Главная » Блоги Экспертов И ИТ-Компаний » Сергей Борисов » Безопасность: Техническая защита
Последние публикации и комментарии Сергей Борисов
СОИБ. Анализ. Модель угроз SAP

По материалам http://sborisov.blogspot.ru/   В сегодняшней заметке хочу начать серию (возможно две) статей по защите ИС на платформе SAP.  По данной теме написано немало информации, но я постараюсь добавить что то новое, чтобы вам было интересно.   Изначально мне надо было подобрать комплекс технических решений по защите SAP, потом возникло желание протестировать применение приказов 17, 21 и недавнего проекта методического документа ФСТЭК Р на практике.   Для начала зафиксируем характеристики ИС, на основе которых в дальнейшем будем делать выбор мер защиты. Так как регулятор нам не дал нам необходимого…

(подробнее...)
Общее. ESET после ZN

по информации блога http://sborisov.blogspot.ru/     На недавно прошедшую конференцию ZeroNights приезжала куча иностранных экспертов. Мне удалось выловить и взять интервью у руководителя группы Security Intelligence лаборатории и блогера ESET Роберта Липовски, который также приезжал на ZN из Словакии.     ·        Ты только что был на конференции ZeroNights. Понравилось? Роберт: Да, мне понравилось. Очень высокий уровень докладов. Специалисты ESET, 2 из Словакии и 2 из России, cделали четыре выступления  - 2 доклада, FastTrack и Workshop. Я в этот раз не выступал с докладом. (UPDATE) “Hard to…

(подробнее...)
СОИБ. Обзор результатов сканеров защищенности

В одной из предыдущих статей я говорил о популярности сканеров защищенности и о типовых ролях, используемых при эксплуатации сканеров защищенности. В этот раз хочу поговорить о пользе от сканеров защищенности, точнее, от комплексных систем (кроме поиска уязвимостей умеют выполнять ещё и анализ соответствия хотя бы каким-то требованиям) анализа защищенности общего назначения (не ограниченных каким-то одним сервисом - web, db, sap и т.п.).   Каждый производитель имеет собственную табличку по детальному сравнению функциональных возможностей своих продуктов с аналогами. Как правило, сравнения эти…

(подробнее...)
Общее. Google-glass: будущие возможности безопасности

По материалам http://sborisov.blogspot.ru/   Многие эксперты говорят о проблемах ИБ, связанных с новыми гаджетами. Эти мнения могли бы замедлить скорость развития таких устройств, если бы не одно но. Кроме проблем, устройства так-же дадут и большие преимущества, компаниям и частным пользователям.   Например, Google-glass могу послужить и безопасникам: ·        представим, что идет по офису офицер ИБ, смотрит на сотрудника в коридоре, а  Google-glass ему подсказывает логин пользователя, сколько было инцидентов, связанных с этим пользователем, активны ли сессии этого пользователя и т.п. ·        на…

(подробнее...)
Общее. Анализ. Проект приказа Минкомсвязи об автоматизации прослушки связи

по информации блога http://sborisov.blogspot.ru/ 16 октября 2013 выложен на экспертное обсуждение проект приказа Минкомсвязи об автоматизации прослушки сети Интернет «Об утверждении Правил применения оборудования систем коммутации, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-разыскных мероприятий. Часть III. Правила применения оборудования коммутации и маршрутизации пакетов информации сетей передачи данных, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-разыскных мероприятий».…

(подробнее...)
СОИБ. Проектирование. Защита файловых ресурсов

По информации блога http://sborisov.blogspot.ru/   В сегодняшней заметке хотелось бы уделить внимание комплексным решениям по защите файловых ресурсов.   Несмотря на тенденцию хранения ценной информации в корпоративных приложениях и БД, в большинстве организаций всё равно хранится чувствительная информация в виде файлов. Могу привести следующие примеры: ·        даже если ценная информация хранится в БД, периодически она выгружается оттуда для передачи в другие системы (платежная информация хранится в АБС банка, но для межбанковских платежей используется передача файлов) ·        ценная информация…

(подробнее...)
СОИБ. Проектирование. 20 наиболее важных мер ИБ от SANS Institute

По информации блога http://sborisov.blogspot.ru/   В этом году известный в США институт SANS обновил документ “20 критических мер ИБ” (Twenty Critical Security Controls for Effective Cyber Defense). Документ интересный, поэтому хочу привести тут его краткий обзор.   Почему можно отнести данный документ к “лучшим практикам”?   В его разработке участвовала группа экспертов из разных стран, включающая как государственные, так и коммерческие компании: ·        U.S. Department of Defense ·        Nuclear Laboratories of the U.S. Department of Energy ·        U.S. Computer Emergency Readiness Team of…

(подробнее...)
СОИБ. Анализ. Порядок выполнения основных мероприятий по обеспечению безопасности ПДн

По информации блога http://sborisov.blogspot.ru/   В очередной раз пишу про уже порядком утомившую всех тему по защите ПДн.   Так как в комментариях к предыдущим заметкам поднимались вопросы: ·        почему написано про модель угроз , если явно она не требуется ·        нужно ли обследование ·        обязательны ли сертифицированные СЗИ ·        обязательная ли аттестация ·        какие возможны документы в простых случаях   Свел в одну картинку основные возможные варианты выполнения основных мероприятий по обеспечению безопасности ПДн и типовые наборы документов.       Хотел сделать кратко и…

(подробнее...)
СОИБ. Проектирование. Выбор мер по защите информации для виртуализированных инфраструктур

По материалам блога http://sborisov.blogspot.ru/   Недавно ассоциация RISSPA  опубликовала аналитическую статью о проблеме выбора средств защиты информации для виртуализированных инфраструктур.   Будучи в отпуске пропустил эту новость, но сейчас внимательно ознакомился.   Авторам документа скажу спасибо, так как подобной комплексной подборки СЗИ я не встречал даже среди англоязычных материалов.  Не говоря о привязке к мерам защиты ПДн, которые ФСТЭК представил совсем недавно.   Интересная таблица по соответствию мер и средств защиты       Таблица с подборкой актуальных сертификатов ФСТЭК на приведенные…

(подробнее...)
СЗПДн. Анализ. Выбор мер обеспечения безопасности общедоступных ПДн 2

В одной из предыдущих заметок я приводил демонстрацию анализа и выбора мер защиты по новому комплекту документов (ПП 1119, Приказ ФСТЭК №21) на примере ИСПДн с общедоступными ПДн.   В комментариях к заметке было интересное обсуждение с читателями, в результате которого было высказано мнение, что исключать лишние меры можно на этапе адаптации базового набора мер, исходя из особенностей функционирования ИС в которой не актуальны угрозы для нейтрализации которых применяется данная мера.   Я решил рассмотреть ещё раз ту же задачу с теми же исходными данными и с приведенным выше подходом.   В варианте,…

(подробнее...)
31–40 из 72
RU, Краснодар
https://sborisov.blogspot.com/, https://www.ussc.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>