Главная » Участники » Сергей Борисов
СОИБ. Анализ. Отчет об анализе информационной безопасности Check Point 2013

По материала блога http://sborisov.blogspot.ru/ В 2013 году компания Check Point опубликовала отчет об анализе информационной безопасности проводившемся в течении 2012 года. В данном отчете есть интересные цифры, которыми хотелось бы кратко поделиться.   Данные для анализа собирались из следующих источников: ·        Check Point ThreatCloud, в анализе участвовало 1494 Security Gateway ·        Check Point SensorNet (распределенная сеть сенсоров) ·        Check Point Endpoint Security reports в 628 компаниях ·        3D Security Onsite Analysis проведенных в 888 компаниях   В рамках услуги 3D Security…

(подробнее...)
СОИБ. Анализ. Создание защищенных ИС

По материалам блога http://sborisov.blogspot.ru/ Последнее время всё больше попадающихся мне тендеров, конкурсов, программ, концепций, заданий на создание крупных информационных систем (ИС), автоматизированных систем (АС, АСУ), содержащих разделы, связанные с информационной безопасностью. В связи с увеличением количества нормативных актов в области ИБ и вниманием общественности – у инициаторов проекта есть понимание, что защита информации должна быть и должна в какой то момент обеспечиваться.   Так же есть понимание какие мероприятия включает в себя жизненный цикл ИС (ГОСТ 34.601), какие стадии…

(подробнее...)
СЗПДн. Проектирование. Хранить нельзя терять

    По информации блога http://sborisov.blogspot.ru/   Для того чтобы поставить запятую в нужном месте названия заметки, попробуем разобраться в теме – нужно ли и можно ли использовать системы и сети хранения данных в информационных системах персональных данных?   Стимулами подумать о хранении ПДн являются требования законодательства, модель угроз и дополнительные требования от бизнеса.   152-ФЗ: “2. Обеспечение безопасности персональных данных достигается, в частности: 7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;”   Проект…

(подробнее...)
Общее. Профессиональный сайт по ИБ компании «Микротест»

В одной из предыдущих заметок я сравнивал web сайты интеграторов в Краснодаре и пришел к выводу, что публичным web сайтам уделяется мало внимания, они малоинформативные и не содержат актуальной информации. По крупным общероссийским интеграторам ситуация лучше, но выделенный портал по ИБ – всё равно редкость.    Последние полгода направление информационной безопасности и департамент корпоративных коммуникаций компании «Микротест» разрабатывали выделенный web сайт по ИБ. В числе группы сотрудников компании я также участвовал в наполнении и создании web сайта, поэтому с удовольствием его представлю…

(подробнее...)
Общее. Вебинары ушедшего года

По материалам блога http://sborisov.blogspot.ru/   Коллеги, всех с наступившим новым годом.   В прошедшем 2012 году я вел подборку вебинаров по ИБ на русском языке, о которых я узнавал до их начала. По моим оценкам там приведено не менее 80% от всех публично проводимых вебинаров.   Для меня интерес к вебинарам вызван следующими причинами: ·        находясь в регионе нет возможности участвовать в большинстве очных мероприятий по ИБ (которые проводятся в Москве) ·        даже если очное мероприятие проводится в твоем городе – на вебинар не надо ехать и тратить время на дорогу/стояние в пробках ·        если…

(подробнее...)
СЗПДн. Анализ. Обработка фотографий и биометрия

По материалам блога http://sborisov.blogspot.ru/   14 декабря были опубликованы разъясненияРоскомнадзора по вопросам обработки персональных данных работников и соискателей, подготовленные совместно с экспертами: А.В. Лукацким, Емельянниковым М.Ю., Волковым А.Н., Токаренко А.В.   Появление такого документа радует, потому что подобные вопросы возникают у всех операторов ПДн и теперь могут быть решены гораздо быстрее.     Пока ожидаются разъяснения по другим темам, привожу информацию по вопросу обработки фотографий и классификации её как биометрии, которая может быть кому-то полезна. Данная тема боян поднималась…

(подробнее...)
СЗПДн. Анализ. Предложения по совершенствованию состава и содержания организационных и технических мер по ОБ ПДн от ФСТЭК

По информации блога http://sborisov.blogspot.ru/   В соответствии с информационным сообщением ФСТЭК России “о проекте приказа ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»” от 07 декабря 2012 г. № 240/22/4947 провел экспертизу проекта приказа ФСТЭК России “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных”.                                     В соответствии с предыдущим комплектом…

(подробнее...)
СОИБ. Проектирование. Усиленная аутентификация на уровне сети (UPD)

По информации блога http://sborisov.blogspot.ru/ В своем блоге я уже делал несколько заметок по теме усиленной аутентификации (например, эта), и теме защищенного доступа к сети. Сегодня ещё одна заметка в продолжение.   Большинство организаций уже осознает проблемы с классическими паролями – с их большим количеством, запоминанием, подбором, потерей и т.п. и пытаются разработать дополнительное решение.   Но на пути внедрения усиленной аутентификации могут встать технические ограничения: ·        большинство бизнес-приложений организации может не поддерживать усиленную аутентификацию (об этом я…

(подробнее...)
СОИБ. Проектирование. Недостающий элемент С-терра

По материалам блога http://sborisov.blogspot.ru/   В продолжение предыдущей заметки про решения С-терра СиЭсПи в этот раз хочу написать про приятную новость от коллег по Микротест у.   В рамках одного из проектов проектировалось решение для крупного заказчика. Требовалось создать систему защищенного взаимодействия между большим количеством крупных удаленных офисов Заказчика.  Требования по пропускной способности составляли порядка 20-30 Мбит, требования к форм-фактору – desktop, потому что не во всех офисах были стойки, криптография в соответствии с законодательством – по ГОСТ.   Так как у Заказчика…

(подробнее...)
СЗПДн. Проектирование. Как централизованно управлять криптошлюзами С-терра?

По материалам http://sborisov.blogspot.ru/   Есть два замечательных производителя СЗИ: Cisco Systems предлагает комплекс решений для создания защищенной сети без границ, но не имеет Российской криптографии; С-терра СиЭсПи – предлагает широкую линейки средств построения VPN включающих Российскую криптографию, но не производит других средств защиты. В маркетинговых материалах этих двух производителей говорится о тесной  интеграции  друг с другом.     Так получилось, что в одном проекте по защите ПДе планировалось использование и интеграция решений этих двух производителей.   Один из вопросов, который…

(подробнее...)
CЗПДн. Анализ. ИСПДн c общедоступными и обезличенными ПДн

По материалам блога http://sborisov.blogspot.ru/   Подписано ПП №1119, о проекте которого я уже писал в предыдущей заметке.  К замечаниям, которые я  приводил в данной заметке, добавляется следующее.   В данный момент в большей части информационных систем или технологических процессов обрабатываются общедоступные персональные данные или малоценные обезличенные персональные данные.   Примерами таких систем или технологических процессов являются: ·        Корпоративные справочники сотрудников ·        Перечни учетных записей пользователей в любом приложении (например, имя, должность, логин, контактный…

(подробнее...)
1
Общее. С чего начать CISO?

По материалам блога http://sborisov.blogspot.ru/   Недавно с коллегами обсуждали интересный вопрос – с чего начать CISO недавно пришедшему в компанию, если до него полноценно ИБ не занимались, доверия от руководства ещё нет, бюджеты, выделяемые раньше на ИБ были минимальными, хочется в кратчайшие сроки укрепить лично свои позиции перед руководством, а службу ИБ вывести в состав важнейших, хотя бы на уровне службы ИТ?   Тут я вижу 3 варианта действий: бизнес подход, жесткий контроль, лучший специалист.   Вариант ИБ “бизнес подход”: ·         Собрать комитет по ИБ ·         Определить требования…

(подробнее...)
СОИБ. Анализ. Предложения по совершенствованию Требований ФСТЭК России

  По материалам блога http://sborisov.blogspot.com/   В соответствии с информационным сообщением ФСТЭК России “о проекте Требований о защите информа-ции, не составляющей государственную тайну, содержащейся в государственных информационных системах” от 12 октября 2012 г. № 240/22/4140 провел экспертизу проекта приказа ФСТЭК России “Об утверждении Требований о защите ин-формации, не составляющей государственную тайну, содержащейся в государственных информационных системах”.   Из основного могу отметить: В документ отсутствует раздел с терминами и определениями. Есть ссылки на ряд внешних документов,…

(подробнее...)
2
СОИБ. Анализ. Вызовы для ИБ

По материалам блога http://sborisov.blogspot.com/ В ряде случаев возникает необходимость привести примеры инцидентов ИБ и других сложных ситуаций, которые возникают у ответственных за ИБ в случае отсутствия комплексной системы обеспечения информационной безопасности. Привожу ниже те случаи и инциденты, которые связаны с наиболее ценной защищаемой информацией (остальные остались за границами данной заметки): 1.      Администратор бизнес приложения или БД, используя локальный доступ к консоли сервера, сделал копию большого объема данных и записал её на свой АРМ или съемный носитель; 2.      Пользователь…

(подробнее...)
Общее. Материалы с мероприятий по ИБ за сентябрь-октябрь

В этот раз не смог посетить очно ряд мероприятий по ИБ, так что смотрел онлайн или пересматривал в записи. Возможно вам тоже пригодится подборка..   ХI конференция "Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ-2012": ·        программа конференции ·        презентации докладчиков   Конференция DLP-RUSSIA 2012: ·        программа и материалы конференции ·        видеозаписи докладов   Выставка InfoSecurity Russia 2012: ·      программа конференции ·      материалы конференции доступны после регистрации,  входа с аутентификацией, добавлении нужных докладов себе в отчет и просмотра…

(подробнее...)
СОИБ. Анализ. Регистрация событий доступа.

По материалам блога http://sborisov.blogspot.com/ После реализации ряда проектов связанных и использованием специализированных средств защиты приложений и БД стал задумываться - как без них удается реализовать требования по регистрации и аудиту доступа к защищаемым данным?   О необходимости такой таких мероприятий для эффективного обеспечения ИБ я писал в одной из предыдущих заметок.   Но кроме этого есть ещё требования законодательства: ·         149-ФЗ, Статья 16: “4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны…

(подробнее...)
СЗПДн. Проектирование. Сертифицированные ОС

По информации из блога http://sborisov.blogspot.com/ В сегодняшней заметке хотелось бы уделить внимание сертифицированным в системе ФСТЭК России операционным системам, использующимся в качестве средств защиты информации, на примере ОС семейства Microsoft Windows.   В большинстве случаев сертификация ОС в системе сертификации ФСТЭК России применяется не для уменьшения рисков ИБ, поэтому проводить экспресс анализ рисков, как в предыдущих заметках, смысла нет.   А вот для уменьшения регуляторных рисков, то есть для выполнения требований законодательства, данная мера применяется очень часто (разрабатываемые…

(подробнее...)
СЗПДн. Анализ. Проекты новых ПП РФ по защите ПДн 3

  В продолжение предыдущей заметки http://sborisov.blogspot.com/2012/09/2.html    Основные мысли по документу Требования: ·        СЗИ необходимо выбирать в соответствии с актами ФСТЭК России и ФСБ России (будущими, так как в текущих нет упоминания уровней защищенности) ·        Кроме того в зависимости от уровня защищенности необходимо выполнять следующие общие требования, в соответствии с таблицей ниже     ·        Контроль выполнения требований организуется и проводится Операторами самостоятельно или с привлечением лицензиатов (но не регуляторов).     Основные замечания по документу Требования:…

