вторник, 31 декабря 2013 г.

С наступающим Новым годом!

Ох, и давно же я ничего не писал в свой собственный блог. Прошу у него и у вас, дорогие друзья, прощения - так уж сложилось, что для меня у этого года была "жесткая посадка". Именно на конец года пришлась адова туча крайне интересных практических "кейсов" на все "новомодные" темы - "облака", бестокенная двухфакторная аутентификация (будь она не ладна), NGFW, SDLC и т.д. Так уж сложилось, что все они перетекли на следующий год, и будут "добиваться" уже в нем. Поэтому не стану подводить никаких итогов - все еще впереди: мне будет о чем рассказать - и уж поверьте, я это непременно сделаю.

понедельник, 14 октября 2013 г.

Слова благодарности

На прошлой неделе удалось выбраться на выставку-конференцию Infobez-Expo 2013, провести на ней свой круглый стол, поговорить на двух таких же в гостях у Андрея Масаловича и Юрия Малинина, и оттяпать кусок мяса от вендоров на мероприятии "Львы и гладиаторы" Михаила Емельянникова. То, что выставки я не заметил (и никто не заметил) - печально известный факт, а вот конференционная часть однозначно сложилась. Алексей Лукацкий по этому поводу все уже сказал - ни добавить, ни отнять. Могу только еще раз и от всей души поблагодарить организаторов за самоотверженный труд: в условиях явного перенасыщения рынка мероприятиями по ИБ сделать что-то хорошее -  непростая задача, и вам она удалась.

среда, 2 октября 2013 г.

понедельник, 30 сентября 2013 г.

Дээлпэ в Раше: happy violence

Десять дней назад довелось первый раз выступить на конференции DLP-Russia, аж в самый разгар "пленарки". Хорошее мероприятие, что сказать - и организация с организаторами, и люди в аудитории и вне ее, и журналисты с вопросами - все молодцы. Все понравилось, отдельное спасибо слушателям - я, честно признаться, был приятно удивлен и числом вашим, и умением. Если еще раз пригласят что-нибудь рассказать - с удовольствием приму участие.

пятница, 27 сентября 2013 г.

Отложить до реализации рисков


Русская пословица (или поговорка - до сих пор не знаю, как отличить) вещает нам мудрость о том, что "пока гром не грянет - мужик не перекрестится". Народные юмористы, немного переделав мудрость, утверждали, что не "пока гром не грянет" - а "пока жареный петух не клюнет", тем самым много лет назад сформулировав главное правило управления рисками информационной безопасности. Автор этого блога, наблюдая за тенденциями в нашей с вами, дорогие читатели, любимой сфере, с уверенностью может сказать о том, что в российской ИБ этот самый "жареный петух" должен быть не абы каким, а со степенью прожарки well done, клюв у него должен быть из твердосплавных материалов и, чтобы его заметили, нужно не просто клюнуть - а усиленно долбить.

понедельник, 16 сентября 2013 г.

Две идеи для DLP-шников. Часть 2


После длительного перерыва, наконец, дошли руки поведать вам, дорогие читатели, о второй идее, реализация которой потенциально способна хоть немного, но изменить эволюционный застой горячо любимого мной инструмента под названием DLP. В прошлый раз, описывая идею номер раз, я сильно разошелся: но бизнес-аналитика - дело такое, не разжуешь - не поймешь. Судя по письмам, поняли не все, ну, или не до конца. Поэтому сегодня я буду более сжат и более-менее понятен - благо, тема позволяет.

среда, 24 июля 2013 г.

Две идеи для DLP-шников. Часть 1


В предыдущем посте я обещал рассказать о том, что можно получить, применяя методы анализа больших объемов неструктуированной информации применительно к данным, генерируемым в информационных системах компании и накапливаемых в недрах DLP-систем, и как превратить DLP в инструмент, полезный не только "любителям подглядывать" и собирающим доказательную базу "оперативникам", но способным выдавать аналитику, крайне полезную и понятную как "безопасникам", так и бизнес-подразделениям с минимальной интерпретацией или без таковой. Обещания, как известно, надо выполнять, поэтому...

