пятница, 30 ноября 2012 г.

Портал НП "АБИСС" по проведению оценки соответствия по 382-П

На прошедшей 28 ноября конференции "Развитие НПС - состояние и перспективы" Павел Гениевский поделился новостью о создании на площадке НП "АБИСС" специализированного портала по проведению оценки соответствия по требованиям Положения Банка России от 09 июня 2012 № 382-П.

С помощью этого портала НП "АБИСС" планирует предоставлять для кредитных и некредитных организаций - участников НПС, доступ к средству автоматизации оценки соответствия, с использование которого организации смогут оценить степень своего соответствия требованиям по защите информации при осуществлении переводов денежных средств, предъявляемых Положением ЦБ № 382-П:
Рис. 1. Интерфейс средства автоматизации оценки соответствия по 382-П
и подготовить необходимую в соответствии с документами Банка России формы и отчеты (Положение ЦБ 382-П и Указание ЦБ 2831-У - форма 0403202), а также дополнительные аналитические выгрузки:
Рис. 2. Документирование результатов оценки соответствия. 
Также, в рамках портала НП "АБИСС" планирует осуществлять методологическую поддержку кредитных и некредитных организаций - участников НПС, в том числе: размещать необходимые информационные материалы, реализовывать возможность получения консультаций экспертов по вопросам, связанным с Положениям №382-П.

Доступ к порталу НП "АБИСС" планирует предоставляться для зарегистрированных на сайте партнерства участников НПС на бесплатной основе. 

вторник, 27 ноября 2012 г.

Вебинар по защите персональных данных от компании ЛЕТА

29 ноября мои коллеги будут проводить вебинар по тематике защиты персональных данных (начало в 11-00), в рамках которого будут рассмотрены наиболее злободневные вопросы защиты ПДн и текущей нормативной базы.

Также в рамках вебинара будет представлен новый онлайн-сервис сервис компании ЛЕТА - www.152pro.ru, который призван помочь небольшим организациям в реализации требований 152-ФЗ «О персональных данных». Основной функционал 152pro: формирование пакета необходимой внутренней документации, проведение организационных мероприятий, выбор необходимых технических средств защиты. 

Полная программа вебинара следующая: 
  • Общие сведения о законодательстве в области обработки ПДн (область действия, для чего это нужно и т.д.).
  • Последние изменения законодательства (наиболее значимые изменения, начиная с выхода действующей версии закона)
  • Краткий анализ изменений порядка построения СЗПДн (в связи с принятием нового ПП РФ №1119). Сравнение «как было» - «как стало».
  • Положения ПП РФ №1119, вызывающие вопросы и недоумение, а также ответы на эти вопросы.
  • Что делать операторам, которые только закончили работы по построению СЗПДн в соответствии с требованиями утратившего силу ПП РФ №781.
  • Что делать операторам, которые на текущий момент ведут работы по построению СЗПДн (т.е. начали эти работы до вступления в силу ПП РФ №781), до тех пор, пока не появятся разъясняющие документы ФСТЭК, ФСБ.
  • Опыт проверок.
  • Представление нового сервиса ЛЕТА для выполнения требований закона "О персональных данных" - 152pro.ru. 
Зарегистрироваться на вебинар можно по следующей ссылке.

Спешите и Вы еще можете успеть.
Количество мест ограничено!

четверг, 15 ноября 2012 г.

Сравнение методик оценки соответствия СТО БР ИББС и 382-П

В последнее время довольно активно занимался проработкой тематики защиты информации в национальной платежной системе, в частности вопросов проведения оценки соответствия требованиям Положения Банка России от 09.06.2012 № 382-П, а также связи Комплекса БР ИББС и новых нормативных документов по защите информации в НПС. 

В результате получил вот такие вот две диаграммы, отражающие соответственно логику проведения оценки соответствия по требованиям СТО БР ИББС-1.0-2010, а также требованиям Положения № 382-П. 

Рис. 1. Методика СТО БР ИББС-1.2-2010 оценки соответствия СТО БР ИББС-1.2-2010

четверг, 8 ноября 2012 г.

Дебют в первом номере журнала "!Безопасность деловой информации"

Ассоциация "DLP-Эксперт" выпустила первый выпуск журнала "!Безопасность деловой информации" - нового ежеквартального издания, посвященного актуальным вопросам информационной безопасности.

В числе авторов первого выпуска попал и я со статьей на тему "Реализация требований законодательства в организациях банковской системы РФ: основные проблемы и решения" (в соавторстве в Костей Малюшкиным).

В рамках статьи мы рассматриваем следующие три проблемы, с которыми сталкиваются подразделения ИБ при реализации многочисленных требований законодательства:
  • Обилие пересекающихся между собой требований;
  • Недостаток ресурсов;
  • Низкий уровень осознания проблема ИБ руководством.
Сам журнал "!Безопасность деловой информации" доступен к просмотру сразу в нескольких форматах: Онлайн чтение, PDF, SlideShare - что очень удобно. 