(подробнее...)
СЗПДн. Анализ. Проекты новых ПП РФ по защите ПДн 2

  По материалам блога http://sborisov.blogspot.com/ Первая версия постановления правительства по защите ПДн, подготовленные ФСБ России и рассмотренная в одной из моих предыдущих заметок не прошла согласования в правительстве. Вторая попытка ФСБ России подготовить постановления правительства по защите ПДн: ·         Проект ПП РФ «Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных» (далее, Уровни) ·         Проект ПП РФ «О требованиях к защите персональных данных при их обработке…

(подробнее...)
1
СОИБ. Проектирование. Защита баз данных

По материалам блога http://sborisov.blogspot.com/   В сегодняшней заметке хотелось бы уделить внимание комплексным решениям по защите баз данных.   Для каких организация и систем наиболее актуальны решения по защите БД: ·        для организаций в которых наиболее ценная информация хранится в БД (в других видах хранится менее ценная информация); ·        для организаций которых ценная информация хранится в БД разных производителей, имеющих разные встроенные возможности безопасности.   Примерами таких организаций являются: ·        кредитные организации; ·        платежные агенты или системы; ·        транспортные…

(подробнее...)
Общее. Ассоциация DLP-эксперт

по материалам блога http://sborisov.blogspot.com/       В рунете достаточно много информационных площадок в тему ИБ. В последний месяц мне нравится активность на площадке ассоциации DLP-эксперт.   По сравнению с информационными порталами других ИБ ассоциаций (АРСИБ, ABISS, RISSPA) на портале DLP-expert куда как интереснее: ·        Блоги. Там не только трансляции блогов экспертов с других площадок, но так-же “эксклюзивные” заметки специально для DLP-эксперт (например эта)   ·       …

(подробнее...)
2 2
СОИБ. Анализ. Инвентаризация активов

По материалам блога http://sborisov.blogspot.com/ С одной стороны инвентаризация информационных активов не совсем прерогатива ИБ. Скорее это часть управления информационными активами которое является частью управления ИТ. С другой стороны достаточно много мероприятий ИБ зависят от инвентаризации активов и очень часть приходится делать ещё в рамках проектов по ИБ. Часть таких работ я уже описывал в одной изпредыдущих заметок. Действительно, нам нужно четко понимать что мы защищаем, как изменяется объект защиты, когда меняется объект защиты.   Кроме того, есть несколько двигателей в виде законов,…

(подробнее...)
1
Общее. Обзор утилит с Def Con 20

По материалам блога  http://sborisov.blogspot.com/  Пару недель назад прошло крупнейшая мировая конференция по ИБ Def Con 20, на которой собрались лучшие спецы – как в белых, так и в черных шляпах.   В рамках конференции, хакерскими группами было продемонстрировано ряд новых утилит. На сайте конференции они не опубликованы, но в недрах интернета их можно найти. Посмотрим на самые интересные из них,  так как скоро придется защищаться от угроз связанных с большим количеством подобных атак. Subterfuge 4.0 от команды kinozoa. Предназначено для тестирования защищенности от атак типа “человек посередине”…

(подробнее...)
1
СОИБ. Проектирование. Усиленная аутентификация

По материалам блога http://sborisov.blogspot.com/2012/08/blog-post_8.html   В продолжение одной из предыдущих заметок об усиленной аутентификации.     Допустим, что вы уже осознали всю опасность использования классических паролей, например, прочитав эту заметку, решили внедрять усиленную аутентификацию по сертификатам или однократным паролям, в качестве дополнительного устройства аутентификации выбрали например, eToken или телефон, в качестве системы управления усиленной аутентификацией выбрали например, SafeNet Authentication Manager, SAM (бывший TMS). Достаточно ли этого, чтобы отказаться от…

(подробнее...)
2 1
СОИБ. Автоматизация анализа рисков ИБ

По материалам блога http://sborisov.blogspot.com/2012/08/blog-post.html   Оценка рисков ИБ является основой риск-ориентированного подхода к обеспечению ИБ, когда обосновываются и внедряются только те мероприятия по ИБ, которые необходимы уменьшения или нейтрализации неприемлемых рисков ИБ.   Оценка рисков ИБ является обязательным требованием законодательства РФ:   ·        161-ФЗ «О НПС» и подзаконных актов; o   Требования ЦБ РФ; o   Требования PCI DSS; o   Требования других операторов ПС; ·        152-ФЗ «О ПДн» и подзаконных актов (Оценка вреда, моделирование угроз – часть оценки рисков ИБ);…