среда, 17 июля 2013 г.

Три совета для DLP-шников


В последние пару месяцев информационное ибэболото, мутное от яростного желания чиновников регулировать нерегулируемое, коричневое от персональных данных, дурно пахнущее всем, что начинается со слова "кибер-" и обрастающее свежей зеленью "облаков", "бьёдов" и прочей новомодной "тиной", с завидной регулярностью выплевывает наружу пару-тройку пузырей с гордой надписью "DLP" на борту: то вебинар какой, то публикация, то конференция... И мысли, вроде, говорят толковые, но приглядишься повнимательнее - баааа, да слышано-переслышано все это еще лет семь тому назад. По сути не изменилось ничего: лишь термины применяют другие да люди вещают новые. Одним словом - маркетинг. Вот, например, одна из таких презентаций, называется "Задачи бизнеса и эволюция DLP". О задачах бизнеса, скоропостижно мелькнувших в презентации, пока говорить не будем - на мой взгляд это совершенно бесполезное занятие, если их формулирует вендор. А вот про эволюцию поговорим.

пятница, 21 июня 2013 г.

KPI бессознательного: как продать безопасность


Как и обещал в предыдущем посте, на ежегодном мероприятии IT&Security Forum Kazan я рассказал о том, как и чему пришлось учиться мне для того, чтобы правильно отвечать на вопрос "Зачем?". О превосходной организации форума я писал еще в прошлом году - и в этот раз организаторы превзошли все мои ожидания: два доклада по полтора часа с великолепным техническим оснащением позволили получить массу положительных эмоций и мне, как спикеру, и аудитории.

суббота, 13 апреля 2013 г.

О бесценностных отчетах, бесполезных уязвимостях и смысле ИБытия


В замечательном, на мой взгляд, фильме "О чем говорят мужчины" есть короткий ролик, который вы, наверное, хорошо знаете.



Главной ошибкой подавляющего большинства ИБ-шников является ... нет, не абсолютная уверенность в собственной значимости и важности дела, которое они пытаются делать. Это - лишь следствие того, что никто из них периодически не задает простой вопрос - "ЗАЧЕМ?".  Отсюда - обида на непонимание со стороны бизнеса, перерастающие во взаимные оскорбления "терки" в соцсетях, раздрай и развод по принципу "ты мне больше не дружок..." со всеми вытекающими. И дело здесь совсем не в опыте и (или) возрасте, как у героя ролика. В чем именно - попробуем разобраться на паре примеров.

понедельник, 1 апреля 2013 г.

Старые требования на новый лад


Так называется очередное мое творение, изданное в журнале "IT Manager". Речь, к сожалению как обычно, о персональных данных. Каждый раз говорю себе: хватит уже этих ПДн-ов, в ИБ столько всего интересного о чем можно поведать миру - но нет, эта тема теперь взялась за меня так же, как я когда-то взялся за нее. Поэтому статья написана в легкой (само)ироничной манере - аккурат для чтения на 1 апреля. Наслаждайтесь :)
 

четверг, 28 марта 2013 г.

Презентация с РусКрипто 2013


Выкладываю очередные "веселые картинки" - на сей раз показанные на конференции РусКрипто 2013. Have some fun ;)



пятница, 22 марта 2013 г.

