21 декабря 2018 г.
13 декабря 2018 г.
Кибер-прогноз на 2019: выживут не все
В
2018 году количество кибератак по данным разных источников, совершенных на
российские компании, увеличилось почти вдвое по сравнению с прошлым годом. Количество успешных кибератак с нанесением ущерба
атакованной компании - наоборот, уменьшилось. Нет ли здесь некого противоречия? Действительно ли повысилась
киберустойчивость компаний? Хочется верить…
Однако, два фактора видно
невооруженным глазом: а) информационные инфраструктуры компаний,
построенные на принципах 2000-х годов, давно уже ждут, кто их взломает и б) вал кибератак с
возможным нанесением ущерба. Эти факторы являются в последнее время главенствующими рисками
для компаний любых размеров и форм собственности. Подобные выводы подтверждаются ростом
числа атак, в ходе которых злоумышленники пытаются получить контроль над
инфраструктурой атакованных компаний.
29 ноября 2018 г.
Немного о восточнославянском фольклоре
"ЦБ указал ФСБ на невозможность в полном объеме выполнить требования службы по защите собираемых банками биометрических персональных данных граждан. Речь идет о криптографической защите на уровне гостайны, а необходимого российского оборудования для этого нет. Банкиры подтверждают наличие проблем, но в ФСБ смягчать требования не планируют" (Газета "Коммерсантъ")
Не всё то правда, что газетчики врут и всё же...
Предыстория (полная версия).
В рамках выполнения требований Федерального закона РФ от 31.12.2017 № 482, согласно которому были приняты дополнения в Федеральный закон от 07.08.2001 № 115-ФЗ и в Федеральный закон от 27.07.2006 № 149-ФЗ, кредитные организации должны до конца 2018 года создать центры регистрации биометрических, контрольных шаблонов для обеспечения возможности клиентам - физическим лицам проходить в офисах банков биометрическую идентификацию на безвозмездной основе, а также размещать и обновлять сведения, полученные в ходе биометрической идентификации (изображение лица и голос) в ЕСИА и в ЕБС.
24 октября 2018 г.
Что грядёт на смену 552-П
Обзор того, что в итоге стало называться Положение Банка России № 672-П здесь.
Ознакомившись
с проектом нового Положения “О требованиях к защите информации в платежной
системе Банка России", которое в скором времени придет на смену Положению от 24
августа 2016 г. № 552-П с тем же названием, сначала испытываешь шок от радикальности
“обновления” документа.
Роднит
эти два нормативных документа с одним и тем же названием только тот факт, что
документы подготовлены Банком России. В остальном от 552-П почти
ничего не осталось.
26 сентября 2018 г.
Что интересного по ИБ в проекте Положения Банка России “О требованиях к системе управления операционным риском…
Создается
впечатление, что проект Положения ради рисков ИБ и ИТ и написан. Во всяком случае по
тексту проекта документа в нескольких местах специально указывается: “операционный риск, включая риск ИБ и риск ИС”.
Документ
солидный - из категории 90+ и это не возраст, а количество страниц в Положении.
Далее по тексту мои комментарии будут выделяться так: (Прим.
…).
В
проекте Положения Банк России устанавливает требования к системе управления
операционным риском в кредитной организации и банковской группе (Прим.
далее для краткости - просто “КО”), включая требования к системам
управления риском информационной безопасности и риском информационных систем, а
также ведению аналитической базы данных о событиях операционного риска и
потерях, понесенных вследствие реализации этого риска.
Бегло пробежимся по
тексту проекта Положения Банка России, специально выделяя требования Положения по
ИБ- и ИТ-рискам.
14 сентября 2018 г.
План мероприятий (Дорожная карта) банка по реализации проекта подключения к ЕБС
С 30 июня 2018 года некоторые (единичные) банки начали собирать записи голоса и изображения лиц россиян и отправлять их в Единую биометрическую систему (ЕБС). ЕБС позволит гражданам подтверждать личность без предъявления паспорта и удаленно получать некоторые банковские услуги.
Большинство банков на текущий момент находятся пока еще в стадии разработки проекта по подключению к ЕБС и формирования бюджета.
Одним из вариантов Плана мероприятий (Дорожная карта) банка по реализации проекта подключения
к Единой биометрической системе может быть следующий:
10 сентября 2018 г.
Модель угроз ИБ, актуальных при обработке биометрических ПДн в банке и передаче в ЕБС
Перечень угроз безопасности, актуальных при обработке, включая сбор и
хранение, биометрических персональных данных, их проверке и передаче информации
о степени их соответствия предоставленным биометрическим персональным данным
гражданина Российской Федерации в банке, определен Банком России и ПАО "Ростелеком" в Указании от 09.07.2018 № 4859-У.
В таблице ниже представлена Модель угроз ИБ, актуальных
при обработке биометрических персональных данных в банке,
их проверке в Единой биометрической системе (ЕБС) и передаче информации о степени их соответствия в ЕБС.
23 августа 2018 г.
Алгоритм действий при получении email-сообщения от неизвестного адресата
"При получении подозрительного email-сообщения сделайте подозрительное лицо". Шутка!
А если серьезно...
Типовая схема современной
целевой кибератаки на компанию обычно начинается с массовой рассылки
электронных писем, содержащих вредоносные вложения, на корпоративную почту компании.
Поэтому в рамках повышения осведомленности персонала в вопросах информационной
безопасности необходимо приучать своих сотрудников внимательно изучать
электронные сообщения от неизвестных адресатов прежде, чем что-то делать
(открывать вложения, кликать по ссылке, выполнять действия, изложенные в
сообщении).
18 июля 2018 г.
Алгоритм действий банка в случае инцидентов в ДБО согласно закону РФ от 27 июня 2018 №167-ФЗ
Согласно закону РФ от 27 июня
2018 № 167-ФЗ, в закон от 27 июня 2011 года №161-ФЗ
"О национальной платежной системе" внесен ряд изменений (вступают
в силу спустя 90 дней с момента опубликования). Таким образом, с 26 сентября 2018 года, согласно закону
РФ № 167-ФЗ, банки должны будут оценивать риски несанкционированных
переводов денежных средств и разрабатывать свои критерии таких переводов*. Банк
России, в свою очередь, должен опубликовать критерии определения
потенциально мошеннических операций**.
24 июня 2018 г.
Что ИБ может позаимствовать у игры в футбол?
В разгар Чемпионата мира по футболу
вопрос, вынесенный в заголовок, как никогда актуален.
Что заставляет болельщиков в разных
странах интересоваться всем на свете, что касается футбола? Или безопасников информационной
безопасностью (ИБ)? Только ли когда-то выбранная любимая команда или профессия?
Можно ли это назвать страстью? Как научиться играть так, чтобы постоянно
выигрывать? Ради каких выигрышей стоит готовить себя денно и нощно?
16 мая 2018 г.
Трое в лодке, не считая ...
К годовщине WannaCry Рустем Хайретдинов (Rustem Khairetdinov) у себя на странице в Facebook опубликовал пьесу "Трое и Пипец".
На мой взгляд, 100%-е попадание в тему.
С разрешения автора привожу этот маленький шедевр у себя в блоге.
29 апреля 2018 г.
Проклятие цифровых технологий
Нассим Талеб
На
заре своего зарождения, Интернет
воспринимался как разумная глобализация
мира, в котором возможности всех
объединяются для решения задач каждого.
Теперь, как мы знаем, у отдельного
пользователя Глобальной Сети есть
возможность причинить ущерб каждому...
и это не только печалит,
но и отваживает многих от цифровых
технологий.
15 апреля 2018 г.
Последствия событий, которыми вы не управляете, невозможно просчитать
Если
вы занимаетесь информационной
безопасностью в компании, перед вами
возникают проблемы сиюминутных решений,
действий и, конечно, ответственности. Иногда даже
при решении простых задач возникают
невероятные сложности или происходят
открытия со знаком «минус». Как
регулировать, например, моменты, связанные
с тем, что что-то может пойти не так? Не
все в ИБ можно предвидеть, а любая ситуация
из-за сложной комбинации действий
субъектов-участников может пойти не по
сценарию.
Подписаться на:
Сообщения (Atom)