Архив автора: ib-blog

Почему отсутствие новой методики моделирования угроз от ФСТЭК это проблема?

Весной (уже далекого) 2015 года для общего доступа был опубликован проект новой методики определения угроз безопасности информации в информационных системах. Уже тогда многие специалисты обрадовались факту разработки ФСТЭКом такого документа, потому что даже 2 года назад было понятно, что старая связка документов «Методика определения…» и «Базовая модель угроз…» мягко говоря, слегка устарели. Но, несмотря на… Читать далее »

Межсетевые экраны по новым требованиям для ГИС 1 и 2 класса и проверка на отсутствие НДВ

Как всем уже известно, с 1 декабря 2016 года действуют новые требования к межсетевым экранам от ФСТЭК. Что можно, а что нельзя делать с межсетевыми экранами, сертифицированными по старым требованиям, я уже писал ранее. Но, по мере появления МЭ, сертифицированных по новым требованиям, особенно по высоким классам защиты, многие операторы ГИС стали задаваться одним интересным… Читать далее »

Информационное сообщение ФСТЭК по межсетевым экранам и изменения (утвержденные) в 17 приказ

Вчера ФСТЭК опубликовал информационное сообщение по по вопросам разработки, производства, поставки и применения межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации. На самом деле, в этом информационном сообщении для меня самым интересным было указание на факт утверждения изменений в 17 приказ ФСТЭК, о проекте которых я уже писал. Но о них позже. Все же,… Читать далее »

Почему все сайты заставляют переходить на HTTPS?

В среде веб-мастеров, SEO-специалистов и простых пользователей сети активно обсуждается вопрос о том зачем нужен https и нужно ли переводить сайты на этот протокол. Попробуем разобраться. Суть проблемы Когда пользователь открывает абсолютно любой сайт в сети, его браузер устанавливает связь с сервером, на котором расположен этот сайт и обменивается с ним информацией. В случае с… Читать далее »

Мои 5 копеек про планируемые изменения в 17 приказ ФСТЭК

В ИБ-среде уже, наверное, всем известно, что опубликован проект приказа о внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17. Свои мысли по этому поводу уже высказали Булат Шамсутдинов и Алексей Лукацкий. У меня есть и свои… Читать далее »

lifehacker.ru: издательство O’Reilly выложило в открытый доступ больше сотни новых книг (в том числе и по ИБ)

Мое любимое издательство выложило в открытый доступ кучу книг, сообщает lifehacker.ru. В списке в том числе есть и раздел «Информационная безопасность». Я себе уже скачал Patrolling the Dark Net. Если книга окажется интересной, то напишу обзор. За этот аукцион невиданной щедрости издатели хотят всего лишь ваше имя, фамилию и электронный адрес (мы же помним, что… Читать далее »

Как крадут наши пароли. Ликбез

Всем доброго времени суток. Закончились предновогодние авралы и зимние каникулы и пора уже что-нибудь написать в блог. Первую запись в этом году я хочу посвятить ликбезу по методам кражи паролей в противовес одной из предыдущих публикаций: Когда вас «взломали» не обязательно бежать менять все пароли. Сразу стоит уточнить, что материал направлен на неспециалистов по защите информации… Читать далее »

Снова об обучении по информационной безопасности

Сегодня (24.11.2016) состоялся координационный совет при Управлении ФСТЭК по ДФО, целиком и полностью посвященный вопросам образования в сфере информационной безопасности. Докладывали и участвовали в совете представители ВУЗов Дальнего востока России, регуляторы – ФСТЭК и ФСБ, а также лицензиаты по ТЗКИ. Из общей риторики всех выступающих вытекала одна главная мысль – вопрос обеспечения квалифицированными ИБ-шниками обсуждается… Читать далее »

ФСТЭК опубликовал требования к операционным системам

На самом деле ФСТЭК опубликовал не сами требования, а небольшую выжимку из них. Сам документ судя по всему грифован и предоставляется по запросу. Если коротко пройтись по информационному сообщению: требования устанавливаются для операционных систем, которые используются как СЗИ (то есть если вы все требования закрываете надстроенными СЗИ, то закупать еще и сертифицированные операционные системы не… Читать далее »

Дальинфоком 2016: обсессивно-депрессивное ИБ

27 сентября посетил мероприятие Дальинфоком-2016. Поскольку круглые столы и мероприятия проходили параллельно, я посетил три круглых стола, посвященных ИБ в государственных и муниципальных органах. О них немного и расскажу. С полным списком (уже прошедших) мероприятий, если кому интересно, ознакомиться можно здесь. Фоточки с круглых столов здесь. На всех трех столах дискутировали и отвечали на вопросы в основном… Читать далее »