Презентация с CNews Forum


Выкладываю "веселые картинки", показанные вчера на форуме CNews "Защита персональных данных: от модернизации к исполнению". Вдруг кому пригодятся :)


О юристах и безопасниках


Общаясь в кулуарах ИБ-шных конференций с коллегами за чашечкой кофе, порой, можно получить гораздо больше знаний, опыта и - чего там - удовольствия, чем от прослушивания официальной программы. Именно так и произошло вчера, на конференции CNews по персональным данным, когда у автора блога случился если не легкий шок, то оторопь средней тяжести точно. Обсуждали мы мой прошлый пост по оценке соответствия, и визави, в целом согласившись с доводами, привел свой аргумент. "Юристы твои промахнулись" -  было сказано мне - "а мои - нашли такой документ. По нему оценка соответствия - это в любом случае сертификация в соответствующей системе (например РОСС RU.0001.01БИ00, которой в перечне добровольных систем сертификации больше нет), никаких 330-х ПП не надо, смотри постановление Правительства РФ № 266 от 2010 года и постановление Правительства РФ № 608 от 1995 года и комментарии к ним, там все написано". Открыл я ПП-266, прочитал название и обомлел...

воскресенье, 17 марта 2013 г.

Оценка соответствия и актуальные угрозы


Ни для кого не секрет что мы, "безопасники", в массе своей ультраконсервативны. Любые реформы и перемены, так или иначе затрагивающие сферу нашей деятельности, вызывают разрыв внутреннего шаблона, а бессознательная профессиональная паранойя заставляет инстинктивно сопротивляться изменениям. Что уж говорить о нашем законодательстве, в котором большие революции делаются "по-тихому", незаметно, а иногда и вовсе с отвлечением внимания народных масс какими-нибудь громкими и социально значимыми, но совершенно бессмысленными законодательными инициативами, успешно отменяемыми после прохождения "нужного" законопроекта. В таких условиях мозг "безопасника", разрываемый внутренними противоречиями, съедает сам себя но, к счастью, "тихие" изменения не всегда означают "закручивание гаек". Сегодня мы разберем именно такой пример.

среда, 13 марта 2013 г.

Творческих узбеков


Горячая пора планирования и отчетности, наконец, подошла к концу и, как говорил мой преподаватель в ВУЗе, цели ясны, задачи поставлены - за работу, товарищи! Засучив рукава, автор блога с усердием принялся исполнять волю партии и правительства, и наконец-то мои "шаловливые ручонки" добрались до забытого на два месяца "зеркала творческих мук", начавшегося пылиться и покрываться паутиной. За такой беспорядок прошу прощения у читателей - паутину я повымету, а прусаков и пауков выгоняю из головы периодически.

За время отсутствия постов проишествий не случилось: совместно с коллегами, автор успел поучаствовать в разработке финальной версии SOISO (процесс подробно освещал Андрей Прозоров и DLP-Expert), в разработке финального (!) разъяснения Роскомнадзора по поводу биометрических персональных данных (аналогичное, но на другую тему, размещено здесь), поучаствовать в круглом столе на доселе неведомой мне конференции "Корпоративная безопасность", поработать бесплатным консультантом на паре проверок в области ПДн и, конечно, поотвечать на письма читателей блога - так что, вроде, сложа руки не сидел.

Теперь о творческих планах на будущее. Планов - громадьё. 21 марта выступаю с 15-минутным докладом на тему "Что мешает 152-ФЗ стать нормальным инструментом ИБ" на конференции "Защита персональных данных: от модернизации к исполнению". 28 марта - конференция "РусКрипто 2013", веселый и увлекательный рассказ о том, как один мужик удостоверяющий центр в Минкомсвязи аккредитовал. 19 апреля - VI CISO Forum 2013, рассказываю про практику создания защищенного юридически значимого электронного документооборота. Наконец, в июне (если, конечно, позовут), на конференции IT&Security Forum Kazan, я представлю доклад на тему "KPI бессознательного: как продать безопасность".

Ну и, конечно, статьи и посты - тем более, что писать будет о чем ;)
 

среда, 16 января 2013 г.

четверг, 10 января 2013 г.

В Новый год с опаской


Роскомнадзор опубликовал План проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2013 год. О том, как не стать жертвой собственных страхов относительно "проверяющих", поведает моя статья с одноименным названием. Очень надеюсь, что после ее прочтения у "проверяемых" (не только по ПДн) откроются чакры ;)