Сообщения

Сообщения за июль, 2016

СОИБ. Анализ. Хорошие времена для исследователей безопасности российских СЗИ. Часть 2

Вводную часть вынес в отдельную статью чтобы не загружать читателей прописными истинами. Часть 2. К сути Так получилось, что каждая неожиданно опубликованная уязвимость в сертифицированном СЗИ обходится производителю достаточно дорого: ·          Если новая версия СЗИ находилась на сертификации (а это продолжительный процесс от 0.5 до 2х лет. Можно сказать, что у крупных производителей СЗИ всегда находятся на сертификации) и эта версия подвержена опубликованной уязвимости, то СЗИ автоматически снимается с сертификации и отправляется на доработку и потом на повторные испытания. В зависимости от сложности проблемы — это может отложить на 2-6 месяцев выход новой версии СЗИ на рынок. И время тут - деньги ·          Если СЗИ уже было сертифицировано, всё равно, после выпуска патча его надо отправить на инспекционный контроль, это дополнительные пара месяцев ожиданий и оплата услуг испытательной лабор...

СОИБ. Анализ. Хорошие времена для исследователей безопасности российских СЗИ. Часть 1

Часть 1. Вводная (вынес сюда прописные истины, всем известные) До недавнего времени добропорядочные исследователи безопасности ( white hat ) фактически не занимались исследованиями безопасности российских средств защиты информации. Связано это было с рядом факторов: ·          важная часть нормативных документов (например, недавние требования к МЭ), требований регуляторов к СЗИ недоступна широкому кругу исследователей – доступ получают только разработчики СЗИ – лицензиаты ФСТЭК и ФСБ; а значит не заинтересованы в привлечении широкого круга лиц ·          испытательные лаборатории – только выполняют формальную проверку соответствия функций СЗИ – требованиям регулятора и в лучшем случае проходят сканнером уязвимостей. В детальном ручном поиске уязвимостей они не заинтересованы, так как основной показатель и критерий их работы (почему производители обращаются к данным ИЛ) это: быстрые сроки испытан...

СОИБ. Анализ. Сертифицированные средства криптозащиты / кодирования не сертифицированные

Изображение
Вчерашнее Извещение ФСБ России «об использовании несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно- телекоммуникационной сети «Интернет» понаделало немало шума. Высказывались даже идеи об отсутствии необходимости сертификации СКЗИ вообще. В свою очередь недавно я сталкивался с большим количеством проверок ФСБ России и хотел бы процитировать некоторые моменты из них по теме сертифицированных СКЗИ: Тут мы видим, что применение не прошедших оценку соответствия в форме сертификации СКЗИ ФСБ России определяет, как нарушение требований по защите ПДн (ст.19 152-ФЗ и пункт 13 ПП 1119). В следующем примере просроченные сертификаты на СКЗИ также приводят к нарушениям (ст. 19 152-ФЗ и п.10 ПКЗ 2005 – оба пункта про оценку соответствия СЗИ) и административному правонарушению по статье 13.12 ч.2 КоАП РФ. Плюс ещё пришлось приостановить эксплуатацию двух ИС. В следующем примере ФСБ России обнаружили уже отсутствующие сертиф...

Общее. Результаты ИБ конкурса

Изображение
Когда задумывал конкурс розыгрыша билетов на Код ИБ Онлайн идея была следующая: беру в основном вопросы из истории ИБ, тогда опытные, но более ленивые ИБ специалисты могут на них легко ответить, ведь они начинали с этих тем, а молодые ИБ специалисты должны быть более прокачаны в поиске информации (гуглении) и для них тоже не составит найти нужный ответ. К моему удивлению, многие знакомые признались, что не смогли ответить и поэтому не стали участвовать. Другие сказали, что решили сразу купить билетик и не парится.  Но были и те которые ответили и победили. Краткий обзор ниже. 1.        Назовите самый старый из действующих федеральных законов в котором упомянута необходимость защиты информации, данных или тайн Тут я загадал ФЗ о Банках от 1990 г. Он действующий. В нем упомянута защита банковской тайны. И он самый старый из вариантов приведенных в ответе. Закон СССР не считаю, так как он не федеральный.  2.     ...

Общее. Как получить качественный ИБ контент - Код ИБ онлайн (конкурс)

После череды ИБ мероприятий регулярно поднимается обсуждение о том, как же слушателям получить качественный контент? В случае, когда ИБ мероприятие организуется одной компанией – все доклады и выступления привязаны к области интереса / услуг этой компании. Если мероприятие проводится за деньги спонсоров, то не обойтись без прямой рекламы в большинстве докладов. Если же мероприятия проводится за деньги слушателей, то как правило стоимость получается весьма приличной (аренда помещений, питание, развлечения, конкурсы, оплата работы организаторов и т.п.) Ребята из Экспо-линк пытаются найти новый вариант – провести онлайн мероприятие с качественными докладами без рекламы, на за небольшую стоимость. Сокращение стоимости за счет онлайн и массовости участников. Как заявили организаторы “со спикеров требуем экспертный (то есть не рекламный) и уникальный (то есть не звучавший в таком виде на других мероприятиях) контент”. Идея довольно интересная - мы скидываемся, а эксперты в отве...

СОИБ. Анализ. (UPDATE) Пакет изменений в законодательство от Яровой “антитеррористический” и ИБ

Изображение
Возможно многие уже слышали о ФЗ Яровой вносящем изменения в   Федеральный закон «О противодействии терроризму» и отдельные законодательные акты   Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности.   Текст   тут. Рекомендую ознакомится самостоятельно. Так как данные поправки касаются операторов связи и других ИТ компаний, а также вносят изменения в 149-ФЗ об информации, информатизации и защиты информации, то они всколыхнули ИТ сообщество и продвинутых пользователей. Была очень большая волна критики со стороны операторов связи, облачных операторов и западных диссидентов. Цитировать большого смысла не вижу. Видео ответ на эту критику от самой Ирины Яровой можно посмотреть  тут                                                    Да...

СОИБ. Анализ. Безопасность NFC

Изображение
NFC технологии последнее время активно продвигаются в массы. Ещё бы, ведь это удобно -  использовать какую-нибудь одну маленькую штучку типа браслета, карты или даже телефона как универсальное платежное средство или средство идентификации, которые не нужно никуда вставлять, набирать пароли и тому подобное: поднес к считывателю, получил что нужно и идешь дальше: на крупных мероприятиях, в транспорте, отеле, на горнолыжном курорте, в банкоматах, машинах и т.п. Давайте посмотрим подробнее. Near field communication, NFC («коммуникация ближнего поля», «ближняя бесконтактная связь») — технология беспроводной высокочастотной связи малого радиуса действия, которая дает возможность обмена данными между устройствами, находящимися на расстоянии около 15 сантиметров. В отличие от такой технологии как Bluetooth позволяет быстрее обмениваться маленькими объемами информации и поддерживает пассивные устройства (метки, карты), дешевле в реализации – что существенно увеличивает область п...