Сообщения

Сообщения за март, 2012

СОИБ. Проектирование. Защита web приложений

Изображение
Заметка в продолжение предыдущей темы про IPS/HIPS. Проблема защиты web сервисов и web приложений становится с каждым годом всё актуальнее. Во-первых, больше компаний начинает продвигать услуги через сеть Интернет (партнерские разделы, клиентские разделы, форумы).  Во-вторых, появляется больше компаний, для которых основной бизнес связан с сетью Интернет (интернет банки, интернет магазины, социальные сети, интернет СМИ, онлайн почта, онлайн файлы, онлайн фото-видео, онлайн игры и т.п.). В-третьих, большинство критических корпоративных приложений переходит на web интерфейсы (почта, ERP , документооборот, корпоративные порталы и т.п.). По данным аналитических лабораторий ( 1 и 2 )   web -приложения имеют большое количество уязвимостей. Вероятность обнаружения уязвимостей составляет 80%. Даже если вам удалось обнаружить уязвимости в своем приложении раньше злоумышленника, есть ещё задержка во времени, пока разработчик будет устранять уязвимости. Бывали случаи когда разработч

СОИБ. Анализ. Требования Правительства РФ по обработке и защите ПДн для ГОС.

Опубликовано новое постановление Правительства РФ “Об утверждении перечня мер, направленных наобеспечение выполнения обязанностей, предусмотренных Федеральным законом"О персональных данных" и принятыми в соответствии с ним нормативнымиправовыми актами, операторами, являющимися государственными или муниципальнымиорганами” . Краткий анализ новенького : ·         Новые требования к обязательным документам. Требуется разработать и утвердить 12 документов (правила, перечни, должностную инструкцию, обязательство, формы согласия, порядок). ·         Сделаны ссылки на существующее ПП о неавтоматизированной обработке и на будущие ПП по уровням защищенности. ·         Надо периодически проводить проверки. Периодичность не определена (читаем как, можно сделать план – раз в 3 года). О результатах докладывать руководителю госоргана. ·          Надо проводить обезличивание ПДн в соответствии с требованиями и методами, установленными Роскомнадзором (интересно было бы увидеть

СОИБ. Проектирование. Обеспечение непрерывности бизнеса и восстановления деятельности 3

В предыдущих заметках ( 1 и 2 ) я рассмотрел, почему с точки зрения ИБ необходимо заниматься обеспечением непрерывности бизнеса и восстановлением деятельности и выполнения каких требований надо достичь. Теперь рассмотрим с чего можно начать, если вы решили заняться обеспечение непрерывности бизнеса и восстановления деятельности в организации и что надо включить в план реализации этого проекта. Обратимся к стандартам ИБ в порядке уменьшения их популярности в целом: ·         ISO/IEC 27002. Информационные технологии. Свод правил по управлению защитой информации ·         СТО БР ИББС. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. ·         COBIT. Control Objectives for Information and Related Technology ·         Стандарт АРБ. Система управления непрерывностью деятельности кредитных организаций банковской системы российской федерации. В соответствии с ISO/IEC 27002 необходимо: 1.       Приказом руководства создать раб

СОИБ. Сертификация. Требования к системам обнаружения вторжений.

На сайте ФСТЭКРоссии опубликованы профили защиты систем обнаружения вторжений 4 – 6 уровней защиты. За ссылку спасибо  Valentin-у . Требования применяются при защите гостайны и информации с ограниченным доступом. Требования предназначены не для пользователей (как утверждалось ранее), а для разработчиков, заявителей, испытательных лабораторий и органов по сертификации. Системы обнаружения вторжений 1-3 уровней применяются для защиты гостайны и профили для них не опубликованы. Комментарии позже.

СОИБ. Анализ. Инструменты для оценки соответствия стандарту СТО БР ИББС 4

В одной из предыдущих заметок  я рассматривал инструмент ISM Revision: Audit Manager от ISM SYSTEMS для оценки соответствия стандарту СТО БР ИББС . Недавно тот-же производитель запустил бесплатный online -сервис для оценки соответствия СТО БР ИББС.  Под данным названием компания ISM SYSTEMS предлагает нам перечень из порядка 100 неких мероприятий. Предлагается отметить какие мероприятия из данного перечня уже выполнены в банке и получить некие оценки по названиям похожие на обозначения из СТО БР ИББС–1.2–2010. Целью оценки соответствия ИБ Банка является определение степени соответствия ИБ организации требованиям СТО БР ИББС–1.0. Как может предлагаемый бесплатный сервис помочь в достижении этой цели? Во-первых непонятно как связанны предлагаемые мероприятия и СТО БР ИББС. В сервисе не приводится связи между мероприятиями и пунктами стандарта. Нет возможности определить являются ли данные мероприятия избыточными или наоборот недостаточными для полного соответствия СТО БР

Общее. Обучение Stonesoft в Финляндии

Изображение
Не писал последние 2 недели заметок в связи с тем, что неделю готовился и неделю ездил на обучение по Stonesoft в Хельсиники. Для обучения были выбраны 3 ключевых продукта из комплекса решений: Stonegate SMC , Stonegate FW / VPN , Stonegate IPS . Имея за плечами опыт обучения по Check Point в Российской учебном центре и невосторженные отзывы коллег от обучения по Stonesoft в России, надеялся что в центре вендора ситуация с обучением будет существенно лучше. Первое что бросилось в глаза  - структура курса, учебные материалы, лабораторная зона – всё это очень похоже на обучение по Check Point , которое я посещал 3 года назад. Легкое ощущение дежа-вю (-). Учебные курсы вели три преподавателя из отдела технической поддержки StoneSoft , с опытом работы в 4 года и преподавания 3 года. Это (+) по сравнению с учебными курсами в России, где преподаватели не имеют опыта реализованных проектов по StoneSoft . В дальнейшем специфика отдела техподдержки тоже проявлялась: на нест