воскресенье, 6 октября 2013 г.

Академия Информационных Систем на INFOBEZ-EXPO 2013

   Академия Информационных Систем выступает организатором двух мероприятий на ежегодной выставке-конференции INFOBEZ-EXPO 2013: круглый стол «Разведка и контрразведка в бизнесе - модный тренд или требование времени» и мастер-класс для молодых специалистов «Как построить успешную карьеру в ИБ?».  Получить бесплатный билет можно на сайте выставки.
   Международная специализированная выставка-конференция по информационной безопасности Infobez-Expo 2013 пройдет в Москве с 8 по 10 октября в ЦВК «ЭКСПОЦЕНТР», павильон №7.
   Академия Информационных Систем организует 10 октября круглый стол «Разведка и контрразведка в бизнесе - модный тренд или требование времени», модератором которого станет Андрей Масалович, ведущий эксперт в области конкурентной разведки. В мероприятии примут участие эксперты в области конкурентной разведки, а также представители стороны заказчика. Круглый стол состоится в 10.30 10 октября в конференц-зале №2.
   «Каждая компания сегодня так или иначе сталкивается с задачами бизнес-разведки и контрразведки, - рассказывает Андрей Масалович. - Проверка контрагентов и новых сотрудников, выявление признаков мошенничества, банкротства, финансовой неустойчивости, деловой репутации бизнес-партнеров - эти и подобные задачи плотно вошли в практику бизнеса.
   Как обеспечить их эффективное и, по возможности, малобюджетное решение? Кроме того, возможности бизнес-разведки позволяют своевременно выявлять (и предупреждать) появление активных угроз бизнесу, репутации и устойчивому развитию компании. Насколько реально снизить риски и обезопасить настоящее и будущее своего бизнеса от неожиданностей? На эти и другие вопросы мы постараемся ответить на нашем круглом столе в рамках INFOBEZ-EXPO 2013».
Следом за круглым столом состоится мастер-класс для молодых специалистов «Как построить успешную карьеру в ИБ», который состоится при поддержке МОО «АЗИ». Модерировать мероприятие будет Юрий Малинин, ректор Академии Информационных Систем,  руководитель комитета МОО «АЗИ» по образованию в области информационной безопасности.
Тезисы мастер-класса:
  • Разрыв между уровнем квалификации специалистов, закончивших вузы, и требованиями работодателей
  • Взгляд вузов: оценка квалификации выпускников вузов 
  • Взгляд работодателей: какие специалисты нужны бизнесу на самом деле
  • Профстандарт  - как инструмент для преодоления этого разрыва
  • Роль учебных центров в этом вопросе
  • А что может и должен сделать сам выпускника вуза, чтобы стать востребованным и успешным?
  • Истории успеха руководителей отделов ИБ. Пошаговое руководство: от рядового сотрудника до руководителя ИБ

среда, 31 июля 2013 г.

Портал госуслуг: балансировать по лезвию безопасности, или к черту юзабилити

   Не удивительно, что в интернете становится все больше сервисов по оказанию услуг, будь то государственные услуги или коммерческие. Но соответствует ли качество сервиса ожиданиям простых обывателей – вот главный вопрос, поднятый на первой встрече, организованной Digit.ru «Технологии для людей: какими должны быть порталы для госуслуг». Главным действующим лицом этой встречи стал Сатин Дмитрий Константинович, советник министра связи и массовых коммуникаций РФ.
С приходом 10 января Дмитрия на пост советника стала активно обсуждаться тема удобства и качества портала госуслуг, но приведет ли это к реальным результатам? А сделав систему максимально удобной, не переступим ли мы тонкую грань между удобством и безопасностью?
Ты помнишь, как все начиналось?
Предшественником портала госуслуг был ogic.ru, разработанный ФГУП НИИ «Восход». Особой популярности среди населения портал не имел, так как люди привыкли доверять бумагам и смотрели на новшество с недоверием. Никакие исследования в области информатизации общества не проводились, люди не знали, что такое портал и как им пользоваться. В итоге, первые потуги оказались провальными.
Количество VS качество
Знаете сколько госуслуг «предоставляется» в России в электронном виде? 60 тыс по последним данным Ростелекома! Если сравнивать нас с Англией, которая, создала всего 200 госуслуг, мы сильно опережаем их по количеству, но не по качеству. Заблудиться в трех соснах сложно, заблудиться в лесу – проще простого. Даже продвинутые пользователи Интернета не могут сориентироваться «на местности»: они теряются, не зная, какая услуга им вообще нужна.
Возможно, количественный подход необходим, чтобы придать  неповоротливой, масштабной системе импульс. Но сейчас пришло время, не раз подчеркивал Сатин, когда важно не  количество, а качество оказанных услуг.
Качество = безопасность?
Портал не ругает только ленивый. Одной из главных причин недовольства стала регистрация при получении госуслуги. Разработчики системы хотели быть уверены, что на портал зарегистрировался реальный гражданин. Но, как показывает практика, сложная регистрация не спасает от мошенников и спамеров. Например, был случай, когда на прием к врачу зарегистрировалось онлайн около двухсот человек, и лишь малая доля из них оказалась реальными людьми. Но очередь есть очередь, и реальным пациентам пришлось пропускать вперед всех ботов, спамеров и  «нигерийских принцев» . И такие случаи, как оказалось, происходят с завидным постоянством.
Палка о двух концах
Сегодня Минкомсвязь  хочет сделать портал госуслуг максимально доступным для простых обывателей. По их замыслу, регистрация будет возможна всего за 60 секунд. Однако все понимают, что без определенного уровня защиты не обойтись. Найти баланс между безопасностью и удобством сложно, потому что одно исключает другое (в классической версии безопасника).
Однако Сатин понимает, что систему реально можно сделать проще. При условии если будут пересмотрены сами процедуры получения госуслуг. Но эта проблема не разработчиков, не юзабилистов, а проблема межведомственного взаимодействия с населением. Одним словом, нужен глобальный реинжиниринг внутри самой системы, а так же доверительный диалог госструктур и народа.
Будучи бизнесменом и юзабилистом до корки головного мозга Сатин прекрасно понимает  необходимость эффективной обратной связи с пользователями. Когда Минкомсвязь поймет, куда пользователям нравится кликать и пойдет за этими предпочтениями, тогда - и только тогда – они сделают действительно народный портал. Возможно, с трудом балансируя по лезвию безопасности.



С Дмитрием мне предстоит еще личное знакомство на берегу Черного моря, в рамках конференции ИнфоБЕРЕГ-2013, где он согласился выступить с докладом.
 

четверг, 25 июля 2013 г.

Буревестник об изменениях на рынке дополнительного профессионального образования


Говорят, долгая разлука укрепляет отношения… Что ж, надеюсь, что уважаемые читатели простят длительное отсутствие и снова порадуют своим присутствием, а может, даже и комментариями.
Так вот, коллеги, вернулся я в минуту тревожную для нашей отрасли. С 1 сентября мы попадаем в правовой вакуум. История заключается в следующем:
В апреле 2012 года появляется - уже ставшее небезызвестным - Постановление Правительства №313, в котором содержатся определенные требования к специалистам по информационной безопасности. Об этих требованиях уже много говорилось – например, тут   
Учебные центры тогда стали разрабатывать программы, которые удовлетворили бы и ФСБ, и специалистов, и их работодателей. Нашли «золотую середину». Стали учить и выдавать в соответствии с ПП-№313 дипломы Государственного образца.

Около полугода назад – нас словно обухом по голове. Появилась информация о том, что с 1 сентября 2013 года все учебные заведения, – включая ВУЗы, что очень важно – обучающие по программам дополнительного профессионального образования (ДПО), лишатся возможности выдавать документы Государственного образца. Эта информация пришла из Министерства образования. Согласно новому закону «Об образовании в Российской Федерации».
До сентября осталось чуть больше  месяца, закон действительно вступает в силу со всеми вытекающими.

После 1 сентября 2013 года слушатели будут получать документы установленного образца. Все бы хорошо, но  статус этих документов еще предстоит определить органам исполнительной власти, в то время как регулятор будет требовать дипломы (свидетельства, удостоверения) о профессиональной переподготовке по ИБ государственного образца.
Наверняка, решение найдется. Сейчас обсуждаются варианты выхода из сложившейся ситуации, но сколько времени займет у сообщества прийти к консенсусу  - пока загадка даже для нас.
Поэтому мой совет до банального прост – не ждать, когда запахнет жареным, а получить документ гособразца (Удостоверение, Свидетельство) в августе. Возможность выдавать Гос.документы у нас пока есть. Не откладывайте на сентябрь то, что потом будет невозможно сделать.

пятница, 14 декабря 2012 г.

RISSPA и АИС приглашают на вебинар Евгения Царева по НПС

   Ассоциация RISSPA и Академия Информационных Систем 21 декабря приглашают на вебинар по защите информации в рамках Национальной платежной системы - www.risspa.ru. Вебинар проведет Евгений Царев, независимый эксперт по информационной безопасности, тренер и один из разработчиков курса Академии Информационных Систем по НПС.
   По мнению Евгения, за неполные 1,5 года своего существования в России тема обеспечения информационной безопасности в рамках Национальной платежной системы прошла путь от нескольких строчек закона до полноценного направления деятельности. Также за это время появился целый ряд мифов вокруг НПС, например, миф об уникальности нашей НПС. Во время вебинара расскажет о структуре, схеме и перспективах развития НПС, а также о российской нормативной базы по защите информации.

Программа вебинара:
1. «Глобальная система расчетов»
   a. Банк международных расчетов
   b. Понятие, структура и схема НПС
   c. Международные платежные системы. SWIFT
   d. Международные карточные платежные системы. Visa и MasterCard
2. Развитие «платежного» законодательства в РФ
3. № 161-ФЗ"О национальной платежной системе"
   a. Основные термины и определения
   b. Участники НПС
   c. «Национальная платежная система» и «Платежная система»
   d. Субъекты НПС и участники ПС
4. 10 требований по защите информации (584-ПП)
5. Основные ведомственные требования Банка России
   a. Требования к обеспечению защиты информации (382-П)
   b. Отчетность по обеспечению защиты информации (2831-У)
6. Поправки в законодательство, 382-П и 2831-У
7. Ключевые регуляторы и участники отрасли. Банк России, ФСБ, ФСТЭК, АРБ, НП «НПС», ABISS
8. Перспективы развития НПС

   Программа онлайн-выступления Евгения составлена «по мотивам» курса «Вопросы обеспечения безопасности при переводе денежных средств в рамках Национальной платежной системы». Первое обучение по данному курсу прошло в начале декабря в Академии Информационных Систем. Евгений Царев принимал активное участие в его разработке, а также проводил некоторые занятия.
   На сегодняшний день АИС является основным центром дополнительного образования, обладающим необходимой компетенцией для проведения курсов по НПС. Более подробную информацию по курсу, вы можете найти на сайте Академии Информационных Систем.

среда, 28 ноября 2012 г.

Вопросы обеспечения безопасности при переводе денежных средств в рамках Национальной платежной системы

   Как разобраться в большом объеме информации и нормативных документов регуляторов, включая документы Банка России, в области обеспечения безопасности при переводе денежных средств в рамках Национальной платежной системы?
   В последнее время помимо уже действующих документов Банка России подготовлены следующие указания:
  1. Указание о внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»;
  2. Указание о внесении изменений в Указание Банка России от 9 июня 2012 года № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств».
   С целью разъяснения положений законодательства и нормативных документов органов исполнительной власти РФ по указанным вопросам в Академии Информационных Систем с 03 декабря 2013 года стартует новый трек курсов:
   1. Курс НПС010 «Введение в основные нормы национальной платежной системы и защиту информации при осуществлении переводов денежных средств организаций участников национальной платежной системы Российской Федерации».
  Даты проведения: 3-4 декабря 2012 года.
   2. Курс НПС020 «Реализация национального законодательства и требований Банка России по защите информации при осуществлении переводов денежных средств в рамках национальной платежной системы».
  Даты проведения: 5-7 декабря 2012 года.
   3. Курс НПС 031 «Контроль, оценка соответствия и самооценка соблюдения требований к защите информации при осуществлении переводов денежных средств».
  Даты проведения: 10 декабря 2012 года.
   Подробная информация по курсамhttp://infosystems.ru/services/informacionnaya/avtorizovannye_kursy/national_payment_system.html

   Курсы разработаны экспертами Академии Информационных Систем с большим практическим опытом внедрения Стандарта Банка России по вопросам информационной безопасности на базе передового Российского и международного опыта в кредитных и не кредитных организациях. Общий объем учебных материалов достигает 1000 листов (это без учета презентационного материала).
   В материалах курсов, помимо необходимых документов Банка России, рассматривается официальный перевод стандарта PCI DSS, выполненный по заказу Банка России.
   Эксперты Академии Информационных Систем активно участвуют в рабочей группе по безопасности при Некоммерческом Партнерстве «Национальный платежный совет» по разработке проектов рекомендаций к документам Банка России и имеют непосредственное отношение к разрабатываемым рекомендациям.
   Несмотря на то, что с момента выхода в свет нормативных документов Банка России прошло менее года, специалисты АИС уже приобрели значительный практический опыт в реализации их требований и смогут ответить на все основные вопросы.

   По всем вопросам обучения просьба обращаться по следующим контактам:
  Филимоненкова Ольга,
  Тел. 8(495)231-3049,

вторник, 20 ноября 2012 г.

НП «АБИСС» формирует реестр экспертов по контролю качества


   В настоящее время Некоммерческое партнерство «Сообществопользователей стандартов по информационной безопасности АБИСС» проводит формирование реестра экспертов по контролю качества. Экспертная деятельность необходима для работы комитета по контролю качества, который будет осуществлять плановые и внеплановые проверки качества деятельности членов НП «АБИСС».
   Основной целью системы контроля качества является создание условий для обеспечения и постоянного повышения качества аудиторской деятельности членов НП «АБИСС» на рынке аудиторских услуг, выполнение правил независимости аудиторов и аудиторских организаций, в том числе:
   - установление степени соответствия работы членов НП «АБИСС» требованиям Комплекса БР ИББС в области аудита и требованиям внутренних регламентирующих документов НП «АБИСС»; 
   - оказание содействия членам НП «АБИСС» во внедрении и поддержании надлежащей системы контроля качества услуг, в том числе правил внутреннего контроля качества работы аудиторских организаций, индивидуальных аудиторов; 
   - анализ степени профессиональной компетенции членов НП «АБИСС»; 
   - анализ соблюдения членами НП «АБИСС» кодекса профессиональной этики аудиторов и правил независимости аудиторов и аудиторских организаций; 
   - формирование общественного мнения о НП «АБИСС», как об организации, объединяющей профессионалов высокого уровня в сфере аудита.
   Участие в проверках по контролю качества засчитывается экспертам как практический опыт работ в области СТО БР ИББС. Длительность проверок – не более 5 рабочих дней.

Требования к кандидатам в эксперты:
   1. Наличие сертификата ABISS, свидетельствующего о прохождении курсов СБР010-040 с литерой «А»;
   2. Опыт проведения работ по аудиту по СТО БР ИББС 1.0 не мене, чем на 3 (трех) проектах за последние 2 (два) года;
   3. Письмо от организации-работодателя, о согласии с привлечением сотрудника в качестве эксперта по контролю качества НП «АБИСС».
   Заявки на присоединение к реестру экспертов по контролю качества НП «АБИСС» просьба высылать на abiss@abiss.ru до 25 ноября 2012 г.

АкадемияИнформационных Систем проводит подготовку специалистов по внедрению положений Стандарта Банка России СТО БР ИББС-1.0-2010, а также аудиторов СТО БР ИББС-1.0-2010:
   1. Внедрение Стандарта Банка России СТО БР ИББС-1.0-2010 (продолжительность 9 очных дней);
   2. Аудит информационной безопасности организаций банковской системы Российской Федерации (продолжительность 5 очных дней).
   Особое внимание в курсах уделяется практическим аспектам внедрения положений Комплекса Стандартов Банка России, вопросам оценки соответствия применяемых мер, оценке рисков нарушения информационной безопасности.
   Многие курсы в АИС проводятся с использованием перспективных дистанционных технологий без отрыва от производства.
   По окончании обучения выдаются Сертификаты ABISS и Государственные удостоверения о краткосрочном повышении квалификации.
   Качество и эффективность обучения в АИС гарантируется более чем 5-летним опытом подготовки специалистов по Стандарту Банка России, а также наличием в штате АИС семи аттестованных аудиторов по СТО БР ИББС-1.0-2010. Эти специалисты имеют большой практический опыт работы, как в банковской системе РФ, так и в крупных интеграторах международного уровня и являются сертифицированными специалистами CISA, CIMS, CISSP, LAC27001, LAC25999, а также QSA-аудиторами.

   Всю необходимую информацию можно получить на сайте АИС www.infosystems.ru, а также запросить у менеджеров АИС по электронной почте security@infosystem.ru или по телефону +7(495)231-3049.

четверг, 8 ноября 2012 г.

Профессиональная переподготовка в области информационной безопасности. Как спланировать длительное обучение в объеме более 500 часов?

   В соответствии с «Положением о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…», утвержденным Постановлением Правительства РФ №313 от 16 апреля 2012 года, при осуществлении лицензионной деятельности выдвигаются достаточно жесткие квалификационные требования к персоналу лицензиата (соискателя лицензии).
   Жесткость требований никто не оспаривает, т.к. речь идет о защите конфиденциальной информации. Вопрос в том, что эти требования должны быть физически реализуемыми.
   Если мы внимательно посмотрим на лицензионные требования, то можем увидеть следующие противоречия и не соответствия. Требования к образованию руководителей и инженерно-технических работников лицензируемого вида деятельности на оказание услуг шифрования информации, технического обслуживания СКЗИ, а также распространения СКЗИ являются не выполнимыми. Указанным требованиям отвечают выпускники вузов только 2009 года, т.к. действующая редакция общероссийского классификатора специальностей принята в 2004 году. Срок базового обучения по направлению «Информационная безопасность» − 5(6) лет. В настоящее время отсутствует какой-либо нормативный документ, относящийся к специальностям, полученным при обучении до 2009 года.
   Требования к инженерно-техническому работнику при осуществлении лицензируемого вида деятельности распространение СКЗИ выше, чем к его руководителю, что не соответствует требованиям Трудового кодекса РФ.
   Требования к инженерно-техническому работнику по распространению СКЗИ противоречат требованиям к техническому персоналу, непосредственно осуществляющему деятельность по созданию и выдаче сертификатов в соответствии с пп. 4 п. 3 с. 16 федерального закона 63-ФЗ от 06.04.2011 «Об электронной подписи» (иметь высшее профессиональное образование в области информационных технологий или информационной безопасности либо высшее или среднее профессиональное образование с последующим прохождением переподготовки или повышения квалификации по вопросам использования электронной подписи).

   Если сравнивать с требованиями к квалификации персонала, выдвигаемыми предыдущим Постановлением Правительства РФ № 957, то там мы не наблюдали никаких противоречий. Например, для инженерно-технических работников требовалось высшее профессиональное образование или переподготовка (повышение квалификации) в области информационной безопасности.

   Также, согласно п.п. г) п. 7 «Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…», утвержденного Постановлением Правительства РФ №313 от 16 апреля 2012 года для получения (продления) лицензии ФСБ России соискатель лицензии (лицензиат) представляет (направляет) в лицензирующий орган копии документов государственного образца (дипломы, аттестаты, свидетельства) об образовании, о переподготовке, повышении квалификации по направлению "Информационная безопасность"…
   Требований наличия государственных документов о повышении квалификации в ПП РФ №957 не было.

   С целью обратить внимание на указанные выше проблемы банковское сообщество в лице НП «Национальный платежный совет» подготовило и направило на имя Председателя Правительства Д.А. Медведева письмо (http://platsovetrf.ru/ru/news/index.php?id=75), в котором было отмечено:
   - Отмечается наличие проблемных вопросов у кредитных организаций в процессе выполнения требований ПП №313,
   - Требования ПП №313 более жесткие, чем были в ПП №957. Некоторые нормы нового Положения требуют уточнения,
   - Отмечается, что ранее действующий Общероссийский классификатор специальностей по образованию ОК 009-93, утвержденный в 1993 году, не содержал такого направления ВПО, как информационная безопасность,
   - Общероссийский классификатор ОК 009-2003, утвержденный в 2003 году, введен в действие 1.1.2004г. Срок обучение по направлению «Информационная безопасность» 5 и более лет. При этом порядок соотношения специальностей, полученных до 2009 года, со специальностями по данному направлению не установлен.
   Также в письме приводятся рекомендации по новым формулировкам требований к квалификации персонала.

   Для реализации требований в части профессиональной переподготовки по направлению «Информационная безопасность» Академия Информационных Систем разработала и проводит обучение по соответствующей программе в объеме 530 часов.

   Краткая информация по курсам профессиональной переподготовки Академии Информационных Систем:
   Формы обучения: очная аудиторная (вечерние занятия) без отрыва от производства и смешанная (с использованием современных дистанционных технологий и двусторонней аудио и видео конференцсвязи) без отрыва от производства.
   Продолжительность обучения – 1 месяц (106 часов) и 4 месяца (530 часов).
   При очной форме обучения занятия проводятся в вечернее время ежедневно и по субботам. При смешанной форме обучения занятия проводятся с использованием современных дистанционных технологий и двусторонней аудио и видео конференцсвязи с очными вечерними сессиями и вебинарами (согласно утвержденного расписания).

Программы профессиональной переподготовки согласованы с ФСТЭК России и ФСБ России.

   При разработке учебной программы профессиональной переподготовки соблюдена преемственность по отношению к Федеральным Государственным образовательным стандартам высшего образования (ФГОС ВПО) по направлению подготовки "Информационная безопасность" (в том числе к ФГОС ВПО по направлению подготовки 090900 «Информационная безопасность»), а также квалификационные требования, указанные в квалификационных справочниках, утверждаемых в порядке, устанавливаемом Правительством Российской Федерации, по соответствующим должностям, профессиям, специальностям (в соответствии с Общероссийским классификатором специальностей).
   Также соблюдены требования профессиональных стандартов (включая международные) в области информационной безопасности и обеспечения непрерывности бизнеса, действующие на момент формирования учебной программы.
   По окончании обучения по программе профессиональной переподготовки и успешном прохождении аттестационных испытаний (написание и защита выпускной аттестационной работы) слушателям выдается Государственный Диплом.
   Данный Диплом удостоверяет право (соответствие квалификации) специалиста на ведение профессиональной деятельности (включая ведение нового вида деятельности) в сфере «Информационная безопасность», согласно п.п. г) п. 7 «Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…», утвержденного Постановлением Правительства РФ №313 от 16 апреля 2012 года.

   Основные темы, рассматриваемые в программах профессиональной переподготовки:
Модуль 1: «Вводные замечания. Законодательное и нормативно-правовое регулирование вопросов защиты информации в Российской Федерации»;
Модуль 2: «Построение комплексной системы обеспечения информационной безопасности в организации»;
Модуль 3: «Системы управления защитой информации и обеспечение бесперебойности и непрерывности бизнеса»;
Модуль 4: «Техническая защита конфиденциальной информации»;
Модуль 5: «Криптографическая (с помощью шифровальных средств) защита конфиденциальной информации»;
Модуль 6: «Особенности обеспечения информационной безопасности ПДн в ИСПДн организации»;
Модуль 7: «Особенности обеспечения информационной безопасности в кредитно-финансовой сфере».

По всем вопросам относительно обучения просьба обращаться:
Менеджер отдела информационной безопасности
Филимоненкова Ольга Николаевна,
+7(495) 231 3049,

вторник, 30 октября 2012 г.

Информационная безопасность в кредитных и финансовых организациях Республики Казахстан

Осталось чуть больше месяца до начала работы II межбанковского форума «Информационная безопасность в кредитных и финансовых организациях Республики Казахстан». Форум состоится в Казахстане, г. Алматы в отеле Рахат Палас 6 декабря 2012 г. Организаторами форума выступают Национальный Банк Республики Казахстан и Казахстанский Центр Межбанковских Расчетов Национального Банка Республики Казахстан, при организационной поддержке ТОО «ПАЦИФИКА» и Академии Информационных Систем.

В работе форума примут участие представители Центрального Банка Российской Федерации, а также приглашены к участию представители Национальных банков стран Центральной Азии.

На пленарном заседании выступят: Заместитель Председателя Национального Банка Республики Казахстан Бектасов Абен Агыбаевич, Генеральный директор Казахстанского центра межбанковских расчетов Абдулкаримов Саит Хайбарович и Заместитель директора департамента регулирования расчетов Банка России Курило Андрей Петрович.

Перед участниками форума выступят представители крупнейших банков Республики Казахстан, компаний-интеграторов, выполняющих работы по информационной безопасности, компаний-разработчиков программного обеспечения, компаний, предоставляющих аудиторские и консалтинговые услуги в области информационной безопасности, общественных организаций и отраслевых ассоциаций – всего более 20 экспертов. В рамках работы конференции, традиционно, будут выбраны наиболее интересные вопросы, ответы на которые будут даны в конце мероприятия.

Среди ключевых тем предстоящего форума: обеспечение информационной безопасности дистанционного банковского обслуживания, а также выполнение требований по информационной безопасности при построении центров обработки данных.

Другие тематические выступления форума «Информационная безопасность в кредитных и финансовых организациях Республики Казахстан» – Подход Национального Банка Республики Казахстан к построению системы управления информационной безопасностью; вопросы регулирования и контроля защиты информации при осуществлении переводов денежных средств в НПС РФ; Общие вопросы и проблемы обеспечения ИБ в кредитных и финансовых организациях РК, а также другие – на которых эксперты, заказчики и разработчики решений обменяются мнениями, практическим опытом и расскажут об актуальных угрозах и эффективных методах их минимизации.

Официальными партнерами форума выступили компания McAfee и ведущий российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия компания Аванпост. Информационные партнеры – Интернет-портал BANKER.KZ, ИТ-портал PROFIT.kz и Казахстанская газета по информационным и компьютерным технологиям «Computerworld Казахстан».

К участию в работе форума приглашаются руководители и специалисты банков и кредитных организаций, специалисты в области информационной безопасности, риск-менеджеры, специалисты службы внутреннего контроля, внутренних и внешних аудиторов информационных технологий и информационной безопасности, руководители процессинговых центров и другие специалисты по информационной безопасности.

Прием заявок на регистрацию для участия в форуме завершается 4 декабря, для выступления с докладом/презентацией – до 25 ноября. Внимание! Участие представителей кредитных организаций Республики Казахстан БЕСПЛАТНОЕ.

Подробная информация на сайте http://it-safety.kz/

понедельник, 22 октября 2012 г.

«Борьба с мошенничеством в сфере высоких технологий. Профилактика и противодействие. AntiFraud-2012»


Третья международная конференция
«Борьба с мошенничеством в сфере высоких технологий. Профилактика и противодействие. AntiFraud-2012»
Дата проведения: 29 ноября 2012 г.
Место проведения: Россия, Москва, ул. Ильинка, д.6, Конгресс-центр ТПП РФ
При поддержке и участии: БСТМ МВД России
Организаторы:
·        Академия Информационных Систем http://infosystems.ru/
·        Торгово-промышленная палата РФ
Конференция адресована:
§        Руководителям и специалистам служб информационной и экономической безопасности, внутреннего контроля и аудита, управления рисками;
§        Руководителям департаментов развития электронного бизнеса;
§        Представителям правоохранительных органов и отраслевых регуляторов;
§        Поставщикам решений и услуг по противодействию мошенничеству.
Основная тематика конференции:
§        Совершенствование УК РФ и УПК РФ с целью более эффективного противодействия компьютерным преступлениям
§        Международное сотрудничество в области борьбы с кибермошенниками
§        Национальная платежная система и риски мошенничества
§        Защита систем ДБО и Интернет-банкинга
§        Борьба с фродом и гарантирование доходов в телекоммуникациях
§        Противодействие внутренним злоумышленникам и инсайдерам
§        Сбор цифровых доказательств, компьютерная криминалистика
§        Анализ уязвимостей в программном обеспечении
К участию с докладами приглашаются:
 Представители российских и зарубежных правоохранительных органов, занимающихся расследованием компьютерных преступлений
·        Представители отраслевых регуляторов, отвечающих за обеспечение информационной безопасности в различных сферах
·        Руководители ассоциаций и общественных объединений, формирующих стандарты и подходы по противодействию киберпреступности
·        Известные аналитики и консультанты в области управления рисками ИБ и фрода
·        Руководители подразделений, ответственные за расследование инцидентов и взаимодействие с правоохранительными органами
·        Разработчики антифрод-решений для различных отраслей и областей применения
В программе запланированы пленарное заседание, 5 тематических секций и Круглый стол «Национальная платежная система: как снизить риски мошенничества?»

Подробная информация – на сайте www.antifraudrussia.ru
Регистрация участников, участие с докладами, аккредитация прессы, вопросы спонсорства: тел./факс: +7 (495) 231-30-49, e-mail: conf@infosystem.ru

НП «НПС» направило Председателю Правительства Российской Федерации Медведеву Д.А. письмо


   НП «НПС» направило Председателю Правительства Российской Федерации Медведеву Д.А. письмо (http://www.platsovetrf.ru/ru/news/index.php?id=75) с предложениями о внесении изменений в порядок лицензирования деятельности по разработке, производству, распространению шифровальных (криптографических) средств, установленный Постановлением Правительства Российской Федерации от 16.04.2012 № 313.
   В письме обращается внимание на проблемы, возникающие в практической деятельности кредитных организаций - участников национальной платежной системы, при применении требований «Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)», утвержденного Постановлением Правительства Российской Федерации от 16.04.2012 № 313.
   В целях решения проблем, означенных в обращении, НП «НПС» предлагает рассмотреть возможность внесения в Постановление Правительства Российской Федерации от 16.04.2012 № 313 ряда изменений, в частности, предлагается обеспечить возможность продолжать осуществлять свою деятельность в области информационной безопасности по определенным видам лицензируемой деятельности без прохождения дополнительного обучения специалистам, соответствовавшим требованиям Постановления Правительства Российской Федерации от 29.12.2007 № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» и получившим образование по соответствующим специальностям, указанным в Общероссийском классификаторе специальностей по образованию ОК 009-93, а также специалистам, имеющим достаточный опыт практической деятельности.

понедельник, 10 сентября 2012 г.

Дипломы АИС о проф.переподготовке по направлению "Информационная безопасность" удовлетворяют требованиям ФСБ России к квалификации персонала (руководителей и инженерно-технических работников)

Дипломы АИС о проф.переподготовке по направлению "Информационная безопасность" удовлетворяют требованиям ФСБ России к квалификации персонала (руководителей и инженерно-технических работников).

Разъясняющая информационная справка ниже:
1. НОУ ДПО ЦПК «АИС» (далее «Академия») ведет свою деятельность с 1996 года в соответствии с требования Закона «Об образовании» РФ [5], что подтверждается Лицензией на образовательную деятельность (серия 77 № 001199 рег. номер 028959 от 19.05.2011 г.). Согласно Лицензии Академия имеет право проводить профессиональную переподготовку по дополнительной образовательной программе "Информационные системы и компьютерные сети" объемом свыше 500 часов (см. п. 2 лицензии) и самостоятельно разрабатывать учебные программы в рамках своей лицензионной деятельности (Согласно п.п.1.5 "Требований к содержанию дополнительных профессиональных образовательных программ", утвержденных приказом Министерства общего и профессионального образования Российской Федерации от 18.06.1997 №1221) [1].

Учебная программа профессиональной переподготовки "Информационные системы и компьютерные сети" (объемом 960 часов) разработана в соответствии с требованиями [1] и состоит из трех модулей:
Модуль 1. общеобразовательный модуль (возможен вариант частичного «перезачета» дисциплин комиссией НОУ ДПО ЦПК «АИС», при наличии документального подтверждения соответствия сданной дисциплине в дипломе о высшем образовании слушателя);
Модуль 2. модуль по направлению "Информационные системы и компьютерные сети";
Модуль 3. модуль по направлению "Информационная безопасность". Нормативный срок освоения направления "Информационная безопасность" составляет 530 часов. Модуль разработан в полном соответствии со специальностью 090108 "Информационная безопасность" Общероссийского классификатора специальностей по образованию [2]. Разделы и темы, изучаемые в рамках направления "Информационная безопасность", имеют преемственность (разработаны в соответствии с государственными образовательными стандартами высшего профессионального образования по направлению подготовки «Информационная безопасность» [3, 6]) по отношению к государственным образовательным программам, в частности по отношению к специальности 090108 "Информационная безопасность" Общероссийского классификатора специальностей по образованию [2]. Преемственность допускается согласно [1, п.п.2.4].

2. НОУ ДПО ЦПК «АИС» имеет Государственную аккредитацию (Свидетельство о государственной аккредитации 77 ОП 000852 от 11 ноября 2010 года) и имеет право выдавать Дипломы государственного образца об образовании, включая Дипломы о профессиональной переподготовке согласно Общероссийскому классификатору специальностей по образованию, утвержденному Постановлением Госстандарта РФ от 30.09.2003 N 276-ст.

По окончании обучения в случае успешной сдачи контрольных рубежей и защиты выпускной квалификационной работы слушателям выдается два документа:
- Свидетельство НОУ ДПО ЦПК «АИС» по программе "Информационные системы и компьютерные сети",
- Диплом НОУ ДПО ЦПК «АИС» о профессиональной переподготовке по программе "Информационные системы и компьютерные сети" по направлению "Информационная безопасность".

3. Программа "Информационные системы и компьютерные сети" по направлению "Информационная безопасность" согласована с ФСТЭК России, Центром по лицензированию, сертификации и защите государственной тайны ФСБ России, Центром защиты информации и специальной связи ФСБ России. Условие согласования программ профессиональной переподготовки по информационной безопасности является обязательным требованием Рособрнадзора [3].

4. В соответствии с вышеизложенным Дипломы о профессиональной переподготовке в объеме 530 часов, выдаваемые НОУ ДПО ЦПК «АИС» соответствуют требованиям Постановления Правительства Российской Федерации от 16.04.2012 №313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)" [4, п.п.г п.7].

Ссылки на законодательство:
1. Приказ Минобразования РФ от 18.06.1997 N 1221 "Об утверждении Требований к содержанию дополнительных профессиональных образовательных программ".
2. Общероссийский классификатор специальностей по образованию, утвержденный Постановлением Госстандарта РФ от 30.09.2003 N 276-ст.
3. Официальный сайт Федеральной Службы по надзору в сфере образования и науки РФ http://obrnadzor.gov.ru/
4. Постановление Правительства Российской Федерации от 16.04.2012 №313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)".
5. Федеральный Закон РФ "Об образовании".
6. Официальный сайт Министерства образования и науки РФ http://минобрнауки.рф/

четверг, 30 августа 2012 г.

Со счета Севергазбанка похищены средства ООО "Технология"

В адрес редакции ИА Bankir.Ru поступило официальное письмо за подписью директора ООО «Технология» Андрея Конторичева.

Ниже опубликован полный текст документа:

   08 августа 2012 года ОАО ФКБ «СЕВЕРГАЗБАНК» Череповецкий филиал (ИНН 3525023780), далее Банк, осуществил несанкционированный перевод денежных средств по п/п №607 от 08.08.12. с расчетного счета ООО «Технология», далее Клиент, ИНН 3528173208 в размере 3 220 800 руб. (три миллиона двести двадцать тысяч восемьсот рублей) корреспонденту (получатель) ООО «Инвест», ИНН 7814532920, счет 40702810232030000508. в филиал «Санкт-Петербургский» ОАО «Альфа-Банк» г. Санкт-Петербург БИК 044030786).

   Со своей стороны можем пояснить следующее:

работники ООО «Технология» данный перевод не осуществляли, прямая кража реквизитов доступа (учетной записи, пароля и секретных ключей, цифровой подписи) маловероятна : электронное устройство, с которого осуществляется постоянное санкционированное подключение к системе ДБО, располагается по адресу: Вологодская обл., г. Череповец, ул. Батюшкова д.7 (провайдер ОАО «Ростелеком», договор №121000375303 от 04.10.11. со статическим IP адресом 783617355), доступ к электронному устройству ограничен (убирается в закрываемый сейф после осуществления платежей), помещение бухгалтерии обособленно и находится под внутренним круглосуточным видеонаблюдением, в ночные часы сдается на пульт охранного агентства «Торнадо», никаких договорных отношениях с этой организацией не имеем, договоров поставок и подрядов с ней не заключали, места нахождения, телефонов для связи не знаем, в контакте с лицами имеющими отношение к ООО «Инвест» не состоим. Причиной этого несанкционированного перевода послужил вход в систему ДБО с иного IP адреса, создано платежное поручение, платеж успешно проведен и денежные средства списаны с нашего расчетного счета, о чем операционист ОАО ФКБ «СЕВЕРГАЗБАНК» Череповецкий филиал Ефремова М.С. уведомила нас по телефону.

   Платежей 08 августа 2012 года нами не совершалось и не могло быть осуществлено по причине выхода из строя системы «Банк-Клиент», о чем Банк был уведомлен нами по телефону; операционист Ефремова М.С. признала временные проблемы с сервером Банка.
   На основании нашего заявления о хищении средств работники службы безопасности ОАО ФКБ «СЕВЕРГАЗБАНК» Череповецкий филиал провели первичное разбирательство и связавшись со службой безопасности филиала «Санкт-Петербургский» ОАО «Альфа-Банк» г.Санкт-Петербург заблокировали счет ООО «Инвест» ИНН 7814532920 (р/с №40702810232030000508).
   Как нам стало известно с р/с вышеуказанной организации, в этот же день, был осуществлен перевод денежных средств на четыре карточные счета, открытых на физических лиц и было произведено одномоментное снятие наличности в банкоматах г. Сочи с данных карточных счетов. Возможно, за этим могут стоять ОПГ готовящие тер. акты на олимпийских объектах.
   На данный момент руководство ОАО ФКБ «СЕВЕРГАЗБАНК» Череповецкий филиал разъяснений и комментариев по данному происшествию не дает (направлена претензия от 14.08.2012 с предложением восстановить исходящий остаток на 9ч.00 мин. на 09.08.12., а п/п №607 от 08.08.12.- считать недействительным,); отправлены письменные обращения в Центральный банк России (Курьерская служба ИНФОРМ КУРЬЕР №3540372 от 16.08.12), ФСБ России (Курьерская служба ИНФОРМ КУРЬЕР №3540458 от 22.08.12); подано заявление в 1-ый отдел полиции УМВД РФ г. Череповца по Вологодской Области (КУСП 30497 от 09.08.12). Сотрудниками отдела «К» по протоколу от 13.08.12 были изъяты для экспертизы средства криптозащиты и аппаратная часть (ноутбук). Ведется расследование.

   Источник: http://bankir.ru/

среда, 29 августа 2012 г.

Сертифицированное ФСТЭК и ФСБ России решение StoneGate SSL VPN


   У компании StoneSoft имеется полностью сертифицированное решение StoneGate SSL VPN как со стороны ФСТЭК так и ФСБ.
   Решение как класс (SSL доступ) пока не так уж и известное в России.
   По словам Романова Михаила, главы Российского представительства StoneSoft, теперь, когда получен сертификат на Это изделие, а также в связи с популяризацией концепции BYOD (использование доступа с любого устройства которое имеет или купил пользователь к данным компании), данное решение становится одним из самых интересных предложений на нашем рынке.
   Михаил Романов приводит следующие преимущества решения:
   1. это ЕДИНСТВЕННОЕ в своем классе сертифицированное решение на Российском рынке обоими организациями. Что дает возможность ВАМ как партнерам использовать его как повод "войти" в клиента с которым вы еще не общались предложив ему эксклюзивное решение (новое и без по сути конкурентов на рынке).
   2. Решение позволяет в отличие от традиционно используемых технологий подключать не только компьютеры без больших проблем. Вы предлагаете новую технологию, которая ДОПОЛНЯЕТ уже используемую (расширяя возможности доступа) и не требует принятия трудных решений по обоснованию инвестиций ввиду необходимости замены уже купленного оборудования. Вы просто предлагаете дополнительные технологии, которые очень хорошо воспринимают начальники - они начинают получать доступ с мобильных устройств, самым простым образом.
   3. Если говорить о сертифицированности : это первое решение на Российском рынке не привязанное к СЕРТИФИКАТАМ. Вы можете их использовать а можете не использовать и режим, в котором на клиентской стороне сертификат не используется является СЕРТИФИЦИРОВАННЫМ. Многие используют на работе, например, так называемые системы одноразовых паролей. Теперь возможно использовать это и с решением StoneGate SSL VPN!
   4. Решение полностью соответствует всем требованиям сформулированным в документах по защите персональных данных и может использоваться для всех классов без исключений. А это сильно упрощает работы по аттестации и вообще выполнению этих требований особенно если это касается удаленного доступа.
   5. В конце концов , это реально работающая технология, которая имеет в своем составе очень много приятных и БЕСПЛАТНЫХ бонусов ( OTP , NAC, FEDERATED ID и др) , что реально может сэкономить средства заказчика.

пятница, 17 августа 2012 г.

Банк нарушил закон о противодействии коррупции


   Прокуратурой Красногвардейского района Санкт-Петербурга проведена проверка поступившей из внутригородских муниципальных образований муниципальных округов Красногвардейского района Санкт-Петербурга информации об увольнении муниципальных служащих, замещавших должности, включенные в перечень должностей муниципальной службы, при заключении трудовых договоров с которыми организации обязаны уведомить представителя нанимателя (работодателя) муниципального служащего по последнему месту его службы.
   В ходе проверки установлено, что юридическим лицом - ОАО "Банк "Открытие" допущены нарушения требований, предусмотренных ст. 12 Федерального закона от 25.12.2008 № 273-ФЭ "О противодействии коррупции", при заключении Обществом трудового договора с муниципальным служащим, уволенным с должности начальника аппарата муниципального совета внутригородского муниципального образования Санкт-Петербурга муниципальный округ Малая Охта. Порядок сообщения работодателем при заключении трудового договора с гражданином, замещавшим должности муниципальной службы, о заключении договора представителю нанимателя (работодателю) муниципального служащего по последнему месту его службы установлен постановлением правительства РФ от 08.09.2010 № 700.
   Согласно указанного постановления работодатель при заключении трудового договора с гражданином, замещавшим должности государственной или муниципальной службы, перечень которых устанавливается нормативными правовыми актами Российской Федерации, в течение 2 лет после его увольнения с государственной или муниципальной службы письменно сообщает представителю нанимателя (работодателю) государственного или муниципального служащего по последнему месту его службы о заключении такого договора в письменной форме в 10-дневный срок со дня его заключения.
   Однако, в нарушение вышеуказанных требований ОАО Банк "ОТКРЫТИЕ" не уведомило в установленном законом порядке внутригородское муниципальное образование Санкт-Петербурга муниципальный округ Малая Охта о заключении трудового договора с бывшим муниципальным служащим.
   Таким образом, ОАО Банк "ОТКРЫТИЕ" не исполнена обязанность, установленная ч. 4 ст. 12 Федерального закона "О противодействии коррупции", в связи с чем, прокуратурой Красногвардейского района в отношении ОАО Банк "ОТКРЫТИЕ" возбуждено дело об административном правонарушении, предусмотренном ст. 19.29 Кодекса об административных правонарушениях РФ.
   Постановлением мирового судьи судебного участка № 365 района Хамовники города Москвы ОАО Банк "ОТКРЫТИЕ" признано виновным в совершении указанного административного правонарушения и подвергнуто административному штрафу в размере 100000 (сто тысяч) рублей.

   Источник - bankir.ru

среда, 15 августа 2012 г.

Из оперативной памяти выключенного ПК еще можно достать пароли!

Вроде ничего сверхестественного, но решил перепостить статейку.

   Исследователи из Греции обнаружили неожиданную брешь в защите компьютеров. После выключения системы с них еще можно получить содержимое оперативной памяти в течение достаточно долгого времени!
   Христос Георгиадис (Christos Georgiadis) из Университета Македонии в Салониках и его коллеги Ставрула Карайианни (Stavroula Karayianni) и Василиос Катос (Vasilios Katos) из Фракийского университета имени Демокрита в Ксанти показали (файл PDF), как их открытие может быть использовано специалистами в области информации и криминалистики для получения улик из компьютеров, а также использованы преступниками для получения персональных данных и банковских реквизитов.
   Исследователи отмечают, что большинство пользователей полагают, что после отключения их компьютера все данные, хранящиеся в оперативной памяти (RAM) пропадают. Действительно, RAM является энергозависимой памятью, и при прекращении подачи питания информация исчезает. Тем не менее, Георгиадис и его коллеги доказали, что данные, хранящиеся в оперативной памяти не утрачиваются, если компьютер выключен, но по прежнему подключен к сети электроснабжения. А так как пароли являются часто используемой информацией приложениями, то они с очень большой долей вероятности продолжают хранится в памяти в незашифрованном виде.
   Команда исследователей провела успешные снятия дампов памяти с компьютеров через 5, 15 и 60 минут после их выключения. А затем из дампа легко извлекла пароли к Gmail, Facebook, Hotmail и WinRar.
   Так что выключайте свои ПК полностью (из розетки), если храните что-то действительно ценное.

Источник - www.apploidnews.com