Сообщения

Сообщения за июнь, 2012

СОИБ. Анализ. Актуальные угрозы непрерывности бизнеса

Изображение
В продолжение  предыдущих заметок  на тему непрерывности деятельности Институт Chartered Management Institute провел обследование и недавно опубликовал отчет об угрозах непрерывности бизнеса за 2011 год в Великобритании. Наиболее интересные выводы: ·         План обеспечения непрерывности разработан в 61% опрошенных компаний         ·         Наиболее вероятные угрозы в общем: o    Тяжелые погодные условия o    Нарушение ИТ компонентов o    Потеря (болезнь) ключевых сотрудников o    Нарушение связи o    Митинги и забастовки o    Закрытие и садиков школ o    Нарушение работы транспорта o    Невозможность доступа на объект ·         Наиболее опасные угрозы в общем: o    Нарушение ИТ компонентов o    Нарушение связи o    Невозможность доступа на объект o    Потеря или недостаток квалификации o    Потеря репутации компании o    Пожар o    Потеря (болезнь) ключевых сотрудников o    Отключение электричества ·         Более 80%

СОИБ. Кто защищает платежные системы

В соответствии с со статьей 3  161-ФЗ в область действия НПС попадают: ·         оператор по переводу денежных средств ·         оператор электронных денежных средств ·         платежный агент ·         банковский платежный агент ·         банковский платежный субагент ·         организаций федеральной почтовой связи при оказании ими платежных услуг ·         операторов платежных систем ·         операторов услуг платежной инфраструктуры Все участники НПС обязаны защищать платежную информацию и выполнять требования  ФЗ о НПС и подзаконных актов. И это не только кредитные организации. Попадают под требования по информационной безопасности следующие организации: ·         Банки ·         Операционные, клиринговые и расчетные центры ( VISA , MasterCard ) ·         Операторы сотовой связи (МТС, Билайн, Мегафон …) ·         Электронные платежные системы ( QIWI , webmoney , яндекс.деньги …) ·         Процессинговые компании ( PAYU , PayOnline , Assist , Киб

СОИБ. Отчетность о защите информации в ПС

Как Вы наверное знаете, Банк России ведет активную нормотворческую деятельность в области защиты Национальной платежной системы. Недавно были разработан и утвержден ряд документов. Все документы по теме НПС перечислены тут . Сегодня хотелось бы рассмотреть « УказаниеЦБ РФ 2831-У от 9 июня 2012 года "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств" (зарегистрировано Министерством юстиции Российской Федерации 14 июня 2012 года № 24575, опубликовано “Вестник Банка России” от 22 июня 2012 года № 32, вступает в силу с 1 июля 20120 года)» Указание устанавливает формы, сроки и методики подготовки отчетности. 2 формы по ИБ: ·         форма 0403202   -  сведения об оценке соответствия ·         форма 0403203   -  сведения об инцидентах Отчетность по форме 0403202 не позднее 30 рабочих дней со для завершения

СОИБ. Проектирование. Обеспечение непрерывности бизнеса и восстановление деятельности 4

В продолжение предыдущих заметок на тему непрерывности деятельности. 19 июня учебный центр Микротест провел вебинар “ Знакомство со стандартом АРБ по непрерывности деятельности кредитных организаций”. Мой анонс этого и других вебинаров был тут . Докладчиком выступил Алексей Бореалис, который также является руководителем группы разработчиков стандарта АРБ по непрерывности деятельности, который рассказал об основных этапах внедрения стандарта. Ниже основные тезисы с его доклада: ·         Анализ влияния на бизнес o    Определяем системы, которые защищаем o    Необходимо оценить ущерб при прерываниях на 1 минуту, 1 час, 1  день, 1 неделя, 1 месяц. В результате должен быть определен максимально допустимое время прерывания бизнеса (максимально допустимый ущерб) o    Исходя из максимального времени прерывания устанавливаются целевые времена восстановления работы систем ·         Управление рисками ЧС o    Определяем от каких угроз планируем защищаться o   

СОИБ. Статистика уязвимостей web-приложений за 2010-2011 годы

Компания Positive Technologies выпустила интересный отчет о статистике обнаруженных уязвимостей за  2010-2011 годы. К сожалению, в отчет не попали результаты исключительно автоматизированного анализа приложений. Только ручной и комбинированный анализ, а количество сайтов всего 123 за 2 года. Маловато для того чтобы делать выводы по определенным отраслям или вести поквартальную статистику. (Собственно, какой интерес в поквартальной статистике, кроме информации о квартальной загруженности специалистов Positive Technologies.) Но большая часть выводов из анализа интересны: ·         Все анализировавшийся в web -приложения имели уязвимости как минимум среднего уровня (в 2011 году) и 64% приложений имели уязвимости высокого уровня. ·         Наиболее популярные критические уязвимости o    Cross-Site Request Forgery в 61% приложений o    SQL Injection в 47% приложений o    OS Commanding в 28% приложений o    Path Traversal в 28% приложений ·         Причем для