Сообщения

Сообщения за август, 2012

СОИБ. Анализ. Инвентаризация активов

С одной стороны инвентаризация информационных активов не совсем прерогатива ИБ. Скорее это часть управления информационными активами которое является частью управления ИТ. С другой стороны достаточно много мероприятий ИБ зависят от инвентаризации активов и очень часть приходится делать ещё в рамках проектов по ИБ. Часть таких работ я уже описывал в одной изпредыдущих заметок . Действительно, нам нужно четко понимать что мы защищаем, как изменяется объект защиты, когда меняется объект защиты.  Кроме того, есть несколько двигателей в виде законов, подзаконных актов и стандартов: ·         152-ФЗ. “Статья 19. 2. Обеспечение безопасности персональных данных достигается, в частности: 5) учетом машинных носителей персональных данных;” ·         ПП 781 “12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: е) учет применяемых средств защиты информации, эксплуатационной и технической документации к

Общее. Как компании ИБ ищут молодые таланты (UPD)

Компании рынка ИБ используют разные способы поиска и привлечения молодых талантливых ребят в свои ряды. Так например недавно Александр Бондаренко предлагал студентам платную подработку на месяц-полтора для ISM Systems /ЛЕТА. Пара краснодарских интеграторов тоже проявляет активность в работе со студентами. Сириус – организовал тесное сотрудничество с Кубанским государственным технологическим университетом, участвует в учебном процессе . Правда, пока они не обучали, а только проводили отборочное тестирование лучших кандидатов для прохождения летней практики. Сириус совместно с Кубанским государственным технологическим университетом и Саратовским государственным университетом проводил онлайн-трансляции с PHDays 2012. Что тоже способствовало поиску самых талантливых. РосИнтеграция , увидев что позиции в южных вузах потеряны, решила зайти с другой стороны – объявила конкурс статей на тему ИБ . Писать можно почти на любую тему, касающуюся ИБ. За статьи обещают небол

Общее. Обзор утилит с Def Con 20

Изображение
Пару недель назад прошло крупнейшая мировая конференция по ИБ Def Con 20, на которой собрались лучшие спецы – как в белых, так и в черных шляпах. В рамках конференции, хакерскими группами было продемонстрировано ряд новых утилит. На сайте конференции они не опубликованы, но в недрах интернета их можно найти. Посмотрим на самые интересные из них,  так как скоро придется защищаться от угроз связанных с большим количеством подобных атак. Subterfuge 4.0 от команды kinozoa. Предназначено для тестирования защищенности от атак типа “человек посередине” ( Man - in - the - Middle ) c использованием возможностей протокола ARP . В общем тема далеко не новая (есть тот же Cain ), но утилита обладает широкими возможностями (например, по встраиванию кода в чужую http сессию). Утилита очень проста и не требует специальных навыков – достаточно выбрать пару галочек и нажать пару кнопок, может использоваться как в открытых wifi так и в корпоративной сети. Для защиты от подобных атак

СОИБ. Проектирование. Усиленная аутентификация

Изображение
В продолжение одной из предыдущих заметок об усиленной аутентификации . Допустим, что вы уже осознали всю опасность использования классических паролей, например, прочитав эту заметку , решили внедрять усиленную аутентификацию по сертификатам или однократным паролям, в качестве дополнительного устройства аутентификации выбрали например, eToken или телефон, в качестве системы управления усиленной аутентификацией выбрали например, SafeNet Authentication Manager , SAM (бывший TMS ). Достаточно ли этого, чтобы отказаться от использования классических “слабых” паролей в рамках всех ключевых корпоративных приложений и сервисов? Сразу ответить «Да» не получится, нужно провести небольшой анализ. Кроме самого устройства аутентификации eToken в процессе аутентификации участвует так-же “сервер аутентификации” или “сервис аутентификации” который и проверяет подлинность пользователя. Напомню, что SAM – система управления аутентификацией, не участвует в процессе аутентификаци

СОИБ. Автоматизация анализа рисков ИБ

Изображение
Оценка рисков ИБ является основой риск-ориентированного подхода к обеспечению ИБ, когда обосновываются и внедряются только те мероприятия по ИБ, которые необходимы уменьшения или нейтрализации неприемлемых рисков ИБ. Оценка рисков ИБ является обязательным требованием законодательства РФ:   ·         161-ФЗ «О НПС» и подзаконных актов; o    Требования ЦБ РФ ; o    Требования PCI DSS; o    Требования других операторов ПС ; ·         152-ФЗ «О ПДн» и подзаконных актов (Оценка вреда, моделирование угроз – часть оценки рисков ИБ); ·         документы по КСИИ (разработанные, но не опубликованные). Оценка рисков ИБ необходима для соответствия  таким Российским и международным стандартам в области ИБ, как:   ·         Группа стандартов ISO 27001; ·         COBIT 5 for Information Security; ·         SOX; ·         СТО БР ИББС  и других. Причин и преимуществ применения риск-ориентированного подхода к обеспечению ИБ много, и всё больше компаний выбирают этот пу