Главная » Участники » Сергей Борисов
СОИБ. Проектирование. Сертифицированное производство решений Cisco живо?!

По информации блога http://sborisov.blogspot.ru/ Регулярно слежу за новостями, анонсами, вебинарами по новым продуктам ИБ от Cisco Systems, а вот новость про окончание продаж одного из решений Cisco NME-RVPN как-то пропустил и столкнулся с этим очень неожиданно.   Компания Cisco Systems всегда заявляли что в российской ИБ они в серьез и надолго. В подтверждение этому приводится наличие в решениях Cisco криптографии, сертифицированной не кем-нибудь, а ФСБ России.   Эти самые решения с крипографией, по заявлению Cisco, являются совместной разработкой Cisco и С-терра и включают: модуль NME-RVPN (MCM)…

(подробнее...)
СОИБ. Анализ. Рекомендации по жизненному циклу приложений, тестированию и каталог уязвимостей

По информации блога http://sborisov.blogspot.ru/ 31 июля 2014 г. Банк России опубликовал документ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014)», который вводится в действие с 1 сентября 2014 г. Не часто нас балуют рекомендациями по ИБ подобного типа, поэтому давайте его рассмотрим подробнее.   Есть основной стандарт СТО БР ИББС-1.0-2014, в котором есть раздел требований “7.3. Общие требования по обеспечению информационной…

(подробнее...)
1 1
СОИБ. Проектирование. Дизайн защищенных КСПД

По информации блога http://sborisov.blogspot.ru/   Достаточно часто приходится проектировать защищенные КСПД или их сегменты. При этом стараюсь придерживаться лучших практик, таких как Cisco SAFE и т.п. (подборка у меня в блоге)   Как правило в них используются либо межсетевые экраны с функциями VPN либо маршрутизаторы с функциями VPN либо универсальные шлюзы безопасности с функциями VPN.  Но в российских реалиях эти практики приходится адаптировать. У нас два регулятора ФСТЭК и ФСБ со своими требованиями. Выполнить их в одном устройстве очень проблематично, о чем я уже писал в одной из предыдущих…

(подробнее...)
СОИБ. Анализ. СЗИ, не поддерживаемые производителем 2 (ответ ФСТЭК)

По информации блога http://sborisov.blogspot.ru/   Через три месяца получил ответ ФСТЭК Р на вопросы, связанные со сроками сертификатов, техподдержкой и лицензированием ОС, ПО и СЗИ. Мои вопросы были связаны с окончанием поддержки Windows XP, а так-же часто встречаемой у заказчика ситуацией когда на СЗИ не продлевается техподдержка или заканчивается срок действия сертификата ФСТЭК. В предыдущей статье я привел свои варианты ответов, вы можете так-же учитывать их.   ·        Возможно ли при создании системы защиты информации ограниченного доступа, выбирать СЗИ, на которое имеется действующий сертификат, …

(подробнее...)
СОИБ. Проектирование. Инженеры по сетевой безопасности тоже плачут (от СКЗИ класса КС2)

  По информации блога http://sborisov.blogspot.ru/     Я достаточно много писал про проблемы и сложности использования сертифицированных ФСБ решений по удаленному доступу (remote VPN) в общем и сертифицированного по классу КС2 и выше в часности.   Но когда вы устанавливаете себе требования КС2 и с обычными криптошлюзами и Site-to-Site VPN можно испытать много горя.   Поставить электронные замки в криптошлюзы – проблема не такая большая. Да, они займут место, необходимое для доп. сетевых интерфейсов, но подставятся.   Проблема вот где – при каждом запуске криптошлюза, необходимо чтобы сетевой инженер…

(подробнее...)
Общее. Целенаправленные эксперты по ИБ

По информации блога http://sborisov.blogspot.ru/   Недавно пятнадцати экспертам (не считая главреда) предложили написать статьи на тему одного нового типа угроз. Видимо, темы друг друга эксперты не знали, поэтому многие написали своими словами об одном и том же.   Немного статистики: ·        12 из 15 всю статью или часть статьи давали определение этого нового типа угроз ·        6 из 15 называли широко известные примеры данного нового типа угроз (игра в кто первый скажет stuxnet) ·        5 из 15 приводили описания инцидентов, связанных с данным новым типом угроз ·        5 из 15 считают данный…

(подробнее...)
СОИБ. Внедрение. Новые возможности СЗИ от НСД Secret Net 7.2 под прицелом

по информации блога http://sborisov.blogspot.ru/   Недавно мой однофомилец Илья Борисов в своем блоге призвал отказаться от продвижения security-by-marketing в сторону real security.   Чтобы поддержать эту инициативу хочу поделится некоторыми моментами из опыта внедрения  Secret Net 7.2 и анализу некоторых маркетинговых функций этого СЗИ от НСД   Не так давно проходил вебинар производителя на котором были представлены новые возможности версии Secret Net 7.2, в том числе: ·        Собственные механизмы управления и система управления. Напомню что во всех предыдущих версиях Secret Net, требовало…

(подробнее...)
СОИБ. Анализ. Законопроект про облачные вычисления

по информации блога http://sborisov.blogspot.ru/   08.05.2014 был опубликован дляпубличного обсуждения проект ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений».   В данной заметке сделаю обзор основных моментов документа, а так-же приведу некоторые замечания.   1) Первым делом дается определение новых терминов ·       интернет-провайдер ·       услуги облачных вычислений ·       поставщик услуг облачных вычислений ·       гарантирующий поставщик услуг облачных вычислений ·       потребитель услуг облачных вычислений ·       облачная…

(подробнее...)
СОИБ. Анализ. СЗИ, не поддерживаемые производителем

По информации блога http://sborisov.blogspot.ru/   07 апреля 2014 г. ФСТЭК России опубликовала информационное сообщение по поводу сертифицированной версии Windows XP в условиях окончания поддержки производителем. Давайте подробнее посмотрим на информационное сообщение, так как по другим СЗИ ФСТЭК нас не балует публичными письмами, давайте разберем это поподробнее.   Во-первых, ФСТЭК Р отмечает следующие факты: ·        Производителем прекращена поддержка и выпуск обновлений для ОС Windows XP ·        В большом количестве государственных органов и обычных организаций сертифицированная ОС Windows XP применяется…

(подробнее...)
СОИБ. Общее. Обеспечение доступности публичных сервисов и порталов

По материалам блога http://sborisov.blogspot.ru/   В последний год обычной практикой стало сопровождение любого экономического, политического, социального кризиса кибератаками. Ответственность для участников кибер атак фактически отсутствует, а ущерб может быть нанесен весьма значительный. И чаше всего такие атаки проводятся в виде распределенных DDoS-атак,  на публичные бизнес-сервисы и интернет-порталы, так как результаты видны публично (их нельзя скрыть) и урон наносится максимально широкому кругу пользователей. За последний месяц зафиксированы атаки на: ·        Сайт и онлайн сервисы ВТБ-24 (банк,…

(подробнее...)
СЗПДн. Семинар Микротест “Защита персональных данных по новым требованиям”

  За последний год существенно обновилось законодательство РФ в области защиты ПДн. Возник новый виток интереса Заказчиков к этой теме, многие задают вопросы и размораживают проекты по защите ПДн.     Компания Микротест проводит для клиентов в Москве семинар по посвященный организации защиты персональных данных по новым требованиям, вступившим в силу в 2013 и 2014 году.   Сотрудники Микротеста поделятся информацией о правильном подходе к выполнению этих требований, решением интересных задач из  реализованных проектов.   Меня также пригласили выступить на семинаре. Буду рассказывать про “новые”…

(подробнее...)
СЗПДн. Анализ. Моделирование угроз обработчика ПДн

По информации блога http://sborisov.blogspot.ru/ Продолжу предыдущую статью об обязанностях обработчика и необходимости оператором  выполнения ряда мероприятий за обработчика. Рассмотрим два типа обработки ПДн по поручению: 1.      широкий круг Обработчиков выполняет схожий набор действий с ПДн (обработку) 2.      только один Обработчик выполняет для данного Оператора определенный набор действий ПДн (обработку) Примерами первого типа являются: ·        оператор сотовой связи и дилеры (собирает данные клиентов для заключения договора) ·        банк и платежные агенты (собирают данные для платежей)…

(подробнее...)
СЗПДн. Анализ. Обязанности обработчика ПДн

По материалам блога http://sborisov.blogspot.ru/ К одной из недавних статей состоялось обсуждение в комментариях необходимости учета в модели угроз обработчика (лицо, осуществляющее обработку персональных данных по поручению оператора). Как и обещал, подробности представляю в виде отдельной статьи. Для начала посмотрим на требования законодательства РФ. Обязанности по моделированию угроз, выбору мер защиты, необходимых для нейтрализации угроз,   лежат на операторе. Обработчик обязан соблюдать требования по защите ПДн, предъявляемые оператором. (Далее привожу обновленную табличку сравнения обязанностей, первую…

(подробнее...)
СОИБ. Анализ. Порядок обеспечения безопасности ИСПДн, ГИС и АСУ

по информации блога http://sborisov.blogspot.ru/   Хочу всех поздравить с тем, что наконец закончилась долгоиграющая разработка методического документа ФСТЭК России по защите ГИС. Он подписан и опубликован. Так-же недавно был выложен на рассмотрение проект требований по защите АСУ, во многом схожий с по порядку выполнения работ и составу мер защиты с приказами № 21 и №17.   На недавней конференции "Актуальные вопросы защиты информации" представители ФСБ России так-же отметили что существенных изменений в проект приказа по защите ПДн они вносить не будут и опубликуют его в ближайшее время.   Это…

(подробнее...)
1
СОИБ. Анализ. Экономическая эффективность IDM

По материалам блога http://sborisov.blogspot.ru/   14 февраля послушал довольно интересный совместный вебинар BIS-Expert и Trustverse на тему «Как измерить экономический эффект от внедрения IDM?»   Сделаю небольшое отступление в части терминологии.     Если дословно, то IDM (identity management) – управление идентификацией / идентификаторами. Но для корпоративных нужд под IDM обычно понимается – система централизованного управления учетными записями пользователей в ИС и всем что с ними связано с этими учетными записями: правами доступа в ИС, заявками на доступ, паролями, сертификатами и т.п. The…

(подробнее...)
СОИБ. Анализ. Пополнения каталога мер защиты от ФСТЭК

По материалам блога http://sborisov.blogspot.ru/   Как вы наверное знаете, 12 февраля опубликовано информационное письмо, о том что на публичное рассмотрение выложен проект нормативного акта “Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды”.   Документ разработан на основе приказа 17 ФСТЭК Р, на него похож и на столько же хорош.   Порадовал…

(подробнее...)
СЗПДн. Анализ. Меры защиты SAP

по информации блога http://sborisov.blogspot.ru/   Продолжаю предыдущую статью, в корой была определена модель угроз SAP. Теперь можно выбирать меры защиты ИС.   Будем делать выбор с учетом требований законодательства и методического документа ФСТЭК Р, но для упрощения задачи предположим что у нас не ГИС, а только ИСПДн. Усиливать требования не буду. Вариант 1. Консервативный. В данном варианте будем использовать известные, общеупотребимые и документированные методы создания СЗПДн. Если методика какой-либо оптимизации отсутствует, она не будет применяться. Делай раз. Определение базового набора…

(подробнее...)
Общее. О чем говорили на вебинарах ИБ в 2013

По материалам http://sborisov.blogspot.ru/   В прошедшем 2013 (в прочем как и в 2012) году я вел подборку вебинаров по ИБ на русском языке, о которых я узнавал до их начала. По моим оценкам там приведено не менее 80% от всех публично проводимых вебинаров.   О причинах интереса к вебинарам я написал в прошлогодней статье.   Количество публично проводимых вебинаров увеличилось с 117 в 2012 году до 134 в 2013 году. В статистику не попали закрытые вебинары типа “для партнеров”, индивидуальные вебинары для конкретных заказчиков и вебинары по требованию. Я думаю, что их количество было не меньше количества…

(подробнее...)
СОИБ. Проектирование. (де) Централизованный доступ в Интернет

По информации блога http://sborisov.blogspot.ru/   Регулярно сталкиваюсь с вопросом, о том необходимо ли в крупной распределенной компании реализовывать доступ в сеть Интернет через единую  точку / центральный офис.   В случае централизованного доступа, трафик из удаленных офисов и подразделений через VPN направляется в центральный офис (ЦОД), далее попадает в блок взаимодействия с внешними сетями и выходит в сеть Интернет. Такой вариант позволяет контролировать все взаимодействие с внешними сетями в одной точке (или двух для отказоустойчивости).  Именно в этой точке можно установить продвинутый…

(подробнее...)
СЗПДн. Анализ. Зимний пакет изменений 152-ФЗ

Сегодня зарегистрирован очередной законопроект о внесении изменений в 152-ФЗ.   Обычно я не пишу про законопроекты, так как не все они принимаются, а иногда слишком меняются по ходу дела. Но сегодняшний - слишком хорош чтобы пропустить его.   Положительные изменения: ·        Поправили определение биометрических персональных данных. О проблеме с ними я неоднократно писал в блоге. РКН выпускала информационное письмо, но не все рассматривали его как обязательную норму ·        Ещё раз обратили внимание на первостепенное значение частных законов (банковская тайна, врачебная тайна) над общими (ФЗ…

(подробнее...)
СОИБ. Анализ. Модель угроз SAP

По материалам http://sborisov.blogspot.ru/   В сегодняшней заметке хочу начать серию (возможно две) статей по защите ИС на платформе SAP.  По данной теме написано немало информации, но я постараюсь добавить что то новое, чтобы вам было интересно.   Изначально мне надо было подобрать комплекс технических решений по защите SAP, потом возникло желание протестировать применение приказов 17, 21 и недавнего проекта методического документа ФСТЭК Р на практике.   Для начала зафиксируем характеристики ИС, на основе которых в дальнейшем будем делать выбор мер защиты. Так как регулятор нам не дал нам необходимого…

(подробнее...)
Общее. Конференция Antifraud Russia 2013

По информации блога http://sborisov.blogspot.ru/   На днях прошла четвертая международная конференция Antifraud Russia 2013 посвященная борьбе с мошенничеством в сфере высоких технологий, а особенно в банковской сфере, телекоммуникациях, ритейле, электронной торговле.     На конференцию было зарегистрировано порядка 450 участников. Так как к концу пленарного заседания конференц-зал был полон (а в нем, 672 места), то эта цифра очень похожа на правду.  Один из основных трендов, который озвучивался большинством докладчиков – активно развиваются платежи с мобильных платформ под управлением ОС Android,…

(подробнее...)
СОИБ. Анализ. Мобильная опасность

По информации блога http://sborisov.blogspot.ru/   Про угрозы и проблемы мобильной безопасности говорят на каждой конференции. Несмотря на это мобильные устройства обзаводятся всё большими возможностями, а средствами защиты далеко не всегда.   Для того чтобы отказаться от какой-то мобильной возможности риски должны быть достаточно высоки и их нужно осознавать. А можно и не отказываться, если принять подходящие меры защиты.    В этот статье предположим, что произошел несанкционированный доступ к вашему устройству и ещё раз пройдемся по наиболее опасным рискам.   Несанкционированный доступ произошел…

(подробнее...)
Общее. Roman Korkikian и Adrian Furtuna после ZN

По материалам блога http://sborisov.blogspot.ru/   В продолжение предыдущей заметки после ZN, задал несколько вопросов ещё двум экспертам приезжавшим издалека на ZeroNights:  Roman Korkikian и Adrian Furtuna.   Roman Korkikian из Kudelski Security (Швейцария), проводил workshop "анализ по времени"   ·        Ты только что вернулся с конференции ZeroNights. Какие впечатления? Что понравилось, а что нет?  Если говорить на чистоту, то в России есть всего три конференции по ИБ, которые я посещаю/хотел бы посетить: ZeroNights, PHD и РусКрипто. И если последние две все чаще становятся маркетинговыми…

(подробнее...)
2
Общее. ESET после ZN

по информации блога http://sborisov.blogspot.ru/     На недавно прошедшую конференцию ZeroNights приезжала куча иностранных экспертов. Мне удалось выловить и взять интервью у руководителя группы Security Intelligence лаборатории и блогера ESET Роберта Липовски, который также приезжал на ZN из Словакии.     ·        Ты только что был на конференции ZeroNights. Понравилось? Роберт: Да, мне понравилось. Очень высокий уровень докладов. Специалисты ESET, 2 из Словакии и 2 из России, cделали четыре выступления  - 2 доклада, FastTrack и Workshop. Я в этот раз не выступал с докладом. (UPDATE) “Hard to…

(подробнее...)
СОИБ. Обзор результатов сканеров защищенности

В одной из предыдущих статей я говорил о популярности сканеров защищенности и о типовых ролях, используемых при эксплуатации сканеров защищенности. В этот раз хочу поговорить о пользе от сканеров защищенности, точнее, от комплексных систем (кроме поиска уязвимостей умеют выполнять ещё и анализ соответствия хотя бы каким-то требованиям) анализа защищенности общего назначения (не ограниченных каким-то одним сервисом - web, db, sap и т.п.).   Каждый производитель имеет собственную табличку по детальному сравнению функциональных возможностей своих продуктов с аналогами. Как правило, сравнения эти…

(подробнее...)
1 1
Общее. Google-glass: будущие возможности безопасности

По материалам http://sborisov.blogspot.ru/   Многие эксперты говорят о проблемах ИБ, связанных с новыми гаджетами. Эти мнения могли бы замедлить скорость развития таких устройств, если бы не одно но. Кроме проблем, устройства так-же дадут и большие преимущества, компаниям и частным пользователям.   Например, Google-glass могу послужить и безопасникам: ·        представим, что идет по офису офицер ИБ, смотрит на сотрудника в коридоре, а  Google-glass ему подсказывает логин пользователя, сколько было инцидентов, связанных с этим пользователем, активны ли сессии этого пользователя и т.п. ·        на…

(подробнее...)
Общее. Анализ. Проект приказа Минкомсвязи об автоматизации прослушки связи

по информации блога http://sborisov.blogspot.ru/ 16 октября 2013 выложен на экспертное обсуждение проект приказа Минкомсвязи об автоматизации прослушки сети Интернет «Об утверждении Правил применения оборудования систем коммутации, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-разыскных мероприятий. Часть III. Правила применения оборудования коммутации и маршрутизации пакетов информации сетей передачи данных, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-разыскных мероприятий».…

(подробнее...)
1 1
СОИБ. Проектирование. Защита файловых ресурсов

По информации блога http://sborisov.blogspot.ru/   В сегодняшней заметке хотелось бы уделить внимание комплексным решениям по защите файловых ресурсов.   Несмотря на тенденцию хранения ценной информации в корпоративных приложениях и БД, в большинстве организаций всё равно хранится чувствительная информация в виде файлов. Могу привести следующие примеры: ·        даже если ценная информация хранится в БД, периодически она выгружается оттуда для передачи в другие системы (платежная информация хранится в АБС банка, но для межбанковских платежей используется передача файлов) ·        ценная информация…

(подробнее...)
СОИБ. Проектирование. 20 наиболее важных мер ИБ от SANS Institute

По информации блога http://sborisov.blogspot.ru/   В этом году известный в США институт SANS обновил документ “20 критических мер ИБ” (Twenty Critical Security Controls for Effective Cyber Defense). Документ интересный, поэтому хочу привести тут его краткий обзор.   Почему можно отнести данный документ к “лучшим практикам”?   В его разработке участвовала группа экспертов из разных стран, включающая как государственные, так и коммерческие компании: ·        U.S. Department of Defense ·        Nuclear Laboratories of the U.S. Department of Energy ·        U.S. Computer Emergency Readiness Team of…

(подробнее...)
61–90 из 147
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии

Работал в области ТЭК, нескольких банках, последние 5 лет в системной интеграции по ИБ. В данный момент работаю в интеграторе "РосИнтеграция". Занимаюсь комплексными проектами СОИБ, СЗПДн, экспертизой в проблемных случаях, развитием и продвижением новых продуктов - docshell, bughunt и других

Все, что написано в этом блоге, отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения (если это не выделено особо).