.8) Установка ограничений на
основании заявления клиента по параметрам операций, которые могут
осуществляться клиентом с использованием системы Интернет-банкинга.
(382-П:
абзац 1, пп. 2.9.1, п. 2.9) Если принимается
решение, что защита ПДн будет обеспечиваться с помощью СКЗИ, то применение средств
защиты должно соответствовать 378-му приказу ФСБ.
26 мая 2019 г.
Обзор Положения Банка России от 17.04.2019 № 683-П
Мысль
при первом прочтении Положения Банка России 683-П:
зачем потребовалось переписывать 382-П?
Мысль
при втором прочтении: это всё про что?
Мысль
при третьем прочтении: совсем беда!
Зачем?
21 мая 2019 года Банк
России обнародовал Положение № 683-П “Об установлении обязательных для кредитных
организаций требований к обеспечению защиты информации при осуществлении
банковской деятельности в целях противодействия осуществлению переводов
денежных средств без согласия клиента».
Документ вступает в
силу по истечении 10 дней после официального опубликования, то есть с 01.06.2019 (за исключением отдельных
положений).
Документ, как
документ, начинаешь бегло читать – вроде, ничего особенного. Вчитываешься – адский ад.
2 мая 2019 г.
Каждый готов работать “за идею” при условии достойной оплаты труда
Однажды я пришел к руководителю общей безопасности с намерением добиться справедливости и спросил его, почему руководителям и некоторым работникам во всех вверенных ему службах значительно повысили оклады, обойдя только Службу ИБ. Ответ поразил меня как нелогичностью, так и неприкрытым цинизмом: “А что, если бы я вам повысил зарплату вы стали бы работать лучше?”.
28 апреля 2019 г.
Жизнь – боль или как перестать быть успешным в своем воображении
“Практическое
знание – продукт опыта,
его можно приобрести, но невозможно передать в виде общих формул.
Абстрактное знание, напротив, дело техники,
его можно легко систематизировать, передавать и применять”
его можно приобрести, но невозможно передать в виде общих формул.
Абстрактное знание, напротив, дело техники,
его можно легко систематизировать, передавать и применять”
(цитата
из книги Джерри Мюллера “Тирания показателей”)
О чем говорят эксперты
Слушая
на разных ИБ-конференциях разных ИБ-экспертов, очень важно научиться фильтровать
контент и не "попадаться на крючок" красиво сформулированных постулатов на слайдах
докладчиков.
1 апреля 2019 г.
День дурака и безопасник
“…старший брат
работает – он дурак,
средний брат работает – дурак,
младший сидит на печи,
дальше он ловит щуку –
у него все хорошо…”
средний брат работает – дурак,
младший сидит на печи,
дальше он ловит щуку –
у него все хорошо…”
Сергей
Швецов
первый зампред Банка России
первый зампред Банка России
Жизнь
меняется и правоту русских сказок каждый оценивает из собственного опыта. Но
безопасник в компании – точно не “младшенький” из цитаты выше. Надо обладать 100-пудовыми
связями, врожденной чуйкою, изрядной гибкостью и невероятной везучестью, чтобы продолжительное
время выживать в токсичных условиях российского бизнеса – бессмысленного и
беспощадного. Если вам это удается, то я вас искренне поздравляю и желаю
всяческих успехов.
29 марта 2019 г.
Обзор Положения Банка России от 09.01.2019 № 672-П
Новое Положение Банка России № 672-П (вступает в силу с 06.04.2019) множит текущие печали банков (АРМ КБР-Н, ЕБС, КИИ), готовя их к неизбежному: выполнению к середине 2021 года (для участников ССНП и СБП) требований ГОСТ Р 57580.1-2017 “Безопасность финансовых (банковских) операций”. При этом формально отменяя требования 552-П, Банк России оставляет за собой право спросить с банков во время аудиторских проверок отчет о выполнении всех требований 552-П, которые заблаговременно (я бы сказал “технично”) перенесены в Договор кредитной организации с Банком России (см. Приложение 12 “Требования к защите информации, выполняемые клиентом - пользователем СПФС)”.
21 февраля 2019 г.
Ответы Банка России на вопросы банков, связанные с исполнением новых требований в Законе № 161-ФЗ*, внесенных Законом № 167-ФЗ**
* Федеральный
закон от 27.06.2011 № 161-ФЗ ”О национальной платежной системе”.
** Федеральный закон от
27.06.2018 № 167-ФЗ “О внесении изменений в отдельные законодательные акты
Российской Федерации в части противодействия хищению денежных средств”.
Вопрос
1. Распространяются ли требования Закона № 167-ФЗ на следующие виды
операций:
— операции, совершенные без использования электронного средства платежа?
— операции в Интернете с использованием банковской карты?
— любые операции с использованием банковских карт, включая операции
покупки и оплаты услуг?
— операции с использованием любых электронных средств платежа?
— операции снятия наличных?
— р2р-операции?
— операции в финансовых институтах (т.н. операции Quasi cash)?
14 февраля 2019 г.
"Нельзя преодолеть пропасть в два прыжка*": что мешает внедрению биометрии в банках?
*Слова английского государственного и
политического деятеля, премьер-министра Великобритании (1916–1922) Дэвида Ллойда Джорджа (1863–1945)
Несмотря на то, что в конце 2018 года одна за другой следовали победные
реляции от банков о подключении их отделений к Единой биометрической системе
(ЕБС), говорить о массовом запуске сбора биометрии в российских банках пока
рано. Давайте попробуем разобраться, что на самом деле происходит сейчас и происходило
в 2018 году со сбором биометрии клиентов в банках и почему.
Небывалая
спешка при запуске ЕБС привела к тому, что услуга сбора банками биометрии
граждан РФ стала восприниматься как навязанная и политическая по природе: из банков решили
сделать «трубу», по которой ходят биометрические образцы (запись голоса и изображение лица) россиян в государственную Единую
биометрическую систему.
Подписаться на:
Сообщения (Atom)