(подробнее...)
1
CОИБ. Проектирование. Мобильные рабочие места 2

По материалам блога http://sborisov.blogspot.com/2012/07/2.html Через непродолжительное время после выхода предыдущей статьи про мобильные рабочие места, 19 июля прошел партнерский семинар Застава и Aladdin, на кортом было представлено новое решение на эту тему. Решил написать о нем пару слов и добавить в сравнение.   Решение основано на трех уже существующих и сертифицированных продуктах: ·        Альт Линукс СПТ 6.0 – операционная система, сертифицированная в системе ФСТЭК России на соответствие РД “показатели защиты от НСД” по 4 классу защищенности, на соответствие РД “классификация по отсутствию…

(подробнее...)
1
СЗПДн. Анализ. Сколько сотрудников необходимо для организации обработки и обеспечения безопасности ПДн

По материалам блога http://sborisov.blogspot.com/2012/07/blog-post_24.html Ни  для кого не секрет, что федеральный закон 152-ФЗ “О персональных данных” и подзаконные акты требуют от Оператора ПДн выполнения определенных мероприятий и соответственно накладывают на него дополнительные затраты: приобретение оборудования, оплата услуг консультантов, зарплата дополнительным сотрудникам. В данной заметке хочу опустить разовые затраты Оператора на разработку первоначального комплекта документов и первоначального внедрения системы защиты персональных данных. Пусть эти работы уже проведены, внедрена СЗПДн,…

(подробнее...)
1
СОИБ. Анализ. Государственные информационные системы и информационные системы критически важных объектов

По материалам блога http://sborisov.blogspot.com/2012/07/blog-post_16.html   13 июля ФСТЭК России опубликовал на своем сайте Проект федерального закона "О внесении изменений в Федеральный закон 149-ФЗ "Об информации, информационных технологиях и о защите информации"   Планируется придать 2 новых толчка обеспечению ИБ (в дополнение к активно развивающейся защите персональных данных и платежных систем): ·        Защита информации в государственных информационных системах (ГИС) ·        Защита информации в информационных системах критически важных объектов (ИСКВО)   1.           В направлении защиты…

(подробнее...)
1
СОИБ. Проектирование. Виртуальные мобильные рабочие места

По материалам блога http://sborisov.blogspot.com/2012/07/blog-post.html               В сегодняшней заметке хотелось бы уделить внимание решениям типа Защищенные мобильные виртуальные рабочие места на базе съемного USB носителя. Написать данную заметку меня сподвигла статья Андрея Комарова на Хабре, к которой я вернусь ниже.   Для кого защиты, каких объектов могут использоваться такие решения: ·        для сотрудников, которым необходимо поработать с корпоративной защищаемой информацией находясь за пределами контролируемой территории – в командировках, при работе из дома, на площадке партнера/клиента/заказчика…

(подробнее...)
СОИБ. Анализ. Актуальные угрозы непрерывности бизнеса

В продолжение предыдущих заметок на тему непрерывности деятельности Институт Chartered Management Institute провел обследование и недавно опубликовал отчет об угрозах непрерывности бизнеса за 2011 год в Великобритании. Наиболее интересные выводы: ·        План обеспечения непрерывности разработан в 61% опрошенных компаний       ·        Наиболее вероятные угрозы в общем: o   Тяжелые погодные условия o   Нарушение ИТ компонентов o   Потеря (болезнь) ключевых сотрудников o   Нарушение связи o   Митинги и забастовки o   Закрытие и садиков школ o   Нарушение работы транспорта o   Невозможность доступа…

(подробнее...)
121–150 из 163
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии