PCI DSS - Information Supplement: Third-Party Security Assurance

PCI Council опубликовал документ – «Third-Party Security Assurance».  Выбор и управление взаимодействием с контрагентами (ИТ).

Документ доступен на официальном сайте.

Несколько слов по результатам парламентского слушания «Законодательное обеспечение развития информационного общества в Украине» от 18.06.14 в Верховной Раде Украины

Что бы дети были мытыми и чистыми их нужно мыть и чистить… (так мог бы сказать Капитан Очевидность или политик).

В рамках трех часовых слушаний, на которые я был аккредитован в роли эксперта в области информационной безопасности, планировалось заслушать порядка сорока докладчиков. Понятно, что в рамках такого регламента никакие обсуждения не состоялись (хотя и планировались).

Мой интерес к данному слушанию вызвал документ «Закон про основы информационной безопасности Украины», а так же выступление главы государственной службы спецсвязи и защиты информации и начальника управления по борьбе с киберпреступностью МВД Украины.

Что касается документа «Закон про основы информационной безопасности Украины», то по нему был подготовлен ряд предложений инициированных коллегами из «Исака Киев» (обсуждение проекта закона доступно тут).

На данный момент они переданы «Комитету по информатизации» и по возможности будут направлены другим учреждениям, вовлеченным в процесс обеспечения информационной безопасности Украины.    

Что же касается других моментов, то был поднят вопрос национального антивируса и ОС (обсуждение инициативы доступно тут).

Много было сказано о необходимости создания единого курирующего органа, для избегания дублирования функций, развития ИТ на техническом и законодательном уровне, дублирования информации в разнородных базах данных, повсеместное использование ЭЦП и пр. Все это хорошо и правильно, вот только напомнило анекдот «Мышки, станьте ежиками…». Инициативы отличные, но со слишком высокоуровневой формулировкой, посмотрим, как будет с реализацией. Частично планируется решить более низкоуровневые вопросы путем создания «Комитетов» по тем или иным вопросам. 
Доклады и предложения зарубежных коллег, были более прикладными и изобиловали примерами реализации и этапами достижения. То же самое можно сказать и о докладе директора «Майкрософт Украина».  

В завершении хочется сказать, что безусловно приятны изменения, которые произошли за 6 месяце с декабря 2013 года и, возможно, законотворчество становится несколько более открытым для экспертов и игроков рынка. С другой стороны, все-таки большинство докладчиков представляющих государственные органы выступают «с листка» и по моему субъективному мнению в значительно большей мере обеспокоены переделом сфер влияния и финансирования, а к внедрению адекватных законодательных изменений и развитию отраслей относятся скорее по остаточному признаку. 
Ничего не меняется за один день, надеюсь, что с течением времени взаимодействие представителей государственных органов с экспертами в вопросах законотворчества будет неуклонно расти. И мы сможем пользоваться качественной законодательной базой, а так же удобными государственными сервисами. Вот только путь этот может быть долгий и тернистый…        

Парламентские слушанияя в Верховной Раде Украины по проекту «Закона про основы информационной безопасности Украины»

В среду, 18.06.14 в Верховной Раде Украины пройдут парламентские слушания по теме «Законодательное обеспечение развития информационного общества в Украине». 

В рамках данных слушаний планируется рассмотрение проекта «Закона про основы информационной безопасности Украины».

Буду рад встрече с коллегами. 

Презентация с доклада «Поэтапный процесс построения информационной безопасности в Компании» в рамках конференции «Outsource people»

Дополнено презентацией - скачать.

В Воскресение, 15 июня в 12:40 буду читать презентацию «Поэтапный процесс построения информационной безопасности в Компании» в рамках конференции «Outsource people».

План презентации:

1. Цели и задачи безопасности в компании.
2. Предварительный аудит.
3. Анализ рисков.
4. Устранение критических уязвимостей.
5. Описание процессов и разработка документации.
6. Внедрение процессов безопасности.
7. Внедрение систем безопасности.
8. Поддержка процессов и систем.
9. Примеры реализации.
10. Вопросы для обсуждения.

Буду рад видеть всех, кому интересна данная тема. До встречи на вебинаре. 

Доклад «Использование стандартов и лучших практик ИТ в процессах информационной безопасности»

Сегодня, 12 июня с 18:00 до 19:00 в рамках совместного круглого стола ISACA (Kyiv Chapter) и PWC под названием «IT Management – необходимость или дань моде»  планирую выступление с докладом «Использование стандартов и лучших практик ИТ в процессах информационной безопасности». 

Буду рад видеть коллег и заинтересованных темой представителей других направлений бизнеса. 

PCI DSS 3.0. Перенимая опыт и следуя рекомендациям.

Все большее количество компаний начинает подготовку к прохождению аудита по требованиям стандарта PCI DSS 3.0. Для того, что бы лучше разобраться с требованиями и изменениями в стандарте PCI DSS 3.0, а так же понять, как выполнить подготовку максимально эффективно, будет полезно ознакомиться со следующими презентациями по данному вопросу.

      1.       PCI DSS3.0: к чему готовиться?

      2.       История прохождения PCI DSS.

      3.       Разработка ПО в рамках PCI DSS.

      4.       Особенности взаимодействия организаций в рамках программы соответствия PCI DSS.

      5.       Стандарт PCI DSS: как перейти с версии 2.0 на 3.0.

      6.       Трудный путь к соответствию требованиям PCI DSS.

      7.       Всесторонние аспекты защиты.

      8.       Как одновременно соответствовать различным регуляторным требованиям и лучшим практикам в области ИБ и ИТ.

      Кроме того будет кстати статья "PCI DSS: инструкция по переходу на версию 3.0". 

      Так же хочу напомнить, что ознакомиться с моей презентацией о подготовке и прохождении аудита соответствия PCI DSS можно тут.    

Интересно о безопасности апрель 2014

1. Прогноз угроз безопасности на 2014 год от McAfee.

2. Утечки информации за 2013 год.

3. DLP. Спрятать или показать?

4. Информационная безопасность крупной корпорации.

5. Уязвимость OpenSSL (куда же без нее?) и визуализация в тему.

6. Веяния законодательства в ИБ.

7. Использование двухэтапной аутентификации в интернет-сервисах.

8. Серия стандартов ISO 27к.

9. О применимости ИБ-аналитики.

10. Цикл маленьких публикаций.

PCI DSS 3.0. Изменения по сравнению со второй версией стандарта.

С перечнем изменений, которые появились в третьей версии стандарта PCI DSS можно ознакомиться по нескольким ссылкам ниже:

      1.       Официально.

      2.       Основными моментами. 

3.       В форме презентации. 

Return on relationships for CISO

Не так давно увидел новое для себя понятие ROR (return on relationships) по аналогии с ROI (return on investments). Все мы используем данный термин осознано или нет, строя формальные и не формальные отношения, как на работе, так и в других аспектах жизни.
Давайте рассмотрим, с кем же CISO стоит строить отношения в компании в первую очередь, для каких целей и как это лучше всего сделать?
С формальными отношениями все отчасти регламентируется инструкциями, политиками и правилами, а то, что касается неформальных взаимоотношений - стоит особого внимания, и требует приложить максимум усилий, что бы добиться поддержки (идеальный случай), понимания или на худой конец непредвзятости руководителей, а потом и сотрудников подразделений.
Ну что же, давайте вкратце рассмотрим, с кем руководитель информационной безопасности зачастую строит формальные и не формальные отношения в новой компании.
Непосредственный руководитель. Само собой разумеется, что для плодотворной работы коммуникация с таким человеком должна быть отменной. Понимания (хотя бы частично) его истинных целей в компании, чем можно быть ему полезным, а главное как. В какой форме предоставлять ему информацию более удобно, какие цели действительно первоочередные, по его мнению (в отличие от декларируемых целей). Хорошо бы составить его психологический портрет, и собрать мнения и отзывы от коллег. Все это вам понадобится, для того что бы понимать, как стоить свою игру. Если это группа людей все заметно усложняется.

Официальная версия PCI DSS 3.0 на русском

Официальную версию PCI DSS 3.0 на русском можно скачать тут.

Официальную версию PA DSS 3.0 на русском можно скачать тут.

Интересно о безопасности – январь 2014

1. Как нужно писать.

2. График мероприятий информационной безопасности в России на 2014 год.

3. Как создать свою систему Threat Intelligence тут, тут и тут.  

4. CobIT 5 for Risk. Обзор.

5. От DLP 1.0 к DLP 3.0

6. Свежие магические квадраты Гартнера.

7. Маркетинг услуг ИБ.

8. Критерии парольной политики.

9. О облике и о морали :-).

10. Кого лечит ИБ?