Что нам ждать от законодательства по безопасности критической инфраструктурыAleksey Lukatskiy
Презентация с BIS Summit SPb 2017 с обзором положений законопроекта по безопасности критической инфраструктуры и сопутствующих документов ФСТЭК, ФСБ, Минкомсвязи, Минэнерго и т.п.
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Консалтинг и аудит информационной безопасностиКРОК
Недостаточность и плохая проработка вопросов обеспечения информационной безопасности (ИБ) компании, ее методических и концептуальных основ может пагубно влиять на ее бизнес-процессы, затрудняя их выполнение и снижая эффективность.
Подробнее на http://www.croc.ru/solution/services/consulting/it-safety/
Что нам ждать от законодательства по безопасности критической инфраструктурыAleksey Lukatskiy
Презентация с BIS Summit SPb 2017 с обзором положений законопроекта по безопасности критической инфраструктуры и сопутствующих документов ФСТЭК, ФСБ, Минкомсвязи, Минэнерго и т.п.
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Консалтинг и аудит информационной безопасностиКРОК
Недостаточность и плохая проработка вопросов обеспечения информационной безопасности (ИБ) компании, ее методических и концептуальных основ может пагубно влиять на ее бизнес-процессы, затрудняя их выполнение и снижая эффективность.
Подробнее на http://www.croc.ru/solution/services/consulting/it-safety/
КРОК предлагает полный спектр услуг в области информационной безопасности (ИБ) — от внедрения конкретных программно-аппаратных решений ИБ до создания комплексной системы управления информационной безопасностью.
Подробнее http://www.croc.ru/solution/integration/insecurity/
Clouds security (responsibility and information relations)Вячеслав Аксёнов
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
Защита информации в информационной системе, размещенной в облаке: распределение ответственности между участниками информационных отношений.
Защита персональных данных в соответствии с законодательствомКРОК
КРОК реализует проекты по приведению информационных систем персональных данных в соответствии с требованиями российского законодательства, обеспечивая безопасность всех информационных систем персональных данных. Под действие нормативных документов, в первую очередь Федерального закона «О персональных данных», Кодекса административных правонарушений (КОАП), Гражданского кодекса, Уголовного кодекса, постановлений Правительства, попадают все коммерческие компании, государственные и общественные организации, работающие не территории России.
Подробней на http://www.croc.ru/promo/pd/
Читал двухдневный курс по законодательству в области ИБ. Вот решил выложить то, что получилось. Буду еще доделывать - не все понравилось, да и времени оказалось мало под эту тему. Но может кому будет полезно!
Обеспечение безопасности при использовании облачных вычисленийAleksei Goldbergs
Лекция для студентов 6-го курса ВМК МГУ в рамках курса "Виртуализация и облачные вычисления", в которой рассмотрены основные риски, возникающие при использовании обычных вычислений, и доступные меры их компенсации
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
Сети управления и промышленные системы управления контролируют самые разные системы — от производства электроэнергии и автоматизации производственных линий до кондиционирования зданий и многих других процессов. При этом для них характерен ряд уникальных особенностей, в том, что касается обеспечения информационной безопасности. Cisco понимает это и помогает защитить сети управления до, во время и после атаки — без малейшего ущерба для их надежности.
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Cisco Russia
Необходимость в межсетевых экранах нового поколения (NGFWs), ориентированных на защиту от угроз
и способных эффективно снизить риски, что не под силу традиционным унифицированным системам предотвращения угроз (UTM) и отдельным специализированным решениям, подтверждена многочисленными исследованиями, в том числе и исследованиями компании Cisco — каждая организация должна понимать, что она может стать целью атаки хакеров. Специалисты Cisco по исследованию угроз обнаружили вредоносный трафик в 100 % корпоративных сетей, участвующих в проверке, что говорит о том, что злоумышленники часто проникали в эти сети и, возможно, оставались незамеченными на протяжении продолжительного периода времени.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
КРОК предлагает полный спектр услуг в области информационной безопасности (ИБ) — от внедрения конкретных программно-аппаратных решений ИБ до создания комплексной системы управления информационной безопасностью.
Подробнее http://www.croc.ru/solution/integration/insecurity/
Clouds security (responsibility and information relations)Вячеслав Аксёнов
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
Защита информации в информационной системе, размещенной в облаке: распределение ответственности между участниками информационных отношений.
Защита персональных данных в соответствии с законодательствомКРОК
КРОК реализует проекты по приведению информационных систем персональных данных в соответствии с требованиями российского законодательства, обеспечивая безопасность всех информационных систем персональных данных. Под действие нормативных документов, в первую очередь Федерального закона «О персональных данных», Кодекса административных правонарушений (КОАП), Гражданского кодекса, Уголовного кодекса, постановлений Правительства, попадают все коммерческие компании, государственные и общественные организации, работающие не территории России.
Подробней на http://www.croc.ru/promo/pd/
Читал двухдневный курс по законодательству в области ИБ. Вот решил выложить то, что получилось. Буду еще доделывать - не все понравилось, да и времени оказалось мало под эту тему. Но может кому будет полезно!
Обеспечение безопасности при использовании облачных вычисленийAleksei Goldbergs
Лекция для студентов 6-го курса ВМК МГУ в рамках курса "Виртуализация и облачные вычисления", в которой рассмотрены основные риски, возникающие при использовании обычных вычислений, и доступные меры их компенсации
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
Сети управления и промышленные системы управления контролируют самые разные системы — от производства электроэнергии и автоматизации производственных линий до кондиционирования зданий и многих других процессов. При этом для них характерен ряд уникальных особенностей, в том, что касается обеспечения информационной безопасности. Cisco понимает это и помогает защитить сети управления до, во время и после атаки — без малейшего ущерба для их надежности.
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Cisco Russia
Необходимость в межсетевых экранах нового поколения (NGFWs), ориентированных на защиту от угроз
и способных эффективно снизить риски, что не под силу традиционным унифицированным системам предотвращения угроз (UTM) и отдельным специализированным решениям, подтверждена многочисленными исследованиями, в том числе и исследованиями компании Cisco — каждая организация должна понимать, что она может стать целью атаки хакеров. Специалисты Cisco по исследованию угроз обнаружили вредоносный трафик в 100 % корпоративных сетей, участвующих в проверке, что говорит о том, что злоумышленники часто проникали в эти сети и, возможно, оставались незамеченными на протяжении продолжительного периода времени.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Решения Cisco по защите автоматизированных систем управления технологическими...Cisco Russia
Сегодня, в условиях поголовной информатизации всех сфер жизни, как никогда остро встает задача обеспечения информационной безопасности критически важных объектов (КВО), ответственных за функционирование различных систем жизнеобеспечения, финансового управления, транспорта, ЖКХ, энергетики и т.п. Но если раньше такие системы создавались изолированными от Интернет и на базе проприетарных протоколов и технологий, то сейчас ситуация совершенно иная. Бизнес-необходимость требует унификации и стандартизации используемых решений, что и обуславливает массовый переход на новые поколения индустриальных сетей, использующих протокол IP, универсальные операционные системы, подключение к Интернет и т.п. Собранная за последние годы статистика уязвимостей и инцидентов в таких сетях показывает, что число проблем постоянно нарастает. Все это приводит к необходимости пересмотра подходов к защите критических важных объектов и функционирующих на них автоматизированных системах управления технологическими процессами (АСУ ТП).
Реализация требований по защите информации в соответствии с положением Банка ...DialogueScience
В соответствии с положениями Федерального закона «О национальной платежной системе» участники платежных систем обязаны обеспечить защиту информации в соответствии с законодательством Российской Федерации, в том числе при осуществлении денежных переводов, а также провести оценку соответствия. В рамках презентации будут рассмотрены основные изменения, внесенные в требования по защите информации, предъявляемые Банком России к участникам платежных систем, и вступившие в силу с января 2014 года, а также возможные варианты их выполнения.
Обзор текущей ситуации в области импортозамещения СЗИDialogueScience
В рамках презентации автор даст описание текущей ситуации в области импортозамещения. Будут затронуты вопросы применения нормативной базы, рассмотрены классы средств защиты информации. Также будет приведен обзор современных российских средств защиты информации и даны рекомендации по их применению.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука»
Аудит СКЗИ и криптоключей на примере Банкаimbasoft ru
С точки зрения информационной безопасности криптографические ключи являются критически важными данными. Если раньше, чтобы обокрасть компанию, злоумышленникам приходилось проникать на ее территорию, вскрывать помещения и сейфы, то теперь достаточно похитить токен с криптографическим ключом и сделать перевод через систему Интернет Клиент-Банк. Фундаментом обеспечения безопасности с помощью систем криптографической защиты информации (СКЗИ) является поддержание конфиденциальности криптографических ключей.
А как обеспечить конфиденциальность того, о существования чего вы не догадываетесь? Чтобы убрать токен с ключом в сейф, надо знать о существовании токена и сейфа. Как это не парадоксально звучит, очень мало компаний обладают представлением о точном количестве ключевых документов, которыми они пользуются. Это может происходить по целому ряду причин, например, недооценка угроз информационной безопасности, отсутствие налаженных бизнес-процессов, недостаточная квалификация персонала в вопросах безопасности и т.д. Вспоминают про данную задачу обычно уже после инцидентов, таких как например этот.
В данной статье будет описан первый шаг на пути совершенствования защиты информации с помощью криптосредств, а если точнее, то рассмотрим один из подходов к проведению аудита СКЗИ и криптоключей. Повествование будет вестись от лица специалиста по информационной безопасности, при этом будем считать, что работы проводятся с нуля.
Similar to Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения информационной безопасности организаций" (20)
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения информационной безопасности организаций"
1. Leading Member
Актуальные вопросы обеспечения
информационной безопасности
организаций
По материалам Итогового документа
Конференции «Технологии защиты информации и информационная
безопасность организаций»
IT-Security Conference 2017 (30-31 марта 2017)
КОДИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Минск – ОТЕЛЬ "ПЕКИН" (УЛ. КРАСНОАРМЕЙСКАЯ, 36) – 20 апреля 2017
Анищенко Владимир Викторович, к.т.н., CISA
2. Организаторы IT-Security Conference 2017:
2
Научно-технологическая ассоциация
«Инфопарк»,
Оперативно-аналитический центр при
Президенте Республики Беларусь,
Следственный комитет Республики Беларусь,
Национальный банк Республики Беларусь,
Ассоциации белорусских банков.
Всего предварительно зарегистрировано
участников Конференции 305
Всего присутствовало на Конференции (из
Беларуси, России, Украины, Польши, Литвы) 265
Всего присутствовало на Конференции без учета
организаторов (из 114 организаций) 253
Участники IT-Security Conference 2017:
3. Участники IT-Security Conference 2017:
3
ИТ 77
Банки 38
Финансы и инвестиции 7
Промышленность 28
Транспорт и логистика 5
Торговля 5
Госорганы 61
Академический сектор 22
СМИ 4
4. Участники IT-Security Conference 2017:
4
Топ-менеджмент 17 7%
Руководитель ИТ- и ИБ- службы 86 34%
Менеджеры, руководители проекта 22 9%
Ведущие ИТ- и ИБ специалисты 64 25%
Научные сотрудники 11 4%
Специалисты по продажам и маркетингу 13 5%
Прочие специалисты 40 16%
6. Пленарная сессия
6
Новые разработки в сфере безопасности и
международные тренды:
- переход к использованию облачных технологий (SAAS,
ЦОДы, виртуализация и т.п.) и использованию
мобильных устройств (BYOD);
- одна из самых популярных и актуальных угроз
информационной безопасности – таргетированный
фишинг;
- значительный рост атак на финансовые системы.
7. Секция: Сертификация и аттестация
7
Предложения по внесению изменений в Приказ ОАЦ №62:
- Возврат оценки корректности встраивания СКЗИ при аттестации;
- «Легализация» использовании зарубежных СКЗИ в аттестуемых ИС;
- Возможность сертификации компонент СКЗИ (криптоаплеты,
библиотеки и т.п.), реализующих ограниченный набор криптофункций;
- Проверка СЗИ при аттестации ИС с использованием сертифицированных
средств контроля защищенности и проверки соответствия стандартам;
- Введение периодического инспекционного контроля соответствия
аттестованной ИС условиям выдачи аттестата;
- Возможность продления аттестата соответствия на 3-5 лет в случае
успешного прохождения периодического инспекционного контроля;
- Определение набора квалификационных требований при проведении
аттестации СЗИ ИС силами собственника ИС;
- Предусмотреть прохождение СЗИ опытной эксплуатации до начала
проведения аттестации;
- Определение процедур обновления ПО («прошивки») в
сертифицированных средствах ЗИ при выявлении уязвимостей;
- Определение процедур сертификации средств ЗИ, установленных в СЗИ
до момента принятия решения об аттестации СЗИ ИС, и т.д. и т.п.
8. Круглый стол: "О создании и
функционировании FinCERT"
8
Оценка состояния дел и предложения :
- остро стоят вопросы необходимости ухода от «принципа нулевой
ответственности» банков и создания FinCERT в Беларуси, который смог
бы аккумулировать информацию об инцидентах ;
- коммерческие Банки выразили готовность сотрудничать и
поддерживать создание и функционирование FinCERT в стране;
- НБ РБ предложено рассмотреть возможность ускорения разработки
стратегии ИБ и решения вопроса о создании белорусского FinCert;
- Рекомендовано рассмотреть целесообразность введения экономической
ответственности за утаивание информации о компьютерных
инцидентах (на основе положительного опыта ЕС).
9. Опыт ЦБР по созданию FinCERT
III конференция IT Security Conference 2017
Круглый стол: "О создании и функционировании
FinCERT"
31 марта 2017 года
Выполняемые задачи:
1. Организация и координация обмена информацией Центра,
правоохранительных органов, кредитных и некредитных
финансовых организаций
2. Анализ данных о фактах компьютерных атак в кредитных
и некредитных финансовых организациях и подготовка
аналитических материалов
3. Установление рекомендаций в области обеспечения
защиты информации при осуществлении переводов
денежных средств.
10. 10
Круглый стол:
"Защита персональных данных "
Оценка состояния дел и предложения :
- ориентировочно единый закон РБ о персональных данных может
вступить в силу не ранее 2020 года;
- обеспечить полностью легитимную трансграничную передачу
персональных данных не возможно из-за отсутствия
соответствующих норм;
- белорусские организации, работающее с ПД даже при создании
новых ИС не ориентируются на Национальную систему
соответствия;
- обоснована необходимость упреждающей разработки
национальных ТНПА в области классификации и определения
требований защиты ПД.
- внесена рекомендация регуляторам привлекать общественность
и, в первую очередь, операторов ПД, к разработке проекта закона
о ПД, а также информировать о планируемых сроках по введению
его в действие, шире использовать практику контроля защиты
ПД, исходя из положений действующих правовых актов и ТНПА.
11. Опыт ЕС: технические требования по ЗПД
III конференция IT Security Conference 2017
Круглый стол: "Защита персональных данных"
31 марта 2017 года
Республика Беларусь - Предложение:
определить технические требования к системам защиты ИС ПД
СТБ 34.101.хх-201х Информационные технологии и безопасность. Методы
и средства безопасности. Классы информационных систем обработки
персональных данных.
СТБ 34.101.хх-201х Информационные технологии и безопасность. Методы
и средства безопасности. Профиль защиты информационных систем
обработки персональных данных класса 0 - «нулевого риска».
СТБ 34.101.хх-201х Информационные технологии и безопасность. Методы
и средства безопасности. Профиль защиты информационных систем
обработки персональных данных класса 1 - «обычного риска».
СТБ 34.101.хх-201х Информационные технологии и безопасность. Методы
и средства безопасности. Профиль защиты информационных систем
обработки персональных данных класса 2 - «повышенного риска».
СТБ 34.101.хх-201х Информационные технологии и безопасность. Методы
и средства безопасности. Профиль защиты информационных систем
обработки персональных данных класса 3 - «высокого риска».
12. 12
Семинар: "СТБ 34.101.27++:
обновление требований к СКЗИ"
Проходил под девизом "стандарт как компромисс" участники под
разными углами (заказчик, исполнитель и эксперт) обсудили:
- развитие стандарта в части добавления классов по требованиям
безопасности, введения пакетов требований к СКЗИ, оптимизации
требований по самотестированию СКЗИ и полноты покрытия
тестами;
- вопрос защиты криптографических ключей верхнего уровня
(возможны ли организационные меры?),
- требования к криптографическим программам,
- требования к программам управления аппаратными СКЗИ
(считать частью СКЗИ или нет?),
- вопросы управления криптографическими ключами (описывать в
функциональной спецификации на СКЗИ или оценивать
отдельно) и другое.
Также было отмечено, что при доработке стандарта целесообразно
учитывать опыт Российской Федерации и включение в него типовой
методики проведения сертификационных испытаний СКЗИ.
13. 13
Секция: "Безопасность перспективных
технологий цифровой трансформации"
Оценка состояния дел и предложения:
- определена тенденция развития систем защиты периметра от
утечки конфиденциальных данных в направлении защиты
персональных мобильных устройств (концепция BYOD);
- отмечено, что проблемой по управлению ИБ является адекватное
реагирование на большое количество инцидентов: представлены
средства автоматизации процессов разбора инцидентов;
- по-прежнему актуальным остается внедрение систем контроля
защищенности и соответствия стандартам: были представлены
решения по контролю версий и обновлению ПО и его контролю;
- обсуждена проблематика создания системы электронных денег
государства на основе технологии приватного Блокчейн;
- рекомендовано продолжить анализ развития криптовалют в
мире, возможностей их регулирования в Республике Беларусь;
- продолжить поиск и реализацию проектов, в которых технологии
Блокчейн дадут существенный эффект;
- проводить исследования и анализ, учитывать мировые тенденции
развития технологий Блокчейн и криптовалют для создания
механизмов реагирования на возможные инциденты.
14. 14
Секция: "Кибербезопасность и борьба
с киберпреступностью"
Оценка состояния дел и предложения:
- Разработка национальной стратегии кибербезопасности;
- Разработка национальной программы и плана обеспечения
кибербезопасности;
- Разработка национальной программы повышения
осведомлённости населения по вопросам
кибербезопасности.