On line вещание лукацкого с базы

Alexey Lukatsky

@alukatsky

Cпециалист по информационной безопасности.

Moscow • http://lukatsky.blogspot.com/

@Aleksey_Krasnov Фишинг в реале?

В ответ: Алексей Краснов

57 мин Alexey Lukatsky @alukatsky

@AlexGoldbergs Ага, на конфе Лукацких несколько

В ответ: Alexey Goldbergs

1 ч Cisco Security @CiscoSecurity

What percentage of emails were malicious in a survey from November 2011? a. 0.39% b. 3.9% c. 39%

Alexey Lukatsky

1 ч Alexey Lukatsky @alukatsky

@e_v_rodigin Упс. Об этом я не думал ;-)

В ответ: Евгений Валентинович


@moreshin А то ;-) Он сказал спасибо

В ответ: Michael Oreshin


Потом этот гендир начинает рассказывать как он ездил с Лукацким смотреть корабли. Меня он так

и не узнал ;-) #ibbank


Подходит гендир одного интегратора и просит меня передать Лукацкому поздравления с

рождением внука (!) #ibbank


@Symantec_ru Я сидел в 3-х метрах от докладчика, который говорил про DLP for Tablet, что

логично для круглого стола по мобильным платформам

В ответ: Symantec agent


В понедельник попробую в блоге резюмировать ключевые тезисы конференции #ibbank


Все. Деловая часть конференции #ibbank закончена. Впечатления с горнолыжных склонов и

шашлыка на open air твиттер не передаст ;-(


@mr_Hugoborz @angryfix Ну я же не банкир. Взвешивать надо все риски и принимать решения

В ответ: Syezdbek Temirbekov


@mr_Hugoborz @angryfix Комментарий о чем?

В ответ: Syezdbek Temirbekov


Аладдин анонсирует Secure MicroSD с российской криптографией, включая ЭЦП #ibbank


@angryfix Может быть через этот 1% и осуществляется снятие 80% всех средств

В ответ: Pavel Esin


@angryfix Ну 1% это тоже много ;-)



Груздев: есть решение взаимной строгой двухфакторной аутентификации с квалифицированной

ЭП и защитой канала ГОСТ для любой платформы #ibbank


Груздев (Аладдин): токены снимают проблематику 70% всех угроз. Атаки на токены всего - 1%

#ibbank


@kkirilll И сейчас они РД по DLP делают

В ответ: Kirill Kertsenbaum


@kkirilll Кремлевскую таблетку они должны знать



А вот как контролировать аппаратные руткиты IBM не сказал ;-( #ibbank


@kkirilll Вопрос был про DLP for Tablet 11



IBM также единственный кто сказал про риски социальных сетей и необходимость наличия

политик их использования в корпоративной среде #ibbank


IBM единственный кто в числе угроз виртуализации упомянул аппаратные руткиты #ibbank


Каждый докладчик считает своим долгом начать с прописных истин. До дела так и не доходит -

регламент исчерпывается. Исключения редки #ibbank


@AlexGoldbergs А оценивать кому? Кто на всех докладах был?



Христюк (IBM): клиенты не готовы уходить в облака - публичные и даже частные. Максимум -

виртуализация и консолидация ресурсов #ibbank


После этого даже постеснялся спросить Symantec, как они ввозят свои шифровальные средства,

которые также рекламировались #ibbank


Выступает Symantec. Заявляет о сертификате ФСТЭК на свой DLP. Уточняешь номер. Выясняется,

что сертификата нет ;-) #ibbank


@AlexGoldbergs Конечно знаю ;-) Продажи превыше всего



@Rel1cto только вот экспертизу по 50 продуктам иметь невозможно ;-(

В ответ: Павел Глушков


Бажин (Абсолютбанк) опять провокацинные вопросы задает. Почему интеграторы продают

endpoint security, а не терминальные решения? #ibbank


Вот почему интеграторы считают, что чем с большим числом вендоров заключены партнерские

соглашения, тем круче?


@e_v_rodigin ИМЕННО ДЛЯ ОБЛАКОВ



Огородников (INLINE Tech) рассказал об опыте разработки стандарта ИБ ЦОД и виртуализации для

ДИТ г. Москвы #ibbank


@ivladdalvi Я опрашивал пользователей облаков с точки зрения БИЗНЕСА

В ответ: Vladimir Ivanov


@ivladdalvi Именно!


12 ч Alexey Goldbergs @AlexGoldbergs

@Creogen000 @alukatsky Мы активно продумываем такой вариант. Что-то типа Digital Signature as

a Service (#DSaaS) :)

Alexey Lukatsky

В ответ: Dmitriy Ist


@Creogen000 Проблема не в отсутствии сервиса. Это как раз мелочь. Проблема в юридической

проработке, особенно конфликтных ситуаций



@Creogen000 Не сервис, а будет предлагать к нему рекомендации юристов или шаблон типового

договора



Но подход КриптоПро мне понравился - он позволяет быть непривязанным к устройству +

сертификат ФСБ #ibbank


Вопрос с решением КриптоПро только в юридической значимости подписываемых/защищаемых

документов #ibbank


Голдбергс (Криптопро) рассказал об интересном решении построения защищенного мобильного

доступа на базе сертифицированной СКЗИ #ibbank


@kchln Вопрос только насколько актуальна задача подсчета затрат на ИТ для отдельных

подразделений

В ответ: Alexei Kachalin


@kchln Это не бизнес-концепция - это маркетинг



Рябко: сертифицированная криптография на 6,8 Гбит/сек при загрузке процессоров на 70% #ibbank


Рябко: только в частных облаках можно обеспечить достаточный уровень защиты данных #ibbank


Рябко (Стерра) задается классическим вопросом - чем облако отличается от того, что в ИТ

делается уже много лет #ibbank


Очень глубоко технический доклад от Microsoft про Windows Server 8. В 8 утра после бурной

ночи... Да и аудитория не совсем та ;-( #ibbank


@vladimirrudenko Ему было сложно говорить после вчерашнего

В ответ: Vladimir


Бялькин: частное облако отличается от виртуализации наличием биллинга #ibbank


Бялькин (Oracle): по опросам Oracle ни один банк не готов уходить в публичные облака #ibbank


Степаненко (Информзащита): мы как и ФСБ не доверяем публичным облакам и не планируем

переходить туда. А вот частное облако строим #ibbank


В зале человек 60. 5 уже использует облака, 1 (!) планирует. Для кого мы ведем эту секцию?..

#ibbank


Добрица: мы не доверяем публичным облакам и мобильным платформам #ibbank


Добрица: сертифицированных СКЗИ именно для облаков нет и никто пока не подавал их на

сертификацию #ibbank


Добрица: в 2012 ФСБ не планирует разрабатывать нормативку по облакам #ibbank


Добрица: придется применять разные сертифицированные СКЗИ с разными ключевыми

системами, что создает проблему #ibbank


Добрица: частично конфиденциальность частного облака можно решить и сейчас на

сертифицированных СКЗИ #ibbank


Добрица пошел по пути обзора существующих подходов к защиту облаков и виртуализации без

рассказа о мнении ФСБ #ibbank


@AlexGoldbergs Может он сходу расшифровывает текст с бумажного носителя



Добрица: к новым угрозам можно отнести "побег" и "закисание" виртуальных машин #ibbank


Добрица: если все компоненты облака в одних руках, то проще защитить периметр облака #ibbank


Добрица (ФСБ) начал рассказ про частные облака. Видимо тему публичных облаков он будет

обходить стороной #ibbank

16 февраля Alexey Lukatsky @alukatsky

Первый доклад завтра - взгляд ФСБ на облака. Не проспите! #ibbank


Если бы давали приз за активность и задаваемые вопросы, то я бы его отдал Андрею Бажину из

Абсолютбанка #ibbank


@lanflex @vzhik_vzhik Не названы

В ответ: Andrey Mospan


@melifaroh Не читай ;-) Жди резюме

В ответ: Илья Покровский


@aaageev Не путайте визионерский доклад по флагманскому продукту, приносящему миллиарды,

с рассказом о том что такое нормализация событий ИБ

В ответ: Артем Агеев


@ru_bez ИМХО Если фото используется для идентификации субъекта, то это биометрия (при

условии качественной копии)

В ответ: Iren Adler

16 февраля Алексей Краснов @Aleksey_Krasnov

На сайте ФСТЭК появились формы заявлений о предоставлении лицензии на деятельность по

ТЗКИ fstec.ru/_docs/doc_forz…

Alexey Lukatsky

16 февраля Cisco Security @CiscoSecurity

EC proposal makes the difference between the U.S. and European approaches to personal privacy very

clear. bit.ly/x9KEV0 #security

Alexey Lukatsky


@AlexGoldbergs Если народ раскачаем



@SergeyYurievich Все презентации будут выложены

В ответ: Сергей Юрьевич

16 февраля Cisco Russia&CIS @CiscoRussia

Есть мечта попасть на Cisco Live в США? Билет на крупнейшую ежегодную конференцию Cisco

можно выиграть здесь: csc0.ly/6019RNpX

Alexey Lukatsky


Интересный рассказ Янсона о сложностях блокирования несанкционированного снятия средств и

их возврата #ibbank


@Rodionc Линейкой по рукам ;-) Эти гендиры выпускают уже много лет

В ответ: Rodion Chekharin


Янсон: другие способы - контроль аномалий платежа и контроль изменений программной среды

совершения платежа #ibbank


Янсон: наиболее надежный превентивный способ - мониторинг истории платежей и контроль

НОВЫХ получателей #ibbank


Янсон: SMS-подтверждение при мобильном доступе к ДБО не работает, т.к. мобильное устройство

может быть скомпрометировано #ibbank


Янсон (ПСБ): 50% несанкционированных снятий средств осуществляется за счет удаленного

упоавлния пользовательским ПК #ibbank


@sDespe Да он все время какое-то название упоминает. Я расслышать не могу ;-(

В ответ: Saint Despe


Я наверное субъективен, но 20 минут доклада и ничего конкретного вообще не сказано #ibbank


А чего за трояна все время упоминает Шаров?


@e_v_rodigin Это неверно. На курсах по presentation skills говорят, что рассчитывать надо на

визуалов (их больше) и на аудиалов (их меньше)



@e_v_rodigin Кому как. Я не могу голый звук воспринимать, если это не музыка. Особенно если

гонится булшит



@AlexGoldbergs Сычев (РСХБ) ее раньше показал



@ivladdalvi @kchln Почти нет. 3-4 ведущих вендора поделили рынок. Банк почти никогда не

меняет купленную АБС



Еще один гендир выступает. И даже без презентации! #ibbank


@_051272999114 А ты с Куцем поговори

В ответ: Дмитрий К


@asintsov Да, любых ;-)

В ответ: Alexey Sintsov


А еще на секции по облакам и мобильному доступу будет выступать ФСБ - есть возможность

узнать мнение Службы по этому вопросу #ibbank


Завтра буду вести секцию по облакам. Чтобы народ не спал буду задавать докладчикам

неудобные вопросы #ibbank


Мой твиттинг привел к тому, что часть участников конференции #ibbank следят за докладами

через Твиттер, не вставая с постели ;-)


Кузнецов рассказывает о взломе ДБО изнутри банка через уязвимое рабочее место работника

банка #ibbank


Кузнецов: www.surfpatrol.ru - бесплатный анализ защищенности клиентских рабочих мест ДБО

#ibbank


Кузнецов: банки занимаются только теми угрозами, с которыми реально сталкивались #ibbank


Кузнецов (Positive): хакеры атакуют клиентов, что дает повод банкам думать о своей

защищенности. Это не так! #ibbank


По информации от организаторов IT Security Forum в Казани 7-8 июня - приедет выступать "Чайф"!


Чахеев: сомнительные платежи приостанавливаются в рамках ПОД ФТ - единственное законное

основание #ibbank


Чахеев (Уралсиб): делится опытом борьбы с дропперами #ibbank


@ru_bez На сайте РКН есть ответ

В ответ: Iren Adler


@ivladdalvi @kchln Они в шоколаде. Бизнес то нсть, а требований и ограничений нет



@Aleksey_Krasnov Заявили, что нет



Инфотекс представляет бесплатный ViPNet CSP с сертификатом КС2, НЕ ТРЕБУЮЩИЙ

поэкземплярного учета согласно приказа 152 #ibbank


RISSPA и CSA Russian Chapter локализовали опросник по облачной безопасности -

risspa.ru/node/417


@Johny_Doee Сами же подхлестываете интерес к сообществу, постоянно напоминая, что оно

секретное. Забудьте и тема затихнет

В ответ: John Doe


@Gorelov_Dima @alexgoldbergs У них еще написано, что они #Cisco продают ;-)

В ответ: Dmitri Gorelov


@Johny_Doee ФАКТ ВЗАИМОДЕЙСТВИЯ не секрет. А остальное и не раскрывается

В ответ: John Doe


@AlexGoldbergs А, точно. Вывести за штат



@AlexGoldbergs Зато удобно. Можно сократить персонал до одного гендира ;-)



@vladimirrudenko Не храпи. Храп заглушает тихий и монотонный голос докладчика ;-)

В ответ: Vladimir


@AlexGoldbergs А они разве кроме Arcsight вообще о чем-то рассказывают? У них продукт один и

докладчик один ;-)



@AlexGoldbergs @gorelov_dima Подкачать не мешает нонешнему докладчику. От его манеры

выступления клонит в сон ;-(



@AlexGoldbergs А жаль. Про QR-мидлеты - это ново



@vzhik_vzhik Ну а он и не нужен в таком виде ;-)

В ответ: Elena Rytsareva


До QR-мидлетов и LiveCD Бифит так и не добрался, выйдя за регламент ;-( #ibbank


@EugeneSukhov @alexgoldbergs Не знаю, не интересовался ;-)

В ответ: Евгений Сухов


Мустафаев (Бифит) рассказывает о средствах защиты ДБО - TrustScreen, MAC-токенах, QR-

мидлетах и LiveCD #ibbank


@EugeneSukhov @alexgoldbergs Или просто близко находишься к излучению с устройства ;-)



@p_melnichenko Ну я говорю - подача неверная. Такие доклады надо 10 раз перепроверять

В ответ: Pavel Melnichenko


@EugeneSukhov @alexgoldbergs Железки тоже ломают. И с "неизвлекаемыми" ключами тоже.

Просто вопрос цены



Проблема не в самом факте уязвимости и не в рекламе своих услуг (замечу, качественных и

местами уникальных). Проблема в подаче #ibbank


@kchln одно дело просто себя рекламировать и другое заявлять "все в говне - один я во фраке"



@mkrentovskiy Да никак ;-)

В ответ: Maxim Krentovskiy


@Gorelov_Dima Да вообще неэтичное поведение. Особенно на фоне рекламы своих услуг и

прошлогоднего выступления Ильи Сачкова

В ответ: Dmitri Gorelov


Вот ведь. Оказывается доклад Group-IB об уязвимостях в продукции вендоров средств защиты

ДБО с вендорами даже не согласовывался ;-( #ibbank


Комаров (Group-IB) после рассказа Актива о своем PINPad рассказывает как его ломать.

Некрасивое поведение докладчика, на мой взгляд #ibbank


@dcromster Это врядли ;-)

В ответ: Roman Milovskiy


Комаров (Group-IB) показывает на примере Банка Москвы, как не надо работать с клиентами в

части информирования по вопросам ИБ #ibbank


Прошлогодний конфликт Group-IB и Банка Москвы продолжается #ibbank


@mguilenko Твой банк готов?

