понедельник, 12 сентября 2011 г.

Насыщенная осень после не менее насыщенного лета

Давно не выкладывал информацию в блоге. Не смотря на то, что август считается месяцем отпусков, для меня он выдался временем очень насыщенной и плодотворной работы. По этой причине на написание статей не оставалось времени. Но осень намечается тоже очень  динамичной и интересной. Думаю, что удастся наверстать упущенное и поделится интересной информацией. 
Так получилось, что именно на август пришлись аудиты VISA и MASTERCARD, которые потребовали много времени и сил. Как на подготовку, так и на их проведение. Наложило свой отпечаток и интернациональность аудитов (Гонконг, США). Не то что бы мешал интернациональный барьер, но некоторые дополнительные вопросы появлялись. Тем более, что с прошлого года Россия подчинена азиатскому офису VISA, а не европейскому. А соответственно сменились и кураторы.
Да и сами аудиты VISA и MASTERCARD отличаются от того же PCI DSS. Возможно, позже уделю этому внимание. Тема, безусловно, интересная, но с ограниченным числом лиц, которым может быть реально полезна.
Так же на данный момент в завершающей фазе находится подготовка компании к прохождению аудита соответствия PCI DSS 2.0. Что тоже требует времени и усилий. Движущиеся проекты требуют изменений топологий сети и настройки систем, процессов и документов прямо в ходе подготовки к аудиту. Что не упрощает задачу приведения к соответствию компании и контроля за уже существующими процессами.
Так же сейчас готовится 3 статьи в профильные издания. Две статьи планируются в сентябре и октябре в одном из российских издании. А одна в зарубежном (не СНГ). Когда точно буду знать о дате выхода в печать или уже по факту тиража, упомяну об этом.
Так же готовятся доклады на конференции:
«Infosecurity Russia 2011»
“Инфобезопасность 2011”
«Russian CIO Summit».
О темах, датах, времени и залах в которых будут проводиться доклады, обещаю написать в конце этой недели. 

вторник, 26 июля 2011 г.

Подписан закон, уточняющий правила обработки и передачи персональных данных

Президент РФ Дмитрий Медведев подписал федеральный закон "О внесении изменений в Федеральный закон "О персональных данных", принятый Госдумой 5 июля 2011 г и одобренный Советом Федерации 13 июля.
Закон направлен на повышение роли договорного регулирования отношений в области обработки персональных данных и совершенствование организации обработки персональных данных. Законом уточняются основные принципы и условия обработки и передачи персональных данных.

четверг, 21 июля 2011 г.

Несерьезно о серьезном

Пересматривал профильные блоги, форумы и другие источники по информационной безопасности. Что стараюсь делать регулярно, хотя и жаль что далеко не всегда хватает времени. Спасибо коллегам, за то что есть возможность знакомиться только с самыми интересными тенденциями и событиями включая в перечень их блоги. Весь список ресурсов с информацией из которых я стараюсь знакомится приведен тут.
Натолкнулся на две публикации. Каждая из них больше похожа на те статьи, которые готовятся к 1 апреля. Они скорее озорные, чем тематические. Но в каждой из них затронут смысл и вполне реальные жизненные вопросы, которые на слуху у каждого специалиста в области ИБ.
Вот они:
Как говорится - если про это начали рассказывать анекдоты, значит это действительно актуально. 



пятница, 15 июля 2011 г.

Компьютерные мошенники вызывают больше одобрения общества, чем специалисты по информационной безопасности?

Некоторое время назад натолкнулся на статью. Ничего в ней нет особенно примечательного (как для специалиста по информационной безопасности), но вот комментарии меня заинтересовали. И если бы ни их неоднозначность, я бы не придал этому значения и забыл о ней. Но мне показалась интересной данная тема, и я решил подождать некоторое время в какую сторону пойдет дискуссия.
Статья относительно банальна (по моему мнению) и излагает следующее:
«СБУ совместно с правоохранительными органами других стран прекратила противоправную деятельность международной преступной группировки хакеров, организованной гражданами Украины под прикрытием легальной коммерческой структуры.
Как рассказали в СБУ, используя специализированный компьютерный вирус Conficer, хакеры получали доступ к счетам в иностранных банковских учреждениях в разных странах, снимали с них деньги и переводили в наличные.

понедельник, 11 июля 2011 г.

"Горяченькие" стандарты ISO.

ISO готовит интересный стандарт "Information technology -- Security techniques -- Information security for supplier relationships", посвященный вопросам взаимоотношений с поставщиками продуктов и услуг. Он будет иметь номер 27036. Интересно, что еще несколько месяцев назад данный стандарт назывался "Guidelines for security of outsourcing". Возможно авторы расширили сферу применения, а может быть сделают несколько частей одного стандарта, описывающие различные аспекты взаимоотношений с внешними поставщиками продуктов и услуг (собственно их уже две - вводная и с набором требований).

В ISO также  разрабатывают стандарт ISO 27015, который является переложением 27001/27002 на финансовую отрасль. Однако Visa и MasterCard против этого стандарта. Первая компания считает, что проект стандарта не содержит много нужной информации (например, по платежным системам), а если ее туда добавить, то стандарт надо переносить в другой комитет ISO. И вообще Visa считает, что эту работу надо прекращать ;-) У MasterCard предложение такое же, но мотивация другая - мол, в финансовой отрасли и так полно регулирующих тему ИБ документов.

В ISO (совместно с ITU-T, ISACA, NIST и ENISA) сейчас начата работа по созданию стандарта по безопасности облаков. Рабочее название - "Information technology – Security techniques – Guidelines on Information security controls for the use of cloud computing services based on ISO/IEC 27002". Несмотря на большой объем предварительной версии документа - это даже не проект, а альфа-версия проекта документа, выпуск которого планируется на 2013-й год.

