Наши прихожане уже наверное в курсе, что на блокчейн-голосовании в Москве произошёл сбой. "Сбой в железке КриптоПро обеспечивающей гостовое шифрование перед записью в блокчейн. Это шифрование канала между серверами в инфраструктуре mos.ru", объясняет один из прихожан. Сейчас в очереди на помещение в блокчейн тысяча голосов, они не потеряны, говорит он.

Удивительное дело, всего и нужно было - обработать 12 тысяч записей за день. Ок, положим, все решили проголосовать утром. Но все равно это не самая высокая нагрузка. Неужели перед релизом не было проведено нагрузочного тестирования?

Разъяснения Банка России с осенной сессии Уральского форума https://t.co/AmYZmZHzw1
— Alexey Lukatsky (@alukatsky) September 9, 2019

В год в России ВУЗами выпускается 600 Ибшников. Минобрнауки подготовило новые ФГОСы по ИБ https://t.co/hktQLhd99M
— Alexey Lukatsky (@alukatsky) September 10, 2019

ГЛОНАСС планирует перейти на российское шифрованиеhttps://t.co/tor33ENTlG
— ib-bank (@BISJournal) September 10, 2019

Законопроект о внесении новых штрафов в КОАП РФ. Авторы посчитали, что у операторов ПДн было достаточно времени чтобы перенести свои БД в РФ. Наконец то подъехали серьезные суммы - до 18 млн. рублей. Другим видам операторов тоже достались серьезные суммы… https://t.co/wyJlpBaxH5 pic.twitter.com/OkakrKCJ49
— Sergey Borisov (@sb0risov) September 10, 2019

Лукацкий: Проект ФГОС для студентов по ИБ — говно для даунов
Бизнес: Ха-ха, нам все равно, лишь бы сейчас побыстрее продать свои продукты
Советники ФГОС: Слыш, сначала сам предложи!
Лукацкий: Я предлагаю каждый год, никто не слушаает
Советники ФГОС: Так предложи еще раз!
Лукацкий: (предлагает)
Советники ФГОС: Мы нихуя не поняли что ты написал, пришли еще раз на языке для даунов (ГОСТ)

https://www.facebook.com/alexey.lukatsky/posts/2438545486225046

XI Уральский форум — Интеллектуальная игра «Где логика?»

Умеют ли специалисты ИБ мыслить нестандартно и хорошо ли знают фильмы про свою профессию? Участники XI Уральского форума показали себя в игре в популярном телеформате.https://t.co/BX6poR20ic— ib-bank (@BISJournal) September 11, 2019

Артем Гутник (Ciso НСПК): если безопасность говорит нет, значит она просто не хочет работать#АБР #МБФ #bisjournal pic.twitter.com/73ocGQxykU
— ib-bank (@BISJournal) September 12, 2019

Интересный вариант реализации геймификации при обучении ИБ - https://t.co/SDkSv5RBoM
— Alexey Lukatsky (@alukatsky) September 12, 2019

Почти 10 миллионов долларов потратит МинОбороны США на создание автономного SOC, который действует в режиме самоуправления и самозащиты при минимальном участии человека
— Alexey Lukatsky (@alukatsky) September 12, 2019

Что курил автор, редактор и иллюстратор, когда выбирали обложку для этой книги? pic.twitter.com/hj1jIqiJ1m
— Alexey Lukatsky (@alukatsky) September 13, 2019

Мэрия выложила закрытый ключи шифрования для блокчейна, используемого на голосовании в Москве - https://t.co/90HwabupOw А нафига надо было тогда вообще что-то шифровать, если ключи потом выкладываются в открытый доступ?
— Alexey Lukatsky (@alukatsky) September 13, 2019

Перефразируя Морейниса...
1. Если у вас нет дашборда, показывающего предотвращенные потери от инцидентов — значит, вы не думаете об ИБ с точки зрения бизнеса.
2. Если на этом дашборде нет сравнения с предотвращенными потерями за прошлый период — значит, вы не озабочены ростом.
3. Если вы не озабочены предотвращением потерь от инцидентов и ростом — значит, показать свою нужность бизнесу вы можете только чудом.

Спустя некоторое время Илья Борисов разродился своим постом:
Перефразируя ...
1. Если у вас нет дашборда, показывающего предотвращенные потери от инцидентов — значит у вас просто нет ещё одного дашборда.
Если дашборд - это единственное, что связывает ИБ и бизнес, то у меня для вас плохие новости.
2. Если на этом дашборде нет сравнения с предотвращенными потерями за прошлый период — то это абсолютно ничего не значит, как и сам дашборд.
3. Если вы не озабочены демонстрацией предотвращения потерь от инцидентов и демонстрацией роста каких-то показателей от года к году — скорее всего, вы просто работаете и у вас банально нет времени на оформление отчётов.

За Ильей подтянулся Сергей Золотухин

Ну и снова я 😊

В одном из проектов по SOC, в котором мы участвовали, метрикой эффективности всех защитных мер была стоимость выписки/баланса по клиенту в Darknet. Растет - значит ИБ работает. Падает - значит все фигово и надо улучшать. И измерить несложно pic.twitter.com/g1pVE5u7wx
— Alexey Lukatsky (@alukatsky) September 16, 2019

​​Изменения в приказ ФСТЭК № 17Изменения в приказ ФСТЭК № 17

Вот и подоспели изменения в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утверждённые приказом ФСТЭК России от 11 февраля 2013 г. № 17. Документ был утверждён регулятором ещё 28 мая 2019 г., но официально опубликован только сегодня.

Указанные изменения представляют интерес для ЦОДов, которые предполагают размещать у себя ГИС, а также для операторов ГИС, которые хотят разметить свою систему в ЦОД.  
Аттестаты соответствия, как и было заявлено, теперь не имеют срока действия и выдаются на весь срок эксплуатации ГИС.

P.S.: возможно, не все обратили внимание, но официально опубликованный документ отличается от того, который был подготовлен по итогам общественного обсуждения (публичный жизненный цикл указанных изменений рассматривался здесь). Впрочем, это уже не имеет никакого значения, но ещё раз подтверждает, что лучше дожидаться официального опубликования.

Приказом Росстандарта утверждены рекомендации по стандартизации Р 1323565.1.026-2019, определяющие режимы аутентифицированного шифрования https://t.co/BvU49FfG5L
— Russian cryptography (@CryptographyRU) September 16, 2019