Сообщения

Сообщения за апрель, 2014

Общее. Правила ассоциаций поИБ

Вредные советы для организаторов ассоциаций поИБ: ·         Если вам надоело или стало казаться не солидным выступление на конференциях/семинарах от имени компании-работодателя, заведите себе ассоциацию и подписывайтесь “Председатель правления ...” ·         Сразу же включайте в совет/ экспертный совет вашей ассоциации всех общепризнанных экспертов, и так состоящих во всех ассоциациях (правда эксперт состоящий в 5 ассоциациях ничего кроме "состоять" уже не может, но нас это не пугает), не забудете всех регуляторов. Это будет привлекать в ассоциацию обычных новых членов независимо от целей создания ассоциации, стоимости и условий участия ·         Если вам нужно выжать из определенной ниши всех мелких конкурентов – просто создайте ассоциацию с серьезными вступительными взносами. Кроме сбора взносов ассоциация может ничего не делать, ведь основную её цель – смотри в начале абзаца ·         Если вам нужно продвигать / продавать определенную группу товаров, просто созда

Общее. Ещё одна проблема двух регуляторов ИБ

На этой неделе коллеги говорили о проблемах, которые есть у нас из-за присутствия двух регуляторов (ФСБ и ФСТЭК) в области ИБ, интересы и требования которых пересекаются и местами противоречат для некоторых областей: например в защите ПДн, АСУТП. Алексей Лукацкий привел аргументы к тому, что ФСБ Р не справляется с обязанностями регулятора, а там где регулирует – делает это неадекватно (не учитывая проблем пользователей и производителей) Артем Агеев заметил что регулирование в области ИБ вообще досталось ФСБ Р случайно и необходимо передать эти полномочия ФСТЭКу. Пока же ФСБ Р скорее использует свои полномочия для давления на бизнес, чем повышает уровень ИБ. Приведу ещё одну проблему двух регуляторов, которая постоянно всплывает у меня на практике реализации проектов по ИБ. Очень часто в одном сетевом средстве защиты совмещаются функции МЭ и VPN . Наверное нет такого МЭ который не включал бы функций VPN и наоборот криптошлюза, который не считал бы себя МЭ. Причем, это с

СОИБ. Анализ. СЗИ, не поддерживаемые производителем

07 апреля 2014 г. ФСТЭК России опубликовала информационное сообщение по поводу сертифицированной версии Windows XP в условиях окончания поддержки производителем. Давайте подробнее посмотрим на информационное сообщение, так как по другим СЗИ ФСТЭК нас не балует публичными письмами, давайте разберем это поподробнее. Во-первых, ФСТЭК Р отмечает следующие факты: ·         Производителем прекращена поддержка и выпуск обновлений для ОС Windows XP ·         В большом количестве государственных органов и обычных организаций сертифицированная ОС Windows XP применяется для защиты информации ограниченного доступа ·         Имеются серии ОС Windows XP , сертификат соответствия которых ещё действует ·         Производители сертифицированных серий и пользователи ОС Windows XP обращаются за продлением сертификатов и ФСТЭК планирует продлевать до 2016 года (но с ограничениями) ·         Сохранение тенденции по обнаружению уязвимостей в комбинации с отсутствием патчей приведут в

СОИБ. Общее. Обеспечение доступности публичных сервисов и порталов

В последний год обычной практикой стало сопровождение любого экономического, политического, социального кризиса кибератаками. Ответственность для участников кибер атак фактически отсутствует, а ущерб может быть нанесен весьма значительный. И чаше всего такие атаки проводятся в виде распределенных DDoS-атак,  на публичные бизнес-сервисы и интернет-порталы, так как результаты видны публично (их нельзя скрыть) и урон наносится максимально широкому кругу пользователей. За последний месяц зафиксированы атаки на: ·         Сайт и онлайн сервисы ВТБ-24 (банк, имеющий дочерние компании на Украине), в том числе торговая система Online Broker ·         Сайт и онлайн сервисы Альфа-банка (банк, имеющий дочерние компании на Украине) ·         Сайт и онлайн сервисы ТКС Банка ·          Сайты Президента РФ, Центробанка ·         Сайт Верховного Совета Крыма ·         Сайт межпарламентской ассамблеи СНГ ·         Сайт Общественного Российского телевидения («Первыйканал») ·    

Юмор. Системы генерации защищенности

В последнее время большую популярность приобрели решения по анализу защищенности информационных систем, корпоративных сетей, web приложений, баз данных и т.п. Такие решения требуются в связи с законодательством РФ для защиты ИСПДн, ГИС, АСУ а также для уменьшения наиболее критических рисков. Можно сказать, что системы анализа защищенности, прошли долгий путь в 17 лет и как межсетевые экраны применяются почти во всех компаниях. Первое время такие системы имели возможности только по внешнему анализу защищенности, методом “черного ящика”, когда проверяемое приложение уже введено в эксплуатацию. Назовем их системами первого поколения. Год-полтора назад на российском рынке стали активно продвигаться 3 решения второго поколения, имеющие возможности анализа защищенности исходных кодов приложений и сервисов:  InfoWatch APPERCUT , ERPScan CheckCode , FortifyStatic Code Analyzer . Данные системы можно было применять сразу после окончания разработки приложения или сервиса и тем самым п