Сообщения

Сообщения за февраль, 2013

СОИБ. Аналитика. Отчет об анализе информационной безопасности Check Point 2013

Изображение
В 2013 году компания Check Point опубликовала отчет об анализе информационной безопасности проводившемся в течении 2012 года . В данном отчете есть интересные цифры, которыми хотелось бы кратко поделиться. Данные для анализа собирались из следующих источников: ·         Check Point ThreatCloud, в анализе участвовало 1494 Security Gateway ·         Check Point SensorNet (распределенная сеть сенсоров) ·         Check Point Endpoint Security reports в 628 компаниях ·         3 D Security Onsite Analysis проведенных в 888 компаниях В рамках услуги 3D Security OnsiteAnalysis ,  компания Check Point бесплатно устанавливает на площадке заказчика свой шлюз безопасности на определенное время, а по результатам готовит для заказчика отчет об обнаруженных атаках, уязвимостях, недостатках и т.п. Check Point Endpoint Security reports получен по результатам сканирования конечных узлов с использованием утилиты Check Point Endpoint Security report tool . По резу

СОИБ. Анализ. Создание защищенных ИС

Изображение
Последнее время всё больше попадающихся мне тендеров, конкурсов, программ, концепций, заданий на создание крупных информационных систем (ИС), автоматизированных систем (АС, АСУ), содержащих разделы, связанные с информационной безопасностью. В связи с увеличением количества нормативных актов в области ИБ и вниманием общественности – у инициаторов проекта есть понимание, что защита информации должна быть и должна в какой то момент обеспечиваться. Так же есть понимание какие мероприятия включает в себя жизненный цикл ИС (ГОСТ 34.601), какие стадии включает в себя жизненный цикл подсистем ИБ (СТР-К, проект приказа ФСТЭК по защите ГИС и т.п.). Но пока нет общего понимания – какие мероприятия ИБ и в какой последовательности должны выполнятся на каждой создания новой ИС: ·         на какой стадии создания ИС должно выполняться моделирование угроз? ·         проектирование ПИБ выполнять одновременно с проектированием основного приложения или после? ·         какие мероприятия

СОИБ. Анализ. ЦБ и электронные базы данных

На сайте ЦБ РФ выложен проект Положения Банка России "О порядке создания, ведения и хранения баз данных на электронных носителях" на экспертизу до 18 февраля. http://cbr.ru/analytics/standart_acts/projects/130211_2.pdf В область действия документа попадает информация о сделках, банковских операциях, лицевых счетах и т.п. Привожу ниже основные требования документа: Требования к ИС, базе данных или системе резервного копирования: ·         информацию хранить не менее 5 лет ·         создавать резервные копии (РК) ·         хранить РК на резервном (отличном от основного) оборудовании или носителях ·         хранить РК на резервных площадках (местах отличных от основных мест обработки) ·         резервные площадки должны быть на территории РФ ·         обеспечить доступ к информации по состоянию на каждый операционный день ·         обеспечить оперативное восстановление информации ·         обеспечить восстановление событий и действий по внесению из