Столь интересная и актуальная информация почерпнута из блога Алексея Лукацкого, сам блог находится тут.


пятница, 24 июня 2011 г.

Свеженькое и интересное

Так как периодически стараюсь просматривать новости по вопросам ИБ на всевозможных сайтах и блогах, появилось желание делится лучшим. Ниже предоставлены материалы которые показались интересны мне и думаю, будут интересны Вам.
Идея не нова и в частности еженедельные выборки "лучшего" можно находить в блоге у Дмитрия Орлова тут.
Но все же некоторые посты отличаются и возможно посчитаются "лучшим" другой аудиторией. 

четверг, 9 июня 2011 г.

Аудит. Взгляд изнутри.

Для многих аудит, как и любая проверка, ассоциируется с жесткими аудиторами и горами дополнительной работы перед их приходом. А так же еще несколькими бессонными ночами непосредственно в процессе. Я не знаю, как проходят экономические аудиты, но думаю, что особых отличий нет. В данной статье за основу взят процесс проведения аудита на соответствие PCI DSS в России и странах СНГ. Хотя страна, впрочем, для международного стандарта, тоже не важна.
Каков же данный процесс изнутри и как его облегчить?
Все начинается даже не с подписания договора на аудит или пред аудит. Все начинается с решения компании (читай директора) о необходимости прохождения аудита. И тут есть два варианта развития событий: аудит необходимо пройти по требованию клиентов или платежных систем, что бывает – чаще, либо аудит инициируется и отстаивается перед директором компании начальником отдела информационной безопасности(ИБ) - реже. В первом случае аудит спускается как «Божья кара» на сотрудников ИТ и ИБ подразделений, так как дополнительной работы добавится, в должностных инструкциях ее может и не быть, а зарплата остается на прежнем уровне. Тут все зависит от коллектива, руководителя ИБ и конкретной компании. Если коллектив удастся мотивировать, чем – это уже вопрос менеджмента и к данной статье не относится, то результат, безусловно, будет. Результат будет, даже в том случае если персонал будет не мотивирован, но применяться будет уже иной метод – метод кнута.

четверг, 2 июня 2011 г.

Новая работа, новые цели, новые перспективы.

Хотел бы донести до Вас, коллеги, некоторую информацию. Думаю, что она будет Вам интересна и возможно, что даже полезна.
С середины мая 2011 года я сменил место работы и более не работаю в компании «ЕВРААС.ИТ».
Компания, с которой я планирую строить дальнейшие отношения, это процессинговый центр  «Общая карта», которая входит в состав «БИНБАНКА». Где на данный момент я и занимаю должность, которая звучит как CISO - Chief Information Security Officer.  И подразумевает построение и поддержание процессов информационной безопасности, подготовку к прохождению аудитов платежных систем VISA, MASTERCARD и соответствию стандарту PCI DSS. 

Кроме того неотъемлемой частью работы является ведение проектной деятельности, которая охватывает такие сферы как внедрение систем информационной безопасности, разработку внутренней документации и стандартизации процессов. Надеюсь, что данные сферы ответственности позволят мне реализоваться в полной мере, а компании получить максимальный результат от моей работы.  

понедельник, 30 мая 2011 г.

Перевод книги Шона Харриса "CISSP All-In-One Exam Guide"

Не так давно натолкнулся на перевод книги Шона Харриса "CISSP All-In-One Exam Guide".
Рад отметить, что благодаря одному из наших коллег, мы все обладаем возможностью облегчить процесс подготовки к данной сертификации.
В качестве обращения хочу привести слова самого автора перевода: 
"Надеюсь, что русский вариант книги поможет лучше понять предмет ИБ начинающим специалистам, которые еще не успели хорошо изучить английский. Для уже состоявшихся специалистов по ИБ книга может послужить хорошим справочником и набором лучших практик при разработке нормативных документов и организации различных процессов ИБ."
 
С радостью делюсь ссылкой на данный шедевр! 

Ссылка.

среда, 25 мая 2011 г.

Интервью с директором компании «Антивирусная лаборатория Цебит», Виктором Жора


Виктор Жора – директор компании «Антивирусная лаборатория Цебит».
Компания предоставляет полный комплекс услуг в области информационной безопасности, обладая глубокой экспертизой в сферах защиты от вредоносного программного обеспечения и построения систем управления информационной безопасностью.



Добрый день. Спасибо, что нашли время ответить на несколько вопросов.

1.    Я знаю, что Вы, как и я, заканчивали Физико-технический институт Киевского политеха, но одного из первых выпусков. Почему пошли учиться именно туда?

Направление защиты информации, которое всегда меня привлекало, стало очень актуальным в 90-х годах. Эта тематика была новой, перспективной, а на рынке ощущался значительный дефицит специалистов. Одним из первых украинских вузов, открывших учебное направление в сфере защиты информации, был Национальный технический университет Украины «КПИ». На базе физико-технического факультета, созданного в 1995 году, была сформирована мощная преподавательская команда, преимущественно состоявшая из выпускников Московского физико-технического института. В учебном процессе киевский физтех ориентировался на программы МФТИ, предполагавшие углубленное изучение математики, физики, информационных технологий и иностранных языков. По моему убеждению, специалист ИБ должен обладать серьезной подготовкой в области фундаментальных дисциплин, а криптоаналитика, к примеру, вообще невозможно представить без глубоких знаний высшей алгебры, комбинаторики и функционального анализа. В итоге, несмотря на успешную сдачу вступительных экзаменов в МФТИ, я принял решение остаться в Киеве и поступил в КПИ, о чем ни на секунду не пожалел.