В ответ: Mikhail


@sDespe Непростой вопрос. Я криминала не вижу в рассказе о таком факте. А вот об особенностях

и деталях взаимодействия говорить не стоит



Доверенные устройства, отображающие подписываемые платежки на экране, набирают

популярность на российском рынке #ibbank


@sDespe А он не сливал. Информация о взаимодействии не секрет. А вот имена участников никто

и не называл



Дмитрий Горелов (Актив) делает хорошо систематизированный доклад о методах защиты ДБО

#ibbank


@spqer Запрос писать. Или ждать, когда на сайте появится

В ответ: Denis Tsvetkov


@sDespe Россельхозбанк. Директор управления ИБ



@erohintm Приказ или требования? По идее нет. ДСП только РД по аттестации

В ответ: Сергей Ерохин


Горелов (Актив): 3 главных угрозы ДБО - кража ключей ЭЦП, удаленное управление без ведома

пользователя и подмена платежной инфы #ibbank


Если доклад делает гендиректор, то у него видимо нет адекватных людей в компании. Да и

понимание роли гендира у него тоже страдает


Меня всегда смущают компании, в которых глубоко технические выступления по ИБ читают

гендиректора


Аттестат от компании "Астрал" - новое слово в оценке соответствия -

infowatch.livejournal.com/285975.html


Пошла критика инициативы РКН по аккредитации экспертов при проверках по линии ПДн -

j.mp/xjdzH1 . Первый блин?!..


Новое ПП-111 "Об электронной подписи, используемой органами исполнительной власти" -

j.mp/zXBB7N


Приказ ФСТЭК России № 638 от 06.12.2011г. утверждает требования к системам обнаружения

вторжений. Базируется на ISO 15408


Интересное заявление ЦБ - цель КОММЕРЧЕСКОГО банка - не получение прибыли, а оказание

качественных услуг населению #ibbank


Комитет АРБ по ИБ - arb.ru/site/comitets/…


Некоторые банки под соусом 115-ФЗ приостанавливают сомнительные платежи #ibbank


Даже выигрывая дела у клиентов и не возмещая ущерб, банк все равно страдает, если не ведет

работу с клиентами по вопросам ИБ #ibbank


Основной риск при хищениях в ДБО - риск ликвидности. Обокраденный клиент снизит остатки по

счетам или уйдет к конкурентам #ibbank


Сычев: по физикам ситуация иная. Но финансовые риски все равно либо у клиента либо у

платежной системы. Банк почти не страдает #ibbank


Сычев: РСХБ не проиграл ни одного дела по юрикам. Важно разделить зоны ответственности в

договоре с клиентом #ibbank


@melifaroh полную статью о чем? Я пишу в реалтайме

В ответ: Илья Покровский


Сычев: банкам надо взаимодействовать! Начните с АРБ! #ibbank


Сычев: пишите письма в правоохранительные органы. Это сдвинет МВД с мертвой точки #ibbank


Россельхозбанк проводит колоссальную работу по борьбе с хищениями в ДБО #ibbank


Сычев: доказательства, собранные БАНКОМ, в суде разбиваются в пух и прах и могут быть

признаны незаконно собранными #ibbank


Сычев: расследование инцидентов и сбор доказательной базы - это задача НЕ БАНКА, а

правоохранительных структур #ibbank


Сычев: за 15 февраля получено 9 сообщений об инцидентах в ДБО (за день среди 123 банков).

Масштаб понятен #ibbank


Сычев: все типы ДБО (тонкие и толстые клиенты) подвержены атакам и уязвимостям #ibbank


Сычев: Атаки идут с регионов с большим количеством "зон". Деньги уходят в тюрьмы, в теневой

бизнес #ibbank


Сычев: рост числа хищений со счетов физиков, а не только юриков #ibbank


Сычев: деньги выводятся мобильно - за 2-3 часа. Судебное решение получить нереально за это

время; как и коммуникации с коллегами #ibbank


Сычев: хищения, как правило, происходят не там, где выводятся деньги. Дело по УПК

возбуждается по месту ВЫВОДА денег, а не хищения #ibbank


Сычев: формирование ощущения безнаказанности у преступников #ibbank


Сычев: действующее законодательство на стороне преступников #ibbank


Сычев: проституция, наркотики и терроризм "отдыхают" по сравнению с хищениями в ДБО

#ibbank


Сычев: стоимость организации атаки - 30 тысяч рублей (при доходе в 400 тысяч) #ibbank


Сычев: средний улов банковских ботнетов - 20-40 тысяч аккаунтов #ibbank


Сычев: средняя сумма покушения 400 тысяч рублей (для юриков) #ibbank


Сычев: сейчас формируются стандарты для РАЗРАБОТЧИКОВ платежных приложений в части ИБ

#ibbank


Сычев: ЦБ на уровне надзора и регулирования платежной системы обратил свой взгляд на

проблему #ibbank


Сычев: создана группа из 123 банков, взаимодействующих по вопросам хищений в ДБО #ibbank


Марданов: правила уже разработаны и доступны на сайте АКОРБ #ibbank


Марданов: в Башкирии разрабатываются правила для банков по действиям в случае инцидентов с

ДБО #ibbank


Марданов: в Башкирии создается закрытая площадка для обмена информацией между банками,

правоохранителями, разработчиками ДБО #ibbank


Марданов: основная причина хищений (около 50%) - недостаточная защищенность ДБО #ibbank


Марданов (Нацбанк Башкирии): у юриков хищения идут через кражу ЭЦП; у физиков - через кражу

пароля к Интернет-банкингу #ibbank


Велигура: приостановить платеж банк не имеет права #ibbank


Велигура: производители ДБО игнорируют проблему и считают, что их это не касается. Им пора

уже задуматься! #ibbank


Сычев: из большой тройки только Билайн и МТС озабочены данной проблемой и пытаются

бороться с ней #ibbank


Сычев: вывод денег через мобильных операторов и платежные системы (например, Юнистрим)

тоже проблема #ibbank


Сычев РСХБ): деньги, упавшие на счет, принадлежат клиенту, а факт воровства надо доказать. А

если доказано, то деньги уже выведены #ibbank


Велигура: получить рекомендации МВД можно через комитет АРБ по ИБ #ibbank


Первый доклад в 9 утра и уже первые вопросы из зала. Значит тема хищений ДБО актульна

#ibbank


Велигура: поэтапное движение для решения проблем с ДБО началось


Велигура: у киберпреступников создана индустрия; у банков - только разрозненные элементы, не

объединенные целостной системой #ibbank


Велигура: сдвиг в отношении МВД к этой проблеме. Получены рекомендации по оформлению

инцидентов #ibbank


Велигура: около 120 банков выступили с инициативой взаимодействия между собой #ibbank


Велигура: в АРБ создана группа по координации усилий в решении проблем с хищениями в ДБО.

Она в процессе становления #ibbank


Велигура: атака идет обычно на цепочку банков. Поэтому в одиночку противостоять проблеме

нельзя #ibbank


Велигура: взаимодействие банков между собой не урегулировано и противоречит

законодательству #ibbank


Велигура: у банков нет рекомендаций и полномочий по проверке и приостановке платежа #ibbank


Велигура (АРБ): ситуация с хищениями в ДБО осложняется тем, что платежка проходит через

несколько банков #ibbank

16 февраля CSOonline @CSOonline

Botnet tracking logs from Project Bladerunner suggest politically motivated attacks on Russian sites

lnkd.in/pzXf29

Alexey Lukatsky


The 15 worst data security breaches of the 21st Century lnkd.in/e2zZAQ by @tarmerding2 and

@BillBrenner70 on @CSOonline

Alexey Lukatsky

15 февраля OSPSec @OSPSec

#OSPN Утверждены правила использования электронной подписи при взаимодействии между

госорганами bit.ly/wissOj

Alexey Lukatsky


Развлечения на все вкусы - групповое караоке pic.twitter.com/O5vOcEUM

Показать фото


Конференция продолжается pic.twitter.com/zTyOcMUu

Показать фото


@_051272999114 Предложи ему экспертную поддержку при подготовке документов



Перечень центров повышения квалификации по ИБ, аккредитованных ФСТЭК -

fstec.ru/_razd/_licpere…


@YuryLysenko Супер!

В ответ: Yury Lysenko


@_051272999114 И что Лютиков?


15 февраля Алексей Краснов @Aleksey_Krasnov

ФСТЭК информирует goo.gl/j3anS

Alexey Lukatsky


@vzhik_vzhik А с ddos не в состоянии справиться корпоративный заказчик самостоятельно



@vzhik_vzhik Это специфичный вид атак, с которым могут споавится айтишники операторов связи

и то не всегда



#OSPTW Лютиков: Требования для систем обнаружения вторжений ФСТЭК включают 12 профилей

по стандарту 15408 для 6 классов СОВ. #tbforum

Alexey Lukatsky


@lanflex @vzhik_vzhik Опрос банков в январе этого года

В ответ: Andrey Mospan


@_051272999114 ISO 14448-3 ;-)



#OSPTW Лютиков: ФСТЭК ведет разработку требований для средств контроля информационных

потоков (DLP). Применение их ограничено. #tbforum

Alexey Lukatsky


#OSPTW Лютиков: ФСТЭК хочет поменять подход к классификации ИС - класс будет определяться

по значимости информации и уровням угроз. #tbforum

Alexey Lukatsky


#OSPTW Лютиков: ФСТЭК разрабатывает единую классификацию ИС для разных типов тайн, для

чего планируется адаптировать мировой опыт. #tbforum

Alexey Lukatsky


#OSPTW Лютиков: ФСТЭК разработала национальный стандарт по аттестации объектов

информатизации - направлен в Росстандарт. Гриф ДСП. #tbforum

Alexey Lukatsky


#OSPTW Лютиков: Установка и настройка антивируса требует лицензии, эксплуатация - нет. Но

получение заявительное - экспертизы нет. #tbforum

Alexey Lukatsky


#OSPTW Лютиков: ФСТЭК выпустила требования IPS - вступят в силу 15.03.12. Готовятся антивирусы

и доверянная загрузка. #tbforum

Alexey Lukatsky


@kchln Это невозможно - это международный стандарт



@vzhik_vzhik Часть работ выполняют айтишники



@Creogen000 Вопрос только начинает анализироваться



Все, пошли доклады спонсоров #ibbank


Средний срок проекта по PCI DSS (от начала до сертификации) - около 9 месяцев #ibbank


Храп на задних рядах начинает заглушать голрс докладчика #ibbank


Харламов: будут вестись работы по сотрудничеству АБИСС и PCI SSC по вопросам оценки

соответствия (аудита) #ibbank


Харламов: в СТО будет прописано, что если банк подпадает под PCI DSS, то ему надо

сертифицироваться у PCI SSC #ibbank


Харламов: официальный перевод PCI DSS (и других докуменов PCI SSC) будет оформляться в виде

РС к СТО #ibbank


Харламов: начата работа по заключению соглашения между ТК122 и PCI SSC с целью введения в

РФ гармонизированных с PCI DSS стандартов #ibbank


Харламов (ЦБ): прямое использование PCI DSS в России нелучший путь. Нужна гармонизация и

адаптация #ibbank


Курило: также будут разработаны ГОСТы по универсальной схеме финансовых сообщений и по ИБ

финансовых операций (это СТО) #ibbank


Курило: в 2012-м будут разработаны ГОСТы по терминологии платежных систем, управлению

сертификатами для финансовых услуг #ibbank


Гениевский: 40% банков ввобще не проводили ни разу оценку рисков #ibbank


Гениевский: 6% банков вообще не планируют применять СТО #ibbank


Гениевский: 71% банков делали оценку самостоятельно. К ним у РКН большинство вопросов из-за

переоценки своего уровня #ibbank


Гениевский: 67% банков провело оценку соответствия СТО в 2011-м году #ibbank


Гениевский: средняя зарплата безопасника в банке выросла #ibbank


Гениевский: 45% банков имеет всего одного сотрудника ИБ #ibbank


Гениевский: большинство банков хочет, чтобы СТО стал обязательным #ibbank


@ivladdalvi Был опыт неудачный по какому-то блочному шифру, который стал ГОСТ Р ИСО/МЭК



Гениевский: 47% банков России имеют бюджет менее 3% от бюджета ИТ. У 24% бюджет от 5 до

10% от бюджета ИТ #ibbank


Гениевский (АБИСС) делится результатами исследований по применимости стандарта Банка

России #ibbank


Корольков: ТК26 подготовил кучу рекомендаций по стандартизации криптографии и сейчас их

соглаовывает #ibbank


Корольков: планируется замена 34.10 и 34.11 новыми, усиленными вариантами действующих

редакций стандартов по хэшу и ЭЦП #ibbank


Корольков: стандарты RSA перейдут в OASIS #ibbank


Корольков: вместе с RSA ТК26 работал над PKCS#11, 12 и 15. Активно помогал ОАО "УЭК". В

госуслугах все должно быть по уму #ibbank


Россия пытается влиять на ISO в части "навязывания" нашей криптографии, но нас давят #ibbank


Корольков: ISO 14448-3 использует российские криптоалгоритмы #ibbank


Корольков: нельзя напрямую использовать криптостандарты ISO в России #ibbank


Корольков (ФСБ): ТК26 - главный за стандартизацию криптографии в России #ibbank


ДРР ЦБ регулирует бесперебойность, но не готов вырабатывать критерии/метрики оценки уровня

бесперебойности. А как оценивать тогда? #ibbank


Тамаров (ЦБ): департамент регулирования расчетов готовит нормативку по бесперебойности

функционирования НПС. Но как-то коряво #ibbank


Курило: в 2012 из СТО будут делать ГОСТ #ibbank


Курило: ТК122 пока неактивно действует из-за активизации работ по разработке нормативки по

НПС #ibbank


Курило: документ по ролям (РС 2.5) до сих пор дорабатывается в связи с тем, что тема непростая и

постоянно всплывают новые нюансы #ibbank


Курило: у ТК122 большие планы по разработке и согласованию стандартов банковской

безопасности #ibbank


Курило: нет единых требований - нет единых методов контроля, нет отчетности, нет воздействия.

Нужны единые стандарты. ТК122 - rulez #ibbank


@kkhalilova Бориса нет. Айдара тоже. Некому писать ;-)

В ответ: Kseniya Khalilova


NEW: Nortel executives knew of data breach, chose to do nothing bit.ly/zxn35I

Alexey Lukatsky


@e_v_rodigin @Aleksey_Krasnov @pshknst Ты о дочке думай, а не о работе ;-)



@Aleksey_Krasnov @pshknst Правильно ;-) По идее должны были другую выложить



@pshknst Упс. Пропустил. В прошлой редакции в том же месте было

В ответ: Alexander Delva


@arkenoi Иногда стартапы создаются только для продажи инвестору

В ответ: ArkanoiD


@arkenoi Так создай ;-)

В ответ: ArkanoiD


@kkhalilova Иногда второе опережает первое

В ответ: Kseniya Khalilova


Конференция продолжается в номере 302. Концерт по заявкам. Гитара, напитки по кругу... только

костра не хватает #ibbank


@anton_chuvakin I will try!

В ответ: Dr. Anton Chuvakin


Основатель Джета запустил ИБ-стартап в США - bit.ly/zLORF1


@_051272999114 Вопрос ОБСУЖДАЕТСЯ



@_051272999114 Ну эти вопросы мы и в Москве порешать можем



@_051272999114 Корольков и Простов



@_051272999114 Ждемс...


14 февраля CERT-GIB @CERTGIB

Русские хакеры считаются самыми меркантильными в мире. ria.ru/interview/2012… #cybercrime

Alexey Lukatsky


Торжественный ужин. Тосунян рассказывает анекдот про грузин!


В новой редакции постановления о защите НПС пропал раздел про оценку соответствия средств

защиты


ФСТЭК опубликовала новую редакцию проекта постановления правительства по защите НПС -

fstec.ru/_razd/POSTPR_p…


Конторович: причина отказа - потенциальный конфликт интересов и репутационные риски #ibbank


Конторович: официальный отказ от участия не отменяет рабочего взаимодействия с различными

организациями #ibbank


Конторович: Игнатьев категорически против участия представителей ЦБ в различных официальных

организациях, ассоциациях и т.п. #ibbank


АБИСС обновила сайт - www.abiss.ru


Гениевский: АБИСС - это система "одного окна" для банков при общении с регуляторами #ibbank


Гениевский: АБИСС разработал 3 программы обучения по СТО - для внедренцев, для аудиторов и

для тренеров. Выдаются сертификаты #ibbank


Гениевский (АБИСС) рассказывает об изменениях в АБИСС #ibbank


@rnesterov1977 кому?

В ответ: Ruslan Nesterov


@rnesterov1977 Степени помощи кого кому?



Тамаров (департамент регулирования расчетов ЦБ): есть разные подходы к регулированию НПС и

подход ГУБЗИ - один из возможных #ibbank


Конторович: к 1-му июля все документы должны быть #ibbank


@SitNoff Попробую уточнить, но не уверен, что вопросы гостайны тут будут обсуждать

В ответ: Andrey Sitnoff


@SitNoff Тут СТР не обсуждают. Это же банковская тусовка



@SitNoff СТР? Или СТО?



Выборнов: оценка соответствия требованиям ИБ в НПС - раз в 2 года #ibbank


Выборнов: готовится НПА ЦБ о порядке предоставления отчетности в рамках НПС #ibbank


Выборнов (ЦБ): результаты оценки соответствия по ИБ через отчетность в ЦБ в рамках

обновляемых 1375-У и 2332-У #ibbank


Подход ЦБ об отсутствии необходимости получения банками лицензий ФСТЭК пока остается

неизменным, но сейчас идут обсуждения с ФСТЭК #ibbank


Вопрос о контроле (кто надзорный орган) за некоммерческими организациями в рамках НПС

остается открытым #ibbank


@Aleksey_Krasnov Вопрос сейчас обсуждается! Без деталей!



В связи с выходом проекта постановления о лицензировании ТЗКИ вопрос получения банками

лицензий ФСТЭК остается открытым #ibbank


Харламов: обсуждается вопрос о возможности использования ЛЕГАЛЬНО ввезенных СКЗИ, а не

только сертифицированных


Харламов: при подключении к международным платежным системам можно следовать

требованиям оператора такой системы (обсуждается) #ibbank


Харламов: СТО доброволен, а положение о защите в НПС от ЦБ, построенное на базе СТО, будет

обязательным #ibbank


Харламов (ЦБ): под требования по защите НПС попадают ВСЕ кредитные и некоторые

некредитные организации #ibbank

14 февраля Cisco Russia&CIS @CiscoRussia

Презентация Дейва Эванса - главного футуролога Cisco о тенденциях развития технологий #CLEUR

csc0.ly/6013R2KV

Alexey Lukatsky

Показать медиа-файл


Конторович: платежных систем в России около 70-ти


Куц: оператору платежной системы дано право разрабатывать модель угроз платежной ситемы


Конторович: милиция не хочет заниматься киберпреступлениями, т.к. это портит статистику

#ibbank


Конторович: АРБ и Управление "К" будут сотрудничать в части борьбы с хищениями в ДБО.

Создана специальная рабочая группа #ibbank


Курило: 28-я глава УК удовлетворяет требованиям защиты от хищений в ДБО, но

правоприменительная практика слаба или отсутствует #ibbank


ФСБ хочет сделать публичными требования соответствия модели нарушителя и классов

используемых средств защиты #ibbank


Простов: кроме защищенных флешек можно использовать средства отображения подписываемых

документов на подключаемом устройстве #ibbank


Простов предложил реализовать доверенный гипервизор (!) на флешке для защиты от атак на

обычные защищенные флешки с ОС #ibbank


Простов прорекламировал сертифицированную СКЗИ от С-Терры на базе флешки, на которой есть

ОС и все необходимые приложения #ibbank


Простов: при переводе денег бюджетных средств требования устанавливаются по согласованию с

регулятопами #ibbank


Простов: меры и средства защиты при переводе денег физлиц определяются физлицом #ibbank


@ivladdalvi Вот и я о том же. Одни думают об удобстве - другие о безопасности



Простов (ФСБ): ФСБ согласовало проект Постановление Правительства по защите НПС, которое

лежало на сайте ФСТЭК #ibbank


@AlexGoldbergs Не, не было еще ;-)



Курило: требования по контролю будут отдельные для кредитных и некредитных организаций

#ibbank


Курило: ЦБ разрабатывает 3 документа - по требованиям по защите в НПС и по контролю за

соблюдением требований #ibbank


Курило: PCI DSS будет принят в России как НПА ЦБ, но не в виде прямого применения, а путем

заимствования ключевых его положений #ibbank


Курило: должна быть создана единая система проверки, оценки соответствия и составления

отчетности по вопросам ИБ #ibbank


Картина в Президиуме: Тосунян (АРБ) - планшетник, Гениевский (АБИСС) - планшетник, Куц

(ФСТЭК) - шариковая ручка #ibbank


Курило: положения СТО войдут в нормативные акты ЦБ, ОБЯЗАТЕЛЬНЫЕ к применению (в отличие

от стандартов) #ibbank


Курило (ЦБ): добровольное принятие национального стандарта не очень эффективно. Нужны

нормативные акты прямого действия #ibbank


Кстати, проект ISO 27015 по СУИБ в финансовых организациях завернули и поменяли статус на TR

(технический отчет). Visa задавила ;-)


120 банков на 127 интеграторов. Всего 321 человек #ibbank


@toparenko Во! Этот вопрос сейчас как раз обсуждается и анализируется

В ответ: Alex Toparenko


@AlexGoldbergs Я на круглом столе буду облака мочить. Готовьтесь!



@spqer это бывший транстелеком

В ответ: Denis Tsvetkov


РКН приглашает экспертов к сотрудничеству - rsoc.ru/news/rsoc/news…


Microsoft выступает после Oracle и чморит предыдущего докладчика. Правда выступает MS на

фоне презентации Oracle #ibbank


@rnesterov1977 Да, РКН поворачивается лицом к сообществу



ТТК в 5-й раз прошел аудит соответствия ISO 27001


Интересное заявление от Oracle - значимость мероприятия определяется числом спонсоров


Пошли приветствия от спонсоров #ibbank


Гениевский (АБИСС) приветствовал всех #ibbank


Корольков (ФСБ): общие слова


@angryfix Нет, попозже. Но затягивать не будут



@mguilenko просто не всегда его вставляю - пишу очень быстро



@mguilenko решили на #ibbank перейти



От себя добавлю, что за разработку постановлий Правительства по защите ПДн отвечает не

ФСТЭК, а ФСБ


Куц: новые Постановления Правительства будут утверждены в мае #ibbank


@angryfix Посмотрим. Возможно



Куц (ФСТЭК) ограничился приветствием от директора ФСТЭК. Куцее какое-то выступление ;-(

ФСТЭК вся в этом - ничего конкретного


Шередин (РКН) выступил конкретно и по делу!


Шередин: РКН не имеет претензий на передачу ПДн коллекторам в рамках цессии - согласие не

нужно. В отличие от агентского договора #ibbank


Шередин: в ряде случаев можно обрабатывать ПДн без согласия, например, по 115-ФЗ


Шередин: типовое общее согласие клиента не совсем правильно - нужна дифференциация

#ibbank


Шередин: 3 банка отказывают РКН в предоставлении сведений в рамках проверок, ссылаясь на

банковскую тайну


Шередин: 72 бана присоединилось к СТО, а уведомление в РКН не присылало. Это ндопустимо!

#ibbank


Шередин: При этом банки обязаны проверять и контрагентов, занимающихся рассылкой

рекламой #ibbank


Шередин: банки постоянно занимаются рассылкой рекламы в нарушении ст.15 ФЗ-152 #ibbank


Шередин: банки саще всего нарушают требование конфиденциальности ПДн и не имеют списка

лиц, допущенных к обработке ПДн #ibbank


Шередин: РКН за применение СТО для защиты прав субъектов ПДн


Шередин: началась аккредитация экспертов по проведению проверок ПДн. Теперь РКН будет

привлекать всех желающих #ibbank


Шередин (РКН) рассказывает о ключевых изменениях новой, июльской редакции ФЗ-152 #ibbank


Конторович: информационная безопасность переживает невиданный подъем #ibbank


Конторович: ФЗ-161 перекладывает расходы, в зависимости от трактовки юристами, на банк или

на клиента #magsec


Конторович: ЦБ стоит перед вопросом: На кого переложить затраты на противодействие кражам?

#magsec


@rnesterov1977 @obodryk Березовый Шит



Конторович (ЦБ): ЦБ озаботился этой темой. Игнатьев назначил Конторовича отвечать за тему

противодействия кражам #magsec


Конторович (ЦБ): на днях у Игнатьева было совещание всего руководства ЦБ по поводу воровства

денег со счетов клиентов #magsec


Тосунян: 3.7 млрд долларов заработали русские хакеры в 2011-м году. В 2013-м будет удвоение

этих цифр #magsec


@obodryk Не волнуйся - это Великий Русский Файрвол строят

В ответ: Oleksandr Bodryk

14 февраля Цитаты М. Жванецкого @JvanetskyQuote

Позицию нашего чиновника я бы определил так: без меня вам нельзя, а со мной у вас ничего не

получится!

Alexey Lukatsky


Выступает Тосунян (АРБ). Начал с анекдота про армян #magsec


Первая мысль на смерть Хьюстон - " Спама станет больше"! Профессия накладывает свой

отпечаток

Documents

On line вещание лукацкого с базы