Главная » Участники » Сергей Борисов
СОИБ. Анализ. СЗИ, не поддерживаемые производителем 2 (ответ ФСТЭК)

По информации блога http://sborisov.blogspot.ru/   Через три месяца получил ответ ФСТЭК Р на вопросы, связанные со сроками сертификатов, техподдержкой и лицензированием ОС, ПО и СЗИ. Мои вопросы были связаны с окончанием поддержки Windows XP, а так-же часто встречаемой у заказчика ситуацией когда на СЗИ не продлевается техподдержка или заканчивается срок действия сертификата ФСТЭК. В предыдущей статье я привел свои варианты ответов, вы можете так-же учитывать их.   ·        Возможно ли при создании системы защиты информации ограниченного доступа, выбирать СЗИ, на которое имеется действующий сертификат, …

(подробнее...)
СОИБ. Проектирование. Инженеры по сетевой безопасности тоже плачут (от СКЗИ класса КС2)

  По информации блога http://sborisov.blogspot.ru/     Я достаточно много писал про проблемы и сложности использования сертифицированных ФСБ решений по удаленному доступу (remote VPN) в общем и сертифицированного по классу КС2 и выше в часности.   Но когда вы устанавливаете себе требования КС2 и с обычными криптошлюзами и Site-to-Site VPN можно испытать много горя.   Поставить электронные замки в криптошлюзы – проблема не такая большая. Да, они займут место, необходимое для доп. сетевых интерфейсов, но подставятся.   Проблема вот где – при каждом запуске криптошлюза, необходимо чтобы сетевой инженер…

(подробнее...)
Общее. Целенаправленные эксперты по ИБ

По информации блога http://sborisov.blogspot.ru/   Недавно пятнадцати экспертам (не считая главреда) предложили написать статьи на тему одного нового типа угроз. Видимо, темы друг друга эксперты не знали, поэтому многие написали своими словами об одном и том же.   Немного статистики: ·        12 из 15 всю статью или часть статьи давали определение этого нового типа угроз ·        6 из 15 называли широко известные примеры данного нового типа угроз (игра в кто первый скажет stuxnet) ·        5 из 15 приводили описания инцидентов, связанных с данным новым типом угроз ·        5 из 15 считают данный…

(подробнее...)
СОИБ. Внедрение. Новые возможности СЗИ от НСД Secret Net 7.2 под прицелом

по информации блога http://sborisov.blogspot.ru/   Недавно мой однофомилец Илья Борисов в своем блоге призвал отказаться от продвижения security-by-marketing в сторону real security.   Чтобы поддержать эту инициативу хочу поделится некоторыми моментами из опыта внедрения  Secret Net 7.2 и анализу некоторых маркетинговых функций этого СЗИ от НСД   Не так давно проходил вебинар производителя на котором были представлены новые возможности версии Secret Net 7.2, в том числе: ·        Собственные механизмы управления и система управления. Напомню что во всех предыдущих версиях Secret Net, требовало…

(подробнее...)
СОИБ. Анализ. Законопроект про облачные вычисления

по информации блога http://sborisov.blogspot.ru/   08.05.2014 был опубликован дляпубличного обсуждения проект ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений».   В данной заметке сделаю обзор основных моментов документа, а так-же приведу некоторые замечания.   1) Первым делом дается определение новых терминов ·       интернет-провайдер ·       услуги облачных вычислений ·       поставщик услуг облачных вычислений ·       гарантирующий поставщик услуг облачных вычислений ·       потребитель услуг облачных вычислений ·       облачная…

(подробнее...)
СОИБ. Анализ. СЗИ, не поддерживаемые производителем

По информации блога http://sborisov.blogspot.ru/   07 апреля 2014 г. ФСТЭК России опубликовала информационное сообщение по поводу сертифицированной версии Windows XP в условиях окончания поддержки производителем. Давайте подробнее посмотрим на информационное сообщение, так как по другим СЗИ ФСТЭК нас не балует публичными письмами, давайте разберем это поподробнее.   Во-первых, ФСТЭК Р отмечает следующие факты: ·        Производителем прекращена поддержка и выпуск обновлений для ОС Windows XP ·        В большом количестве государственных органов и обычных организаций сертифицированная ОС Windows XP применяется…

(подробнее...)
СОИБ. Общее. Обеспечение доступности публичных сервисов и порталов

По материалам блога http://sborisov.blogspot.ru/   В последний год обычной практикой стало сопровождение любого экономического, политического, социального кризиса кибератаками. Ответственность для участников кибер атак фактически отсутствует, а ущерб может быть нанесен весьма значительный. И чаше всего такие атаки проводятся в виде распределенных DDoS-атак,  на публичные бизнес-сервисы и интернет-порталы, так как результаты видны публично (их нельзя скрыть) и урон наносится максимально широкому кругу пользователей. За последний месяц зафиксированы атаки на: ·        Сайт и онлайн сервисы ВТБ-24 (банк,…

(подробнее...)
СЗПДн. Семинар Микротест “Защита персональных данных по новым требованиям”

  За последний год существенно обновилось законодательство РФ в области защиты ПДн. Возник новый виток интереса Заказчиков к этой теме, многие задают вопросы и размораживают проекты по защите ПДн.     Компания Микротест проводит для клиентов в Москве семинар по посвященный организации защиты персональных данных по новым требованиям, вступившим в силу в 2013 и 2014 году.   Сотрудники Микротеста поделятся информацией о правильном подходе к выполнению этих требований, решением интересных задач из  реализованных проектов.   Меня также пригласили выступить на семинаре. Буду рассказывать про “новые”…

(подробнее...)
СЗПДн. Анализ. Моделирование угроз обработчика ПДн

По информации блога http://sborisov.blogspot.ru/ Продолжу предыдущую статью об обязанностях обработчика и необходимости оператором  выполнения ряда мероприятий за обработчика. Рассмотрим два типа обработки ПДн по поручению: 1.      широкий круг Обработчиков выполняет схожий набор действий с ПДн (обработку) 2.      только один Обработчик выполняет для данного Оператора определенный набор действий ПДн (обработку) Примерами первого типа являются: ·        оператор сотовой связи и дилеры (собирает данные клиентов для заключения договора) ·        банк и платежные агенты (собирают данные для платежей)…

(подробнее...)
СЗПДн. Анализ. Обязанности обработчика ПДн

По материалам блога http://sborisov.blogspot.ru/ К одной из недавних статей состоялось обсуждение в комментариях необходимости учета в модели угроз обработчика (лицо, осуществляющее обработку персональных данных по поручению оператора). Как и обещал, подробности представляю в виде отдельной статьи. Для начала посмотрим на требования законодательства РФ. Обязанности по моделированию угроз, выбору мер защиты, необходимых для нейтрализации угроз,   лежат на операторе. Обработчик обязан соблюдать требования по защите ПДн, предъявляемые оператором. (Далее привожу обновленную табличку сравнения обязанностей, первую…

(подробнее...)
СОИБ. Анализ. Порядок обеспечения безопасности ИСПДн, ГИС и АСУ

по информации блога http://sborisov.blogspot.ru/   Хочу всех поздравить с тем, что наконец закончилась долгоиграющая разработка методического документа ФСТЭК России по защите ГИС. Он подписан и опубликован. Так-же недавно был выложен на рассмотрение проект требований по защите АСУ, во многом схожий с по порядку выполнения работ и составу мер защиты с приказами № 21 и №17.   На недавней конференции "Актуальные вопросы защиты информации" представители ФСБ России так-же отметили что существенных изменений в проект приказа по защите ПДн они вносить не будут и опубликуют его в ближайшее время.   Это…

(подробнее...)
1
СОИБ. Анализ. Экономическая эффективность IDM

По материалам блога http://sborisov.blogspot.ru/   14 февраля послушал довольно интересный совместный вебинар BIS-Expert и Trustverse на тему «Как измерить экономический эффект от внедрения IDM?»   Сделаю небольшое отступление в части терминологии.     Если дословно, то IDM (identity management) – управление идентификацией / идентификаторами. Но для корпоративных нужд под IDM обычно понимается – система централизованного управления учетными записями пользователей в ИС и всем что с ними связано с этими учетными записями: правами доступа в ИС, заявками на доступ, паролями, сертификатами и т.п. The…

