Практика ИБ \ Процедуры анализа журналов регистрации событий в соответствии с PCI DSS. Часть 1

Антон Чувакин опубликовал в своем блоге практическое Руководство по организации процедур анализа журналов регистрации событий в соответствии с требованиями PCI DSS. Руководство достаточно универсально и может использоваться в качестве основы при организации анализа событий в рамках любых других требований, в том числе СТО БР ИББС-1.0, РС БР ИББС-2.3, ISO 27002, CobiT, либо просто в рамках реализации программы обеспечения безопасности компании без каких-либо внешних требований.

При переводе руководство было мной немного актуализировано и приведено в соответствие с требованиями новой версии PCI DSS 2.0. Руководство состоит из трех основных частей:

1. Описание требований PCI DSS в части журналирования событий, 
2. Описание процедур анализа журналов регистрации событий,
3. Описание доказательств, которые потребуются для подтверждения соответствия требованиям PCI DSS в части журналирования событий.

В первой части рассмотрены следующие вопросы:

• Цели создания Руководства
• Начальные требования и предположения
• Вопросы, которые не вошли в Руководство
• Роли и обязанности
• Требования PCI DSS в части журналирования событий
• Требования раздела 10 PCI DSS
• Другие требования, связанные с журналами регистрации событий

Портфель CISO \ Проведение презентаций. Часть 2

Доделал вторую часть статьи по проведению презентаций. Она является логическим продолжением первой части, в которой был описан процесс подготовки презентации, и посвящена непосредственно выступлению перед аудиторией.

ISSP \ Домен 09. Безопасность приложений. Часть 7

В этой части рассмотрены следующие вопросы:

• Распределенные вычисления
• CORBA и ORB
• COM и DCOM
• EJB
• OLE
• Распределенная вычислительная среда
• Экспертные системы
• Искусственные нейронные сети

В двух словах \ Проект закона об электронной подписи

Как все уже наверное знают, 25 февраля 2011 года во втором чтении был принят проект федерального закона "Об электронной подписи", который должен заменить ФЗ "Об ЭЦП". До принятия закона осталось несколько шагов, на которых существенных изменений обычно уже не вносится. Посмотрим, что ждет нас в ближайшем будущем.

Терминология \ Глоссарий терминов по информационной безопасности

NIST выпустил недавно очень полезный документ: NIST IR 7298 Rev.1 "Glossary of Key Information Security Terms" - Глоссарий ключевых терминов по информационной безопасности.

В глоссарий вошли термины из федеральных стандартов обработки информации (NIST Federal Information Processing Standards, FIPS), специальных публикаций NIST серии 800, межведомственных отчетов NIST (NIST Interagency Report, NISTIR), и из Инструкции 4009 Комитета по информационным системам, связанным с обеспечением национальной безопасности (Committee for National Security Systems, CNSSI).

Карта законодательства по ПД для банков v2

Обновлена карта законодательства по ПД для банков. Спасибо Alexey Babenko и toparenko за комментарии.

ISSP \ Домен 09. Безопасность приложений. Часть 6

В этой части рассмотрены следующие вопросы:

• Методология разработки программного обеспечения
• Концепции объектно-ориентированного программирования
• Полиморфизм
• Моделирование данных
• Архитектура программного обеспечения
• Структуры данных
• Связность и связанность

ISSP \ Домен 09. Безопасность приложений. Часть 5

В этой части рассмотрены следующие вопросы:

• Методы разработки программного обеспечения
• Средства автоматизированной разработки программного обеспечения (CASE-средства)
• Разработка прототипов
• Методология безопасного проектирования
• Методология безопасной разработки
• Проверка на защищенность
• Управление изменениями
• Модель зрелости процессов разработки программного обеспечения (CMM)
• Передача исходного кода программного обеспечения на хранение независимой третьей стороне

ISSP \ Домен 09. Безопасность приложений. Часть 4

В этой части рассмотрены следующие вопросы:

• Разработка систем
• Управление разработкой
• Этапы жизненного цикла
• Инициирование проекта
• Управление рисками
• Анализ рисков
• Функциональное проектирование и планирование
• Техническое задание на разработку системы
• Разработка программного обеспечения
• Установка и внедрение
• Эксплуатация и сопровождение
• Удаление
• Виды тестирования
• Анализ завершенного проекта

В двух словах \ Карта законодательства по ПД для банков

Понадобилось проанализировать действующее российское законодательство в области персональных данных применительно к банкам, принявшим в качестве обязательного Комплекс стандартов Банка России БР ИББС. В итоге получилась вот такая карта.

Здесь можно скачать картинку в высоком разрешении и исходник в формате MS Visio.

Несколько пояснений по схеме:

• красными стрелками обозначено, какой документ на каком основан;
• синими стрелками показаны ссылки из одних документов в другие;
• цветами показаны разные "уровни" документов 
• фиолетовый и синий - общие основополагающие документы;
• оранжевый - конкретизирующие документы;
• зеленый и коричневый - документы, содержащие конкретные требования;
• красный - документы по вопросам контроля и ответственности;
• серый - вспомогательные документы;
• красным фоном выделены наиболее важные документы, в которых находится основной объем требований (при использовании СКЗИ для защиты ПДн также важными становятся документы ФСБ, при обработке биометрических ПДн - ПП-512).
• зачеркнуты на схеме документы ФСТЭК, которые можно не использовать после введения приказом Комплекса БР ИББС - все содержащиеся в них требования включены в СТО БР ИББС-1.0, РС БР ИББС-2.3 и РС БР ИББС-2.4.

Сами документы можно найти в разделе блога "Законодательство и требования".