вторник, 6 ноября 2012 г.

Вебинар по защите информации в НПС

Завтра (07/11/2012) мы с моим коллегой Константином Малюшкиным будем проводить вебинар, посвященный тематике защиты информации в национальной платежной системе.

В рамках вебинара буду рассмотрены следующие темы: 

  • Основные нормы и структура национальной платежной системы (НПС). 
  • Требования законодательства и документов Банка России по защите информации в национальной платежной системе. 
  • Применимость требований к различным категориям субъектов НПС. 
  • Контроль за соблюдением требований к защите информации в НПС. 
  • Организация и проведение оценки выполнения требований к обеспечению защиты информации в НПС. 
  • Сравнение требований информационной безопасности Положения Банка России № 382-П и стандарта Банка России СТО БР ИББС-1.0-2010. 
  • Практические моменты реализации требований нормативных документов по защите информации в НПС в организациях – субъектах НПС. 
Участие в мероприятии бесплатное, предварительная регистрация участников обязательна. 

Количество мест ограничено, предпочтение будет отдаваться действующим и потенциальным клиентам/партнерам компании LETA.

Зарегистрироваться на вебинар можно по этой ссылке.

Вы еще можете успеть поучаствовать! 


понедельник, 5 ноября 2012 г.

CISM грядет!

В последнее время довольно плотно занялся подготовкой к сдачи сертификационного экзамена CISM, в связи с чем, наряду с всеобщим осенним повышением градуса на рынке ИБ, моя активность в блоге значительно просела, так как подготовка к экзамену заняла большую часть свободного времени.

Так, в рамках подготовки к CISM на этой неделе побывал на подготовительных курсах, организованных Академией Информационных Систем при поддержке Российского отделения Ассоциации ISACA, информацией о которых и хотел с вами поделиться. 

Напомню, что для подготовки в самому экзамену существует официальный мануал от ISACA на английском языке в котором описываются 4 домена CISM, по которым в дальнейшем и организуется тестирование в рамках экзамена:

  • Information Security Governance 
  • Information Risk Management and Compliance 
  • Information Security Program Development
  • Management Information Security Incident Management

Каждому из доменов в рамках обучения в АИС было посвящено по полдня. Т.е. за день мы проходили по 2 домена. 

Само обучение проходимо по официальным презентациям ISACA, однако содержимое презентаций отнюдь не дублировало содержимое мануала CISM, т.е. целью обучения является не рассказ информации, содержащейся в официальном мануале, а структурирование данных и, где возможно, привнесение дополнительных сведений. Как пояснили сами преподаватели, данное обучение по сути рассчитано на два типа слушателей: 
  1. Тех, кто только начинает подготовку к CISM и в начале хотел бы получить обзорную информацию по  материалу; 
  2. И тех, кто уже прочитал мануал и хочет структурировать свои знания в рамках обучения и получить ответы на возникшие вопросы. 

Если это действительно так, то в отношении первой категории слушателей, кои, к моему удивлению, были на обучении, надо им уже брать руки в ноги и уходить с головой в подготовку, если они все-таки рассчитывают сдавать экзамен в этом году. Напомню, что сам экзамен не за горами - уже 8 декабря, т.е. по факту остался всего месяц времени на подготовку, а это, могу сказать по своему опыту, очень и очень мало, так как на каждый из доменов при нормальном прочтении и прогоне вопросов из тестовой базы, уходит порядка 2 недель. 

Из полезных практических моментов по сдаче экзамена, которые были озвучены на обучении: 
  • Больше времени на тренировку и решение тестовых вопросов, только достигнув уровня в 90-95 % правильных ответов по тестовым вопросам, можно говорить о успешной подготовке к сдаче.
  • Важность понимания вопросов и выделения ключевых слов в них. Это касается не только слов "MOST", "BEST", "FIRST", но и деталей самого вопроса, что спрашивают и в применении к какой деятельность, например "strategy development" или "strategy  implementation", так как от таких моментов зависит и правильность ответов. 
  • Крайняя необходимость дополнительных знаний по ИБ, как знание различных стандартов и подходом в обеспечении ИБ (ISO 27k, NIST, COBIT, ITIL и др.), так и общее знание технологий обеспечения ИБ - это в общем и понятно, все-таки сертифицированный Менеджер по ИБ. 
В общем само обучение мне понравилось, было интересно послушать интересных людей и получить дополнительную информацию и ЦУ по сдаче экзамена. Помимо самого обучающего курса АИС 25 ноября проводит тестовый экзамен по CISM, на котором можно будет проверить свои знания за 2 недели до экзамена. Единственное ограничение тестового экзамена это то, что будет на 200 вопросов на 4 часа, а 100 на 2 часа.

Для тех же, кто только задумывается или уже планирует сдавать экзамен CISM привожу следующую подборку полезной информации по этому экзамену: