Главная » Блоги Экспертов И ИТ-Компаний » Сергей Борисов » Безопасность: Пользователю
Последние публикации и комментарии Сергей Борисов
1 1
СОИБ. Анализ. Вопросы для защиты клиент-банка (клиентской части ДБО)

  По информации блога http://sborisov.blogspot.ru/   По информации Лаборатории Касперского в третьем квартале 2016 г. был зарегистрирован существенный рост количество атак и инцидентов, связанных с несанкционированным переводом денежных средств и платежами.   Из результата анализа географии атак видно, что в России таким атакам подвергся наибольший процент пользователей.     К сожалению, нефинансовыми организациями непростительно мало внимания уделяется вопросам защиты клиентской части ДБО. Надеетесь, что банки вас защитят? По текущей практике далеко не всегда это им удается. А недавно вышедший стандарт…

(подробнее...)
1
СОИБ. Анализ. Жертвы DDoS атак из сервиса vDOS

По материалам блога http://sborisov.blogspot.ru/   Наверное, многие слышали о мощных DDoS атаках в сентябре на ресурсы исследователя ИБ Брайана Кребса. История началась, когда в конце июля 2016 года Брайну удалось получить лог 150 тыс. заказов онлайн сервиса vDOS и другую информацию, благодаря которой были найдены и арестованы два владельца этого сервиса из Израиля.    База с перечнем заказов vDOS также была опубликована и некоторое время доступна для скачивания. В предисловии к базе было написано  “These are all the DDOS victims that were logged in the VDOS database dump. The news on their site…

(подробнее...)
СОИБ. Анализ. Российский государственный сегмент сети Интернет или RSNet

По материалам блога http://sborisov.blogspot.ru/   Неделю назад был зарегистрирован очередной документ из серии Российский государственный сегмент Интернет - Положение о российском государственном сегменте информационно-телекоммуникационной сети "Интернет", утвержденное приказом ФСО РФ №443 от 7 сентября 2016 г. (Положение)   Давайте разберем по подробнее что тут, а то возникают домыслы, что туда будет включены чуть ли не все сети на территории РФ.   Кроме указанного выше документа, учитываем ранее утвержденный Указом Президента Российской Федерации от 22 мая 2015 г. N 260 Порядок подключения…

(подробнее...)
1
Обучение. Профессиональные стандарты по ИБ. Часть 2

Продолжение предыдущей статьи. Итак, мы ожидаем в этом году принятие 6 проф. стандартов по ИБ.  Что в них есть? Что с ними делать?   В стандартах есть общая функциональная карта       Есть описание обобщенной трудовой функции с указанием наименования должностей, требованиями к образованию и опыту.   Есть описание отдельной трудовой функции с указанием трудовых действий, необходимых знаний и умений.     Как работодатели будут применять эти проф. Cтандарты по ИБ?   ·         цитировать из стандарта требования к образованию, опыту, знаниям и умениям в описании вакансии при поиске персонала ·         проверять…

(подробнее...)
1
Обучение. Профессиональные стандарты по ИБ. Часть 1

По информации блога http://sborisov.blogspot.ru/   Наверное, все вы сталкивались с тем, что ответственными за защиту информации назначались лица, не имеющие необходимых знаний, умений или опыта подобной работы (ИТ специалисты, кадровики, бухгалтера, специалисты по физ. безопасности и т.п.).   Особенно часто с такой ситуацией можно было столкнуться в небольших организациях или гос. учреждениях.     В 2012 году в ТК РФ внесены изменения связанные с понятиями квалификации работника и профессиональный стандарт.  Далее последовали правила разработки, утверждения и применения профстандартов. (сборник…

(подробнее...)
СОИБ. Анализ. Учить!

В предыдущей статье я отметил что в ряде свежих нормативных документов не уделяется внимания квалификации, повышению осведомленности и обучению ответственных лиц.   Давайте порассуждаем логически – может ли сотрудник, ранее не сталкивавшийся с ПДн, ГИС и СЗИ и не обладающий никаким знаниями в этой теме обеспечивать работоспособность и эффективность системы защиты? Даже если все меры и система защиты создана под ключ консультантом / интегратором? Если ответственные лица не будут знать и уметь, то меры защиты перестанут или даже не начнут работать, документы уйдут в шкаф, а СЗИ мешающие работе будут…

(подробнее...)
СОИБ. Анализ. Платформы для Bug Bounty

Каждая приличная западная ИТ-компания или вендор (Google, Microsoft, Twitter, Tesla, Github, Blogger, Drupal, eBay, Facebook, Instagram и многие другие) обязательно проводит программы выплаты вознаграждений за найденные уязвимости – Bug Bounty, в дополнение к внутреннему и внешнему аудиту ИБ. Это позволяет максимально уменьшить риски для их клиентов.       Последнее время программы Bug Bounty запускают также многие российские компании такие, как  Вконтакте, Yandex, Mail.ru, QIWI, Telegram, Anistar.ru, Ok.ru, Крайинвестбанк, Рокетбанк и т.п.   Когда принимается решение о запуске программы выплаты…

(подробнее...)
1
СОИБ. Анализ. Серьезные недостатки защищенного соединения с web приложениями

Есть сложно выявляемые уязвимости и недостатки безопасности web приложений, которые приходится искать в рамках дорогостоящих аудитов или пентестов.  А есть такие, в которые вляпываешься зайдя один раз обычным браузером на сайт. Ко второму случаю относится неправильный SSL / TLS-сертификат для обеспечения для обеспечения защищенного взаимодействия между сервером и клиентом по протоколу HTTPS или неправильная конфигурация группы протоколов SSL / TLS на сервере.   Хотелось бы показать, что проблема актуальна, но не светить при этом конкретных заказчиков, поэтому я сделал отдельный экспресс анализ…

(подробнее...)
СЗПДн. Вопросы и ответы. Вопросы применения СКЗИ для защиты ПДн

По информации блога http://sborisov.blogspot.ru/ В конце прошлого года у меня подобралось несколько вопросов в рамках защиты ПДн, по которым не было однозначного ответа. При этом ряд знакомых экспертов (Артем Агеев, Николай Домуховский и д.р.) советовали не заниматься публичными рассуждениями, а писать письма регуляторам.   Письма были написаны, давайте посмотрим что получилось с вопросами к ФСБ России:   Вопрос 1. На основании чего (какого мероприятия, документа) Оператор персональных данных должен определять необходимость использования СКЗИ или отсутствие необходимости использования СКЗИ для…

(подробнее...)
СЗПДн. Вопросы и ответы. Выбор мер обеспечения безопасности ПДн и проблема СЗИ

По информации блога http://sborisov.blogspot.ru/ В конце прошлого года у меня подобралось несколько вопросов в рамках защиты ПДн, по которым не было однозначного ответа. При этом ряд знакомых экспертов (Артем Агеев, Николай Домуховский и д.р.) советовали не заниматься публичными рассуждениями, а писать письма регуляторам.   Письма были написаны, давайте посмотрим что получилось с вопросами к ФСТЭК России:   Вопрос 1. Возможно ли при выборе мер обеспечения безопасности ПДн в ИСПДн исключать меры защиты из базового набора, на том основании, что связанные с данной мерой угрозы безопасности ПДн –…

(подробнее...)
1–10 из 46
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии

Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>