среда, 28 декабря 2011 г.

Новый, 2012!

По традиции перед новым годом принято подводить итоги уходящего года. Но итоги это всего лишь констатация того, что уже сделано. По этой причине более интересно сосредоточится на том, что нас ждет и что планируется сделать в течении нового года, а более детально в первые три месяца года нового.
По этому о результатах очень кратко и то, только потому, что они стали плацдармом для дальнейших планов. 

Результаты 2011:
      1.Успешное выполнение проектов по приведению в соответствие компании «Общая карта» требованиям информационной безопасности стандарта PCI DSS 2.0, а так же требованиям безопасности VISA и MASTERCARD. Успешное прохождение аудиторских проверок.
      2. Подготовлен документ для проведения  внутреннего аудита на соответствие стандарту PCI DSS 2.0. Сам документ можно взять тут.
      3. Подготовлены и опубликованы статьи и иные материалы в журналах:
«Inside».
«CIO».
«Персональные данные».
Материалы для блога davydych.blogspot.com которые дополнительно освещались многими ресурсами ресурсами, в том числе:
За что выражаю отдельную благодарность их авторам.
      4. Прочитаны доклады на конференциях, самыми значимыми из которых были:
«Инфобезопасность».
«Infosecurity».
«CIO Summit».
      5. Подготовлены программы обучения:
- "Основы информационной безопасности для менеджеров".
- "Курс информационной безопасности для специалистов и менеджеров смежных областей". В том числе on-line курс, на который уже есть аудитория.
- "Особенности ведения проектов".
- "Личная эффективность". 
Детальное содержание курсов, график и место проведения будет опубликовано в январе 2012 года. Если у кого-то есть живой интерес, просьба написать мне на почту и я вышлю предварительный план занятий.
 
Что же планируется в первом квартале 2012 года?

суббота, 26 ноября 2011 г.

Идеи и их материализация в действия и результаты

Уже неделю хотел написать что-то подобное, но вот только в аэропорту нашлось время. Последние два месяца, были насыщенными как выступлениями, так и публикациями. По результатам общения с людьми, появилось желание поделиться опытом и знаниями. Вследствие чего было опубликовано несколько статей, интервью и комментариев, а часть еще появится до нового года.  
Основные из них приведены ниже:
1.       Журнал «CIO» - «Суета вокруг PCI DSS» (Октябрь 2011, электронная версия тут).
2.       Журнал «Inside»  - «Особенности внедрения и эксплуатации решения класса SIEM» (Октябрь 2011).
3.       Журнал « Inside» - «Особенности подготовки и прохождения аудита соответствия стандарту PCI DSS 2.0. Взгляд изнутри» (Декабрь 2011).
4.       Журнал «Персональные данные» - «DLP не панацея, но сдерживающий фактор» (Декабрь 2011).
Но по причине жестких сроков устранения несоответствий VISA связанных с «переводом» России в Сингапурский офис, а потом и новогодних праздников, статья «Особенности прохождения аудитов VISA и MASTERCARD» будет опубликована после завершения проекта. Скорее всего, в январе 2012 года.
Кроме того, мне кажется интересным направление обучения. Тем более что идеи быстро облачаются в действия и уже есть конкретные результаты.
В феврале 2012 года будет проведено обучение,по программе, о которой я писал ранее. Более детально описано тут. Обучение будет проводится в формате on-line презентаций.  Данный формат выбран, так как ощутимый интерес оно вызвало не только в Москве, но и в других городах, в том числе и Украины. Обучение будет проходить на основе подготовленных презентаций, с предоставлением дополнительных материалов слушателям в электронной форме. В связи, с чем в курсе будет дополнительно рассмотрено законодательство как Украины, так и России.
На данный момент уже есть 2 заявки. Размер группы – не более 10 человек. Стоимость курса 15 000 рублей (14 занятий по 2.5 часа два раза в неделю с 20:00 до 22:30, а так же домашние задания и консультативная поддержка). Более детальная информация по обучению будет предоставлена в течение следующего месяца. При наличии заинтересованности обращайтесь ко мне посредством почты или по телефону. Контакты представлены в низу страницы тут.
С 26 ноября по 12 декабря буду за пределами СНГ, по этой причине лучше пишите на почту. Или будьте готовы раскошелиться на роуминг :-). 
Желаю всем хороших выходных и начала подготовки к новогодним праздникам.  

четверг, 17 ноября 2011 г.

Основы информационной безопасности, как неотъемлемая часть знаний настоящего менеджера

Получив высшее образование в Национальном техническом университете Украины КПИ по специальности «Защита информации в компьютерных системах и сетях» и работая в течении последних 6 лет на территории Украины, России и Азербайджана мне довелось работать в международных ИТ компаниях, банке, интеграторе и процессинге. Параллельно с этим я занимался впитыванием фундаментальных знаний по информационной безопасности, финансам, проектному и функциональному менеджменту, психологии и прочим профильным дисциплинам, необходимым не только менеджеру, но и любому развитому человеку.
За это время я прошел путь от инженера до руководителя отдела информационной безопасности, успев побывать и аудитором, и проектным менеджером. Внедряя комплексные системы информационной безопасности, на основе разных проектных методологий и проводя аудиты соответствия разным стандартам, в компаниях с разной организационной структурой: проектной, функциональной, смешанной. Сталкиваясь с особенностями законодательства разных стран.
И на всех этапах общаясь с огромным числом людей: ТОПами, менеджерами, специалистами, руководителями проектных офисов и бизнес подразделений, я наблюдал одну и ту же ситуацию, когда в зависимости от профиля направленности, опыта и образования, люди часто были столь далеки друг от друга, что не могли понять, когда говорили об одном и том же, но разными словами. И дело не столько в разной терминологии, сколько в разном взгляде на один и тот же процесс, на его конечный результат.
Я шел от технического специалиста, сначала в функциональный, а потом и проектный менеджмент. На этом пути стараясь заполнить пробелы в необходимых знаниях сначала в «Международном университете финансов» в Киеве, а не так давно и в Российском университете дружбы народов в Москве, где структурировал свои знания в вопросах управления и вопросов коммуникации закончив курс МВА.
Готовя в последние 2 месяца статьи и интервью в разные журналы («Inside», «Персональные данные», «CIO», online издания и блоги ) и выступая с докладами на конференциях («Infosecurity», «Инфобезопасность», «Russian CIO summit») я учился как можно понятнее и проще доносить специфику ИБ до широкого круга слушателей. И наблюдал, что потребность говорить на одном языке у руководителей высшего звена, менеджеров, проектных руководителей, ИТ-менеджеров, бизнес аналитиков и специалистов безопасности имеет огромное значение. Умение ИТ менеджеров, и менеджеров информационной безопасности говорить языком бизнеса и умение бизнеса понять суть того, что ему говорят о безопасности превратилось в неизбежную необходимость. И от этого на прямую зависит скорость, а зачастую и весь результат работы. Так как внедрять безопасность поверх уже построенных процессов постфактум, учитывая их комплексность и сложность становиться слишком затратным и крайне не результативным решением.  
             Все это привело к тому, что подумав, мной было принято предложение читать курс «Основы информационной безопасности» в рамках программы МВА в РУДН. И сейчас состав данного курса согласовывается. Но его длительность всего 16 часов. Что, безусловно, крайне мало.
На данный момент есть желание подготовить более основательный курс. Который  позволял бы менеджерам непрофильных направлений сформировать базовое понимание, что такое информационная безопасность и из чего она состоит. Что позволило бы понимать, что истинно полезного в ней бизнесу, где и как она может быть применена.

среда, 12 октября 2011 г.

Форма для проведения аудита соответствия стандарту PCI DSS по версии 2.0.

И З М Е Н Е Н О!

Так как не все могли скачать файл с googledocs заменена ссылка на файл. Файл загружен на файлообменник Ffiledeluxe.

Перед скачиванием убирайте галочку "С помощью нашего фирменного загрузчика Turbobit Downloader".

Ниже предоставлена ссылка на документ, разработанный мной для проведения аудита соответствия компании требованиям стандарта PCI DSS 2.0. 
В документе около 200 страниц. По этой причине перед открытием полностью загрузите его на свой компьютер.

Форма для проведения аудита соответствия стандарту PCI DSS по версии 2.0.


Документ на русском языке. При его подготовке были использованы переводы компаний «Информзащита» и «Digital Security».

Список изменений во второй версии стандарта фигурирующий в документе, был взят тут.
Так же в документе учтены комментарии экспертов в области информационной безопасности.
Документ содержит детальные требования документа «ROC Reporting Instructions for PCI DSS v2.0».
При возникновении спорных моментов в «чтении» пунктов стандарта всегда стоит отдавать предпочтение формулировкам оригинала. Оригинал стандарта можно найти тут.
Практическая эксплуатация данного документа показала практическую пользу от его использования.
Надеюсь, что он окажется полезен и другим специалистам. 



При возникновении вопросов или предложений, просьба обращаться используя контакты, которые приведены тут (внизу страницы).

понедельник, 10 октября 2011 г.

Доклад на "Инфобезопасность 2011". Тема: "Особенности подготовки и прохождения аудита соответствия стандарту PCI DSS 2.0. Взгляд изнутри".

В рамках прошедшей  конференции "Инфобезопасность 2011" читал доклад на тему: "Особенности подготовки и прохождения аудита соответствия стандарту PCI DSS 2.0. Взгляд изнутри". 
Выкладываю презентацию, как и обещал.

Особенности подготовки и прохождения аудита соответствия стандарту PCI DSS 2.0. Взгляд изнутри.

Постараюсь, до конца недели выложить файл для самостоятельного внутреннего аудита на предмет соответствия PCI DSS 2.0.

среда, 5 октября 2011 г.

Доклад на CIO Summit по теме: "Особенности практического внедрения решения класса SIEM". Презентация.

В рамках прошедшего CIO Summit 2011 делился опытом по теме "Особенности практического внедрения решения класса SIEM".

Судя по вопросам вне презентации, тема порадовала простотой и практической направленностью собственников бизнеса и журналистов, а вовсе не ИТ директоров. Возможно, у меня просто сложилось такое мнение по результатам не репрезентативной выборки из задававших вопросы.

В любом случае выкладываю презентацию, как и обещал.

Особенности практического внедрения решения класса SIEM

Мероприятие очень понравилось, в первую очередь людьми, которые его посетили. Очень приятная и мягкая атмосфера.

среда, 28 сентября 2011 г.

Доклад "Построение процесса управления сетевыми уязвимостями". Презентация.

Как и обещал в рамках доклада на конференции Infosecurity 2011, выкладываю презентацию. 

Ознакомится с ней Вы можете по ссылке, указанной ниже.


Спасибо всем, кто уделил время и кому данная информация действительно оказалась полезна. 

Очень рад был видеть коллег и просто знакомых. Как из Москвы, так и других стран.Спасибо за компанию и интересное общение.

вторник, 27 сентября 2011 г.

Особенности подготовки и прохождения аудита соответствия стандарту PCI DSS 2.0. Взгляд изнутри.

Лето этого года выдалось не таким жарким, как предыдущее, что касается погодных условий. Но это с лихвой компенсировалось жаркими баталиями вокруг стандартов в области информационной безопасности. Безусловно, первое место в этой номинации занимает «Закон о персональных данных».  А вот второе место за стандартом платежных систем «PCI DSS». И это почетное место за ним закрепилось столь заслуженно, что в рамках обсуждения на конференции «Вопросы применения и соответствия стандартам PCI DSS/PA DSS» его даже хотели включить ссылкой в стандарт Банка России (СТО БР ИББС).
В данной статье речь пойдет как раз о стандарте PCI DSS 2.0, который обязателен для соответствия с 2012 года. О самом стандарте и комментариях к нему написано много. По этой причине, основной целью данной статьи является не ознакомление с пунктами стандарта и даже не их трактовка, а освящение с практической стороны некоторых важных моментов.

пятница, 16 сентября 2011 г.

Выступления на конференциях. Осень 2011.

Ежегодно на протяжении нескольких недель, начиная с конца сентября, в Москве проходят достаточно интересные конференции и выставки по информационной безопасности и информационным технологиям. И этот год не стал исключением.
 
28 - 30 сентября пройдет «Infosecurity 2011»
2 - 4 октября пройдет «Russian CIO Summit 2011»
4 - 6 октября пройдет «Инфобезопасность 2011»
 
Я рад, что в этом году меня пригласили в них участвовать в роли докладчика. Как и обещал ранее, выкладываю даты выступлений и темы докладов.
 
28 сентября в рамках «Infosecurity 2011» в рамках круглого стола «Управление информационной безопасностью и управление затратами на информационную безопасность» будет прочитан доклад на тему «Построение процесса управления сетевыми уязвимостями» (Зал 2, с 11:00 до 13:45).
Более детально план мероприятий можно посмотреть тут
Доклад более практического, нежели теоретического содержания. В рамках доклада будут рассмотрены практические аспекты построения процессов управления сетевыми уязвимостями и соответствием. Приведены примеры из реальных проектов. Особо затронуты проблемные моменты, которые возникают при построении данного и смежных процессов. 

3 октября в рамках «Russian CIO Summit 2011» в рамках сессии «Мобильность и безопасность – главные тенденции современной ИТ-системы?» будет прочитан доклад на тему «Особенности практического внедрения решений класса SIEM» (выставочный зал № 2, 15:00).
Более детально план мероприятий можно посмотреть тут:
Целью доклада является ознакомление слушателя с практическим опытом внедрения системы SIEM. Хотелось бы указать на основные моменты, требующие внимания и поделится опытом, полученным в рамках реального внедрения SIEM (ArcSight) в банковской сфере. В рамках доклада будут последовательно рассмотрены все фазы проекта по внедрению решения данного класса.

5 октября в рамках «Инфобезопасность 2011» в рамках семинара компании НИП «ИНФОРМЗАЩИТА» будет прочитан доклад на тему «Особенности подготовки и прохождения аудита соответствия стандарту PCI DSS 2.0. Взгляд изнутри» (7 павильон, 5 зал 12:15-14:00).  
Более детально план мероприятий можно посмотреть тут:
Речь пойдет об опыте практического внедрения второй версии стандарта PCI DSS. В рамках доклада будет представлен взгляд на задачу приведения в соответствие компании требованиям стандарта в меньшей мере со стороны аудитора, а в большей степени со стороны руководителя информационной безопасности либо руководителя проекта.
Целью доклада является предоставление слушателям информации по главным вопросам, которые стоит учесть в рамках подготовки, предоставлении практических материалов, которые использовались и могут Вам помочь в дальнейшем. Указание на типичные допускаемые ошибки и сферы, на которые стоит обратить повышенное внимание. А так же будет последовательно рассмотрены все фазы проекта.

На данном докладе я хотел бы остановиться отдельно. Его подготовка началась еще около двух месяцев назад, но все эти два месяца представители конференции «Инфобезопасность 2011» морочили мне голову то соглашаясь, то отказываясь предоставить бесплатное участие. Хотя по моему мнению информация указанная в нем будет безусловно полезна для слушателей.
Я хотел бы выразить благодарность компании НИП «ИНФОРМЗАЩИТА», которая в течении одного дня определилась, что мое участие ей интересно и уладила все вопросы предоставив свое время для выступления. Не выдвигая требований по скрытой рекламе и пр. Мне хочется верить, что и представители конференции  «Инфобезопасность» задумаются, стоит ли выдвигать одинаковые требования для всех докладчиков. Либо, возможно, стоит разбираться, какие из докладов направлены на повышение продаж, а какие на обмен опытом. Все же мероприятие называется конференция. И первоочередная ее направленность – это обмен опытом. 

Буду рад, если указанные темы докладов Вам интересны. Надеюсь, что уделенное Вами время позволит Вам получить полезную информацию. 

Буду рад видеть интересных слушателей и собеседников.

понедельник, 12 сентября 2011 г.

Насыщенная осень после не менее насыщенного лета

Давно не выкладывал информацию в блоге. Не смотря на то, что август считается месяцем отпусков, для меня он выдался временем очень насыщенной и плодотворной работы. По этой причине на написание статей не оставалось времени. Но осень намечается тоже очень  динамичной и интересной. Думаю, что удастся наверстать упущенное и поделится интересной информацией. 
Так получилось, что именно на август пришлись аудиты VISA и MASTERCARD, которые потребовали много времени и сил. Как на подготовку, так и на их проведение. Наложило свой отпечаток и интернациональность аудитов (Гонконг, США). Не то что бы мешал интернациональный барьер, но некоторые дополнительные вопросы появлялись. Тем более, что с прошлого года Россия подчинена азиатскому офису VISA, а не европейскому. А соответственно сменились и кураторы.
Да и сами аудиты VISA и MASTERCARD отличаются от того же PCI DSS. Возможно, позже уделю этому внимание. Тема, безусловно, интересная, но с ограниченным числом лиц, которым может быть реально полезна.
Так же на данный момент в завершающей фазе находится подготовка компании к прохождению аудита соответствия PCI DSS 2.0. Что тоже требует времени и усилий. Движущиеся проекты требуют изменений топологий сети и настройки систем, процессов и документов прямо в ходе подготовки к аудиту. Что не упрощает задачу приведения к соответствию компании и контроля за уже существующими процессами.
Так же сейчас готовится 3 статьи в профильные издания. Две статьи планируются в сентябре и октябре в одном из российских издании. А одна в зарубежном (не СНГ). Когда точно буду знать о дате выхода в печать или уже по факту тиража, упомяну об этом.
Так же готовятся доклады на конференции:
«Infosecurity Russia 2011»
“Инфобезопасность 2011”
«Russian CIO Summit».
О темах, датах, времени и залах в которых будут проводиться доклады, обещаю написать в конце этой недели. 

вторник, 26 июля 2011 г.

Подписан закон, уточняющий правила обработки и передачи персональных данных

Президент РФ Дмитрий Медведев подписал федеральный закон "О внесении изменений в Федеральный закон "О персональных данных", принятый Госдумой 5 июля 2011 г и одобренный Советом Федерации 13 июля.
Закон направлен на повышение роли договорного регулирования отношений в области обработки персональных данных и совершенствование организации обработки персональных данных. Законом уточняются основные принципы и условия обработки и передачи персональных данных.

четверг, 21 июля 2011 г.

Несерьезно о серьезном

Пересматривал профильные блоги, форумы и другие источники по информационной безопасности. Что стараюсь делать регулярно, хотя и жаль что далеко не всегда хватает времени. Спасибо коллегам, за то что есть возможность знакомиться только с самыми интересными тенденциями и событиями включая в перечень их блоги. Весь список ресурсов с информацией из которых я стараюсь знакомится приведен тут.
Натолкнулся на две публикации. Каждая из них больше похожа на те статьи, которые готовятся к 1 апреля. Они скорее озорные, чем тематические. Но в каждой из них затронут смысл и вполне реальные жизненные вопросы, которые на слуху у каждого специалиста в области ИБ.
Вот они:
Как говорится - если про это начали рассказывать анекдоты, значит это действительно актуально. 



пятница, 15 июля 2011 г.

Компьютерные мошенники вызывают больше одобрения общества, чем специалисты по информационной безопасности?

Некоторое время назад натолкнулся на статью. Ничего в ней нет особенно примечательного (как для специалиста по информационной безопасности), но вот комментарии меня заинтересовали. И если бы ни их неоднозначность, я бы не придал этому значения и забыл о ней. Но мне показалась интересной данная тема, и я решил подождать некоторое время в какую сторону пойдет дискуссия.
Статья относительно банальна (по моему мнению) и излагает следующее:
«СБУ совместно с правоохранительными органами других стран прекратила противоправную деятельность международной преступной группировки хакеров, организованной гражданами Украины под прикрытием легальной коммерческой структуры.
Как рассказали в СБУ, используя специализированный компьютерный вирус Conficer, хакеры получали доступ к счетам в иностранных банковских учреждениях в разных странах, снимали с них деньги и переводили в наличные.

понедельник, 11 июля 2011 г.

"Горяченькие" стандарты ISO.

ISO готовит интересный стандарт "Information technology -- Security techniques -- Information security for supplier relationships", посвященный вопросам взаимоотношений с поставщиками продуктов и услуг. Он будет иметь номер 27036. Интересно, что еще несколько месяцев назад данный стандарт назывался "Guidelines for security of outsourcing". Возможно авторы расширили сферу применения, а может быть сделают несколько частей одного стандарта, описывающие различные аспекты взаимоотношений с внешними поставщиками продуктов и услуг (собственно их уже две - вводная и с набором требований).

В ISO также  разрабатывают стандарт ISO 27015, который является переложением 27001/27002 на финансовую отрасль. Однако Visa и MasterCard против этого стандарта. Первая компания считает, что проект стандарта не содержит много нужной информации (например, по платежным системам), а если ее туда добавить, то стандарт надо переносить в другой комитет ISO. И вообще Visa считает, что эту работу надо прекращать ;-) У MasterCard предложение такое же, но мотивация другая - мол, в финансовой отрасли и так полно регулирующих тему ИБ документов.

В ISO (совместно с ITU-T, ISACA, NIST и ENISA) сейчас начата работа по созданию стандарта по безопасности облаков. Рабочее название - "Information technology – Security techniques – Guidelines on Information security controls for the use of cloud computing services based on ISO/IEC 27002". Несмотря на большой объем предварительной версии документа - это даже не проект, а альфа-версия проекта документа, выпуск которого планируется на 2013-й год.

Столь интересная и актуальная информация почерпнута из блога Алексея Лукацкого, сам блог находится тут.


пятница, 24 июня 2011 г.

Свеженькое и интересное

Так как периодически стараюсь просматривать новости по вопросам ИБ на всевозможных сайтах и блогах, появилось желание делится лучшим. Ниже предоставлены материалы которые показались интересны мне и думаю, будут интересны Вам.
Идея не нова и в частности еженедельные выборки "лучшего" можно находить в блоге у Дмитрия Орлова тут.
Но все же некоторые посты отличаются и возможно посчитаются "лучшим" другой аудиторией. 

четверг, 9 июня 2011 г.

Аудит. Взгляд изнутри.

Для многих аудит, как и любая проверка, ассоциируется с жесткими аудиторами и горами дополнительной работы перед их приходом. А так же еще несколькими бессонными ночами непосредственно в процессе. Я не знаю, как проходят экономические аудиты, но думаю, что особых отличий нет. В данной статье за основу взят процесс проведения аудита на соответствие PCI DSS в России и странах СНГ. Хотя страна, впрочем, для международного стандарта, тоже не важна.
Каков же данный процесс изнутри и как его облегчить?
Все начинается даже не с подписания договора на аудит или пред аудит. Все начинается с решения компании (читай директора) о необходимости прохождения аудита. И тут есть два варианта развития событий: аудит необходимо пройти по требованию клиентов или платежных систем, что бывает – чаще, либо аудит инициируется и отстаивается перед директором компании начальником отдела информационной безопасности(ИБ) - реже. В первом случае аудит спускается как «Божья кара» на сотрудников ИТ и ИБ подразделений, так как дополнительной работы добавится, в должностных инструкциях ее может и не быть, а зарплата остается на прежнем уровне. Тут все зависит от коллектива, руководителя ИБ и конкретной компании. Если коллектив удастся мотивировать, чем – это уже вопрос менеджмента и к данной статье не относится, то результат, безусловно, будет. Результат будет, даже в том случае если персонал будет не мотивирован, но применяться будет уже иной метод – метод кнута.

четверг, 2 июня 2011 г.

Новая работа, новые цели, новые перспективы.

Хотел бы донести до Вас, коллеги, некоторую информацию. Думаю, что она будет Вам интересна и возможно, что даже полезна.
С середины мая 2011 года я сменил место работы и более не работаю в компании «ЕВРААС.ИТ».
Компания, с которой я планирую строить дальнейшие отношения, это процессинговый центр  «Общая карта», которая входит в состав «БИНБАНКА». Где на данный момент я и занимаю должность, которая звучит как CISO - Chief Information Security Officer.  И подразумевает построение и поддержание процессов информационной безопасности, подготовку к прохождению аудитов платежных систем VISA, MASTERCARD и соответствию стандарту PCI DSS. 

Кроме того неотъемлемой частью работы является ведение проектной деятельности, которая охватывает такие сферы как внедрение систем информационной безопасности, разработку внутренней документации и стандартизации процессов. Надеюсь, что данные сферы ответственности позволят мне реализоваться в полной мере, а компании получить максимальный результат от моей работы.  

понедельник, 30 мая 2011 г.

Перевод книги Шона Харриса "CISSP All-In-One Exam Guide"

Не так давно натолкнулся на перевод книги Шона Харриса "CISSP All-In-One Exam Guide".
Рад отметить, что благодаря одному из наших коллег, мы все обладаем возможностью облегчить процесс подготовки к данной сертификации.
В качестве обращения хочу привести слова самого автора перевода: 
"Надеюсь, что русский вариант книги поможет лучше понять предмет ИБ начинающим специалистам, которые еще не успели хорошо изучить английский. Для уже состоявшихся специалистов по ИБ книга может послужить хорошим справочником и набором лучших практик при разработке нормативных документов и организации различных процессов ИБ."
 
С радостью делюсь ссылкой на данный шедевр! 

Ссылка.

среда, 25 мая 2011 г.

Интервью с директором компании «Антивирусная лаборатория Цебит», Виктором Жора


Виктор Жора – директор компании «Антивирусная лаборатория Цебит».
Компания предоставляет полный комплекс услуг в области информационной безопасности, обладая глубокой экспертизой в сферах защиты от вредоносного программного обеспечения и построения систем управления информационной безопасностью.



Добрый день. Спасибо, что нашли время ответить на несколько вопросов.

1.    Я знаю, что Вы, как и я, заканчивали Физико-технический институт Киевского политеха, но одного из первых выпусков. Почему пошли учиться именно туда?

Направление защиты информации, которое всегда меня привлекало, стало очень актуальным в 90-х годах. Эта тематика была новой, перспективной, а на рынке ощущался значительный дефицит специалистов. Одним из первых украинских вузов, открывших учебное направление в сфере защиты информации, был Национальный технический университет Украины «КПИ». На базе физико-технического факультета, созданного в 1995 году, была сформирована мощная преподавательская команда, преимущественно состоявшая из выпускников Московского физико-технического института. В учебном процессе киевский физтех ориентировался на программы МФТИ, предполагавшие углубленное изучение математики, физики, информационных технологий и иностранных языков. По моему убеждению, специалист ИБ должен обладать серьезной подготовкой в области фундаментальных дисциплин, а криптоаналитика, к примеру, вообще невозможно представить без глубоких знаний высшей алгебры, комбинаторики и функционального анализа. В итоге, несмотря на успешную сдачу вступительных экзаменов в МФТИ, я принял решение остаться в Киеве и поступил в КПИ, о чем ни на секунду не пожалел.

среда, 18 мая 2011 г.

Обзор изменений в стандарте PCI DSS версии 2.0 по сравнению с версией 1.2.1

Основой данной публикации послужила информация размещенная достаточно давно на ресурсе pcidss.ru, Сергеем Шустиковым. Но как мне кажется, именно сейчас компании начали задумываться о том, по какой версии проходить или подтверждать соответствие стандарту PCI DSS. И эта информация становится все более актуальной.
С одной стороны нет никаких запретов на протяжении 2011 года проходить аудит на соответствие стандарту PCI DSS по версии 1.2.1. С другой стороны с 2012 года, единственной версией по которой можно будет это сделать станет 2.0. Так как же поступить?
Рассмотрим отличия которые появились в версии 2.0

Требование 1
  • Во введении к требованию отмечено, что функциональность межсетевого экранирования может быть реализована не только традиционным межсетевым экраном.
  • В требовании 1.3.1 уточнено, что входящий трафик, проходящий через DMZ, должен быть ограничен протоколами, необходимыми для предоставления авторизованных сервисов, перечень которых составлен при выполнении требования 1.2.1.

понедельник, 9 мая 2011 г.

Создание российской профессиональной ассоциации специалистов по информационной безопасности — АРСИБ

Инициативная группа, в которую вошли известные ИБ-специалисты России, объявила об образовании российской профессиональной ассоциации специалистов по информационной безопасности — АРСИБ. Казалось бы, в России уже есть “Ассоциация защиты информации”, есть и комитет по информационной безопасности в российском “Союзе ИТ-директоров” (СоДИТ), представлено направление ИБ и в других профессиональных общественных организациях. Как пояснил председатель правления новой ассоциации Виктор Минин, АРСИБ отличает от прочих общественных объединений то, что это единственная из них, которая непосредственно будет представлять интересы сообщества потребителей средств защиты информации. Одной из своих первостепенных задач ассоциация считает повышение престижа профессии руководителя службы ИБ, защиту интересов ее представителей как внутри организаций и компаний, так и на государственном уровне. 

понедельник, 25 апреля 2011 г.

Интервью с идеологом и вдохновителем Virtualization Security Group Russia - Марией Сидоровой

Мария Сидорова - заместитель руководителя направления «Защита виртуальных инфраструктур» компании «Код Безопасности», руководитель некоммерческого объединения российских специалистов, занимающихся вопросами обеспечения информационной безопасности инфраструктур виртуализации - Virtualization Security Group Russia и главный редактор портала VirtualizationSecurityGroup.Ru.



Добрый день. Спасибо, что нашли время для встречи!

1. Расскажите, что послужило отправной точкой для создания портала VirtualizationSecurityGroup.Ru?
Первоначально была идея создания экспертного сообщества, объединения специалистов, которые занимаются как вопросами виртуализации, так и вопросами обеспечения информационной безопасности, для обмена опытом и популяризации вопросов правильного построения систем информационной безопасности для виртуальных инфраструктур, а также развития рынка в целом. Мы создали страничку группы в LinkedIn, однако со временем нам стало тесно в пределах этого формата, возникало много новых идеи и проектов, и вот результат – в декабре 2009 года у нас появился собственный портал. Портал мы создавали, когда нас было уже шестеро. После появления портала к нашей команде присоединился Алексей Колесников, который в настоящее время вместе со мной координирует работу группы.

пятница, 22 апреля 2011 г.

Публикация в журнале «Inside. Защита информации»

В апрельском номере журнала «Inside. Защита информации» опубликована статья моего авторства, под названием: «Обнаружение и нейтрализация уязвимостей корпоративной сети».


С данной статьей в несколько измененном виде, Вы также можете ознакомиться на данном блоге.  

четверг, 21 апреля 2011 г.

Международные стандарты информационной безопасности и законы стран СНГ

В разделе "Законы и стандарты" опубликованы международные стандарты и лучшие практики по вопросам информационной безопасности.
А так же законы и стандарты России, Украины, Белоруссии, Азербайджана и Таджикистана.

ISO\IEC
CERT
CIS
SANS 
PCI DSS
NIST

вторник, 19 апреля 2011 г.

Стандарт PCI DSS v 2.0 доступен на русском

Сообщество PCIDSS.RU совместно с Digital Security выпустило русскую версию стандарта PCI DSS 2.0, которая вступила в силу еще с 1 января 2011 года.
Данная версия стандарта отличается в некоторых моментах от предыдущей. А именно в описании вопросов виртуализации и расчета рисков.

Несмотря на то, что стандарт версии 2.0 вступил в силу с 1 января 2011 года, участники индустрии платежных карт могут использовать предыдущую версию до конца 2011 года. Подобная инициатива Совета PCI SSC позволяет выполнить постепенный переход на новую версию. Следующая версия будет подготовлена Советом PCI SSC в течение трехлетнего жизненного цикла.


Информация предоставлена ресурсом: "Virtualization Security Group Russia". 

понедельник, 4 апреля 2011 г.

Обзор рынка информационной безопасности Украины

Начнем с очевидных фактов – рынок информационной безопасности в Украине существует и развивается, несмотря на общую неблагоприятную рыночную обстановку. В нашем понимании участниками рынка информационной безопасности (ИБ) кроме потребителей и поставщиков услуг и решений, также выступают украинские и международные регуляторы. Еще участниками можно считать новый для Украины сегмент страхования рисков информационных технологий (услуга на Украине только начала развиваться). Ниже приведена структура современного рынка ИБ Украины.


среда, 30 марта 2011 г.

Отчет с результатами исследования состояния рынка компьютерных преступлений за 2010 год совершенных выходцами из СНГ и прогнозы на 2011 год

Компания GROUP-IB опубликовала отчет с результатами исследования состояния рынка компьютерных преступлений за 2010 год совершенных выходцами из СНГ.
В нем рассматриваются основные угрозы, связанные с различными видами хакерской активности, анализируются основные услуги, предлагаемые компьютерной мафией, даются оценки доли «русского» сегмента общемирового рынка киберпреступности, а также приводятся прогнозы относительно тенденций развития данного рынка в 2011 году.

В ходе исследования специалисты провели анализ основные услуг, предлагаемых на «русском» рынке компьютерных преступлений, что позволило им дать оценки финансовых показателей «русского» сегмента общемирового рынка киберпреступности за 2010 год, а также спрогнозировать тенденции развития данного рынка в 2011 году.

пятница, 25 марта 2011 г.

Актуальность и особенности внедрения решений класса SIEM

При нынешних темпах развития информационных технологий, невозможно представить себе компанию, которая бы не пользовалась программными продуктами. Так как они - неотъемлемая часть технологий для управления бизнес процессами. И как следствие, администраторам приходиться следить за работоспособностью всего парка данных систем. Использование программного обеспечения позволяет автоматизировать многие процессы, контролировать безопасность и обеспечивать отказоустойчивость систем. Но с другой стороны  это заставляет персонал тратить огромные человеческие ресурсы на поддержание в функционирующем состоянии, защиту и анализ событий, генерируемый данной информационной инфраструктурой. Что далеко не всегда приемлемо. А если учесть что парк из разнородных систем не редко исчисляется десятками, а то и сотнями типов систем, то трудно представить, сколько задействованного персонала понадобиться, что бы анализировать события с этих систем и своевременно на них реагировать.

вторник, 22 марта 2011 г.

Интервью с идеологом Ukrainian Information Security Group - Глебом Пахаренко

Пахаренко Глеб является сотрудником ИТ компании «Инфопульс Украина», где занимает должность менеджера по безопасности.
Компания «Инфопульс Украина» предоставляет комплекс услуг по проектированию, разработке, тестированию и внедрению программного обеспечения, а также управлению IT инфраструктурой. Основные направления деятельности компании: портальные решения, системы для управления документооборотом, продукты для оптимизации затрат на мобильную связь.

понедельник, 28 февраля 2011 г.

Построение процессов управления сетевыми уязвимостями и соответствием

Данная статья отражает мнение автора, как физического лица. Статистическая информация, названия юридических лиц, компаний и торговых марок предназначены сугубо для ознакомления и не преследуют маркетинговые либо какие-то иные цели.
 
В современных рыночных условиях, отличающихся особо жесткой конкуренцией, непрерывная работа информационной инфраструктуры компании является первоочередной задачей для качественного ведения бизнеса. Если прибавить к этому все возрастающую ценность конфиденциальной информации для компании любого сектора экономики, а так же ценность ее репутации то можно говорить об обязательности действий по обеспечению информационной безопасности и непрерывности бизнеса.
Зачастую инциденты взлома узлов информационной сети компании приводят не только к потере информации или ущербу репутации, но и к прямым финансовым потерям. 
Кроме того, требования о необходимости соответствия международным стандартам (ISO27001, PCIDSS), а так же стандартам РФ: СТО БР ИББС и ФЗ-152 переходят из разряда рекомендательных в разряд обязательных.
Как показывает статистика, каждую секунду по всему миру хакеры осуществляют более 100 атак на различные компьютеры. По мнению экспертов компании Symantec каждые 4,5 сек. одна такая атака влияет на работу какого-либо компьютера. А сумма ущерба от взлома компьютерных систем превышает 600 млн. в год.
Одними из основных причин происходящего являются:
-        Наличие не устраненных уязвимостей в информационных системах.
-        Несвоевременная установка обновлений безопасности.
-        Неправильная настройка программного обеспечения или использование настроек по умолчанию.
-        Некомпетентность специалистов.
-        Отсутствие процесса управления уязвимостями информационной системы как такового.
-        Отсутствие контроля сроков и качества процессов ИБ.
-        Соответствие стандартам только «на бумаге».