Блог Сергея Борисова про ИБ

Постановления Правительства РФ от15.06.2016 N 541 внесло изменения в Постановление Правительства РФ от 3 февраля 2012 г. N 79 «о лицензировании деятельности по технической защите конфиденциальной информации» Изменения вступают в силу 17.06.2017 . Давайте вспомним что изменилось: 1) виды работ и услуг: В ряде случаев вместо “работ и услуг” стало применяться только “услуг по”. Убрали сертификационные испытания и добавили услуги по мониторингу - в) сертификационные испытания на соответствие требованиям по безопасности информации продукции …; + в) услуги по мониторингу информационной безопасности средств и систем информатизации ; В область лицензирования попала наладка СЗИ.  В СКЗИ-шном лицензировании “наладка” всегда упоминалась. Теперь вот и в ТЗКИ. Когда мы говорится про наладку программного обеспечения очевидно имеется в ввиду его настройка. - е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защ...

NFC технологии последнее время активно продвигаются в массы. Ещё бы, ведь это удобно -  использовать какую-нибудь одну маленькую штучку типа браслета, карты или даже телефона как универсальное платежное средство или средство идентификации, которые не нужно никуда вставлять, набирать пароли и тому подобное: поднес к считывателю, получил что нужно и идешь дальше: на крупных мероприятиях, в транспорте, отеле, на горнолыжном курорте, в банкоматах, машинах и т.п. Давайте посмотрим подробнее. Near field communication, NFC («коммуникация ближнего поля», «ближняя бесконтактная связь») — технология беспроводной высокочастотной связи малого радиуса действия, которая дает возможность обмена данными между устройствами, находящимися на расстоянии около 15 сантиметров. В отличие от такой технологии как Bluetooth позволяет быстрее обмениваться маленькими объемами информации и поддерживает пассивные устройства (метки, карты), дешевле в реализации – что существенно увеличивает область п...

В последние 3 месяца мы наблюдаем растянутую во времени публичную дискуссию про пентесты. Вот эта история: 1. Очередной виток начал известный блогер , рассказав как одна компания-пентестер обманула ввела в заблуждение заказчика, а именно: был проведен пентест, который показал, что система защищена, а через неделю после окончания работ в системе была обнаружена критическая уязвимость, посредством которой она была вероятно взломана. В результате были подняты вопросы: ·         А нужен ли пентест вообще на таких условиях? Он не гарантирует что отсутствуют уязвимости, он не гарантирует что система защищена. ·         Может ли компания пентестер предложить что-то полезное заказчику? 2. Продолжил тему один пентестер на вебинаре RISC “ Тестирование на проникновение: задача, решение и ограничения”, который дал определение пентеста, указал ограничения,  условия и разъяснил многие моменты из своего оп...