(подробнее...)
СОИБ. Анализ. Пополнения каталога мер защиты от ФСТЭК

По материалам блога http://sborisov.blogspot.ru/   Как вы наверное знаете, 12 февраля опубликовано информационное письмо, о том что на публичное рассмотрение выложен проект нормативного акта “Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды”.   Документ разработан на основе приказа 17 ФСТЭК Р, на него похож и на столько же хорош.   Порадовал…

(подробнее...)
СЗПДн. Анализ. Меры защиты SAP

по информации блога http://sborisov.blogspot.ru/   Продолжаю предыдущую статью, в корой была определена модель угроз SAP. Теперь можно выбирать меры защиты ИС.   Будем делать выбор с учетом требований законодательства и методического документа ФСТЭК Р, но для упрощения задачи предположим что у нас не ГИС, а только ИСПДн. Усиливать требования не буду. Вариант 1. Консервативный. В данном варианте будем использовать известные, общеупотребимые и документированные методы создания СЗПДн. Если методика какой-либо оптимизации отсутствует, она не будет применяться. Делай раз. Определение базового набора…

(подробнее...)
Общее. О чем говорили на вебинарах ИБ в 2013

По материалам http://sborisov.blogspot.ru/   В прошедшем 2013 (в прочем как и в 2012) году я вел подборку вебинаров по ИБ на русском языке, о которых я узнавал до их начала. По моим оценкам там приведено не менее 80% от всех публично проводимых вебинаров.   О причинах интереса к вебинарам я написал в прошлогодней статье.   Количество публично проводимых вебинаров увеличилось с 117 в 2012 году до 134 в 2013 году. В статистику не попали закрытые вебинары типа “для партнеров”, индивидуальные вебинары для конкретных заказчиков и вебинары по требованию. Я думаю, что их количество было не меньше количества…

(подробнее...)
СОИБ. Проектирование. (де) Централизованный доступ в Интернет

По информации блога http://sborisov.blogspot.ru/   Регулярно сталкиваюсь с вопросом, о том необходимо ли в крупной распределенной компании реализовывать доступ в сеть Интернет через единую  точку / центральный офис.   В случае централизованного доступа, трафик из удаленных офисов и подразделений через VPN направляется в центральный офис (ЦОД), далее попадает в блок взаимодействия с внешними сетями и выходит в сеть Интернет. Такой вариант позволяет контролировать все взаимодействие с внешними сетями в одной точке (или двух для отказоустойчивости).  Именно в этой точке можно установить продвинутый…

(подробнее...)
СЗПДн. Анализ. Зимний пакет изменений 152-ФЗ

Сегодня зарегистрирован очередной законопроект о внесении изменений в 152-ФЗ.   Обычно я не пишу про законопроекты, так как не все они принимаются, а иногда слишком меняются по ходу дела. Но сегодняшний - слишком хорош чтобы пропустить его.   Положительные изменения: ·        Поправили определение биометрических персональных данных. О проблеме с ними я неоднократно писал в блоге. РКН выпускала информационное письмо, но не все рассматривали его как обязательную норму ·        Ещё раз обратили внимание на первостепенное значение частных законов (банковская тайна, врачебная тайна) над общими (ФЗ…

(подробнее...)
СОИБ. Анализ. Модель угроз SAP

По материалам http://sborisov.blogspot.ru/   В сегодняшней заметке хочу начать серию (возможно две) статей по защите ИС на платформе SAP.  По данной теме написано немало информации, но я постараюсь добавить что то новое, чтобы вам было интересно.   Изначально мне надо было подобрать комплекс технических решений по защите SAP, потом возникло желание протестировать применение приказов 17, 21 и недавнего проекта методического документа ФСТЭК Р на практике.   Для начала зафиксируем характеристики ИС, на основе которых в дальнейшем будем делать выбор мер защиты. Так как регулятор нам не дал нам необходимого…

(подробнее...)
Общее. Конференция Antifraud Russia 2013

По информации блога http://sborisov.blogspot.ru/   На днях прошла четвертая международная конференция Antifraud Russia 2013 посвященная борьбе с мошенничеством в сфере высоких технологий, а особенно в банковской сфере, телекоммуникациях, ритейле, электронной торговле.     На конференцию было зарегистрировано порядка 450 участников. Так как к концу пленарного заседания конференц-зал был полон (а в нем, 672 места), то эта цифра очень похожа на правду.  Один из основных трендов, который озвучивался большинством докладчиков – активно развиваются платежи с мобильных платформ под управлением ОС Android,…

(подробнее...)
СОИБ. Анализ. Мобильная опасность

По информации блога http://sborisov.blogspot.ru/   Про угрозы и проблемы мобильной безопасности говорят на каждой конференции. Несмотря на это мобильные устройства обзаводятся всё большими возможностями, а средствами защиты далеко не всегда.   Для того чтобы отказаться от какой-то мобильной возможности риски должны быть достаточно высоки и их нужно осознавать. А можно и не отказываться, если принять подходящие меры защиты.    В этот статье предположим, что произошел несанкционированный доступ к вашему устройству и ещё раз пройдемся по наиболее опасным рискам.   Несанкционированный доступ произошел…

(подробнее...)
Общее. Roman Korkikian и Adrian Furtuna после ZN

По материалам блога http://sborisov.blogspot.ru/   В продолжение предыдущей заметки после ZN, задал несколько вопросов ещё двум экспертам приезжавшим издалека на ZeroNights:  Roman Korkikian и Adrian Furtuna.   Roman Korkikian из Kudelski Security (Швейцария), проводил workshop "анализ по времени"   ·        Ты только что вернулся с конференции ZeroNights. Какие впечатления? Что понравилось, а что нет?  Если говорить на чистоту, то в России есть всего три конференции по ИБ, которые я посещаю/хотел бы посетить: ZeroNights, PHD и РусКрипто. И если последние две все чаще становятся маркетинговыми…

(подробнее...)
2
Общее. ESET после ZN

по информации блога http://sborisov.blogspot.ru/     На недавно прошедшую конференцию ZeroNights приезжала куча иностранных экспертов. Мне удалось выловить и взять интервью у руководителя группы Security Intelligence лаборатории и блогера ESET Роберта Липовски, который также приезжал на ZN из Словакии.     ·        Ты только что был на конференции ZeroNights. Понравилось? Роберт: Да, мне понравилось. Очень высокий уровень докладов. Специалисты ESET, 2 из Словакии и 2 из России, cделали четыре выступления  - 2 доклада, FastTrack и Workshop. Я в этот раз не выступал с докладом. (UPDATE) “Hard to…

(подробнее...)
СОИБ. Обзор результатов сканеров защищенности

В одной из предыдущих статей я говорил о популярности сканеров защищенности и о типовых ролях, используемых при эксплуатации сканеров защищенности. В этот раз хочу поговорить о пользе от сканеров защищенности, точнее, от комплексных систем (кроме поиска уязвимостей умеют выполнять ещё и анализ соответствия хотя бы каким-то требованиям) анализа защищенности общего назначения (не ограниченных каким-то одним сервисом - web, db, sap и т.п.).   Каждый производитель имеет собственную табличку по детальному сравнению функциональных возможностей своих продуктов с аналогами. Как правило, сравнения эти…

(подробнее...)
1 1
Общее. Google-glass: будущие возможности безопасности

По материалам http://sborisov.blogspot.ru/   Многие эксперты говорят о проблемах ИБ, связанных с новыми гаджетами. Эти мнения могли бы замедлить скорость развития таких устройств, если бы не одно но. Кроме проблем, устройства так-же дадут и большие преимущества, компаниям и частным пользователям.   Например, Google-glass могу послужить и безопасникам: ·        представим, что идет по офису офицер ИБ, смотрит на сотрудника в коридоре, а  Google-glass ему подсказывает логин пользователя, сколько было инцидентов, связанных с этим пользователем, активны ли сессии этого пользователя и т.п. ·        на…

(подробнее...)
Общее. Анализ. Проект приказа Минкомсвязи об автоматизации прослушки связи

по информации блога http://sborisov.blogspot.ru/ 16 октября 2013 выложен на экспертное обсуждение проект приказа Минкомсвязи об автоматизации прослушки сети Интернет «Об утверждении Правил применения оборудования систем коммутации, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-разыскных мероприятий. Часть III. Правила применения оборудования коммутации и маршрутизации пакетов информации сетей передачи данных, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-разыскных мероприятий».…

(подробнее...)
1 1
СОИБ. Проектирование. Защита файловых ресурсов

По информации блога http://sborisov.blogspot.ru/   В сегодняшней заметке хотелось бы уделить внимание комплексным решениям по защите файловых ресурсов.   Несмотря на тенденцию хранения ценной информации в корпоративных приложениях и БД, в большинстве организаций всё равно хранится чувствительная информация в виде файлов. Могу привести следующие примеры: ·        даже если ценная информация хранится в БД, периодически она выгружается оттуда для передачи в другие системы (платежная информация хранится в АБС банка, но для межбанковских платежей используется передача файлов) ·        ценная информация…

(подробнее...)
СОИБ. Проектирование. 20 наиболее важных мер ИБ от SANS Institute

По информации блога http://sborisov.blogspot.ru/   В этом году известный в США институт SANS обновил документ “20 критических мер ИБ” (Twenty Critical Security Controls for Effective Cyber Defense). Документ интересный, поэтому хочу привести тут его краткий обзор.   Почему можно отнести данный документ к “лучшим практикам”?   В его разработке участвовала группа экспертов из разных стран, включающая как государственные, так и коммерческие компании: ·        U.S. Department of Defense ·        Nuclear Laboratories of the U.S. Department of Energy ·        U.S. Computer Emergency Readiness Team of…

(подробнее...)
СОИБ. Анализ. Порядок выполнения основных мероприятий по обеспечению безопасности ПДн

По информации блога http://sborisov.blogspot.ru/   В очередной раз пишу про уже порядком утомившую всех тему по защите ПДн.   Так как в комментариях к предыдущим заметкам поднимались вопросы: ·        почему написано про модель угроз , если явно она не требуется ·        нужно ли обследование ·        обязательны ли сертифицированные СЗИ ·        обязательная ли аттестация ·        какие возможны документы в простых случаях   Свел в одну картинку основные возможные варианты выполнения основных мероприятий по обеспечению безопасности ПДн и типовые наборы документов.       Хотел сделать кратко и…

(подробнее...)
СОИБ. Проектирование. Выбор мер по защите информации для виртуализированных инфраструктур

По материалам блога http://sborisov.blogspot.ru/   Недавно ассоциация RISSPA  опубликовала аналитическую статью о проблеме выбора средств защиты информации для виртуализированных инфраструктур.   Будучи в отпуске пропустил эту новость, но сейчас внимательно ознакомился.   Авторам документа скажу спасибо, так как подобной комплексной подборки СЗИ я не встречал даже среди англоязычных материалов.  Не говоря о привязке к мерам защиты ПДн, которые ФСТЭК представил совсем недавно.   Интересная таблица по соответствию мер и средств защиты       Таблица с подборкой актуальных сертификатов ФСТЭК на приведенные…

(подробнее...)
СЗПДн. Анализ. Выбор мер обеспечения безопасности общедоступных ПДн 2

В одной из предыдущих заметок я приводил демонстрацию анализа и выбора мер защиты по новому комплекту документов (ПП 1119, Приказ ФСТЭК №21) на примере ИСПДн с общедоступными ПДн.   В комментариях к заметке было интересное обсуждение с читателями, в результате которого было высказано мнение, что исключать лишние меры можно на этапе адаптации базового набора мер, исходя из особенностей функционирования ИС в которой не актуальны угрозы для нейтрализации которых применяется данная мера.   Я решил рассмотреть ещё раз ту же задачу с теми же исходными данными и с приведенным выше подходом.   В варианте,…

(подробнее...)
91–120 из 174
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии