Карьера безопасника

Эпиграф

– Классная рубаха!

– Спасибо, это мне санитары подарили

Ответы Банка России на вопросы банков, связанные с проблемами при использовании АСОИ ФинЦЕРТ

 

Этот материал был опубликован в  Методическом журнале “Внутренний контроль в кредитной организации” № 4 (48) / 2020 (печатается без изменений).

Департамент информационной безопасности Банка России рассмотрел результаты опроса банков на тему сложностей, возникающих при составлении отчетности по форме 0403203 “Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств» и использовании подсистемы “Фид-Антифрод“ АСОИ ФинЦЕРТ. Регулятор ответил на вопросы и предоставил комментарии по проблемным аспектам информационного обмена[1].

2020-й. Итоги

 Магазин Apple в Сингапуре

При написании итогов года я  решил взять за основу свои записи в Facebook за 2020 в том же хронологическом порядке, как они появлялись у меня в ленте, не особо заморачиваясь насчёт связности текста. Вот что у меня получилось.

План действий служб ИБ и ИТ по приведению системы управления рисками ИБ и ИС в соответствие требованиям Положения Банка России от 08.04.2020 № 716‑П

При подготовке статьи частично использовались материалы, представленные на вебинаре “Положение ЦБ РФ № 716-П. Роль ИТ и ИБ в управлении операционным риском“ от компании “Инфосистемы Джет”.

Впервые этот материал был опубликован в Методическом журнале “Внутренний контроль в кредитной организации” № 4 (48) / 2020.

Вступление

До недавнего времени в кредитных организациях при расчете операционного риска не уделялось должного внимания рискам информационной безопасности (далее - риски ИБ) и рискам информационных систем (далее - риски ИС). Поскольку серьёзных санкций со стороны регулятора за реализацию рисков ИБ и рисков ИС не было, их игнорирование в некоторых кредитных организациях стало обычной практикой. Положение Банка России от 08.04.2020 № 716-П[1] (далее - Положение БР № 716-П), которое вступило в силу с 1 октября 2020 года, призвано исправить ситуацию.

BIS Summit 2020 #bissummit2020

Не думал, что когда-нибудь вернусь к теме впечатлений от ИБ-конференций, но в случае с BIS Summit 2020 "Демо-версия новой реальности" не могу не поделиться своими положительными эмоциями от увиденного.

Топ-менеджмент и ИБ: дружба поневоле

Журнальная версия статьи была опубликована в "Information Security/Информационная безопасность" №4, 2020.

В качестве бодрого начала перефразируем на ИБ-шный лад известное выражение Льва Толстого, с которого начинается роман “Анна Каренина”: “Все модели угроз похожи друг на друга, каждая отдельно взятая взломанная компания уникальна по-своему”.

Океан маркетинговых предложений

С ужесточением кризиса всех накрыл океан маркетинговых предложений в Интернете. Вот как это выглядит в соцсетях.

-Друзья! А какого вы мнения о компании ФуфлоСофт?
-А давайте мы к вам приедем и все расскажем!
-Да, я просто спросил…
-Вот наш чек-лист, заполните, пожалуйста, прежде чем покупать наше решение
-Когда я спросил, я не это имел ввиду…
-А, впрочем, наше решение работает прямо из коробки
-А что за решение?
-Коробка у вас под дверью, счет пришлем с курьером

P.S. Маркетинг - вид человеческой деятельности, направленной на удовлетворение нужд и потребностей клиента, о которых он даже не подозревал.

Алгоритм реализации требований 187-ФЗ

В журнале "Information Security/Информационная безопасность" №3, 2020 опубликован следующий постер с алгоритмом реализации требований Федерального закона 187-ФЗ "О безопасности критической информационной инфраструктуры РФ".

Скачать картинку в формате pdf можно здесь.

ИИ – как предсказатель утечек данных

“Лучше ничего не делать, чем делать вредное” (Л.Толстой)

“Прогресс цивилизации заключается в увеличении количества важных действий, которые мы выполняем не думая” (Альфред Норт Уайтхед)

“Шеф поставил задачу - подобрать DLP-систему и просчитать её стоимость” (с одного из банковских форумов)

Журнальная версия статьи была опубликована в "Information Security/Информационная безопасность" №3, 2020. Там же представлены комментарии производителей DLP-решений по заявленной теме. 

Личный опыт использования какой-либо технологии всегда сильнее любого маркетинга. Опыт работы с DLP-решениями влияет на знание деталей применения, а осмысление этого опыта подталкивает иногда к довольно радикальным формулировкам.

Год 2022. Новое Положение Банка России от 08.04.2020 № 716-П

Все в этой жизни построено на оценке рисков

 

Про план действий служб ИБ и ИТ по внедрению Положения Банка России № 716-П читайте здесь.

Банковская сфера в настоящий момент всё ещё под капельницей, в качестве которой можно рассматривать, например, систему управления операционным риском кредитной организации.

В июне 2020, наконец-то, было опубликовано новое Положение Банка России от 08.04.2020 № 716‑П “О требованиях к системе управления операционным риском в кредитной организации и банковской группе”.

Что общего между DLP* и пандемией?

*DLP - стандартное DLP-решение (Data Leak Prevention) позиционируется как решение по защите от утечек данных и противодействию инсайдерам

"Вакцину ищут лучшие умы. И средние. И худшие. И мы"

Леонид Каганов

От темы пандемии сейчас трудно абстрагироваться, поэтому проведу параллели с DLP.

Красная Шапочка, Спартак и ИБ

Ты за какой клуб топишь, волчара?

Когда весь мир под домашним арестом

Все краткосрочные планы рухнули.

Еще вчера ты был полон надежд и ликовал в предвкушении новых проектов, а сегодня размышляешь: а не метнуться ли из погибающего города спасаться в сельскую глушь.

Биометрия в банках - несуразная, угловатая и противоречивая вся

Впервые эта статья была опубликована в журнале "Information Security/Информационная безопасность"

№1, 2020

В России две беды - нацпроекты и биометрия

С нацпроектами пусть разбирается новое правительство, а с биометрией разбираться нам. Чем, собственно, и займёмся.

Год 2023. Новая редакция Положения Банка России № 382-П (данный материал устарел)

Данный обзор в связи с выходом Положения Банка России от 04.06.2020 № 719-П устарел как в плане отдельных положений, так и сроков вступления в силу. Положение № 719-П вступает в силу с 1 января 2022г., за исключением отдельных положений, для которых предусмотрены иные сроки.

Тост за 100-й пост

Блогерство - написание текстов с коротким сроком годности

Это 100-й пост в блоге “ИБ. Взгляд снизу” – и я подумал - чем не повод ещё раз поразмышлять на тему “блогерства” и соцсетей (а попытки уже были здесь, здесь и здесь).

Сложно сказать, когда блогосфера вошла в мою жизнь. Теперь уже кажется, что так было всегда. Мне всегда нравилось что-нибудь сочинять. Под “сочинять” я подразумеваю сам процесс переноса мыслей, прочитанного, увиденного в написанное.

Между чем и чем не пролетит доллар или кто и как руководит в ИБ?

Не имеет смысла нанимать толковых людей, а затем указывать
что им делать. Мы нанимаем толковых людей,
чтобы они говорили, что делать нам.
Стив Джобс, основатель Apple

Давно мы не рассматривали ситуацию с кадрами в ИБ, а, уж, с руководящими кадрами – тем более.

Хотя попытки были здесь, здесь и здесь.

А про руководителей, “которых все ищут” здесь.

Шесть правил "цифровой трансформации" службы ИБ в 2020 году

Эдвард Сноуден в своей книге "Личное дело" приводит 6 рабочих правил сбора и обработки данных Агентством национальной безопасности (АНБ) США: