Главная » Участники » Сергей Борисов
Общее. Розыгрыш билетов на BIS Summit 2015

18 сентября 2015 года будет проходить конференция BIS Summit 2015, интересная участием в ней большого количество иностранных спикеров, местных экспертов, и наличием онлайн-трансляции, что большая редкость для российских мероприятий.   По информации блога http://sborisov.blogspot.ru/   В предыдущие годы я как раз смотрел онлайн-трансляцию с мероприятия, так как не удавалось выбраться из Краснодара. В этот раз буду на конференции очно, посмотрю на высокий уровень проведения мероприятия, о котором отзываются многие коллеги.   Организаторы BIS Summit 2015 попросили разыграть несколько билетов на просмотр…

(подробнее...)
СОИБ. Анализ. Платформы для Bug Bounty

Каждая приличная западная ИТ-компания или вендор (Google, Microsoft, Twitter, Tesla, Github, Blogger, Drupal, eBay, Facebook, Instagram и многие другие) обязательно проводит программы выплаты вознаграждений за найденные уязвимости – Bug Bounty, в дополнение к внутреннему и внешнему аудиту ИБ. Это позволяет максимально уменьшить риски для их клиентов.       Последнее время программы Bug Bounty запускают также многие российские компании такие, как  Вконтакте, Yandex, Mail.ru, QIWI, Telegram, Anistar.ru, Ok.ru, Крайинвестбанк, Рокетбанк и т.п.   Когда принимается решение о запуске программы выплаты…

(подробнее...)
1
СОИБ. Анализ. Серьезные недостатки защищенного соединения с web приложениями

Есть сложно выявляемые уязвимости и недостатки безопасности web приложений, которые приходится искать в рамках дорогостоящих аудитов или пентестов.  А есть такие, в которые вляпываешься зайдя один раз обычным браузером на сайт. Ко второму случаю относится неправильный SSL / TLS-сертификат для обеспечения для обеспечения защищенного взаимодействия между сервером и клиентом по протоколу HTTPS или неправильная конфигурация группы протоколов SSL / TLS на сервере.   Хотелось бы показать, что проблема актуальна, но не светить при этом конкретных заказчиков, поэтому я сделал отдельный экспресс анализ…

(подробнее...)
СЗПДн. Вопросы и ответы. Вопросы применения СКЗИ для защиты ПДн

По информации блога http://sborisov.blogspot.ru/ В конце прошлого года у меня подобралось несколько вопросов в рамках защиты ПДн, по которым не было однозначного ответа. При этом ряд знакомых экспертов (Артем Агеев, Николай Домуховский и д.р.) советовали не заниматься публичными рассуждениями, а писать письма регуляторам.   Письма были написаны, давайте посмотрим что получилось с вопросами к ФСБ России:   Вопрос 1. На основании чего (какого мероприятия, документа) Оператор персональных данных должен определять необходимость использования СКЗИ или отсутствие необходимости использования СКЗИ для…

(подробнее...)
СЗПДн. Вопросы и ответы. Выбор мер обеспечения безопасности ПДн и проблема СЗИ

По информации блога http://sborisov.blogspot.ru/ В конце прошлого года у меня подобралось несколько вопросов в рамках защиты ПДн, по которым не было однозначного ответа. При этом ряд знакомых экспертов (Артем Агеев, Николай Домуховский и д.р.) советовали не заниматься публичными рассуждениями, а писать письма регуляторам.   Письма были написаны, давайте посмотрим что получилось с вопросами к ФСТЭК России:   Вопрос 1. Возможно ли при выборе мер обеспечения безопасности ПДн в ИСПДн исключать меры защиты из базового набора, на том основании, что связанные с данной мерой угрозы безопасности ПДн –…

(подробнее...)
СОИБ. Внедрение. Настройка web application firewall, часть 2

По информации блога http://sborisov.blogspot.ru/   Продолжаем предыдущую статью и настраиваем некий обобщенный WAF: ·        настраиваем политики безопасности: o   для определенных ранее объектов защиты назначаем политику сетевой безопасности (открыты порты только связанные с web приложением, из подсети управления разрешен так-же трафик для сервисов управления) o   для каждого web сервиса настраиваем политики защиты web сервиса (могут быть разрешены нестандартные HTTP запросы, такие как HEAD,  могут быть разрешены SQL команды и т.п.), включаем группы сигнатур и  выбираем реакцию на основные типы…

(подробнее...)
СОИБ. Внедрение. Настройка Web Application Firewall, часть 1

По информации блога http://sborisov.blogspot.ru/   Некоторые тестеры-разоблачители WAF, считают что достаточно поставить коробочку / подключить сервис и всё - можно проводить свои изощренные эксперименты, выдавать разоблачительные статьи и разрабатывать на коленке собственные спасительные утилиты.   Моё мнение - WAF отлично справляется со своей задачей и нужно просто правильно его "готовить".   Посмотрим какие настройки должны выполняться на WAF в реальных проектах (не считая инициализации, базовых и сетевых настроек, подключения онлайн-сервисов)  и разберем подробно для чего эти настройки нужны:…

(подробнее...)
СОИБ. Анализ. Пентест н-надо?

По информации блога http://sborisov.blogspot.ru/ В последние 3 месяца мы наблюдаем растянутую во времени публичную дискуссию про пентесты. Вот эта история:   1. Очередной виток начал известный блогер, рассказав как одна компания-пентестер обманула ввела в заблуждение заказчика, а именно: был проведен пентест, который показал, что система защищена, а через неделю после окончания работ в системе была обнаружена критическая уязвимость, посредством которой она была вероятно взломана.   В результате были подняты вопросы: ·        А нужен ли пентест вообще на таких условиях? Он не гарантирует что отсутствуют…

(подробнее...)
СЗПДн. Анализ. Выбор мер защиты

По информации блога http://sborisov.blogspot.ru/ Последний год в комментариях про последние документы ФСТЭК: приказы №17, 21, 31 регулярно встречаю фразы про невиданный ранее прорыв в требованиях регуляторв, про полную свободу выбора мер защиты Заказчиком. У Алексея Лукацкого так про это каждая заметка с тегом: ФСТЭК.   Соглашусь с тем что есть прорыв – появился типовой каталог мер, сами меры сформулированы достаточно гибко, что позволяет при их реализации использовать почти всё что угодно. Но есть в документах ФСТЭК и моменты определенные достаточно жестко и не подразумевающие двойного толкования.…

(подробнее...)
СОИБ. Анализ. Аттестация и проверка СЗИ

По информации блога http://sborisov.blogspot.ru/   Сразу хочу отметить, что не являюсь сторонником аттестации ИС, не относящихся к гостайне, ведь те же самые работы можно выполнить под флагом аудита или оценки соответствия, с лучшим КПД. Но иногда Заказчики просят аттестацию, так что случается участвовать. Ликбез из ГОСТ РО 0043-003-2012 Давайте посмотрим что может привести владельца ИС, не относящейся к гостайне, на эту темную сторону. Аттестация по требованиям ИБ обязательна для обеспечения ИБ в (возможно приведены не все варианты, дополняйте): ·        ГИС Приказ ФСТЭК №17: “13. Для обеспечения…

(подробнее...)
СЗПДн. Анализ. Определение нарушителя для СКЗИ

В связи с выходом приказа ФСБ России по защите ПДн, а так-же в связи со сложностями реализации СКЗИ высоких классов криптографической защиты есть несколько мыслей…   Посмотрим какой порядок действий требуется в части СКЗИ: Приказ ФСБ Р №378: “5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N11191 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных…

(подробнее...)
СОИБ. Проектирование. Сертифицированное производство решений Cisco живо?!

По информации блога http://sborisov.blogspot.ru/ Регулярно слежу за новостями, анонсами, вебинарами по новым продуктам ИБ от Cisco Systems, а вот новость про окончание продаж одного из решений Cisco NME-RVPN как-то пропустил и столкнулся с этим очень неожиданно.   Компания Cisco Systems всегда заявляли что в российской ИБ они в серьез и надолго. В подтверждение этому приводится наличие в решениях Cisco криптографии, сертифицированной не кем-нибудь, а ФСБ России.   Эти самые решения с крипографией, по заявлению Cisco, являются совместной разработкой Cisco и С-терра и включают: модуль NME-RVPN (MCM)…

(подробнее...)
СОИБ. Анализ. Рекомендации по жизненному циклу приложений, тестированию и каталог уязвимостей

По информации блога http://sborisov.blogspot.ru/ 31 июля 2014 г. Банк России опубликовал документ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014)», который вводится в действие с 1 сентября 2014 г. Не часто нас балуют рекомендациями по ИБ подобного типа, поэтому давайте его рассмотрим подробнее.   Есть основной стандарт СТО БР ИББС-1.0-2014, в котором есть раздел требований “7.3. Общие требования по обеспечению информационной…

(подробнее...)
1 1
СОИБ. Проектирование. Дизайн защищенных КСПД

По информации блога http://sborisov.blogspot.ru/   Достаточно часто приходится проектировать защищенные КСПД или их сегменты. При этом стараюсь придерживаться лучших практик, таких как Cisco SAFE и т.п. (подборка у меня в блоге)   Как правило в них используются либо межсетевые экраны с функциями VPN либо маршрутизаторы с функциями VPN либо универсальные шлюзы безопасности с функциями VPN.  Но в российских реалиях эти практики приходится адаптировать. У нас два регулятора ФСТЭК и ФСБ со своими требованиями. Выполнить их в одном устройстве очень проблематично, о чем я уже писал в одной из предыдущих…

(подробнее...)
СОИБ. Анализ. СЗИ, не поддерживаемые производителем 2 (ответ ФСТЭК)

По информации блога http://sborisov.blogspot.ru/   Через три месяца получил ответ ФСТЭК Р на вопросы, связанные со сроками сертификатов, техподдержкой и лицензированием ОС, ПО и СЗИ. Мои вопросы были связаны с окончанием поддержки Windows XP, а так-же часто встречаемой у заказчика ситуацией когда на СЗИ не продлевается техподдержка или заканчивается срок действия сертификата ФСТЭК. В предыдущей статье я привел свои варианты ответов, вы можете так-же учитывать их.   ·        Возможно ли при создании системы защиты информации ограниченного доступа, выбирать СЗИ, на которое имеется действующий сертификат, …

(подробнее...)
СОИБ. Проектирование. Инженеры по сетевой безопасности тоже плачут (от СКЗИ класса КС2)

  По информации блога http://sborisov.blogspot.ru/     Я достаточно много писал про проблемы и сложности использования сертифицированных ФСБ решений по удаленному доступу (remote VPN) в общем и сертифицированного по классу КС2 и выше в часности.   Но когда вы устанавливаете себе требования КС2 и с обычными криптошлюзами и Site-to-Site VPN можно испытать много горя.   Поставить электронные замки в криптошлюзы – проблема не такая большая. Да, они займут место, необходимое для доп. сетевых интерфейсов, но подставятся.   Проблема вот где – при каждом запуске криптошлюза, необходимо чтобы сетевой инженер…

(подробнее...)
Общее. Целенаправленные эксперты по ИБ

По информации блога http://sborisov.blogspot.ru/   Недавно пятнадцати экспертам (не считая главреда) предложили написать статьи на тему одного нового типа угроз. Видимо, темы друг друга эксперты не знали, поэтому многие написали своими словами об одном и том же.   Немного статистики: ·        12 из 15 всю статью или часть статьи давали определение этого нового типа угроз ·        6 из 15 называли широко известные примеры данного нового типа угроз (игра в кто первый скажет stuxnet) ·        5 из 15 приводили описания инцидентов, связанных с данным новым типом угроз ·        5 из 15 считают данный…

(подробнее...)
СОИБ. Внедрение. Новые возможности СЗИ от НСД Secret Net 7.2 под прицелом

по информации блога http://sborisov.blogspot.ru/   Недавно мой однофомилец Илья Борисов в своем блоге призвал отказаться от продвижения security-by-marketing в сторону real security.   Чтобы поддержать эту инициативу хочу поделится некоторыми моментами из опыта внедрения  Secret Net 7.2 и анализу некоторых маркетинговых функций этого СЗИ от НСД   Не так давно проходил вебинар производителя на котором были представлены новые возможности версии Secret Net 7.2, в том числе: ·        Собственные механизмы управления и система управления. Напомню что во всех предыдущих версиях Secret Net, требовало…

(подробнее...)
СОИБ. Анализ. Законопроект про облачные вычисления

по информации блога http://sborisov.blogspot.ru/   08.05.2014 был опубликован дляпубличного обсуждения проект ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений».   В данной заметке сделаю обзор основных моментов документа, а так-же приведу некоторые замечания.   1) Первым делом дается определение новых терминов ·       интернет-провайдер ·       услуги облачных вычислений ·       поставщик услуг облачных вычислений ·       гарантирующий поставщик услуг облачных вычислений ·       потребитель услуг облачных вычислений ·       облачная…

(подробнее...)
СОИБ. Анализ. СЗИ, не поддерживаемые производителем

По информации блога http://sborisov.blogspot.ru/   07 апреля 2014 г. ФСТЭК России опубликовала информационное сообщение по поводу сертифицированной версии Windows XP в условиях окончания поддержки производителем. Давайте подробнее посмотрим на информационное сообщение, так как по другим СЗИ ФСТЭК нас не балует публичными письмами, давайте разберем это поподробнее.   Во-первых, ФСТЭК Р отмечает следующие факты: ·        Производителем прекращена поддержка и выпуск обновлений для ОС Windows XP ·        В большом количестве государственных органов и обычных организаций сертифицированная ОС Windows XP применяется…

(подробнее...)
СОИБ. Общее. Обеспечение доступности публичных сервисов и порталов

По материалам блога http://sborisov.blogspot.ru/   В последний год обычной практикой стало сопровождение любого экономического, политического, социального кризиса кибератаками. Ответственность для участников кибер атак фактически отсутствует, а ущерб может быть нанесен весьма значительный. И чаше всего такие атаки проводятся в виде распределенных DDoS-атак,  на публичные бизнес-сервисы и интернет-порталы, так как результаты видны публично (их нельзя скрыть) и урон наносится максимально широкому кругу пользователей. За последний месяц зафиксированы атаки на: ·        Сайт и онлайн сервисы ВТБ-24 (банк,…

(подробнее...)
СЗПДн. Семинар Микротест “Защита персональных данных по новым требованиям”

  За последний год существенно обновилось законодательство РФ в области защиты ПДн. Возник новый виток интереса Заказчиков к этой теме, многие задают вопросы и размораживают проекты по защите ПДн.     Компания Микротест проводит для клиентов в Москве семинар по посвященный организации защиты персональных данных по новым требованиям, вступившим в силу в 2013 и 2014 году.   Сотрудники Микротеста поделятся информацией о правильном подходе к выполнению этих требований, решением интересных задач из  реализованных проектов.   Меня также пригласили выступить на семинаре. Буду рассказывать про “новые”…

(подробнее...)
СЗПДн. Анализ. Моделирование угроз обработчика ПДн

По информации блога http://sborisov.blogspot.ru/ Продолжу предыдущую статью об обязанностях обработчика и необходимости оператором  выполнения ряда мероприятий за обработчика. Рассмотрим два типа обработки ПДн по поручению: 1.      широкий круг Обработчиков выполняет схожий набор действий с ПДн (обработку) 2.      только один Обработчик выполняет для данного Оператора определенный набор действий ПДн (обработку) Примерами первого типа являются: ·        оператор сотовой связи и дилеры (собирает данные клиентов для заключения договора) ·        банк и платежные агенты (собирают данные для платежей)…

(подробнее...)
СЗПДн. Анализ. Обязанности обработчика ПДн

По материалам блога http://sborisov.blogspot.ru/ К одной из недавних статей состоялось обсуждение в комментариях необходимости учета в модели угроз обработчика (лицо, осуществляющее обработку персональных данных по поручению оператора). Как и обещал, подробности представляю в виде отдельной статьи. Для начала посмотрим на требования законодательства РФ. Обязанности по моделированию угроз, выбору мер защиты, необходимых для нейтрализации угроз,   лежат на операторе. Обработчик обязан соблюдать требования по защите ПДн, предъявляемые оператором. (Далее привожу обновленную табличку сравнения обязанностей, первую…

(подробнее...)
СОИБ. Анализ. Порядок обеспечения безопасности ИСПДн, ГИС и АСУ

по информации блога http://sborisov.blogspot.ru/   Хочу всех поздравить с тем, что наконец закончилась долгоиграющая разработка методического документа ФСТЭК России по защите ГИС. Он подписан и опубликован. Так-же недавно был выложен на рассмотрение проект требований по защите АСУ, во многом схожий с по порядку выполнения работ и составу мер защиты с приказами № 21 и №17.   На недавней конференции "Актуальные вопросы защиты информации" представители ФСБ России так-же отметили что существенных изменений в проект приказа по защите ПДн они вносить не будут и опубликуют его в ближайшее время.   Это…

(подробнее...)
1
СОИБ. Анализ. Экономическая эффективность IDM

По материалам блога http://sborisov.blogspot.ru/   14 февраля послушал довольно интересный совместный вебинар BIS-Expert и Trustverse на тему «Как измерить экономический эффект от внедрения IDM?»   Сделаю небольшое отступление в части терминологии.     Если дословно, то IDM (identity management) – управление идентификацией / идентификаторами. Но для корпоративных нужд под IDM обычно понимается – система централизованного управления учетными записями пользователей в ИС и всем что с ними связано с этими учетными записями: правами доступа в ИС, заявками на доступ, паролями, сертификатами и т.п. The…

(подробнее...)
СОИБ. Анализ. Пополнения каталога мер защиты от ФСТЭК

По материалам блога http://sborisov.blogspot.ru/   Как вы наверное знаете, 12 февраля опубликовано информационное письмо, о том что на публичное рассмотрение выложен проект нормативного акта “Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды”.   Документ разработан на основе приказа 17 ФСТЭК Р, на него похож и на столько же хорош.   Порадовал…

(подробнее...)
СЗПДн. Анализ. Меры защиты SAP

по информации блога http://sborisov.blogspot.ru/   Продолжаю предыдущую статью, в корой была определена модель угроз SAP. Теперь можно выбирать меры защиты ИС.   Будем делать выбор с учетом требований законодательства и методического документа ФСТЭК Р, но для упрощения задачи предположим что у нас не ГИС, а только ИСПДн. Усиливать требования не буду. Вариант 1. Консервативный. В данном варианте будем использовать известные, общеупотребимые и документированные методы создания СЗПДн. Если методика какой-либо оптимизации отсутствует, она не будет применяться. Делай раз. Определение базового набора…

(подробнее...)
Общее. О чем говорили на вебинарах ИБ в 2013

По материалам http://sborisov.blogspot.ru/   В прошедшем 2013 (в прочем как и в 2012) году я вел подборку вебинаров по ИБ на русском языке, о которых я узнавал до их начала. По моим оценкам там приведено не менее 80% от всех публично проводимых вебинаров.   О причинах интереса к вебинарам я написал в прошлогодней статье.   Количество публично проводимых вебинаров увеличилось с 117 в 2012 году до 134 в 2013 году. В статистику не попали закрытые вебинары типа “для партнеров”, индивидуальные вебинары для конкретных заказчиков и вебинары по требованию. Я думаю, что их количество было не меньше количества…

(подробнее...)
СОИБ. Проектирование. (де) Централизованный доступ в Интернет

По информации блога http://sborisov.blogspot.ru/   Регулярно сталкиваюсь с вопросом, о том необходимо ли в крупной распределенной компании реализовывать доступ в сеть Интернет через единую  точку / центральный офис.   В случае централизованного доступа, трафик из удаленных офисов и подразделений через VPN направляется в центральный офис (ЦОД), далее попадает в блок взаимодействия с внешними сетями и выходит в сеть Интернет. Такой вариант позволяет контролировать все взаимодействие с внешними сетями в одной точке (или двух для отказоустойчивости).  Именно в этой точке можно установить продвинутый…

(подробнее...)
61–90 из 158
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии