Что мы знаем о кардинге? Что кардинг (англ. carding) — род мошенничества, при котором производится операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Что самый опасный кардинг – это кардинг с использованием клонированнной карты. Что клонирование становится возможным при получении данных магнитной [...]

«Я не злопамятный, я записываю» (с) Бывает, подискутируешь в комментах у кого-нибудь, возьмешь паузу на подумать – и опаньки: и дискуссия, и инфоповод скрылись бесследно. И что, зря старался, думал? Придется, видимо, реанимировать блог на такой случай.

Алексей Лукацкий как-то задал разумный вопрос:

А действительно, надо ли устранять их все? И требует ли этого регулятор?

Для начала стоит разобраться, к кому именно в нормативных документах ФСТЭК предъявляются требования об анализе и устранении уязвимостей. Дело в том, что эти требования разделяются на три группы:

Недавно сказал журналистам, что нормативные документы ФСТЭК заметно эволюционировали. И это не реверанс в сторону регулятора: изменения хорошо видны, если посмотреть на динамику раскрытия в этих документах требований, относящихся к установке обновлений и менеджменту уязвимостей. Как это происходило, можно наглядно посмотреть на примере.В начальный период истории российской ИБ нормативные требования по защите информации (требования по защите государственной тайны в этой и остальных публикациях не рассматриваю принципиально) предъявлялись только к государственным информационным системам, и основным нормативным документом являлись «Специальные требования и рекомендации по [...]

В прошлый раз я уже отметил появлениев нормативных документах ФСТЭК итерационного подхода PDCA к совершенствованию мер защиты. Раздел приказа 235, посвященный этому вопросу (п. 28-37) сформулирован довольно общими словами: например, из текста неочевидно, о планировании, реализации, контроле и совершенствовании каких именно мероприятий идет речь. Такая неопределенность позволяет оператору информационной системы самостоятельно решать, как именно реализовывать такой подход. Например, если бы мне понадобилось выстраивать процесс менеджмента уязвимостей на значимом объекте КИИ, получилось бы примерно следующее.

Задача менеджмента уязвимостей [...]

И в чатиках о безопасности КИИ и АСУ ТП, и на встречах с заказчиками часто задают одни и те же вопросы. Этот вопрос — один из самых частых.

Постановление Правительства РФ №127 от 08.02.2018 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений», показатель 9:

9. Возникновение ущерба бюджетам Российской Федерации, оцениваемого:

а) в снижении доходов федерального бюджета, (процентов прогнозируемого годового дохода бюджета);

6) в снижении доходов бюджета субъекта Российской Федерации (процентов прогнозируемого годового дохода бюджета);

в) в снижении [...]

Уже не первый раз слышу от банковских безопасников: «Мы — не системно значимый банк, у нас не может быть значимых объектов КИИ.»

Причиной стала формулировка одного из экономических показателей в ПП127:

Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, …

Коллеги видят упоминание системно значимых банков и решают, что оно относится ко всему показателю. Но это не [...]