Сообщения

Сообщения за апрель, 2015

СОИБ. Аналитика. Топ уязвимостей от Positive Technologies

Изображение
В этом месяце компания Positive Technologies провела 2 вебинара « Уязвимости веб-приложений и систем ДБО в 2013и 2014 годах », « Уязвимости корпоративных информационных систем в 2014 году »  и сделала анонс по главным уязвимостям КИС 2014года .  Подробный отчет об исследовании уязвимостей информационных систем крупных компаний за 2014 год обещают представить  на форуме Positive Hack Days V.   Давайте пока посмотрим на некоторую статистику и инфографику из этого  ·         Уязвимости КИС в части внешнего периметра ·         Уязвимости КИС в части ЛВС ·         Выводы из уязвимостей КИС ·         Уязвимости web приложений ·         Выводы из уязвимостей web приложений ·         Уязвимости ДБО ·         Угрозы ДБО ·         Уязвимости клиентов ДБО ·         Выводы из уязвимостей ДБО

Ищу новую работу

Вот и пришла моя пора найти новую работу и покинуть компанию Микротест. Когда я пришел туда 3,5 года назад, там был отличный коллектив из порядка 20 специалистов по ИБ. С самого начала приятно удивили следующие сильные стороны департамента системной интеграции: ·         Высокие корпоративные требования к технорабочим проектам.  Зачастую проект прорабатывался даже детальнее, чем требовалось Заказчику.  Объяснения этому – более детальная проработка на этапе проектирования, позволит на этапе внедрения реализовать проект быстрее и качественнее; позволит реализовывать проект силами менее квалифицированных специалистов ·         Высокие корпоративные требования к технико-коммерческим предложениям и другим предпродажным работам. Когда требовалось, ТКП разрабатывался на уровне эскизного проекта. Это позволяло Заказчикам четко понимать какие задачи будут решены, архитектуру и состав решения, общий перечень работ, перечень работ который будет выполнен исполнителем в рамках данного предлож

СОИБ. Анализ. Свежие документы ЦБ РФ по ИБ

15 апреля 2015 г. ЦБ РФ опубликовал информационное сообщение “ О несанкционированных операциях, совершенных сиспользованием устройств мобильной связи ”. В нем ЦБ РФ предупреждает об опасности связанной с мобильными платежами и рекомендует принимать следующие меры ИБ: ·          установить на устройство мобильной связи антивирусное ПО; ·          не переходить по ссылкам, приходящим из недостоверных источников; ·          своевременно уведомлять кредитную организацию о смене номера телефона мобильной связи; ·          не скачивать на устройство мобильной связи приложения из непроверенных источников; ·          не передавать устройство мобильной связи и платежную карту для использования третьим лицам, в том числе родственникам; ·          не сообщать третьим лицам, в том числе сотрудникам кредитной организации, ПИН-код платежной карты и контрольный код (СVV/CVC-код1 ), пароли от «Клиент-банка», одноразовые коды подтверждения. 16 апреля 2015 г. ЦБ РФ опубликовал инфор

СЗПДн. Анализ. Проект отчета NIST по обезличиванию ПДн

Изображение
7 апреля 2015 г. NIST опубликовал проект отчета по обезличиванию ПДн ( NIST Draft NISTIR 8053 , De-Identification of Personally Identifiable Information, далее – документ NIST) Документ NIST описывает терминологию, процессы и процедуры обезличивания ПД и является результатом обследования различных техник обезличивания ПДн из электронных ресурсов.   Для сравнения в качестве результатов аналитической работы по запросу РКН явились " Методические рекомендации по применению Приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (утв. Роскомнадзором 13.12.2013,  далее  - МД РКН) В документе NIST рассматриваются ситуации, когда оператору требуется выгружать / передавать ПДн из ИСПДн и при этом необходимо обеспечивать безопасность ПДн. Обезличивание ( de - identification ) рассматривается как один из путей выполнения данной задачи. Давайте посмотрим на наиболее интересные положения документа.

Общее. Конференция КодИБ в Краснодаре

16 апреля в Краснодаре пройдет конференция Код ИБ . Буду участвовать в ней в качестве эксперта в компании с Андреем Прозоровым из InfoWatch , Максимом Степченковым из IT-Task, Андреем Брызгиным из Group IB на приветственной сессии, на которой будем обсуждать актуальные проблемы и тенденции, а так-же отвечать на вопросы аудитории. Так-что приглашаю подготовить актуальные для вас вопросы в области ИБ, прийти на конференцию и задать эти вопросы – постараюсь на них ответить исходя из опыта выполненных проектов. Сам же планирую немного рассказать про проблемы, с которыми сталкивался в этом году и которые обсуждал с регуляторами. В программе намечается большое количество докладов от производителей СЗИ.  В этом году в Краснодаре - это единственная многовендорное мероприятие по ИБ (до этого прошли два моновендорных мероприятия от Infowatch и Cisco ) так что другого шанса пообщаться сразу со всеми интересующими производителями в Краснодаре может просто не представится. Увидимс

Общее. Средства защиты информации 2030-ого года. Часть 1

Изображение
Intro : Статья носит скорее развлекательный характер и планировалась к выходу 1 апреля, но задержалась в связи с командировкой и раздутием темы. В связи тем, что цикл создания СЗИ очень велик, разработчикам приходится продумывать и планировать новые технические решения на годы вперед. Также приходится учитывать возможное направления развития ИТ-технологий. Давайте посмотрим на некоторые актуальные направления развития и связанные с этим угрозы и будущие СЗИ. Будем предполагать что SDL ещё не успеет внедрится во все умы и не все технические решения будут выпускаться заведомо безопасными. Направление развития: умные вещи Тут будет всякая умная и подключенная к беспроводной сети одежда, ботинки, зонты, сумки, чайники, кружки, столы, холодильники, туалеты, матрасы, одеяла, обои, ручки, визитки, мячи, и т.п. обычные сейчас вещи. О безопасности умных вещей (при отсутствии самих вещей) уже говорят несколько лет, например Лукацкий и   Новиков , поэтому пропустим эту тему.