Сообщения

Сообщения за Январь, 2019

ИБ. Экономика и лучшие практики раскрытия уязвимостей

Изображение
А помните в прошлом году один человек нашел баг в ГИС Минобра, выкачала базу дипломов, не смог связаться с администратором и опубликовал статью с примерами эксплуатации на Хабр?
Под новый год ENISA (регулятор по ИБ евросоюза) опубликовал интересный документ по анализу и экономике процессов раскрытия уязвимостей - Economicsof Vulnerability Disclosure. В своем исследовании они опирались также на другой свежий документ - Software Vulnerability Disclosure in Europe от CEPS.
В документе ENISAподробно рассматриваются возможные участники процессов поиска уязвимостей и раскрытия информации о ней.Их мотивация, проблемы с которыми они сталкиваются и опасения.


Рассматриваются текущие практики раскрытия и нераскрытия уязвимостей:

В документе отмечается что развитие платформ bugbounty положительно повлияло на развитие процессов сообщения об уязвимостях, на привлечение внимания к теме уязвимостей. Средние стоимости вознаграждений. Но bugbountyплатформ также есть свои ограничения и недостатки: в …

ИБ. Госуслуги остались без защиты?

Изображение
Пару дней назад обновился реестрсертифицированных СЗИ в системе ФСТЭК России. Там появились свеже сертифицированные серийные СЗИ. Но мне было интересно посмотреть на некоторые штучные.
Как вы, наверное, знаете, требуемые меры защиты можно реализовать как накладными внешними СЗИ, так и встроенными возможностями прикладного ПО ИС. Как правило, в крупных федеральных порталах (ГИСах) как правило часть функций реализуется прикладным ПО. В связи с чем проводится сертификация штучных экземпляров этого ППО. И вроде бы такой подход всё еще активно применяется (если посмотреть на реестр СЗИ)

И в этом ключе довольно странно выглядит не продление сертификатов ФСТЭК на ПО портала Госуслуги и СМЭВ, и удаление ФСТЭКом этих сертификатов из перечня (а ведь в соответствии с новым положением о сертификации допускается эксплуатация СЗИ даже с истекшим сроком, только если ФСТЭК не отзовет его и удалит из перечня).

Если посмотреть на планы модернизации СМЭВ – там есть переделка подсистемы безопасности, но…